政府のこれまでの主な対策

「ハッカー対策等の基盤整備に係る行動計画」

平成12年1月21日
情報セキュリティ関係省庁局長等会議決定

T はじめに

 近時、産業や政府の活動の多くは、コンピュータシステムに依存するようになっており、更に加速的な情報化・ネットワーク化の進展が見込まれている。いわゆるハッカー*1によるコンピュータへの侵入やコンピュータ・ウィルス(以下、「ウィルス」)の問題をはじめ、情報セキュリティに関するさまざまな問題が発生する懸念が生じている。
 このような中、官民を通じ我が国全体において、情報化・ネットワーク化の進展に見合った、適切な情報セキュリティ水準を確保していく必要がある。

U これまでの取組

1.政府部内における取組

 各省庁においては、これまでも、自らのシステムをハッカーやコンピュータウィルス等の情報セキュリティ上の脅威から守るため、各種の対策を講じてきている(以下、本行動計画において、「政府部内における取組」とは、このような政府自らのシステムに係る対策を意味する)。
 主として、各省庁の情報システム部門を中心として、例えば、以下のような対策が講じられている。
 なお、平成11年、「行政情報システムの安全対策指針」(行政情報システム各省庁連絡会議幹事会了承)が策定されているところである。

@体制整備

·         システム管理者の設定その他

Aユーザ(内部職員)の管理等に関する対策

·         ユーザID管理(長期不在者のIDの停廃止等)

·         パスワード管理(ユーザにパスワードを設定させるとともに、容易に推測しうるパスワードを設定しないこと、パスワードを随時変更すること等につきユーザを指導)

·         重要データへのアクセス権限の限定

·         重要施設に係る入退室管理

Bシステムの構築・運用に関する対策

·         不正アクセスを防止する機能(ファイアウォール等)の導入

·         機器、ソフトウェアの導入時におけるウィルス検査の実施

·         ワクチンを用いた定期的なウィルス検査の実施

·         アクセス履歴の保管、定期的分析

Cその他

·         緊急時体制の整備(不正アクセス等の緊急事象発生時における組織内の連絡体制や復旧手順の確立等)

·         ユーザに対する教育・啓蒙

·         第三者によるシステム監査の実施

2.民間に対する普及啓蒙等

 関係省庁は、民間においても1.に掲げるような対策が進むよう、基準・指針等を策定し、民間に対する普及啓蒙を図っている。

(参考)関係省庁がこれまで公表している基準・指針等
 (分野別・業種別等各種のものが存在)

·         情報通信ネットワーク安全・信頼性基準(昭和62年・郵政省告示)

·         コンピュータウィルス対策基準(平成7年・通商産業省告示)

·         情報システム安全対策基準(平成7年・通商産業省告示)

·         コンピュータ不正アクセス対策基準(平成8年・通商産業省告示)

·         システム監査基準(平成8年・通商産業省公表)

·         情報処理サービス業情報システム安全対策実施事業所認定基準(平成9年・通商産業省告示)

·         情報システム安全対策指針(平成9年・国家公安委員会告示)

 また、普及啓蒙に止まらず、法的な基準を策定している例もある(電気通信事業法上の電気通信設備に関する技術基準、技術基準への適合に関する認証制度)。

3.技術開発の推進

 更に、官民のシステムの防護に資するべく、不正アクセス関連(不正アクセスの自動検知や発信源追跡等の技術を含む)、ウィルス関連、暗号関連等、情報セキュリティに関する各種技術の開発を関係省庁において推進している。

4.法制度の整備と捜査体制の充実

 以上のような防御面での対策を進める一方で、不正アクセス行為等を処罰するための法制度の整備、捜査体制の充実を進めている。

(1)法制度(罰則)の整備
@コンピュータ犯罪に係る刑法改正
 昭和62年の刑法改正において、電子計算機使用詐欺、電子計算機損壊等業務妨害、電磁的記録不正作出及び供用を処罰する規定を設けた。
A不正アクセス禁止法の制定
 平成11年8月6日、通常国会において「不正アクセス行為の禁止等に関する法律」が成立し、同8月13日に公布された(施行は、一部条文を除き、平成12年2月13日)。
 同法においては、特定電子計算機(電気通信回線に接続している電子計算機)のうち、アクセス制御機能によりその利用を制限されているものに、電気通信回線を通じて、他人の識別符号等を入力して作動させ、その制限されている利用をし得る状態にさせる行為(「不正アクセス行為」)の禁止等を定めている。

