よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


資料1 サイバーセキュリティ2024(2023年度年次報告・2023年度年次計画)(案)について (38 ページ)

公開元URL https://www.nisc.go.jp/council/cs/index.html#cs41
出典情報 サイバーセキュリティ戦略本部(第41回 7/10)《内閣官房内閣サイバーセキュリティセンター》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

年 12 月に初版を策定して以来、サイバーセキュリティを取り巻く情勢の変化等に応じて改定
を重ねている。令和5年度版統一基準群を 2023 年7月に公表しており、各政府機関等におい
ては、これと同等以上のセキュリティ対策が可能となるよう、情報セキュリティポリシーを
策定している。
また、政府機関等におけるクラウドサービスの導入に当たって、情報セキュリティ対策が
十分なサービスを調達できるよう、国際基準等を踏まえて策定した基準に基づき、各基準が
適切に実施されているかを第三者が監査するプロセスを経て、安全性が評価されたクラウド
サービスを登録する制度である「政府情報システムのためのセキュリティ評価制度」(以下
「ISMAP」という)を、2020 年6月に立ち上げた。さらに ISMAP 制度のうち、リスクの小さな
業務・情報の処理に用いる SaaS8サービスを対象とする仕組みである「ISMAP-LIU9」を、2022
年 11 月から運用開始した。こうした取組を踏まえ、各政府機関等は、原則、
「ISMAP 等クラウ
ドサービスリスト」に掲載されたクラウドサービスから調達を行うこととしている。
加えて、政府機関等における、サプライチェーン・リスクに対応するための取組として、
特に防護すべき情報システム・機器・役務等に関する調達の基本的な方針及び手続について、
講じるべき必要な措置の明確化を図るために、2018 年 12 月に関係省庁で「IT 調達に係る国
等の物品等又は役務の調達方針及び調達手続に関する申合せ」(以下「IT 調達申合せ」とい
う。)を行った。加えて、2022 年 12 月には、関係省庁で「調達行為を伴わない SNS10等の外部
サービスの利用等に関する申合せ」
(以下「外部サービス申合せ」という。)を行い、広報な
ど要機密情報を扱わない場合における外部サービスを利用等する際の講じるべき必要な措置
についても内閣官房に助言を求める仕組みを設けた。各政府機関等は、こうした助言の仕組
みや様々なリスクを十分に踏まえ、SNS 等の外部サービスの利用の可否を判断している。

(2)

統一的な基準に基づいた監査の実施

こうした統一的な基準を含め、サイバーセキュリティに関する施策を総合的かつ効果的に
推進し、政府機関等のサイバーセキュリティ対策に関する現状を把握した上で、効果的な対
策の強化を図るため、各政府機関等を対象とした監査を実施している。この監査では、統一
基準群等に基づく施策の取組状況について、組織全体の自律的・継続的な改善の仕組みが有
効に機能しているかといった観点からの質問、資料閲覧、情報システムの点検等による検証
(マネジメント監査)や、疑似的な攻撃により、実際に情報システムに侵入できるかどうか
の観点からの対策状況の検証(ペネトレーションテスト)を実施し、対策を改善するための
助言等を行うことで、各政府機関等におけるサイバーセキュリティ対策の強化を図っている。
(3)

インシデント対処支援

政府機関等は、それぞれ組織内 CSIRT を設置し、自組織の情報システムの構築・運用を行
うとともに、サイバー攻撃による障害等の事案が発生した場合には、情報システムの管理者
としての責任を果たす観点から、自ら被害拡大の防止、早期復旧のための措置、原因の調査、

8

SaaS(Software as a Service)

9

ISMAP-LIU(ISMAP for Low-Impact Use)

10

SNS(Social Networking Service)

- 18 -