第３

経済社会基盤を支える各主体における取組①（政府機関等）

【昨年度の取組実績】
政府機関等が講じるべきサイバーセキュリティ対策のベースラインである統一基準群に
ついて、2023 年度に改定を行った。常時診断・対応型のセキュリティアーキテクチャの実
装に向け、
「動的なアクセス制御」を政府情報システムに実装する場合に特に必要な対策や
政府機関等で利用が想定される代表的なクラウドサービスを利用した情報システムを構築
及び運用する上で最低限設定すべきクラウドサービスのセキュリティ設定項目等を取りま
とめたガイドラインの活用等、必要な見直しを行った。
サプライチェーン・リスク対策については、令和５年７月の政府統一基準群の改定にお
いて、業務委託、クラウドサービスの利用、機器等の調達等に関する規定の見直しを行い、
政府機関等における対策の強化を図った。政府機関等が IT 調達を行う際には、
「IT 調達申
合せ」に基づき、サプライチェーン・リスクの観点から NISC の助言を求めるなど必要な措
置を講ずることとしており、2023 年度は、NISC から政府機関等の照会に対し 5,527 件の助
言を行い、そのうち 435 件においては、サプライチェーン・リスクの懸念が払しょくでき
ない製品等が含まれているものとして、製品の交換やリスク軽減策等を助言した。
こうした統一的な基準を含めサイバーセキュリティに関する施策を総合的かつ効果的に
推進し、政府機関等のサイバーセキュリティ対策の効果的な強化が図られるよう、マネジ
メント監査については、2021 年度に改定された統一基準群やクラウドサービス利用に係る
対策等の近年の脅威動向・状況変化を踏まえて、適切なリスク対応が必要と考えられる分
野等に重点を置き監査を実施した。また、ペネトレーションテストについても、近年の脅
威動向・状況変化を踏まえた上で、侵入可否調査を行った。さらに、過年度の監査結果に
ついて、改善状況のフォローアップを行った。
また、サイバー攻撃等による被害の未然防止のための取組として、GSOC におけるセンサ
監視等により検知した政府機関等に対するサイバー攻撃の傾向や情勢等について、政府機
関等に対し注意喚起等を行った。さらに、デジタル庁におけるガバメントクラウドやガバ
メントソリューションサービスの検討と一体的に、次期 GSOC システムの構築に向けた検討
を実施した。加えて、これらで得られた知見を踏まえて、IPA の実施する独立行政法人等に
係る監視業務に対する監督及び情報共有等を適切に行った。
デジタル庁において、重点計画として運用・監視システム等の枠組み整備に取り組んだ。
具体的には、PJMO が個別に実施する政府情報システムの運用監視の現状の課題等を洗い出
し、今後、デジタル庁が管理する情報システムを横断的に監視し、インシデント対処の支
援を行うことを目的とした、
「デジタル庁総合運用監視基本方針」の見直しと、総合運用・
監視システムの要件定義を行った。
総務省において、一部の府省庁の端末に NICT が開発したセンサを導入し、得られた端末
の挙動情報等を NICT に集約するとともに、集約した情報の分析を開始した。
【評価】
統一基準群は、2023 年度に改定が行われ、常時診断・対応型のセキュリティアーキテク
チャの実装に向け、
「動的なアクセス制御」を政府情報システムに実装する場合に特に必要
- 44 -