(2)捜査体制の充実
 警察庁にハイテク犯罪に対応するためのナショナルセンターを設置し、都道府県警察の体制を強化する等、「サイバーポリス」とも呼ぶべき体制の整備を図っている。

5.国際的連携

 OECD(セキュリティ・プライバシー作業部会*2等)、G8国際組織犯罪対策上級専門家会合(リヨングループ)を始めとする国際フォーラムに参加しているほか、各省庁において国際的な連携を図っている。

V 取組強化に関する基本的考え方

1.政府部内における取組

 政府は、平成15年度までに電子政府の基盤を構築することとしている(「経済新生対策」平成11年11月11日経済対策閣僚会議)ところ、この電子政府が、国民及び海外の信頼を得るだけの情報セキュリティ水準を確保するよう図ることは重要な課題である。
 また、これまでの政府部内の取組は、主として、各省庁の情報システム部門における取組に止まっていたところ、政府内での連携を強め、情報セキュリティ関連の技術開発や、現在検討中のセキュリティ評価といった政策を、より有機的に政府部内の対策に組み込んでいくことにより、一層のセキュリティ水準向上が期待できる。

 このため、本行動計画では、平成15年度を当面の目標年限とし、また、政府部内の情報セキュリティ対策を、情報システム部門のレベルに止まらず、政府全体として取り組むべき課題と位置づけて、施策の推進を図る。

2.民間等における取組

 民間、地方公共団体といった国以外の者(以下、「民間等」)における情報セキュリティ対策については、本来的に、各者の自己責任において実施されるべきものであるが、政府としても、これまで、広く我が国経済社会全体の利益を図る観点から、各主体が自主的に取組を進めるための環境整備(各種基準・指針等の普及をはじめとする情報提供)を行ってきている。

本行動計画においては、以下の2つの観点から、取組の強化を図る。
 @1.のような政府部内における取組強化について、民間等にモデルとして提示するため、積極的に情報の公開を行う。
 A経済社会の根幹をなす民間重要インフラや地方公共団体といった特定分野については、万一問題の発生した場合、国民生活に重大な影響が及ぶ危険性(いわゆるサイバーテロの危険性)が考えられることから、「自主的な取組の環境整備」から一歩踏み出し、特に取組の推進を図る。

3.国際的連携

 上記のような政府全体としての取組を推進するにあたり、各省庁が行っている既存の連携を一層強化するとともに、関係省庁で協力して、諸外国との必要な協力体制の構築を図る。

4.その他

(1)法制度の整備について
 コンピュータにより処理・保存される情報(以下「コンピュータ情報」)の不正入手・漏示については、現行法制上、各種罰則の適用により相当程度までは処罰の対象となり*3、また、当然ながら、他者に経済的な損失を与えた場合には民事上の損害賠償等の対象とはなり得るものの、不正入手・漏示自体を一般的に処罰の対象とする規定は設けられていない。
 一方、コンピュータ情報の保護に係る罰則について、諸外国の立法例は、各国ごとに相当の差異があり、必ずしもコンピュータ情報の不正入手等を一般的に処罰の対象としているものではない。

·         ドイツ:保護されている電子情報の不正入手一般を処罰の対象としている。

·         アメリカ:無権限でコンピュータにアクセスし、国家の国防又は外交上の秘密情報、一定の金融機関の金融情報等を入手することを処罰の対象としている。

·         フランス:情報の不正入手等を一般的に処罰の対象とする規定はない。


 この問題については、昭和62年の刑法改正の際にも、処罰の対象とする規定を設ける必要がないか検討されたが、多様な情報の取扱いや、コンピュータ以外で用いられる情報の取扱いとの均衡等について更に検討を重ねることが必要とされたところ*4であり、以上を踏まえつつ、引き続き検討を行う。

(2)サイバーテロ対策について
 サイバーテロ対策については、本行動計画に基づき基盤的な政策を推進しつつ、更に検討を行い、平成12年12月を目途に、「サイバーテロ対策に係る特別行動計画」としてとりまとめることを予定している。

W 取組強化のための具体的措置

1.政府部内における取組の強化

(1)セキュリティに関する信頼性の高い政府システムの構築

【概要】
 各省庁におけるシステムの構築について、セキュリティ評価や技術開発といったプロセスを有機的に組み込み、よりセキュリティ水準の高い政府システムの構築を図る。

