別添４

別添４−４
１

政府機関等における情報セキュリティ対策に関する統一的な取組
別添４−４ サイバーセキュリティ基本法に基づく監査

サイバーセキュリティ基本法に基づく監査

サイバーセキュリティ基本法に基づく監査の概要
CS基本法に基づく監査は、政府機関等を対象とし、サイバーセキュリティに関する施策を
総合的かつ効果的に推進するため、政府機関等におけるサイバーセキュリティ対策に関する
現状を適切に把握した上で、対策強化のための自律的かつ継続的な改善機構であるPDCAサイ
クルの構築及び必要なサイバーセキュリティ対策の実施を支援するとともに、当該PDCAサイ
クルが継続的かつ有効に機能するよう助言することによって、政府機関等におけるサイバー
セキュリティ対策の効果的な強化を図ることを目的として、マネジメント監査及びペネトレ
ーションテストを実施している。
図表４−４−１

２

監査の実施内容

これまでの監査結果概要
本監査は、2015年度から政府機関を対象として、2016年度から独立行政法人等を対象とし
て実施している。政府機関へのマネジメント監査は原則として２年で全機関を監査すること
としており、ペネトレーションテストについては、原則毎年度、全機関をテストすることと
している。また、独立行政法人等については、マネジメント監査・ペネトレーションテスト
のいずれも、原則として３年で全機関を監査することとしている。なお、一部の機関に対し
ては、これ以上の頻度で監査を行っている場合がある。

（１）監査で発見される指摘数等の推移
マネジメント監査では、統一基準に照らして十分なセキュリティ対策が行われていないと
認められる場合（例：各機関のセキュリティポリシーが統一基準の水準を満たしていない場
合や、統一基準の水準を満たさないセキュリティ対策の状況が確認された場合）等において、
指摘事項としている。この指摘事項の数（指摘数）は、監査対象の機関やシステムのセキュ
リティ水準を表す一つの目安となる。
この指摘数の傾向を見ると、例えば、各機関のセキュリティ体制や教育、監査等といった
「情報セキュリティの基本的枠組み」を規定する統一基準第２部に対する指摘では、政府機
関では、2017-2018年度を基準とすると、2020-2021年度の１組織当たり平均指摘数は約75％、
2022-2023年度の１組織当たり平均指摘数は約62％程度に減少している。また、独立行政法人

別添４ - 12 -