このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第2章 日本の政府機関等が参考とすべき対策方針、対策基準
日本の政府機関等が参考とすべき対策方針、対策基準は先に書いたとおり、NISCが作成した政府機関等の情報セキュリティ対策のための統一基準群で、統一基準群を構成する文書は以下のとおりです。 以下にリンクをつけたとおり、NISCのウェブサイトで誰でも自由にダウンロードすることが可能であり、必要な情報セキュリティ対策が網羅されていますので、参考にしやすいと思います。
○政府機関等の情報セキュリティ対策のための統一規範(令和3年度版)
○政府機関等の情報セキュリティ対策の運用等に関する指針(令和3年度版)
○政府機関等の情報セキュリティ対策のための統一基準(令和3年度版)
○政府機関等の対策基準策定のためのガイドライン(令和3年度版)
(参考)
○政府機関等の情報セキュリティ対策のための統一規範(平成30年度版)
○政府機関等の情報セキュリティ対策の運用等に関する指針(平成30年度版)
○政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)
○政府機関等の対策基準策定のためのガイドライン(平成30年度版)
1. 政府機関等の情報セキュリティ対策のための統一規範
統一規範は3章から構成され、第1章は目的と適用対象、第2章は基本方針、第3章は基本対策が記載されております。
第2章の基本方針では、リスク評価を実施した上で情報セキュリティ対策を講じる必要があること、基本方針や対策基準を制定しなければいけないこと等が記載されています。
第3章の基本対策では、基本的対策として、管理体制、対策推進計画、例外措置、教育、インシデント対応、監査、自己点検、情報の格付及び取扱制限、情報のライフサイクル管理、情報取扱い区域の管理、外部委託、情報システムに係る文書及び台帳の整備、情報システムのライフサイクル全般にわたる情報セキュリティの確保等について実施すべき旨を記載しています。
この内容は、情報セキュリティ対策基本方針にあたるものです。
2. 政府機関等の情報セキュリティ対策の運用等に関する指針
この指針は、これら統一基準群の位置付け及び対策基準の策定、運用に関する指針に関する指針を説明したものです。
3. 政府機関等の情報セキュリティ対策のための統一基準
この統一基準には、政府機関等が実施すべき情報セキュリティ対策の対策基準が遵守事項として列挙されています。構成は以下のとおりです。
第1部 総則
1.1 本統一基準の目的・適用範囲
1.2 情報の格付の区分・取扱制限
1.3 用語定義
第2部 情報セキュリティ対策の基本的枠組み
2.1 導入・計画
2.1.1 組織・体制の整備
2.1.2 対策基準・対策推進計画の策定
2.2 運用
2.2.1 情報セキュリティ関係規程の運用
(対策基準に定められた対策を実施するため、具体的な実施手順を定める旨の規定)
2.2.2 例外措置
2.2.3 教育
2.2.4 情報セキュリティインシデントへの対処
2.3 点検
2.3.1 情報セキュリティ対策の自己点検
2.3.2 情報セキュリティ監査
2.4 見直し
第3部 情報の取扱い
3.1 情報の取扱い
3.2 情報を取り扱う区域の管理
第4部 外部委託
4.1 業務委託
4.2 外部サービスの利用
第5部 情報システムのライフサイクル
5.1 情報システムに係る文書等の整備
5.2 情報システムのライフサイクルの各段階における対策
5.3 情報システムの運用継続計画
第6部 情報システムのセキュリティ要件
6.1 情報システムのセキュリティ機能
6.2 情報セキュリティの脅威への対策
6.3 アプリケーション・コンテンツの作成・提供
第7部 情報システムの構成要素(毎にとるべき対策)
7.1 端末・サーバ装置等
7.2 電子メール・ウェブ等
7.3 通信回線
第8部 情報システムの利用(者が遵守すべき事項)
8.1 情報システムの利用
4. 政府機関等の対策基準策定のためのガイドライン
このガイドラインには、統一基準の遵守事項を満たすためにとるべき基本的な対策事項(以下、「基本対策事項」という。)が例示されるとともに、対策基準の策定及び実施に際しての考え方等が解説されています。政府統一基準とほぼ同じ構成になっていますが、統一基準が69ページであるのに対して、本ガイドラインは366ページあります。政府統一基準の遵守事項毎に解説が記載されているので、その解説を読みながら、各組織の対策基準をどうすべきか決定するとともに、各対策基準を実務面でどのように実現するかを定める実施手順作成の際の参考とします。