【具体的措置】
@セキュリティ水準の高い製品や技術等の利用

·         各省庁は、新たなコンピュータシステムを構築する際、それぞれのシステムに応じた十分なセキュリティ水準の製品や技術等を利用するよう留意する。

·         通商産業省は、情報機器等の政府調達におけるセキュリティ関連国際規格(ISO/IEC15408)*5の活用等の方針について、関係省庁と連携し、平成13年5月までを目途に検討を行う。検討の結果については、行政情報システム各省庁連絡会議(総務庁を事務局とする各省庁会議)の場で提示し、同連絡会議において「各省庁の調達におけるセキュリティ水準の高い製品等の利用方針」の合意を目指す。

Aセキュリティ水準の高い製品や技術等の開発

·         通商産業省、郵政省等関係省庁は、経済新生対策における決定事項(「平成15年度までに電子政府を実現させるために不可欠な技術開発を行う」)を踏まえ、情報セキュリティ関連分野においても、必要な製品、技術(特に、ハッキングの監視・検知、追跡等の技術を含む)等の開発を推進する。

·         警察庁、防衛庁をはじめ、特にセキュリティ水準の高いシステムを構築する必要のある省庁は、自らのシステムの必要に応じて、セキュリティ水準の高い製品、技術等の開発を引き続き推進する。

·         以上を含め、上記の省庁が推進する情報セキュリティ関連の技術開発の成果については、その他各省庁も、必要に応じて活用する。

·         上記における技術開発は、国際規格も念頭に置きつつ推進する。

(2)監視・緊急対処体制の整備・強化

【概要】
 不正アクセスやウィルス発生等の緊急事象について、監視を行うとともに、事象発生時に緊急情報連絡、侵害の検知、システム閉鎖等の対処を迅速に行う体制(以下、「監視・緊急対処体制」)の整備・強化を図る。*6

【具体的措置】

·         警察庁は、ハイテク犯罪、不正アクセス手法に関する分析等を活用するなどして、既存の監視・緊急対処体制の強化・拡充を行う。また、防衛庁は、保有するシステムについて、情報セキュリティを確保しつつ運用を行うためのシステム運用ガイドラインを平成15年度までに策定するほか、各種の脅威動向等のノウハウを蓄積し、これらノウハウを踏まえて、当該システムの監視・緊急対処体制の整備に取り組む。

·         各省庁は、それぞれ、または共同して、以上の取組及び平成11年から12年の越年時における経験を適宜参考にしつつ、監視・緊急対処体制の整備の方策について検討する。検討に当たって必要があれば、本局長等会議(幹事会を含む)等の場を適宜活用する。

 なお、平成11年から12年の越年時においては、コンピュータ西暦2000年問題に係る情報連絡体制の一環として、不正アクセスやウィルス発生等の緊急事象について、官邸を中心とし、外部専門家も活用しつつ、各省庁・民間の情報を集約する等の体制をとったところである。

(3)総合的・体系的な情報セキュリティ対策の検討

【概要】
 各省庁の情報システム部門における技術的対策に止まらず、より総合的・体系的な情報セキュリティ対策の推進を確保するため、具体的方策について引き続き検討を行う。*7

【具体的措置】

·         本局長等会議(幹事会を含む)において、関係省庁からの協力を得て、総合的・体系的な情報セキュリティ対策推進を確保するための具体的方策について、引き続き検討し、平成12年12月までを目途に、各省庁向けの「情報セキュリティポリシーに関するガイドライン」(仮称、参考参照)を策定する。

·         関係省庁は、上記ガイドラインを国際的にも信頼されうるものとするため、海外における取組動向等を十分に調査し、上記の本局長等会議における検討に貢献する。

·         各省庁は、上記ガイドラインを踏まえ、平成14年度中を目途に、情報セキュリティポリシーを策定し、これに基づく総合的・体系的な対策推進を図る。

(参考)ガイドラインの内容として想定される事項(例)

·         総合的・体系的な情報セキュリティ対策推進に向けての基本的考え方(情報セキュリティポリシー策定の意義その他)。

·         各省庁において策定すべき情報セキュリティポリシーの体系・項目(組織・責任体制、適用範囲、リスク分析の手法、対策決定・監査・緊急対処等の各段階における具体的手続ルール等)。

