情報セキュリティ政策の枠組みと推進体制内閣官房を中心に関係省庁も含めた横断的な体制を整備高度情報通信ネットワーク社会推進戦略本部 (IT 戦略本部 ) 本部長内閣総理大臣副本部長内閣特命担当大臣 ( 科学技術政策 ) 内閣官房長官総務大臣経済産業大臣本部員本部長及び副本部長以外のすべての国務大臣

Size: px

Start display at page:

Download "情報セキュリティ政策の枠組みと推進体制内閣官房を中心に関係省庁も含めた横断的な体制を整備高度情報通信ネットワーク社会推進戦略本部 (IT 戦略本部 ) 本部長内閣総理大臣副本部長内閣特命担当大臣 ( 科学技術政策 ) 内閣官房長官総務大臣経済産業大臣本部員本部長及び副本部長以外のすべての国務大臣"

ふみなおおふさ
5 years ago
Views:

1 説明資料 1 政府におけるセキュリティ対策内閣官房情報セキュリティセンター平成 23 年 9 月 7 日 1

情報セキュリティ政策の枠組みと推進体制内閣官房を中心に関係省庁も含めた横断的な体制を整備高度情報通信ネットワーク社会推進戦略本部 (IT 戦略本部 ) 本部長内閣総理大臣副本部長内閣特命担当大臣 ( 科学技術政策 ) 内閣官房長官総務大臣経済産業大臣本部員本部長及び副本部長以外のすべての国務大臣民間有識者 (8 人 ) ( 事務局 ) 内閣官房 IT 担当室室長 ( 官房副長官補 ( 内政

2 情報セキュリティ政策の枠組みと推進体制内閣官房を中心に関係省庁も含めた横断的な体制を整備高度情報通信ネットワーク社会推進戦略本部 (IT 戦略本部 ) 本部長内閣総理大臣副本部長内閣特命担当大臣 ( 科学技術政策 ) 内閣官房長官総務大臣経済産業大臣本部員本部長及び副本部長以外のすべての国務大臣民間有識者 (8 人 ) ( 事務局 ) 内閣官房 IT 担当室室長 ( 官房副長官補 ( 内政 )) 情報セキュリティ政策会議 (2005 年 5 月 30 日 IT 戦略本部長決定により設置 ) 議長内閣官房長官議長代理内閣府特命担当大臣 ( 科学技術政策 ) 構成員国家公安委員会委員長総務大臣閣僚が参画経済産業大臣防衛大臣 CISO 等連絡会議民間有識者 (6 人 ) 重要インフラ専門委員会技術戦略専門委員会普及啓発人材育成専門委員会重要インフラ所管省庁金融庁 ( 金融機関 ) 総務省 ( 地方公共団体情報通信 ) 厚生労働省 ( 医療水道 ) 経済産業省 ( 電力ガス ) 国土交通省 ( 鉄道航空物流 ) その他の関係省庁その他文部科学省 ( セキュリティ教育 ) 等 ( 事務局 ) 内閣官房情報セキュリティセンター (NISC) センター長 ( 官房副長官補 ( 安危 )) 副センター長 ( 内閣審議官 ) 2 名内閣参事官 6 名情報セキュリティ補佐官 ( アドバイザー )3 名協力協力 4 省庁警察庁 ( サイバー犯罪の取締り ) 総務省 ( 通信ネットワーク政策 ) 経済産業省 ( 情報政策 ) 防衛省 ( 国の安全保障 ) 重要インフラ事業者等政府機関 ( 各府省庁 ) 企業 2 2 個人

Gumblar 猛威 2009 IT障害への対応も含めた総合的な対策基盤づくりの推進 2013 サイバー攻撃事態発生を念頭

国民を守る情報セキュリティ戦略 2010.5.11 情報セキュリティ政策会議決定基本戦略組織体制 9.

フィッシング詐欺年度計画情報セキュリティ20xx 基本戦略に基づき策定する年度計画第１次情報セキュリティ基本計画

06.2.2 情報セキュリティ政策会議決定 2009.2.3 情報セキュリティ政策会議決定ＳＪ２００６ＳＪ２００９ＳＪ２００７

情報セキュリティポリシー箇政府機関統一基準群政府機関統一基準第４版 2011.4.21 月のための統一基準第１３版 2009.

