別添４ 政府機関等における情報セキュリティ対策に関する統一的な取組
別添４−１ 政府機関等のサイバーセキュリティ対策のための統一基準群

図表４−１−２

２

政府機関等における情報セキュリティのマネジメントサイクル

統一基準群の改定
政府機関等の情報システムの整備において、クラウド・バイ・デフォルト原則に則ったク
ラウドサービスの利用拡大が進む中、クラウドサービスの利用に必要な情報セキュリティ対
策を明確化することは重要な課題である。
上述のような情勢やその他のサイバーセキュリティ対策を巡る動向を踏まえて、2023 年度
に改定を行った。
今回の改定では、
（１）クラウドサービスの利用や共通利用型システムの拡大を踏まえた対
策の強化、（２）サプライチェーンの情報セキュリティ対策とサイバーレジリエンスの強化、
（３）リスクマネジメントの向上とライフサイクルを通じたサイバーセキュリティ対策、
（４）
サイバーセキュリティ対策の動向を踏まえた記載の充実という４つのテーマを掲げた。

（１）クラウドサービスの利用や共通利用型システムの拡大を踏まえた対策の強化
クラウド・バイ・デフォルト原則に則ったクラウドサービスの利用拡大を見据え、ISMAP や
その枠組みのうち、リスクの小さな業務・情報の処理に用いる SaaS サービスを対象にした仕
組みである ISMAP-LIU の活用を促進するとともに、クラウドサービスの利用開始から利用終
了に至るまでの一連のプロセスにおけるセキュリティ対策を整理・拡充した。また、他の政
府機関等が整備運用する情報システムを共通利用するケースの拡大を踏まえ、必要なセキュ
リティ対策に関する規定を追加した。
（２）サプライチェーンの情報セキュリティ対策とサイバーレジリエンスの強化
サプライチェーンの脆弱な部分を起点としたサイバー攻撃が発生していることを踏まえ、
業務委託先に求める情報セキュリティ対策に関する規定等を強化した。また、政府機関等を
標的としたサイバー攻撃やランサムウェア感染等の近年の情報セキュリティインシデント事
例などを踏まえ、サイバー攻撃による被害を軽減するためのセキュリティ対策について記載
を追加した。

別添４ - 4 -