·         情報セキュリティポリシーの策定体制(策定チームの設置及びメンバー、省庁内での策定手順等)

·         情報セキュリティポリシーの例

(4)その他

【具体的措置】

·         各省庁は、上記に掲げる対策を含め、情報セキュリティ対策を推進する基盤として、政府部内の人材につき研修等を通じて能力向上を図るとともに、秘密保全上問題がない範囲で、民間の技術専門家をはじめ外部人材の積極的活用を推進する。

·         各省庁内部の情報セキュリティ対策については、継続的に評価・検証を行う体制整備を検討する必要があると考えられるところ、本局長等会議において引き続き検討し、平成12年12月までに結論を得ることを目指す。*8(なお、当面の本行動計画のフォローアップについては4.参照。)

2.民間等における取組の推進

(1)国以外の者一般への情報提供

【具体的措置】

·         各省庁はそれぞれ、1.に掲げる自らの取組推進における経験や所管分野における施策等を踏まえ、所管分野の民間企業等が情報セキュリティ対策を実施するに際して参考となる事項を随時とりまとめ、公開する。

(2)民間重要インフラ等に係る取組の推進

【具体的措置】

·         各省庁において、金融、エネルギー、情報通信、交通、医療等経済社会インフラとして重要な民間分野、地方公共団体(警察、消防を含む)その他、情報通信ネットワークを通じた事件が発生した場合に国民生活に重大な影響を与える可能性(いわゆるサイバーテロの対象となる可能性)が考えられる分野から、平成12年4月までに、「重要分野」を選定し、本局長等会議に報告する。これを受けて、本局長等会議の下で、「重要分野」の関係者と政府関係者が参加し、官民で必要な情報交換等を行うための会議を開催する。各省庁は、このために、必要に応じて、ネットワーク化の進展状況等に関する調査・検討を実施する。

·         本局長等会議(幹事会を含む)において、上記の情報交換等の状況も踏まえつつ、今後講ずべき対策について検討し、その結果を平成12年12月を目途に、「サイバーテロ対策に係る特別行動計画」としてとりまとめる。

·         関係省庁は、それぞれの所管分野において、情報セキュリティ関連の各種施策(各種基準の見直し等を含む)に係る検討を引き続き推進・強化し、適切な場合には、その成果を本局長等会議(幹事会を含む)に報告して、「サイバーテロ対策に係る特別行動計画」の検討に貢献する。

3.国際的連携の強化

【概要】

·         上記1、2に掲げると同様の対策推進を担う外国政府機関との連携・協力等を図る。

【具体的措置】

·         外務省は、関係省庁と連携して、米国等この分野における体制整備が進んでいる国の関係部局からの情報収集を行い、あわせて、双方の対策推進状況について情報交換を行い、必要な協力体制の構築(例えば、緊急事象発生時における政府間の緊急連絡体制の確立、多数国間のフォーラムにおける連携等)を図る。

4.行動計画のフォローアップ

·         上記に掲げる諸施策の実施状況については、平成12年12月を目途に、本局長等会議においてフォローアップを行う。


*1 「ハッカー」は、さまざまな意味で用いられるが、本行動計画では、コンピュータに不正なアクセスを行う者を指す。

*2 OECDのセキュリティ・プライバシー作業部会とは、情報・コンピュータ・通信政策委員会(ICCP)の下の作業部会。正式名称は、「情報セキュリティとプライバシーに関する作業部会(WPISP)」。

*3 例えば、不正アクセス行為を行った上で情報を不正入手した場合には、「不正アクセス行為の禁止等に関する法律」に基づく処罰の対象となる。
このような、コンピュータ情報の保護に関連する罰則として、同法のほか、以下のようなものがある。

·         刑法上の罰則(電子計算機及び電磁的記録に関する罪のほか、秘密を侵す罪、名誉に対する罪等。 また、窃盗罪、背任罪等の財産罪が成立する場合もある)

·         無体財産権の侵害に対する罰則(著作権法、特許法等)

·         通信の秘密の侵害に対する罰則(有線電気通信法、電気通信事業法等)

·         公務員の秘密を保持すべき義務違反に対する罰則(国家公務員法、地方公務員法等)

