年 12 月に初版を策定して以来、サイバーセキュリティを取り巻く情勢の変化等に応じて改定
を重ねている。令和５年度版統一基準群を 2023 年７月に公表しており、各政府機関等におい
ては、これと同等以上のセキュリティ対策が可能となるよう、情報セキュリティポリシーを
策定している。
また、政府機関等におけるクラウドサービスの導入に当たって、情報セキュリティ対策が
十分なサービスを調達できるよう、国際基準等を踏まえて策定した基準に基づき、各基準が
適切に実施されているかを第三者が監査するプロセスを経て、安全性が評価されたクラウド
サービスを登録する制度である「政府情報システムのためのセキュリティ評価制度」（以下
「ISMAP」という）を、2020 年６月に立ち上げた。さらに ISMAP 制度のうち、リスクの小さな
業務・情報の処理に用いる SaaS8サービスを対象とする仕組みである「ISMAP-LIU9」を、2022
年 11 月から運用開始した。こうした取組を踏まえ、各政府機関等は、原則、
「ISMAP 等クラウ
ドサービスリスト」に掲載されたクラウドサービスから調達を行うこととしている。
加えて、政府機関等における、サプライチェーン・リスクに対応するための取組として、
特に防護すべき情報システム・機器・役務等に関する調達の基本的な方針及び手続について、
講じるべき必要な措置の明確化を図るために、2018 年 12 月に関係省庁で「IT 調達に係る国
等の物品等又は役務の調達方針及び調達手続に関する申合せ」（以下「IT 調達申合せ」とい
う。）を行った。加えて、2022 年 12 月には、関係省庁で「調達行為を伴わない SNS10等の外部
サービスの利用等に関する申合せ」
（以下「外部サービス申合せ」という。）を行い、広報な
ど要機密情報を扱わない場合における外部サービスを利用等する際の講じるべき必要な措置
についても内閣官房に助言を求める仕組みを設けた。各政府機関等は、こうした助言の仕組
みや様々なリスクを十分に踏まえ、SNS 等の外部サービスの利用の可否を判断している。

（２）

統一的な基準に基づいた監査の実施

こうした統一的な基準を含め、サイバーセキュリティに関する施策を総合的かつ効果的に
推進し、政府機関等のサイバーセキュリティ対策に関する現状を把握した上で、効果的な対
策の強化を図るため、各政府機関等を対象とした監査を実施している。この監査では、統一
基準群等に基づく施策の取組状況について、組織全体の自律的・継続的な改善の仕組みが有
効に機能しているかといった観点からの質問、資料閲覧、情報システムの点検等による検証
（マネジメント監査）や、疑似的な攻撃により、実際に情報システムに侵入できるかどうか
の観点からの対策状況の検証（ペネトレーションテスト）を実施し、対策を改善するための
助言等を行うことで、各政府機関等におけるサイバーセキュリティ対策の強化を図っている。
（３）

インシデント対処支援

政府機関等は、それぞれ組織内 CSIRT を設置し、自組織の情報システムの構築・運用を行
うとともに、サイバー攻撃による障害等の事案が発生した場合には、情報システムの管理者
としての責任を果たす観点から、自ら被害拡大の防止、早期復旧のための措置、原因の調査、

8

SaaS（Software as a Service）

9

ISMAP-LIU（ISMAP for Low-Impact Use）

10

SNS（Social Networking Service）

- 18 -