内閣官房 (NISC) 政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)
こんにちは、丸山満彦です。
サイバーセキュリティ対策推進会議(CISO等連絡会議)第20回会合が開催され、政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)が公表されていますね。。。2005年に初版をつくってから、17年超になりますね、、、
私は初版から2012年4月26日発行の平成24年版まで内部のメンバーとして関わっていました。。。
内容もいろいろと時代に合わせていろいろと変わってきています。私たちがいたころは、変更をする際になぜ変更をしたかという背景を変更履歴にコメントをつけるようにして、記録していたのですが、途中からされなくなって、後の担当者がなぜ変更したのか、細かい字句レベルではわからなくなっているかもしれませんね。。。
改訂の歴史...(改訂のポイントから...)
● 内閣官房 (NISC)
・2023.07.04 政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)を策定しました
・[PDF] 政府機関等の対策基準策定のためのガイドライン(令和5年度版)
・[PDF] 政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)
・[PDF] 政府機関等のサイバーセキュリティ対策のための統一規範
・[PDF] 統一基準群改定のポイント(令和5年度版)
ここで少しセキュリティ監査についての昔話、、、
策定当時に近い、[PDF] 政府機関等の情報セキュリティ対策のための統一基準(第 2 版)では、監査については、次のような記載があります。。。
まずは、本統一基準の使い方の部分で、
ーーーーー
(6) 評価の方法
情報セキュリティ対策は、一過性のものとはせず、遅滞なく継続的に取組みを実施できるものであることが重要である。したがって、各府省庁においては本統一基準に基づき、定期的又は事案等の発生の状況に応じて情報セキュリティ監査を行い、以下のことを確認する必要がある。
(a) 省庁対策基準が統一基準に準拠した内容となっていること。(設計の準拠性確認)
(b) 実際の運用が省庁対策基準に準拠していること。(運用の準拠性確認)
(c) 省庁対策基準の内容がリスクに応じて適切であること、効率的な内容であること、あるいは実現困難な内容となっていないこと。(設計の妥当性確認)
(d)実際の運用がリスクに応じて有効で効率的であること。(運用の妥当性確認)
特に、各府省庁の情報セキュリティ監査においては、設計及び運用の準拠性確認をその第一の目的とする。ただし、監査の過程において、設計及び運用の妥当性に関連して改善すべきと思われる点が発見された場合には、それを要検討事項にすることが望ましい。なお、本統一基準においては、実施すべき者を具体的に示して遵守事項を定めているため、対策の実施状況については各自の役割に応じた自己点検を実施することとする。情報セキュリティ対策においては、各自がそれぞれの役割を十分に実行することが不可欠であり、各自における対策の実効性を確保するために、自己点検を活用するものである。したがって、各府省庁が監査を行う際には、その自己点検の適正さを確認し、運用の準拠性確認に用いるものとする。
また、情報セキュリティ対策の実施については、原則として、各府省庁の責任において運用することが大前提であるが、政府機関全体としての情報セキュリティ対策推進の観点から、各府省庁は対策の実施状況及び監査結果について内閣官房情報セキュリティセンターに報告を行うこととする。さらに、内閣官房情報セキュリティセンターは、本統一基準に関する評価指標に基づき、各府省庁の情報セキュリティ関係規程の整備状況及び対策実施状況について定期的又は必要に応じて検査し、評価することとする。なお、対象となる情報システムの範囲については内閣官房情報セキュリティセンターが各府省庁と協議して定めるものとする。
ーーーーー
監査の部分で、
ーーーーー
(2) 監査の実施
(a) 情報セキュリティ監査責任者は、監査実施計画に基づき、以下の事項を含む監査の実施を監査実施者に指示し、結果を監査報告書として最高情報セキュリティ責任者に報告すること。
(ア) 対策基準に統一基準を満たすための適切な事項が定められていること
(イ) 実施手順が対策基準に準拠していること
(ウ) 被監査部門における実際の運用が情報セキュリティ関係規程に準拠していること
ーーーーー
となっています。
この背景は、
・省庁には自組織の業務の適切性、順守性等の監査を実施する内部監査部門が設置されていないことから、情報セキュリティ監査を担当する適切な組織はないという判断であった。(内部監査責任者の不在、監査実施者の不在、監査品質を評価者の不在)
・内部監査部門がないことから、監査技術に長けた人もいない。
・セキュリティに詳しい人も少ない。
したがって、最低限の知識である程度の実効性のあるセキュリティ監査ができるように、監査はできる限り簡単に行える仕組みを作る必要があった
そこで考えだされたのは、
・準拠性の監査を最低限実施し、できるなら妥当性の監査も実施するというアプローチ
・自己点検が適切であることを監査する
という手法で、自己点検(1線による確認)に重点を置くアプローチです。
この考え方は、[PDF] 2006年に私が初版を策定したものが改訂されている政府機関等のサイバーセキュリティ対策のための統一基準群に基づく情報セキュリティ監査の実施手引書(令和4年10月), [downloaded] にも引き継がれているように思います。。。
もちろん、[PDF] サイバーセキュリティ対策を強化するための監査に係る基本方針(平成27年5月25日 サイバーセキュリティ戦略本部決定) により、あらたな枠組みも追加されていますが)
できることであれば、米国連邦政府のように、各省庁に内部監査部門をつくり、内部監査を実施し、さらに、会計検査院による監査も実施されるという体制ができれば、より強固になるとは思いますが、そこまでの理解と思いのある政治家も少ないでしょうから、難しいですかね。。。
全体版初版
・2023.12.23 [PDF] NISD-K303-052 政府機関の情報セキュリティ対策のための統一基準(2005 年 12 月版(全体版初版)) [downloaded]
第2版
・2007.06.14 [PDF] NISD-K303-071 政府機関の情報セキュリティ対策のための統一基準(第 2 版) [downloaded]
・2007.06.14 [PDF] NISD-K303-071C 政府機関の情報セキュリティ対策のための統一基準(第 2 版)解説書 [downloaded]
第3版
・2008.02.04 [PDF] NISD-K303-072 政府機関の情報セキュリティ対策のための統一基準(第 3 版) [downloaded]
・2008.02.04 [PDF] NISD-K303-072C 政府機関の情報セキュリティ対策のための統一基準(第 3 版)解説書 [downloaded]
・2009.02.03 NISD-K303-081 政府機関の情報セキュリティ対策のための統一基準(第 4 版) [downloaded]
・2010.05.11 NISD-K303-091 政府機関の情報セキュリティ対策のための統一基準(第 4 版) (平成 21 年度修正) [downloaded]
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.07.06 内閣官房 (NISC) 重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書
・2023.07.06 内閣官房 NISC サイバーセキュリティ戦略本部 第36回会合
・2023.04.20 NISC 意見募集「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)R5
・2021.04.26 NISC 意見募集「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)
少し遡って...
・2012.05.18 NISC 第29回情報セキュリティ政策会議
・2009.02.04 内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準(第4版)
・2008.12.11 内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)
・2008.02.05 内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準(第3版)
・2007.12.13 内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一基準(第3版)」
・2007.06.20 内閣官房 「政府機関の情報セキュリティ対策のための統一基準(第2版)」決定
・2006.09.13 内閣官房 政府機関統一基準適用個別マニュアル群
・2005.12.14 内閣官房 政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])
・2005.10.18 内閣官房 「政府機関の情報セキュリティ対策のための統一基準」に追加すべき項目(骨子)に関する意見の募集
・2005.09.29 IT戦略本部 (第32回)議事次第
・2005.09.16 政府 情報セキュリティの政府統一基準関係
Comments