*4 コンピュータ情報の不正入手・漏示を一般的に処罰する規定を設けることには、以下のような問題点がある。

·         コンピュータ情報には多種多様なものがあり、秘密としての要保護性や重要性においても軽重があ る上、秘密情報、プライバシーに関わる情報、財産的価値のある情報等様々なものがあり、それぞれ の特質に応じた取扱いを検討する必要がある。

·         コンピュータによって処理・保護されていない情報にも要保護性や重要性において高いものがあり、 これらに対する保護との間で均衡を失する。

·         関連する諸規定との関係をどのように考えるかについて、慎重な検討が必要である。

*5 米国をはじめ一部欧米諸国では、10年程度前から、軍事上の調達基準を出発点として、セキュリティ評価・認証制度(情報機器等のセキュリティ水準を評価・認証するための制度)を整備・運用しており、認証結果の国際相互承認の動きも進展しているところ。ISO/IEC15408は、こうした流れを前提として、セキュリティ評価基準に係る国際規格として合意されたもの。

*6 なお、米国政府では、政府内の各行政機関や産業界が連携して、緊急事象に係る警報発出、侵害の検知等を行うための体制を整えつつあり、また、軍においては、常時、監視・緊急対処を行うための体制が既に整備されている(国防情報システム局等)。

*7 情報セキュリティ対策については、「システム構築」、「監視・緊急対処」といった個々の局面での断片的な対策実施に止まらず、

·         対策検討の前提としてリスク分析をどのように行い、どのように対策の優先順位を決定するか

·         対策を決定・実施した後、これをどのように監査し、その後の対策改善に活かしていくか

等を含め、セキュリティ対策のプロセスを踏まえた、総合的・体系的な方法論を確立することが重要である。
ISO/IECにおいても、ISO/IEC15408とは別途、情報セキュリティの全体的なマネジメントのガイドライン作りを含む議論が行われているところ。

*8 なお、米国政府では、各政府機関における対策推進のレビュー等を行うため、省庁横断的な「専門家レビューチーム」を設置

情報セキュリティポリシーに関するガイドライン

 

平成12年7月18日

情報セキュリティ対策推進会議決定

II.基本的な考え方

1.意義

(1) 情報セキュリティポリシーの必要性
 行政活動において、これまで情報システムを利用した業務は、中央集中型のホストコンピュータに一部の人間がアクセスし、情報処理業務を行うことが一般的であり、また、外部との情報交換、報道発表等は紙面や口頭で行うことが一般的であった。しかし、現在職場におけるパソコンが急激に普及し、個人がパソコンを利用して情報処理業務を行い、また個々の端末から全世界的なネットワークと接続できる環境となってきている。これにより、行政活動、行政サービスの効率化が図られること、また、一般国民の間にもパソコンが普及していることから、行政の情報システムへの内外からのアクセスが極めて容易になった。さらに、今後の電子政府の実現により、このアクセスの容易性はますます高まることとなる。
 かつて多くのパソコンを使用していなかった頃には、情報システム及び当該システムに記録された情報へのアクセス制御を行うことで、基本的に情報セキュリティ対策を一元的に行うことが可能であった。しかしながら、汎用の基本ソフトウエア及び分散管理の普及、並びにITの進展及び電子政府に向けた取組みにより、情報を取り巻く環境が大きく変化していき、また、国民からの情報システムへのアクセスが増加すること等による脆弱性が増加していく結果、これまでの文書管理体制及び情報システムの物理的・技術的な安全対策だけでは、高度にネットワーク化した情報システムに対し、十分な情報セキュリティが確保できない状況になってきている。こうした、ネットワーク化、さらには携帯端末の普及等は、情報システム全体としては不安定なものとなる負の側面があるが、これを適切に管理することによって、情報セキュリティを確保することができれば、むしろ、負となるよりも大きな利便性を提供するものであることを認識するべきである。また、互いの信頼を前提とする民間や外国との情報交換を円滑に行うためにも、政府における情報セキュリティが十分に確保されていなければならない。
 これらの情報セキュリティの確保のためには、これらの情報システムの利用者の情報セキュリティに対する意識向上はもちろんのこと、これらの情報に関して利用者個人の裁量で、その扱いが判断されることのないよう、組織として意思統一され、明文化された文書である情報セキュリティポリシーを策定することが必要である。

