別添４

政府機関等における情報セキュリティ対策に関する統一的な取組
別添４−４ サイバーセキュリティ基本法に基づく監査

やかに通知し、改善計画の策定又は改善結果の報告を求めた。
調査終了後、調査結果を分析・取りまとめた後、当該府省庁に報告するとともに、セキュリ
ティ対策水準の向上を図ることを視野に入れた助言等を行った。また、不正侵入や情報漏えい
につながりやすく、かつ、繰り返し発見される傾向にある問題について、個別問題そのものの
解決のみならず、問題の再発防止や、組織横断的対策等に関して、想定される改善策をまとめ
た助言リストを作成し、問題を検出した府省庁に提供した。さらに、2023年度の侵入検査にお
いて、課題が特に見られた政府機関に対しては、発見された問題点の原因分析を行い、その結
果を踏まえた組織横断的な対応を行うよう助言する等、対策の一層の促進に向けた取組を行っ
た。
2022年度に実施したペネトレーションテストの結果に対して各政府機関から提出された改善
計画において、提出時点で対策が未完了となっていた項目については、その後の進捗状況を確
認するフォローアップを実施した。その結果、おおむね改善計画に沿って対策が進捗している
ことを確認した。

３-３

独立行政法人等を対象としたマネジメント監査の実施結果概要

（１）マネジメント監査の実施期間
2023 年４月から 2024 年３月までの間
（２）マネジメント監査の実施対象
独立行政法人等のうち、32 の法人を対象とした。
（３）マネジメント監査の実施内容
統一基準群等に基づく施策の取組状況について、IPA に事務の一部を委託し、法人における
組織・体制の整備状況、サイバーセキュリティ対策の実施状況、教育の実施状況、情報セキ
ュリティ監査の実施状況等を把握した上で、サイバーセキュリティ対策の水準の自律的かつ
継続的な向上を促すことを目的とし、PDCA サイクルの構築及びその適切な運用が行われてい
るかといった観点を中心に、監査を実施した。また、セキュリティ上の脅威動向や技術動向等を
踏まえて、適切なリスク対応が必要と考えられる分野や、テレワークの利用拡大に伴い、リスクが
増加している可能性があるシステム等についても、重点を置いて監査を実施した。これらの当該監
査結果を踏まえ、PDCA サイクルの構築に資するとともに、PDCA サイクルが継続的かつ有効に
機能していくよう助言等を行った。
（４）マネジメント監査の実施結果
情報セキュリティ対策の基本的枠組みの整備・運用を含めた法人全体のセキュリティマネ
ジメントに関しては、各法人の前回の監査時と比較すると、全体的には着実な改善が見られ
るが、一部の法人で対策が不十分な状況が見られた。また、政府機関と比較すると、多くの
指摘事項が発見される傾向が継続している。さらに、個別システムの運用等に関しては、一
部のシステムにおいて、多数の指摘事項が発見される傾向が引き続き見られたが、昨年度と
比較すると改善の傾向が見られる。総じて、各法人は情報セキュリティ対策の推進に努力し
ている一方、これらの法人においては多様な業務等を背景とし、統一基準群の下での情報セ
キュリティ対策への取組は政府機関と比べて歴史が浅いこともあり、その取組状況は必ずし

別添４ - 20 -