会計検査院法第30条の2に基づく国会及び内閣への随時報告「各府省庁等の情報システムに係る情報セキュリティ対策等の状況について」 (2025.09.12)

こんにちは、丸山満彦です。

会計検査院が、会計検査院法第30条の2に基づく国会及び内閣への随時報告「各府省庁等の情報システムに係る情報セキュリティ対策等の状況について」 を公表していますね...

---

各府省庁等の情報システムに係る情報セキュリティ対策等の状況について検査し、その状況を取りまとめたことから、会計検査院法（昭和22年法律第73号）第30条の2の規定に基づき、会計検査院長から衆議院議長、参議院議長及び内閣総理大臣に対して報告するものである。

---

ということのようです...

今まで会計検査院が政府統一基準を利用した情報セキュリティ監査をやったことありましたっけね...多分、今回が初めてじゃないでしょうか？

統一基準は2005年に作成されているのですが、作成の当初、会計検査院とも会話をしたことを記憶しています。監査の仕方について、自己点検、内部監査チーム（米国連邦政府のような内部監査部門（Inspector General）がないので）による監査、内閣官房による各省庁の実施状況の監査、さらにこれに加えて、ぜひ会計検査院による監査もしてほしいという話をしたように思います。

その後、三代前の検査院長にも直接「そろそろやりましょうよ」と言った記憶があります。

さて、今回やっと会計検査院による「各府省庁等の情報システムに係る情報セキュリティ対策等」について監査が行われたわけですが、毎年継続的に実施するようになると良いですね...

できたら、省庁ごとの成績表も作って公開してもよいかもですね...米国の連邦政府は昔やっていたし...

それから、監査の自動化にもチャレンジしてもらいたいですよね...

 

● 会計検査院

・2025.-09.12 会計検査院法第30条の2に基づく国会及び内閣への随時報告

 

・[PDF] 概要

---

各府省庁等の情報システムに係る情報セキュリティ対策等の状況について

＜検査の状況の主な内容及び所見＞

1. 対象システムに係る情報セキュリティ対策の実施状況等

　本府省庁等24機関の236システム及び地方支分部局16機関の120システムについて検査したところ、情報システム台帳による管理が行われていない、ソフトウェアに関するぜい弱性対策、アクセスの権限の管理、主体認証情報の管理及びログの取得・管理が適切に行われていない、危機的事象発生時における情報セキュリティに係る対策事項を定めていない、業務の委託先等において調達仕様書等に定めることとされている事項の一部が定められていない、クラウドサービスの利用について許可権限者から承認を受けていない、ＩＴ－ＢＣＰが策定されていないなどの状況が見受けられた。また、ＩＤ無しシステムは、ＩＤ付きシステムよりも情報セキュリティ対策の実施割合が低くなっていた

2. 情報セキュリティ対策に係る教育等及び監査の状況

　情報セキュリティ対策に関する教育実施計画が策定されていない、ポリシーの内容に関する教育が実施されていない、業務委託に係る情報セキュリティ対策が、これに関する教育を実施している府省庁等においても必ずしも適切に講じられていない、計画外監査の結果が情報セキュリティ監査責任者等に情報共有されていないなどの状況が見受けられた。

所見:

・各機関において、統一基準群に準拠した情報システム台帳を整備するとともに、ソフトウェアに関するぜい弱性対策、アクセスの権限の管理、主体認証情報の管理、ログの取得・管理、業務委託、クラウドサービスに係る情報セキュリティ対策を講ずること。また、政府業務継続計画等に基づきＩＴ－ＢＣＰの策定等を適切に実施すること

・ＩＤ無しシステムの整備、運用等を行っている各機関において、情報システムＩＤの取得について検討するとともに、デジタル庁は、既存の情報システムに係る情報システムＩＤを取得する場合の手続等を明確にすることについて検討すること

・各機関において、情報セキュリティ対策の必要性等に関する教育を充実させるための方策について検討すること。国家サイバー統括室は、情報セキュリティ対策の必要性等についての理解が更に深まるように引き続き教育等の取組を進めること

・各機関において、計画外監査の結果が情報セキュリティ監査責任者等に情報共有されるように対応を検討すること

---

 

・[PDF] 報告のポイント

 

・[PDF] 本文

 

目次...

