NISC 意見募集「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定（案）

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティセンター (NISC) が、政府機関等のサイバーセキュリティ対策のための統一基準群」の改定（案）について意見募集をしていますね。

思い返せば、NISCが「内閣官房 情報セキュリティ対策推進室」（多分）といわれていた頃に内閣官房に参加し、まずは情報セキュリティセンターの立ち上げと同時に、政府統一基準の策定を進めておりましたね。当時は、内閣府の新しいビルが立つ前で、そこに３階建のプレハブがあり、そこで色々としておりましたね。。。もう、16年以上も前の話ですね。。。

作成当時の重要なルールとして、「主語」を明確にするというのがありましたね。XXXをする責任を持ってするのは誰か？を明確にするということですね。これは、セキュリティの役割の「椅子」を用意することができないので、担当という「帽子」を被せるということにしたのですが、どの帽子の人が何をしなければならないかを明確にしないといけないですよね。。。ということから来ています。。。

なので遵守事項は、「最高情報セキュリティ責任者は」とか、「職員等（当時は、「行政事務従事者」でしたね。。。）は」とか、になっているんですよね。。。

今回は、「ISMAPの制度」もできたし、「常時アクセス判断・許可アーキテクチャ」（きっとゼロトラスト的なものなんでしょう。。。）も海外政府では取り組んでいるし、「コロナで在宅やし」という感じですかね。。

● NISC

・2021.04.26「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定（案）に関する意見の募集

意見募集は...

• [PDF] 政府機関等のサイバーセキュリティ対策のための統一規範（案）

• [PDF] 政府機関等のサイバーセキュリティ対策の運用等に関する指針（案）

 

• [PDF] 政府機関等のサイバーセキュリティ対策のための統一基準（令和３年度版）（案）

ここからは、参考資料...

見直しの概要

• [PDF] 政府機関等の対策基準策定のためのガイドライン（令和3年度版）（案）
• [PDF] 政府機関等のサイバーセキュリティ対策のための統一基準群の見直し（案）について

---

１．クラウドサービスの利用拡大を見据えた記載の充実
■ 政府情報システムのためのセキュリティ評価制度（ISMAP）の管理基準も踏まえ、クラウドサービス利用者側として実施すべき対策や考え方に係る記載を追加。
⇒外部サービスを安全に利用するために、業務内容や取り扱う情報の格付や取扱制限に応じた情報セキュリティ対策を自ら講じられることが重要。

２．情報セキュリティ対策の動向を踏まえた記載の充実
■ 政府機関等を標的とした主要なサイバー攻撃や近年の情報セキュリティインシデント事例、最新のセキュリティ対策などを踏まえた記載、また今後取り組むべき情報セキュリティ対策の将来像について記載。
⇒従来からの境界型防御を補完するものとして「常時アクセス判断・許可アーキテクチャ」にも目を向ける。また、情報システム「常時システム診断・対処」を引き続き推進するなど、情報セキュリティ対策基盤を着実に進化させることが重要。

３．多様な働き方を前提とした情報セキュリティ対策の整理
■ 新型コロナウイルス感染症対策として政府機関等においても急速に広まったテレワークや遠隔会議の経験も踏まえ、係る多様な働き方を前提とする場合に必要な情報セキュリティ対策について、参照すべき統一基準上の規定や解説を整理することで、政府機関等が実施すべき対策の水準を明確にする。
⇒危機管理や働き方改革への対応として、通常とは異なる環境下においても必要な情報セキュリティ水準を確保した上で業務の円滑な継続を図ることが重要。

---

新旧対照表

• [PDF] 政府機関等のサイバーセキュリティ対策のための統一規範（案）　新旧対照表
• [PDF] 政府機関等のサイバーセキュリティ対策の運用等に関する指針（案）　新旧対照表
• [PDF] 政府機関等のサイバーセキュリティ対策のための統一基準（令和３年度版）（案）　新旧対照表

です。。。