(2) 情報セキュリティ対策の特性
 ITの発展速度は極めて速いため、ある時に講じた最高の情報セキュリティ対策が、将来にわたっても最高のものとして永続することはない。その時々のハードウエア、ソフトウエアの導入は導入時には適切な情報セキュリティ対策であり得るが、継続性は保証されていない。情報セキュリティ対策は、本ガイドラインを基に情報セキュリティポリシーを策定することによって完結する一過性の取組みではなく、情報セキュリティポリシーの策定及びそれに続く日々の継続的な取組みによって確保される性質のものであることを十分に認識するべきである。
 また、情報セキュリティポリシーの中には、継続的な情報収集及びセキュリティ確保の体制を構築しておくこと、また「いかに破られないか」のみならず「破られたときどうするか」についての対策も適切に規定し、当該規定に基づいた対策を十分に構築しておくことが重要である。
 さらには、情報セキュリティポリシー及び情報セキュリティポリシーに関連する実施手順等の規定類を定期的に見直すことによって、各省庁の所有する情報資産に対して、新たな脅威が発生していないか、環境の変化はないかを確認し、継続的に対策を講じていくことが必要である。特に、情報セキュリティの分野では、技術の進歩やハッカーの手口の巧妙化に鑑み、早いサイクルで見直しを行っていくことが重要である。

図1.情報セキュリティポリシーの実施サイクル

2.政府の情報セキュリティの基本的な考え方

 現在、インターネットの急速な普及、電子商取引の実用化の動き等に見られる社会経済の情報化の進展に伴い、申請・届出等手続に係る国民負担軽減に対する要請が顕在化するとともに、行政と国民との間のコミュニケーションの活性化への期待が高まるなど、行政の情報化を取り巻く環境も急速に変化している。「高度情報通信社会推進に向けた基本方針」(平成10119日高度情報通信社会推進本部決定)においては、このような環境変化に的確に対応していくため、セキュリティの確保等に留意しつつ、「紙」による情報の管理から情報通信ネットワークを駆使した電子的な情報の管理へ移行し、21世紀初頭に高度に情報化された行政、すなわち「電子政府」の実現を目指すこととしている。
 一方、ネットワークに接続されている政府の情報システムは、常に、盗聴、侵入、破壊、改ざん等の脅威にさらされていることを認識し、政府としては、国民に対して、ネットワークを通じて正確な情報及び安定的な行政サービスを提供することを確保するとともに、個人のプライバシーに関する情報等の情報公開法で不開示とされる情報の機密の保持を確保しなければならない。
 このような認識の下、次のような基本的な考え方に従い、政府全体としてセキュリティの水準を向上させていく必要がある。

(1) 各省庁(*3)は、このガイドラインを踏まえ、情報セキュリティポリシーを策定し、これに基づく総合的・体系的な対策の推進を図る。その際、各省庁は、平成15年度までに電子政府の基盤としてふさわしいセキュリティ水準を達成することを目標として、計画的に必要な措置を順次講ずる。
 なお、このガイドラインが対象とする情報セキュリティを実現するためには、その前提として、文書等の情報の管理も適切に行われる必要がある。各省庁は、このような面での対策も必要に応じ考慮し、全体として高いセキュリティ水準を実現する。

(2) また、各省庁は、このガイドラインを踏まえ、その地方支分部局、所管の特殊法人等の情報セキュリティ水準の向上に努める。

(3) 内閣官房は、不正アクセスやコンピュータウイルス等が生じた場合における政府の緊急対処及び情報セキュリティ関連の人材育成や研究開発等の各省庁共通の課題について、政府内での協力・連携等の体制を確立・強化し、政府全体としてセキュリティ水準の向上を図る。

(4) 各省庁は、不正アクセス行為の禁止等に関する法律に定めるアクセス管理者による防御措置を実施すること等により、他の情報システムに対する攻撃に政府の情報システムが悪用されることを防止する。

(5) 我が国の情報通信基盤におけるセキュリティ水準の向上のため、民間との相互の情報交換を緊密にする等、官民の協力・連携を図る。

(6) 各省庁は、情報セキュリティポリシーを定期的に評価し、必要があれば更新することとし、少なくとも策定後1年を目途に更新の必要性の有無を検討する。
 また、内閣官房は、このガイドラインについて、各省庁における情報セキュリティポリシーの実施状況、将来の技術、脅威の状況等を踏まえ、継続的に評価・見直しを行う。