(以上、資料出所:NISCウェブサイト https://www.nisc.go.jp/materials/index.html )
5. 令和3年7月7日の改定内容
なお、統一基準群は2〜3年おきに更新しており、直近では、令和3年7月7日に改定されました。令和3年度版における改定内容としては、主に以下の3つが挙げられます。
(1) クラウドサービスの利用拡大を見据えた記載の充実
(2) 情報セキュリティ対策の動向を踏まえた記載の充実
(3) 多様な働き方を前提とした情報セキュリティ対策の整理
サイバーセキュリティ対策推進会議の第18回会合(令和3年7月6日)資料によれば、改定内容について以下のとおり説明しています。
(1) クラウドサービスの利用拡大を見据えた記載の充実
①外部サービスの再定義と取り扱う情報に応じた適切なセキュリティ対策の実施
「⇒境目が曖昧となっている「約款による外部サービス」と「クラウドサービス」を「外部サービス」
として統合した上で、「外部サービス」 上での要機密情報の取り扱いの有無により、求めるセキュ
リティ対策のレベルを整理。」
⇒政府機関等が外部サービスを選択する際には、セキュリティ確保のために必要な事項を十分に考慮
した上で、外部サービスが 当該セキュリティ要件を満たすことを確認することが必要。」
ここで問題となる点が二つあります。一つは、クラウドサービスについては、ISMAPサービスリストにあるサービスでないと、事実上、政府機関等では利用できなくなることです。世の中にはクラウドサービスと呼ばれるものが非常に多くありますが、ISMAPクラウドサービスリストは、2021年3月12日に最初の10社のリストが公開され、四半期毎に登録されるのですが、2021年7月現在でも14のサービスしか登録されていません。この新しい政府統一基準が適用されると、現在利用しているクラウドサービスと言われるものの多くは、ISMAPサービスリストに記載されていませんので、その場合は各機関などでISMAP管理基準などに適合していることを確認することが求められていますが、各機関が独自でこの作業を行うことは現実的ではありませんので、使用を中止して、ISMAPクラウドサービスリストに記載されているサービスに乗り換えることを計画しなければばりません。
政府統一基準でも、政府情報システムのためのセキュリティ評価制度 (ISMAP)基本規程でも、クラウドサービスについては、「事業者によって定義されたインタフェースを用いた、拡張性、柔軟性を持つ共用可能な物理的又は仮想的なリソースにネットワーク 経由でアクセスするモデルを通じて提供され、利用者によって自由にリソースの設定・管理が可能なサービスであって、情報セキュリティに関する十分な条件設定の余地があるもの」と定義していますので、この定義によって、何がクラウドサービスで、何がクラウドサービスに該当しない外部サービスかを、適切に区分しないと、これまでインターネット経由で使用して多くのサービスが利用できなくなり、大きな混乱が生じるものと思われます。一般的にクラウドサービスと呼ばれるサービスのうち、IaaS、PaaSについては、利用者によって自由にリソースの設定・管理が可能であり、定義に合致すると思いますが、SaaSと呼ばれるサービスについては、利用者によって自由にリソースの設定・管理が可能であるかどうかによって、クラウドサービスに区分すべきかどうか、分かれるものと思います。インターネット経由でアプリケーションのみを利用するサービスの多くは、自由にリソースの設定・管理が可能なものはほとんどないのではないかと思われますので、これらのサービスは、クラウドサービス以外の外部サービスとして、政府統一基準の規定に従うことになるものと思われます。
もう一つの問題は、これまでインターネット経由でサービス提供を受けてきたASPサービスと呼ばれたものなどを外部サービスとして位置づけ、平成30年度版でクラウドサービスに求めていた厳しい選択基準を、これらの外部サービスにも求めるように改定したことです。これらのサービスの中には、単にこれまでユーザー部門が厳しい審査を経ずに利用してきたものも多くありますので、急に国際規格の認証や第三者による監査報告書などを求められ、こちらも利用できなくなるサービスが多く発生するのではないかと思われます。
