政府は2016年6月13日、サイバーセキュリティ戦略本部の第8回会合を開催した。会合では2015年度の「サイバーセキュリティ政策に係る年次報告」を決定した。

 年次報告は全230ページ。冒頭で「2015年度において特記すべき点としては、日本年金機構における不正アクセスによる情報流出事案等を受けて、政府や民間企業等の意識が大きく変化したことが挙げられる」と指摘。年金機構事案の経過と、これを受けた官民の動向について多くのページを割いた。

図●「GSOCセンサー」で認知された政府機関への脅威の件数の推移
図●「GSOCセンサー」で認知された政府機関への脅威の件数の推移
(出所:サイバーセキュリティ戦略本部「サイバーセキュリティ政策に係る年次報告(2015年度)」)
[画像のクリックで拡大表示]

 年次報告によれば、内閣サイバーセキュリティセンター(NISC)が実施している「GSOCセンサー」による政府機関へのサイバー攻撃脅威の監視について、2015年度は前年度比1.5倍の約613万件の脅威を認知した()。NISCが対象機関に対応を促すために通報したのは163件だった。

 通報件数は前年度比約3分の2に減ったが、深刻な事態を引き起こした年金機構事案関連の通報を含んでおり、「政府機関に深刻な被害をもたらし得る高い脅威となる攻撃が減少したことを示しているとは考えられない」とした。「不審な通信の検知」によるものが通報全体の約4割を占めた。

統一基準群にネット分離など盛り込む

 戦略本部の会合では、「政府機関等の情報セキュリティ対策のための統一基準群の改定」の原案も示された。7月4日までパブリックコメントを募集した上で、意見を反映して決定する。

 統一基準群の改定は、年金機構の情報流出事案の教訓を受けて、2016年4月にサイバーセキュリティ基本法を改正したのに伴うものである(関連記事:改正サイバー法が成立、国家資格「情報処理安全確保支援士」を新設)。国の行政機関(中央省庁)だけではなく、独立行政法人と指定法人(日本年金機構を想定)にも、統一基準群に沿ったセキュリティ対策を講じるよう求める。

 統一基準群の中身には、「情報システムの重要な情報を扱う部分のインターネットからの分離」「クラウドサービス及び提供事業者の信頼性の確認」などに関する規程を追加する案が示された。

サイバーセキュリティ戦略本部の発表資料