3.政府機関統一基準の内容について
政府機関統一基準は、情報セキュリティに関する国際基準であるISO/IEC17799を始め、内外の基準を踏まえて我が国政府機関のために策定したものであり、各府省庁が最低限行うべき対策(基本遵守事項)及びより重要度の高い情報に対する対策(強化遵守事項)を定めています。
また、昨今、政府機関へのサービス不能(DoS)攻撃が増加し、国内の企業等においては、重要情報の漏洩問題が相次ぐなど、情報セキュリティ関連の事故が多発している状況にあります。 こうした状況を受けて、まず、平成17年9月15日、情報セキュリティ政策会議第2回会合において、政府機関全体として統一的にとるべき対策のうち、緊急性の高いものについて定めた「政府機関の情報セキュリティのための統一基準(2005年項目限定版)」及びその運用枠組みが決定されました。
次いで、同年12月13日、情報セキュリティ政策会議第3回会合において、システムの開発・整備に関する対策項目などを追加した「政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])」が決定されました。
さらに、「政府機関の情報セキュリティ対策のための統一基準」については、技術や環境の変化を踏まえ見直しを行うこととされており、平成19年6月14日(情報セキュリティ政策会議第12回会合)及び平成20年2月4日(情報セキュリティ政策会議第16回会合)、平成21年2月3日(情報セキュリティ政策会議第20回会合)において、改訂版が決定されています。
政府機関の情報セキュリティ対策のための統一基準
http://www.nisc.go.jp/active/general/res_kijun07.html
http://www.nisc.go.jp/active/general/res_kijun3.html
http://www.nisc.go.jp/active/general/res_kijun4.html
4.情報セキュリティ対策の実施状況
平成19年9月から同年11月に全19政府機関の情報セキュリティ対策の実施状況に関する重点検査及び評価結果が表1のように内閣官房情報セキュリティセンター(NISC)電子サービスについてまとめられました。
政府機関 セキュリティ 統一基準 総合評価
http://www.nisc.go.jp/conference/seisaku/dai15/pdf/15siryou01.pdf
政府機関全体でB以上の評価を受けており、統一基準による情報セキュリティの整備は順調に進んでいるものと思われます。さらに今回の評価では、電子メール送信時の主体認証の実施率が94%になっています。認証はボット対策に有効であることが知られていますが統一基準では、実施は任意としていた対策です。また、迷惑メール対策については、ほぼ全ての機関で対策を実施していることがわかりました。
5.最新統一基準の見直し案
NICTでは、「政府機関の情報セキュリティ対策のための統一管理基準」及び「政府機関の情報セキュリティ対策のための統一技術基準」に関する意見の募集を平成22年12月28日~平成23年1月21日まで行っていました。「政府機関の情報セキュリティ対策のための統一基準」については、政府機関の情報セキュリティ水準を適切に維持していく観点から定期的に見直しを行うこととされております。今回は、政府内部で一層のセキュリティ対策の徹底を図るため、技術・環境の変化等を踏まえて見直しを行うとともに、こうした変化により迅速かつ柔軟に対応するという狙いから、基本的な管理策をまとめた「政府機関の情報セキュリティ対策のための統一管理基準」(案)と技術的な管理策をまとめた「政府機関の情報セキュリティ対策のための統一技術基準」(案)の2つの文書に統一基準を再編し、両案について意見集約を図るものです。
(林 誠一郎)
セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