---

1 検査の背景
(1) 国のデジタル社会の実現に向けた取組の概要
(2) 国の情報セキュリティ対策の概要等
 ア　国の情報セキュリティ対策に係る制度の概要等
 イ　統一基準群の体系の概要等
 ウ　標準ガイドライン群等の概要
 エ　国の行政機関等における情報セキュリティ対策の概要
 オ　ＩＴ－ＢＣＰの概要
(3) 政府デジタル人材の確保育成等の概要
(4) ＮＩＳＣ等における情報セキュリティ対策に関する取組の概要
 ア　法に基づく監査
 イ　クラウドサービスリストの公開
 ウ　教育訓練
(5) 情報セキュリティインシデントの発生状況
(6) これまでの検査の実施状況

2 検査の観点、着眼点、対象及び方法
(1) 検査の観点及び着眼点
(2) 検査の対象及び方法

3 検査の状況
(1) 対象システムの整備、運用等に係る経費の支払状況及び契約の状況
 ア　経費の支払状況
 イ　契約の状況
(2) 対象システムに係る情報セキュリティ対策の実施状況等
 ア　対象システムに係る台帳の整備状況等
 イ　情報システムのセキュリティ要件に係る情報セキュリティ対策の状況等
 ウ　業務委託及び外部サービスの利用に係る情報セキュリティ対策の実施状況
(3) 情報セキュリティ対策に係る教育等及び監査の状況
 ア　情報セキュリティ対策に関する教育等の状況
 イ　情報セキュリティ監査の実施状況等

4 検査の状況に対する所見
(1) 検査の状況の主な内容
(2) 所見

別図表

参考　用語集

---

 

監査の着眼点...

---

合規性、効率性、有効性等の観点から、各府省庁等の情報システムに係る情報セキュリティ対策等の状況について、次の点に着眼するなどして検査した。

ア 情報システムの整備、運用等に係る経費の支払状況及び契約の状況はどのようになっているか。

イ 情報システムに係る情報セキュリティ対策は、統一基準群等に基づき適切に講じられているか。

ウ 情報セキュリティ対策に係る教育等及び監査は、統一基準群等に基づき適切に実施されているか

---

 

監査の対象および方法...

---

会計検査院は、6年3月末時点において14府省庁等の本府省庁等24機関が整備、運用等を行っている情報システムのうち、様々な状況において重要な業務を実施するための情報システム（以下「対象システム」という。）236システム、及び14府省庁等の地方支分部局のうち16機関が整備、運用等を行っている対象システム120システムに係る情報セキュリティ対策等の状況について、3年度から5年度までを対象として検査した。

検査に当たっては、本府省庁等24機関及び地方支分部局16機関において、契約書、調達仕様書等の関係資料を確認するとともに、内閣官房及びデジタル庁においては、ＮＩＳＣ及びデジタル庁が実施しているサイバーセキュリティに関する施策等の状況についても関係資料を確認するなどして会計実地検査を行ったほか、24機関及び16機関から調書の提出を受けてその内容を分析するなどして検査した。

      なお、ＮＩＳＣを改組して設置された国家サイバー統括室は、各対象システムに係る情報セキュリティ対策等の状況に関する詳細な事実関係や、会計検査院が具体的にどのような情報システムを検査の対象としたのかなどの情報が公開された場合、特定の対象システムにおける情報セキュリティ対策等の問題点を狙い撃ちにした攻撃を誘発するなどのリスクがあるため、サイバーセキュリティを確保する観点から公開すべきではないとしている。

上記を踏まえて、これらの情報については、本報告書には記述しないこととした。

---

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2009.05.26 内閣官房 第1回 情報セキュリティ報告書専門委員会

・2008.05.23 米国政府 セキュリティ評価関係 2007(2)　総合評価はC <= C-