3 内閣官房における情報セキュリティ政策の流れ年度各省における試行錯誤サイバー攻撃への対応を中心とした対策実施時期米韓ＤＤｏｓ攻撃 Gumblar 猛威 2009 IT障害への対応も含めた総合的な対策基盤づくりの推進 2013 サイバー攻撃事態発生を念頭新たな環境変化対応能動的情報セキュリティ対策事故前提社会への対応力強化など成熟した情報セキュリティ先進国へ向けた取組み国民を守る情報セキュリティ戦略情報セキュリティ政策会議決定基本戦略組織体制 9.18 攻撃 2010 基本戦略対策推進の枠組み国民を守る情報セ戦略スパイウェア米国同時多発ボットネット Winny テロによる攻撃 DNSキャッシュポイズニング誘導型攻撃の出現第二次情報セ基本計画 Webサーバの省庁ＨＰ脆弱性への攻撃連続改ざんフィッシング詐欺年度計画情報セキュリティ20xx 基本戦略に基づき策定する年度計画第１次情報セキュリティ基本計画第２次情報セキュリティ基本計画情報セキュリティ政策会議決定情報セキュリティ政策会議決定ＳＪ２００６ＳＪ２００９ＳＪ２００７ＳＪ２００８情報セキュリティ情報セキュリティ２０１０２０１１ 2012 約１政府機関対策政府機関の情報セキュリティ対策情報セキュリティポリシー箇政府機関統一基準群政府機関統一基準第４版月のための統一基準第１３版に関するガイドライン情報セキュリティ政策会議決定情報セキュリティ政策会議決定で情報セキュリティ対策推進会議決定情報セキュリティ政策会議決定組織重要ｲﾝﾌﾗ対策重要インフラの情報セキュリティ重要インフラの情報セキュリティ対策重要インフラのサイバーテロをに係る行動計画対策に係る第２次行動計画対策に係る特別行動計画立情報セキュリティ政策会議決定情報セキュリティ対策推進会議決定情報セキュリティ政策会議決定ち上げ内閣官房情報セキュリティ対策推進室設置 ① 内閣官房情報セキュリティセンター設置 ② 情報セキュリティ政策会議設置 ③ GSOC 運用開始 3 基本戦略２０１３政府

4 情報セキュリティ対策推進会議について情報セキュリティ政策会議情報セキュリティ対策推進会議 (CISO 等連絡会議 ) 審議検討助言情報セキュリティ対策推進会議を改組 ( 目的及び構成員 ) 平成 22 年 7 月 22 日情報セキュリティ政策会議決定最高情報セキュリティアドバイザー等連絡会議目的関係行政機関の最高情報セキュリティ責任者 (CI SO) 等相互の緊密な連携の下政府機関における情報セキュリティ対策の推進を図る構成員議長内閣官房副長官 ( 事務 ) 副議長内閣危機管理監構成員各府省庁の CISO( 官房長クラス ) 等主な検討事項等統一技術基準の改定各府省庁の情報セキュリティ報告書の報告等対策実施状況報告重点検査等の報告及び評価政府機関における暗号移行指針の策定及びその実施最高情報セキュリティアドバイザー等連絡会議の設置運営その他政府機関の情報セキュリティ政策に係る事項幹事会平成 22 年 12 月 27 日情報セキュリティ対策推進会議で設置目的情報セキュリティ対策推進会議に対して専門的な見地から審議検討助言等を行うとともに各府省庁における知識経験の共有を図る構成員各府省庁の最高情報セキュリティアドバイザー及び情報セキュリティ対策推進会議に参加する有識者主な検討事項等各府省庁が作成した情報セキュリティ報告書についての技術的な評価助言政府機関における暗号移行指針に係る技術的な審議検討助言その他政府機関の情報セキュリティ政策に係る事項の技術的な審議検討助言 4

政府機関統一基準の策定見直し政府機関における情報セキュリティ対策のための統一的な基準を策定し政府全体の情報セキュリティ水準の向上を図る各政府機関は本基準を踏まえて対策を実施し NISC が対策実施状況を検査評価その結果に基づき情報セキュリティ政策会議において基準の見直しを決定情報セキュリティ政策会議政府機関統一基準の策定各府省庁の評価結果に基づき基準を見直し統一規範等

