政府統一基準の改定について

骨子

  1. クラウドサービスの利用拡大を見据えた記載の充実

    • 政府情報システムのためのセキュリティ評価制度(ISMAP)の管理基準も踏まえ、クラウドサービス利用者側として実施すべき対策や考え方に係る記載を追加
    • 外部サービスを安全に利用するために、業務内容や取り扱う情報の格付や取扱制限に応じた情報セキュリティ対策を自ら講じられることが重要
  2. 情報セキュリティ対策の動向を踏まえた記載の充実

    • 政府機関等を標的としたサイバー攻撃やインシデント事例、最新のセキュリティ対策、また今後取り組むべき情報セキュリティ対策の将来像について記載
    • 従来からの境界型防御を補完するものとして「常時アクセス判断・許可アーキテクチャ」にも着目
    • 情報システムの「常時システム診断・対処」を引き続き推進するなど、情報セキュリティ対策基盤を着実に進化させることが重要
  3. 多様な働き方を前提とした情報セキュリティ対策の整理

    • 新型コロナウイルス感染症対策として政府機関等においても急速に広まったテレワークや遠隔会議の経験も踏まえ、係る多様な働き方を前提とする場合に必要な情報セキュリティ対策について、参照すべき統一基準上の規定や解説を整理することで、政府機関等が実施すべき対策の水準を明確にする
    • 危機管理や働き方改革への対応として、通常とは異なる環境下においても必要な情報セキュリティ水準を確保した上で業務の円滑な継続を図ることが重要

改定のコンセプト

  1. クラウドサービスの利用拡大を見据えた記載の充実

    • クラウドサービスの利用者側として実施すべき対策や考え方に係る記載の追加
      • 国際標準である ISO/IEC 27017:2015 のクラウドサービスカスタマに向けた実施手引き等を参考に記載を追加
    • セキュリティ評価制度(仮称)を踏まえた記載の追加
    • 約款による外部サービスに係る考え方の再整理
      • シャドーIT(職員等による、所属組織の把握しない情報サービスの利用)の抑止
      • 汎用的な外部サービスの利用であることを踏まえたリスク評価
  2. 情報セキュリティ対策の動向を踏まえた記載の充実

    • 政府機関等に対する主要なサイバー攻撃への対策に係る記載の充実
      • EDRの導入及び同ソフトウェア等により検知される脅威の監視・分析に係る運用等、サイバー攻撃を受けることを前提としたエンドポイントセキュリティ対策についての解説の追加
    • 情報セキュリティインシデント事例を踏まえた記載の追加
      • 機器の廃棄やリース契約終了に伴う返却の際の留意点について解説の追加
      • SSD のデータ消去に係る解説や、暗号化消去(ディスク全体を暗号化し、その復号のための鍵を廃棄することによる論理的削除方法)に係る解説を追加
    • 情報セキュリティ対策に係る最新の考え方等の反映
      • 電子ファイルの受け渡し方法について、暗号化したファイルを電子メールに添付する場合は、直後にパスワードを電子メールで送付するのではなく、あらかじめ送付先との間でパスワードを電子メールとは別の方法で伝達することについて、より明示的な記載を追加
      • 常時アクセス判断・許可アーキテクチャに係る内容を追加
  3. 多様な働き方を前提とした情報セキュリティ対策の整理

    • 自宅もしくは自宅以外のワーキングスペース等でテレワークを行う際の情報セキュリティ対策について、参照すべき統一基準上の規定や解説
  4. その他所要の修正

    • 標準ガイドライン群との整合性の確保
    • 理解促進に資する解説等の追加・修正
    • 技術的な修正等
    • 個別マニュアル群の整理

なぜ改定されるのか

  • デジタル・ガバメント実行計画にて、行政機関におけるクラウドサービス利用の徹底の方針が示されるなど、今後クラウド・バイ・デフォルト原則に則った政府情報システムの整
    備が一層進展する
  • クラウドサービス提供者側とクラウドサービス利用者側それぞれの責任範囲における情報セキュリティ対策を、各々が実施することにより情報システム全体の情報セキュリティ水準が保たれることに留意が必要
  • クラウドサービス提供者側の情報セキュリティ対策を評価する制度の立ち上げ予定
  • 統一基準群においてクラウドサービス利用者側に求められる情報セキュリティ対策について記載を充実させる
  • 政府機関等においてもテレワークや遠隔会議の実施等が必要となる状況が発生している

参考リスト

Web

Paper