別添４

政府機関等における情報セキュリティ対策に関する統一的な取組
別添４−４ サイバーセキュリティ基本法に基づく監査

2022 年度に監査を実施した独立行政法人等に対して、監査の結果及び助言を踏まえて自
律的に策定した改善計画の取組状況について、ヒアリング等によりフォローアップを実施
した。その結果、おおむね改善計画に沿って対策が進捗していることを確認したが、改善
計画の進捗が必ずしも十分でない組織も一部にはあった。指摘事項の改善が完了していない組
織については、引き続きフォローアップを行っていく。
このほか、2022年度までのマネジメント監査において、課題が特に見られた独立行政法
人等を所管する政府機関に対して、当該法人へのより緊密なフォローアップ等を促す等、
対策の一層の促進に向けた取組を行った。

３-４

独立行政法人等を対象としたペネトレーションテストの実施結果概要

（１）ペネトレーションテストの実施期間
2023 年４月から 2024 年３月までの間
（２）ペネトレーションテストの実施対象
独立行政法人等（全 96 法人）のうち、33 の法人が運用する基幹 LAN システム及び重要な
情報を取り扱う情報システムの中から選定した情報システムを対象とした。
（３）ペネトレーションテストの実施内容
近年の脅威動向・状況変化を踏まえた上で、攻撃者が実際に用いる手法での疑似的な攻撃
による情報システムに対しての侵入可否調査を、IPA に事務の一部を委託して実施した。具体
的には、情報システムを運用する上で重要な情報を取り扱うサーバ等を選定し、インターネ
ット（外部）から調査対象サーバ等への侵入可否調査を行うとともに、情報システム内部の
端末がマルウェアに感染したと想定し、当該端末（内部）から調査対象サーバ等への侵入可
否調査を実施した。また、侵入を確認した場合は、侵入後の被害範囲の調査を実施した。
（４）ペネトレーションテストの実施結果
調査の結果、インターネットから情報システムに直接侵入できるような問題等はおおむね
発見されなかった。一方、情報システム内部での調査において、問題等が発見される場合も
あった。このうち主なものは、サーバの管理等で使用されるパスワードについて、パスワー
ド解析への耐性が十分でないなどの主体認証情報（ID・パスワード等）の管理不備に関する
ものであった。調査において侵入に利用できる問題等を認知した場合には、当該組織に速や
かに通知し、改善計画の策定又は改善結果の報告を求めた。
調査終了後、調査結果を分析・取りまとめ、セキュリティ対策水準の向上を図ることを視
野に入れた助言等を行った。
2022年度に実施したペネトレーションテストの結果に対する改善計画において、提出時点
で対策が未完了となっていた項目については、マネジメント監査と合わせてその後の進捗状
況を確認するフォローアップを実施した。その結果、おおむね改善計画に沿って対策が進捗
していることを確認した。
このほか、2022年度までの侵入検査において、課題が特に見られた独立行政法人等を所管
する政府機関に対して、当該法人へのより緊密なフォローアップ等を促す等、対策の一層の
促進に向けた取組を行った。

別添４ - 23 -