5 政府機関統一基準の策定見直し政府機関における情報セキュリティ対策のための統一的な基準を策定し政府全体の情報セキュリティ水準の向上を図る各政府機関は本基準を踏まえて対策を実施し NISC が対策実施状況を検査評価その結果に基づき情報セキュリティ政策会議において基準の見直しを決定情報セキュリティ政策会議政府機関統一基準の策定各府省庁の評価結果に基づき基準を見直し統一規範等情報セキュリティ対策推進会議 (CISO 等連絡会議 ) 内閣官房情報セキュリティセンター (NISC) 統一技術基準政府機関統一基準各府省庁が最低限採るべき情報セキュリティ対策を定めたもの見直し改善勧告策定導入 PDCA 評価運用対策実施状況の検査評価 NISC が各府省庁の対策実施状況を検査評価しその結果を踏まえ情報セキュリティ政策会議等で基準の見直し等を決定する各府省庁政府機関統一基準に基づき省庁対策基準の見直し見直し策定導入 PDCA 評価運用 * 対策の平準化より高い水準への底上げ 1 政府機関統一基準による省庁対策基準の補完 ( 過去 ) ( 現在 ) 省庁対策基準省庁対策基準情報セキュリティ対策の不備 ( ここが足りない不十分である ) 甲省庁政府機関統一基準に準拠した見直し甲省庁 2 各府省庁の情報セキュリティ水準の向上 ( 過去 ) ( 現在 ) 情報セキュリティ水準情報セキュリティ水準 A 省庁 B 省庁 C 省庁 D 省庁 E 省庁 F 省庁 A 省庁 B 省庁 C 省庁 D 省庁 E 省庁 F 省庁 5 最低限求められる水準現在の最低水準政府機関統一基準に準拠した見直しより高い水準を確保水準の底上げ

6 政府機関統一基準群と省庁対策基準との関係など政府ポリシー情報セキュリティ政策会議決定統一規範全体を統一基準群府省庁省庁ポリシー統一基準運用指針 CISO 会議決定統一管理基準統一技術基準省庁基本方針省庁対策基準統一管理基準統一技術基準に準拠独自基準府省庁の特性 NISC が提供個別マニュアル群省庁実施手順体系内容決定機関 1 統一規範情報セキュリティ基本方針政策会議 2 統一基準運用指針情報セキュリティマネジメントの指針政策会議 3 統一管理基準情報セキュリティポリシー ( 基本編 ) 政策会議 4 統一技術基準情報セキュリティポリシー ( 技術編 ) CISO 等連絡会議府省庁は省庁ポリシー等に基づき情報セキュリティ対策を実施統一技術基準は各府省庁において技術的対策を柔軟に講じられるよう統一基準との決裁の分離しより機動的な運用を可能とする 6 スライド 6

7 政府機関統一基準群の全体構成統一規範 (1) 目的及び対象 (2) 政府機関の情報セキュリティ対策のための基本指針 (3) 政府機関の情報セキュリティ対策のための基本対策統一基準運用指針政府機関統一基準及び技術基準の運用の枠組み (1) 政府機関統一基準及び技術基準の策定と各府省庁における情報セキュリティポリシーの見直し (2) 対策実施手順書の整備の支援 (3) 対策実施状況の確認と評価に基づく PDCA サイクルの確立統一管理基準第 1.1 部総則第 1.2 部組織と体制の整備第 1.3 部情報についての対策第 1.4 部情報処理についての対策第 1.5 部情報システムについての基本的な対策統一技術基準第 2.1 部総則第 2.2 部セキュリティ要件の明確化に基づく対策第 2.3 部情報システムの構成要素についての対策第 2.4 部個別事項についての対策 7

8 NISC Web ページ国民を守る情報セキュリティ戦略第 2 次情報セキュリティ基本計画情報セキュリティ 20xx セキュアジャパン 20xx 20xx 年度の情報セキュリティ政策の評価等他統一規範策定と運用等に関する指針統一管理基準統一技術基準同各解説書同関連のファイル掲載 ( 旧版の統一基準新旧対照表 ) 個別マニュアル群他情報セキュリティ政策会議の会議資料が掲載されている ( 会議終了後ほぼ当日中 ) 8