3.定義

 本ガイドラインで使用する用語の定義は、次のとおりである。

○情報セキュリティ
 情報資産の機密性、完全性及び可用性を維持すること。

○情報資産
 情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)の総称。

○情報システム
 同一組織内において、ハードウエア、ソフトウエア、ネットワーク、記録媒体で構成されるものであって、これら全体で業務処理を行うもの。

○情報セキュリティポリシー(以下「ポリシー」という。)
 各省庁が所有する情報資産の情報セキュリティ対策について、各省庁が総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を含めた規定。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。

○情報セキュリティポリシーに関するガイドライン(以下「ガイドライン」という。)
 政府全体の情報セキュリティについての基本方針及び各省庁におけるポリシー策定のために参考とする手引であるとともに、各省庁が最低限行うべき対策を示すもの。

○情報セキュリティ基本方針(以下「基本方針」という。)
 各省庁における、情報セキュリティ対策に対する根本的な考え方を表すもので、各省庁が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、各省庁の情報セキュリティに対する取組姿勢を示すもの。

○情報セキュリティ対策基準(以下「対策基準」という。)
 「基本方針」に定められた情報セキュリティを確保するために遵守すべき行為及び判断等の基準、つまり「基本方針」を実現するために何をやらなければいけないかを示すもの。

○情報セキュリティ実施手順等(以下「実施手順」という。)
 ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システム又は業務において、どのような手順に従って実行していくのかを示すもの。

4.対象範囲

 すべての情報は、その重要度に応じて適切に分類された上で、その分類毎の適切な対策を講じていく必要がある。その中で情報システムに関係する部分については、従来の「紙」を基本とした文書の管理とは異なり、ハッカーによる攻撃など各省庁の情報資産に対する新たな脅威に対して、これまで以上に適切な管理を講じていく必要があるとの認識の下、各省庁において求められる文書管理を情報システムにおいても実現するために、ポリシーを策定するものである。
 したがって、各省庁が策定するポリシーの対象範囲は、ハードウエア、ソフトウエア、記録媒体等の情報システム等(システム構成図等の文書を含む。)及びすべての情報のうち、情報システムに電磁的に記録される情報、並びにこれらの情報に接するすべての者とする。このため、以下本ガイドラインにおいて、「情報資産」の情報は、電磁的に記録されたものに限られる。
 原則として、ポリシーは統一されたものを一つ定め、実施手順はそれぞれ部局ごとに定めることになるが、当該部局の業務形態上ポリシーを分ける必要がある場合は、この限りではない。
 なお、情報システムの活用により、電磁的記録から印刷される文書の量が増大し、容易に同一の文書を印刷することが可能となったことに鑑み、ポリシーの策定段階において、これまでの文書管理の方法に問題が発見された場合には、その在り方についても考慮されるべきである。
(例)

対象

情報システム等

コンピュータ、基本ソフトウエア、応用ソフトウエア、ネットワーク、通信機器、記録媒体、システム構成図等

情報システムに記録される情報

アクセス記録、文書及び図面等の電磁的記録

これらの情報に接するすべての者

常勤、非常勤及び臨時を含む職員、委託事業者等

5.ポリシーの公開

 基本的に各省庁の判断によるところとなるが、情報公開法施行後は、この法律の趣旨を踏まえ公開か非公開かが判断されることとなる。一般的には、すべてを公開することは情報セキュリティ上の問題が起こり得ることから、公開する範囲については慎重に検討する必要がある。
 ただし、各省庁の取組みとして、一定の対策を行っていることを公開することは、各省庁の情報セキュリティに対する姿勢を示す意味でも重要であることから、可能な範囲で公開することが望ましい。

6.ポリシーに関する留意点

(1) 組織としてどのような基本方針の下に情報セキュリティを確保していくのかを明確にすること。
 情報システムがさらされている脅威(例えば、盗聴、侵入、改ざん、破壊、窃盗、漏洩、DoS攻撃等)から保護する情報資産を明らかにするとともに、情報資産ごとに機密性、利用環境等を考慮したリスクの度合いによる分類を行う。これによって得られる情報資産と各々のリスクの度合いが、情報セキュリティ対策を考える基礎となる。
 また、情報セキュリティ対策を講じるための体制を確立し、業務を担当する者、情報システムを管理する者及び情報システムを利用する者等、同じ情報システムにおいても複数の者が関わることを十分認識した上で、権限と責任の範囲を明確化することにより、組織として情報セキュリティ対策が適切に進められるようにする必要がある。

