2023年度 第3回定例研究会

<政府機関等のサイバーセキュリティ対策のための統一基準群の改定について>

2023年11月14日開催

講演概要

令和5年7月4日に、政府機関等のサイバーセキュリティ対策のための統一基準群が改定されました。
統一基準群は、政府機関等が情報セキュリティ対策を実施するためのベースラインを規定したものであり、国の行政機関や独立行政法人等は、統一基準群を踏まえた情報セキュリティポリシーを策定または改定した上で、情報セキュリティ対策を適切に実施する必要があります。
本講演では、改定のポイントについて解説して頂きます。

講師


内閣官房 内閣サイバーセキュリティセンター
政府機関総合対策グループ 内閣参事官

横田 一磨 氏


内閣官房 内閣サイバーセキュリティセンター
政府機関総合対策グループ 参事官補佐

山出 和豊 氏

セミナーレポート

2023年度 第3回定例研究会は、横田 一磨氏、山出 和豊氏をお招きし、「政府機関等のサイバーセキュリティ対策のための統一基準群の改定について」をテーマに、ご講演を頂きました。

まずは、「NISCにおけるサイバーセキュリティに対する取り組み状況」について、横田様より解説頂きました。
最初に直近一年のサイバーインシデントの事例とセキュリティ政策動向についてご紹介頂きました。ランサムウェア被害については前年比で1.5倍に増加していること、中小企業のみならず大企業でも被害にあっている現状について解説頂きました。大阪の総合病院、中部地方の港湾、NISCが受けた電子メール関連システムの事故事例について取り上げられました。
次に、サイバーセキュリティ年次報告・年次計画の概要をご説明頂きました。サイバー空間をめぐる昨今の状況変化と情勢について、サプライチェーンの多様化、複雑化が進展している点を解説頂きました。また、生成AIについても取り上げられており、こちらについてはこれからガバナンスをはじめ、整備が必要になってくる分野であることを改めて認識しました。また政策課題として、“サイバー安全保障分野における対応能力を欧米主要国と同等以上に向上させる”という点が挙げられました。
 DXの推進に向けたリスク対策の強化についても解説を頂き、特にICTの利活用については大規模事業者だけではなく、地域・中小企業に拡大していくためにもセキュリティ対策の強化といったところは国家レベルとして最重要課題であると思われます。
 次に、「統一基準群 概要」「統一基準群改定のポイント」について、山出様より解説を頂きました。
「政府統一基準群の改定の概要」については、業務委託についてNIST SP800-171を参考に委託先に実施を求める対策が具体化されたという点がポイントと思われます。直近でも個人情報を預けている業務委託先の従業員がデータを受託している企業の保有する大量の顧客情報を持ち出したことが大きなニュースになりました。クラウドに構築されたシステムにおいても、開発委託先のセキュリティ知識の不足による脆弱な設定が原因となり、不正アクセスによるデータ流出などのインシデントが後を絶ちません。その意味においても、今回の改定で業務委託管理に重きが置かれた点は重要であったと思われます。
 クラウドサービスについては、要機密情報を扱う場合にISMAP/ISMAP-LIUサービスリストからクラウドサービスを選定する点、セキュリティ要件としてISMAP管理基準と同等の対策が求められる点を中心に解説頂きました。
 今回解説頂いた改定のポイントについては、改めて資料の内容を確認し、セキュリティ対策の検討やクラウド選定時の参考に取り入れていくことが必要だと思われます。
 
当日の参加人数は173名です。
Web会議形式ならではのチャットによる質疑応答が講演後から活発に行われ、すべての質問について丁寧にフォローいただきました。質疑応答の様子からも本テーマに関する受講者の皆様の高さがうかがえるセミナーとなりました。

講演資料

講演資料は下記からダウンロードできます。(JASA会員/CAIS・QISEIA資格者のみ。ログインが必要です)

ダウンロードページへ