9 組織体制イメージ図情報セキュリティ委員会最高情報セキュリティ責任者 ( 委員長 ) 最高情報セキュリティアドバイザー統括情報セキュリティ責任者 ( 委員長補佐 ) 情報セキュリティ責任者情報セキュリティ責任者情報セキュリティ監査責任者情報システム情報システム情報システムセキュリティ責任者情報システムセキュリティ責任者課室情報システムセキュリティ管理者情報システムセキュリティ管理者課室情報セキュリティ責任者 9

情報セキュリティ報告書の概要情報セキュリティ報告書の目的各府省庁の最高情報セキュリティ責任者が中心となり自ら問題意識を持って自組織の情報セキュリティ対策の取組状況を国民へ公表し各府省庁の参考となるベストプラクティスを共有するなどの取組を通じて能動的に情報セキュリティ対策の改善を図る仕組みを各府省庁において実現する年間計画類の策定情報セキュリティ対策の実施点検の実施 P D C

年度全府省庁において情報セキュリティ報告書を試行的に作成 ( 公表は任意 ) 平成 23 年度 ( 予定 ) 全府省庁において情報セキュリティ報告書を作成し公表 A NISC 平成 22 年度の情報セキュリティ報告書について実施状況 1. 4 月中に全ての府省庁において情報セキュリティ報告書案を作成 2.

10 情報セキュリティ報告書の概要情報セキュリティ報告書の目的各府省庁の最高情報セキュリティ責任者が中心となり自ら問題意識を持って自組織の情報セキュリティ対策の取組状況を国民へ公表し各府省庁の参考となるベストプラクティスを共有するなどの取組を通じて能動的に情報セキュリティ対策の改善を図る仕組みを各府省庁において実現する年間計画類の策定情報セキュリティ対策の実施点検の実施 P D C 情報セキュリティ報告書の作成公表 C 公表国民 NISC が推奨事例を選定政府全体の評価実施全府省庁への導入スケジュール省庁対策基準の見直し他府省庁の推奨事例の採用平成 21 年度情報セキュリティ報告書専門委員会において情報セキュリティ報告書作成のためのガイドラインを検討し決定総務省及び経済産業省において試行的に情報セキュリティ報告書 21 年度試行版を作成平成 22 年度全府省庁において情報セキュリティ報告書を試行的に作成 ( 公表は任意 ) 平成 23 年度 ( 予定 ) 全府省庁において情報セキュリティ報告書を作成し公表 A NISC 平成 22 年度の情報セキュリティ報告書について実施状況 1. 4 月中に全ての府省庁において情報セキュリティ報告書案を作成 2. 4 月 28 日に開催された最高情報セキュリティアドバイザー等連絡会議において各府省庁が作成した報告書案に対する助言及び推奨事例候補を推薦 3. アドバイザー会議による助言を踏まえ各府省庁において必要な見直しを行った上で平成 22 年度の報告書として決定 4. 報告書については 5 月 31 日に開催された CISO 等連絡会議において報告 5. 年次報告 ( 評価書 ) については 7 月 8 日に開催された情報セキュリティ政策会議において報告し公表 10

政府機関における情報セキュリティに係る年次報告 ( 平成 22 年度 ) の概要各府省庁情報セキュリティ報告書各府省庁の CISO が省内における年間の情報セキュリティ対策の取組状況等について取りまとめた報告書平成 22 年度は試行的に作成平成 23 年度より公表予定 CISO 等連絡会議に報告 ( 平成 23 年 5 月 31 日 )

巧妙化等情報の流出情報システムの障害事故等の発生ネットワーク環境の進化等に伴うリスクの増加東日本大震災に伴う情報システムに関連した事故等の発生各府省庁における対策の実施状況政府機関全体の実施率は 98.

