別添４

政府機関等における情報セキュリティ対策に関する統一的な取組
別添４−４ サイバーセキュリティ基本法に基づく監査

① 主な監査項目や助言等
2023 年度の監査においては、以下に示す主な監査項目について、法人におけるサイバー
セキュリティ対策に関連する規程の整備状況及びその運用状況に係る監査を実施し、情報
システムにおける技術的な対策を含めて、改善のために必要な助言等を行った。
【主な監査項目】
・ 情報セキュリティ対策の基本的枠組みに係る規程の整備及び運用状況
・ 情報の取扱いに係る規程の整備及び運用状況
・ 外部委託に係る規程の整備及び運用状況
・ 情報システムのセキュリティ要件に係る規程の整備及び運用状況
・ 情報システムのライフサイクルに係る規程の整備及び運用状況
・ 情報システムの構成要素に係る規程の整備及び運用状況
・ 情報システムの利用に係る規程の整備及び運用状況
【当該年度監査において重点を置いた主な項目】
・ 2021 年度に改定された統一基準群への準拠性監査
・ 過年度監査の残リスクに関する監査
・ 近年のサイバーセキュリティに関する脅威動向や技術動向等を踏まえた監査
 統一基準（令和３年度版）を踏まえたクラウドサービス利用に係る対策
 外部からの管理アカウントへのアクセスに係る対策
 非常時優先業務システム等に関するランサムウェアや災害時の業務継続性等を想
定したバックアップ等の対策
 電子メール中継サーバに係る対策
 業務委託時のセキュリティ対策及び「IT 調達申合せ」に基づく対応
 脆弱性・機器設定・主体認証等に係る対策
・ 法人における PDCA サイクル確立に関する監査
・ テレワーク等の新型コロナウイルス感染症感染拡大防止対策を踏まえた監査
・ 更改システム及び新事業等に係る監査
② グッドプラクティスの事例
・ ログの取得・管理に関して、担当者間において、スキルを持った者が講師となり、研修
テキストを作成するとともに、バックアップ・リストアの基礎やサーバ構成等、ログ点
検に必要な内容の勉強会を実施して、監視スキルの共有を図っている事例。（医薬品医
療機器総合機構）
・ 委託先の評価を年１回実施して評価結果を一覧としてまとめ、委託契約の更新や委託先
への改善指示に活かしている事例。
（年金積立金管理運用）
・ 監査での発見事項は他の事務所で同様のリスクが存在すると想定し、過去の発見事項を
含む ICT インフラチェックシートを作成し、各事務所における監査に使用するととも
に、監査結果をリスクマネジメントシートに記載し、対策推進計画に反映させるという
PDCA サイクルを構築している事例。
（国際観光振興機構）
・ 外部公開サーバに対する四半期毎の脆弱性検査により、脅威動向・状況変化に即応する
対策を実施している事例。（国立環境研究所）
③ 2022 年度に実施したマネジメント監査に係るフォローアップの状況
別添４ - 22 -