別添４

３

政府機関等における情報セキュリティ対策に関する統一的な取組
別添４−４ サイバーセキュリティ基本法に基づく監査

2023 年度における監査の概要
2023年度に実施したマネジメント監査及びペネトレーションテストの概要を以下に示す。

３-１

政府機関を対象としたマネジメント監査の実施結果概要

（１）マネジメント監査の実施期間
2023 年４月から 2024 年３月までの間
（２）マネジメント監査の実施対象
政府機関のうち、13 の府省庁を対象とした。
（３）マネジメント監査の実施内容
統一基準群等に基づく施策の取組状況について、各府省庁における組織・体制の整備状況、サ
イバーセキュリティ対策の実施状況、教育の実施状況、情報セキュリティ監査の実施状況等を把
握した上で、サイバーセキュリティ対策の水準の自律的かつ継続的な向上を促すことを目的とし、
PDCA サイクルの構築及びその適切な運用が行われているかといった観点を中心に、監査を実施した。
また、近年の脅威動向・状況変化を踏まえて、適切なリスク対応が必要と考えられる分野や、監査
の必要性が高い地方・外局等の組織等の状況確認など、過年度監査で重点を置いた分野についても
重点を置き、監査を実施した。これらの監査結果を踏まえ、PDCA サイクルの構築に資するととも
に、PDCA サイクルが継続的かつ有効に機能していくよう助言等を行った。
（４）マネジメント監査の実施結果
情報セキュリティ対策の基本的枠組みの整備・運用を含めた組織全体のセキュリティマネ
ジメントに関しては、2022 年度監査に引き続き、多くの政府機関で適切な対策が実施されて
いたが、個別のシステムの運用等に関する指摘は、一部の本府省の原課や、施設等機関及び
外局といった各政府機関の本府省のセキュリティに関する統括部門のガバナンスが行き届き
にくいことが想定される組織のシステムの一部で、相対的に多くの指摘事項が発見される傾
向が見られた。
指摘事項が多い分野は、情報システムのセキュリティ機能、端末・サーバ装置等、外部サ
ービス利用、情報システムに係る文書等の整備、電子メール・ウェブ等であった。また、2022
年度の監査の監査結果と比較すると「６部

情報システムのセキュリティ要件」の指摘事項

の比率が大きくなった。
（図表４−４−12）。
政府機関は、継続的に情報セキュリティ対策の水準の向上を図るため、助言への対応を含め対
策状況を評価して改善を行う自律的な取組を実施し、組織全体として PDCA サイクルを適切に維持・
運用していくことが引き続き必要である。

別添４ - 17 -