11 政府機関における情報セキュリティに係る年次報告 ( 平成 22 年度 ) の概要各府省庁情報セキュリティ報告書各府省庁の CISO が省内における年間の情報セキュリティ対策の取組状況等について取りまとめた報告書平成 22 年度は試行的に作成平成 23 年度より公表予定 CISO 等連絡会議に報告 ( 平成 23 年 5 月 31 日 ) 政府機関における情報セキュリティに係る年次報告 ( 平成 22 年度 ) 年次報告の概要各府省庁の情報セキュリティ報告書を CISO 等連絡会議において評価した報告書年次報告については平成 22 年度より公表 CISO 等連絡会議にて決定 ( 平成 23 年 5 月 31 日 ) 国内外における情報セキュリティに関する動向サービス不能攻撃等サイバー攻撃の増加標的型メール攻撃の増加巧妙化等情報の流出情報システムの障害事故等の発生ネットワーク環境の進化等に伴うリスクの増加東日本大震災に伴う情報システムに関連した事故等の発生各府省庁における対策の実施状況政府機関全体の実施率は 98.9% 情報の取扱いに関する項目 (94%) など年々改善の努力がなされてきてはいるが更なる改善が望まれる政府機関の取組 CISO 等連絡会議最高情報セキュリティアドバイザー等連絡会議の設置及び開催情報セキュリティ報告書を試行的に作成政府機関統一基準群の整備公開ウェブサーバに対する脆弱性検査の実施政府機関から発信する電子メールに係るなりすましの防止政府職員に対する教育意識啓発の推進情報セキュリティに関する動向を踏まえた課題東日本大震災等を踏まえた情報システムの業務継続能力の強化標的型メール攻撃への対応新たな技術に対する情報セキュリティ対策の強化安全な暗号利用の促進情報流出防止への取組 11

12 情報システムセキュリティ責任者最高情報セキュリティ責任者自己点検票自己点検票自己点検票自己点検票自己点検票自己点検票自己点検票自己点検票自己点検票自己点検票自己点検票自己点検票情報セキュリティ責任者情報セキュリティ責任者情報セキュリティ責任者情報システムセキュリティ責任者自己点検票自己点検票自己点検票自己点検票自己点検票自己点検票監査報告書監査実施者監査実施者独立な立場から監査を実施情報セキュリティ監査責任者行政事務従事者行政事務従事者行政事務従事者行政事務従事者行政事務従事者行政事務従事者自己点検票自己点検票自己点検票自己点検票自己点検票自己点検票情報システムセキュリティ責任者課室情報セキュリティ責任者各府省庁は政府機関統一管理基準情報セキュリティ対策の監査を遵守し自らの PDCA サイクルを適切に運用することが求められる情報セキュリティ監査 ( 監査の概要 ) 12

13 情報セキュリティ監査 ( 監査の目的位置付け ) 必須推奨準拠性監査妥当性監査省庁対策基準が政府機関統一基準群に準拠しているか実施手順が省庁対策基準に準拠しているか情報セキュリティ対策の運用が情報セキュリティ関係規程に準拠しているか情報セキュリティ関係規程が実効性のあるものになっているか情報セキュリティ対策が妥当であるか有効に機能しているか全体を統一基準群政府ポリシー統一規範府省庁情報セキュリティ監査実効性のある規程対策運用枠組妥当省庁ポリシー統一管理基準統一基準運用指針統一技術基準準拠省庁基本方針省庁対策基準統一管理基準統一技術基準に準拠準拠独自基準府省庁の特性準拠実際の運用個別マニュアル群省庁実施手順 13 府省庁は省庁ポリシー等に基づき情報セキュリティ対策を実施

14 情報セキュリティ監査 ( 規程 ) 政府機関の情報セキュリティ対策のための統一規範 ( 監査 ) 第十条各府省庁は省庁基準が統一規範に準拠しかつ実際の運用が省庁基準に準拠していることを確認するため情報セキュリティ監査を行わなければならない ( 情報セキュリティ報告書 ) 第十一条各府省庁は自己点検及び監査の結果を反映した情報セキュリティ報告書を毎年度作成し公表しなければならない報告書の構成細目は別に定める 2 各府省庁は作成した情報セキュリティ報告書に基づいて省庁基準を見直し必要な措置を講じなければならない 14

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707 資料 3 政府機関における情報セキュリティ対策の現状について平成 20 年 9 月 4 日内閣官房情報セキュリティセンター (NISC) Copyright 2008 内閣官房情報セキュリティセンター (http://www.nisc.go.jp/) 政府機関の情報セキュリティ対策の枠組み政府機関全体としての情報セキュリティ水準の向上を図るため各省庁が守るべき最低限の対策基準として政府機関の情報セキュリティ対策のための統一基準