会計検査院は9月12日、会計検査院法第30条の2に基づき、国会及び内閣に「各府省庁等の情報システムに係る情報セキュリティ対策等の状況について」の随時報告を行ったと発表した。
同報告書は、各府省庁等の情報システムに係る情報セキュリティ対策等の状況について検査し、その状況を取りまとめたもので、会計検査院法(昭和22年法律第73号)第30条の2の規定に基づき、会計検査院長から衆議院議長、参議院議長及び内閣総理大臣に対し報告している。
同報告書では、本府省庁等24機関の236システム及び地方支分部局16機関の120システムについて検査したところ、下記の状況が見受けられたと指摘している。また、ID無しシステムは、ID付きシステムよりも情報セキュリティ対策の実施割合が低くなっていたとのこと。
・情報システム台帳による管理が行われていない
・ソフトウェアに関する脆弱性対策
・アクセスの権限の管理
・主体認証情報の管理及びログの取得・管理が適切に行われていない
・危機的事象発生時における情報セキュリティに係る対策事項を定めていない
・業務の委託先等において調達仕様書等に定めることとされている事項の一部が定められていない
・クラウドサービスの利用について許可権限者から承認を受けていない
・IT-BCPが策定されていない
同報告書では、情報セキュリティ対策に係る教育等及び監査の状況について、下記の状況が見受けられたと指摘している。
・情報セキュリティ対策に関する教育実施計画が策定されていない
・ポリシーの内容に関する教育が実施されていない
・業務委託に係る情報セキュリティ対策が、これに関する教育を実施している府省庁等においても必ずしも適切に講じられていない
・計画外監査の結果が情報セキュリティ監査責任者等に情報共有されていない