政府統一基準によれば、外部サービスとは、「機関等外の者が一般向けに情報システムの一部又は全部の機能を提供するものをいう。ただし、当該機能において機関等の情報が取り扱われる場合に限る。」と定義されていますが、非常に範囲が広いと言えます。政府統一基準ガイドラインでは、外部サービスの例として、クラウドサービスのほか、Web会議サービス、SNS、検索サービス、翻訳サービス、地図サービス、ホスティングサービス、インターネット回線接続サービスを挙げています。
②ISMAP制度の活用
⇒クラウドサービスを利用する場合に、その選定においてISMAP制度を活用。
③外部サービス利用時のライフサイクルに渡るセキュリティ要件の追加
⇒外部サービスを利用する際のセキュリティ対策は、選定や契約時における対策のみならず、構築・運
用・廃棄等のライフサイクルに渡ることから、要機密情報を取り扱う外部サービスの利用における導
入・構築・運用・保守・更改・破棄の各フェーズのセキュリ ティ対策に係る規定を、ISO/IEC27017:2015
を参考に追加。
④外部サービスに係るシャドーIT対策
⇒組織の承認を得ずに職員等が外部サービスを利用するシャドーITは監視が不十分になりやすく、セキュ
リティリスクが高まる等の問題がある。シャドーIT対策として、外部サービス利用時の組織内での承認・
審査・申請の手続きを規定。
(2) 情報セキュリティ対策の動向を踏まえた記載の充実
①政府機関等に対する主要なサイバー攻撃や近年のサイバーセキュリティインシデント事例を踏まえた対策
等の記載の追加
⇒以下の解説を追加し、より強固なサイバーセキュリティ対策を例示。
• EDR ・・・・端末の動作を監視し、異常時の管理者による迅速な対応を支援するための機能
• CDNサービス・・・Webコンテンツを複数のサーバに分配配置し、大量アクセスの負荷を軽減する
サービス
• IT資産管理ソフトウェア・・・Windows Updateに代表されるセキュリティ更新ソフトウェアの適用
状況を管理し、 最適な状態を維持するソフトウェア
• 標的型メール攻撃・・・組織や個人の情報を入念に調査し情報を収集した上で、攻撃対象が疑念を
抱かないよう、 巧妙に偽装したメールにより仕掛けてくる攻撃
• 暗号化消去・・・暗号化された情報を復号するための「鍵」を抹消する論理的削除方法
• SSD等内蔵記録媒体を含む種々の電磁的記録媒体廃棄時の記録された情報の抹消
・・・フラッシュメモリタイプの電磁的記録媒体は、データ抹消ソフトウェアによる上書きを実施
しても、 実際には書き込みが行われず、消去すべき情報がそのまま残ってしまう領域が発生
してしまう ことへの注意
②情報セキュリティ対策に係る最新の考え方等の反映
⇒アクセス制御機能の例として、常時アクセス判断・許可アーキテクチャ(ゼロトラストアーキテクチャ。
「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」という性悪説に基づいた考え方。)
に関する記載を追加。
⇒メール添付による暗号化された電子ファイル受け渡し時の復号用パスワード受け渡し方法に関する記載
を追加。また、暗号化する際に設定するパスワードやパスフレーズに求める十分な⻑さと複雑さについ
ての解説を追加。
(3) 多様な働き方を前提とした情報セキュリティ対策の整理
①テレワークに係る項目の新設
⇒テレワークを実施する際のサイバーセキュリティ対策に係る記述が複数の部に分散していたため項目を
新設。テレワークに特有の 情報セキュリティ対策について包括的に記載。
②Web会議サービス利用時の対策に係る項目の新設
⇒政府機関等において利用が急増したWeb会議サービスについて、利用時に行うべき情報セキュリティ対
策について、項目を新設して記載。
③機関等支給以外の端末に係る留意事項等の整理
⇒機関等支給以外の端末に係る記述が複数の部に分散していたため項目を新設して記載。
⇒機関等支給以外の端末においては、情報セキュリティ水準を一定以上に保ち続けることが困難であり、
情報セキュリティインシデントの引き金となる可能性が高いことから、機関等が支給する端末の利用を
原則としつつ、やむを得ず利用する場合の対策について整理。