(2) ポリシーの継続的な運用及び見直しについて、次の事項に留意すること。
 ○ポリシーは、適切に導入・運用されて初めて意味のあるものであり、適切に導入・運用されないポリシーは策定されていないのと同じであること。
 ○ポリシーは、平成15年度にその基盤が構築される電子政府の実現のための情報セキュリティの十分な確保を当面の目標として策定していくものであるが、当初から極めて高度なポリシーを策定することは、現実的に運用が極めて困難となる可能性があることから、実態に即したポリシーを計画的に策定・運用し、その実施状況を踏まえて見直し、平成15年度までに目標を達成すること。

III.ポリシーのガイドライン

1.ポリシーの位置づけと基本構成

 ポリシーの体系は図2に示す階層構造となっている。最上位には、政府全体としての情報セキュリティ対策における根本的な考え方である「政府の情報セキュリティの基本的な考え方」がある。これに従い、順に「(各省庁)基本方針」、「(各省庁)対策基準」及び「(各省庁)実施手順」がある。ガイドラインにおいて「情報セキュリティポリシー(ポリシー)」とは、定義にもあるとおり「(各省庁)基本方針」及び「(各省庁)対策基準」を示し、「実施手順」は含まれない。「実施手順」には、これまでの文書や情報システムに関する利用規程等既に定められているもの(その規定についても、内容によっては対策基準に該当する項目もある。)から、今回のポリシーの策定によって新たに必要となる手順(例えば、緊急時の体制や、監視体制の運用方法等)が含まれる。ポリシーを上位である基本方針から策定するに当たり、現存の規定類は、必要に応じて見直す必要がある。

図2ポリシーの位置づけ

2.策定手続

 ここでは、ポリシー策定の手引きとして、ポリシーを策定する手続及びポリシーに定めるべき事項について示す。

(1) 策定手続の概要
 ポリシーは、図3に示すとおり、策定のための@組織・体制を確立し、その組織・体制の下でA基本方針の策定、Bリスク分析及びC対策基準の策定を行い、D各省庁内において正式に定めるものとする。
 また、各省庁においては、それぞれのポリシーに従い、対策基準に定められた事項を実施する手順を定めたE実施手順を策定することとなる。

図3ポリシー策定手続きの概要

(2) 策定のための組織・体制
 ポリシー策定には、組織の幹部の関与を明確にするとともに、その責任の所在を明確にするため、関係部局の長、情報システムの管理者及び情報セキュリティに関する専門的知識を有する者などで構成する組織(本ガイドラインでは、以下「情報セキュリティ委員会」とする。)を設ける必要がある。このため、ポリシーには、情報セキュリティ委員会の目的、権限、名称、業務、構成員等を定める。ポリシーでは組織内の様々な情報に係る問題を取り扱うことから、すべての部局等の関係者がこれにかかわることが考えられるが、中心的な構成員としては、次のような関係者を含むことが考えられる。
 ・情報システム関係(LAN管理担当課等)
 ・技術関係(内外の技術的知識を有する専門家等)
 ・監査関係(政策評価、内部監査等を行う課又は官房総務課等)
 ・文書関係課
 ・人事関係課
 ・会計関係課
 ・広報関係課
 ・庁舎管理担当課
 また、ポリシーの策定について、各部署の情報セキュリティ担当者となり得る者を体制に組み込むほか、必要に応じて職員からの意見を聴取し、疑問点に対し的確に説明できるようにする等、策定段階からポリシーが職員に理解されるような環境を醸成することが重要である。
 なお、情報セキュリティ委員会による承認を受けて、ポリシー策定作業の一部を下部の組織(策定作業班)に行わせることができる。やむを得ない場合、この策定作業班に外部の者を含めることができる。策定作業班に業務を行わせる場合、正式な辞令の発令等を伴う幹部からの承認を受けた組織を編成し、省庁内全職員には、幹部の命令に基づく任務であることを認識させることが重要である。
(例)

 情報セキュリティ委員会
次の組織の代表者からなる委員会を設置する。

  • 委員長 官房長
  • 情報システム課
  • 官房総務課
  • 官房文書課
  • 秘書課
  • 会計課
  • 広報課

 委員会の庶務は、情報システム課が行う。
 また、すべての局及び部の関係者として、各局総務課、Aシステムの担当課(A課)は、ポリシーの決定手続に加わることとする。
 策定作業班の職員は、ポリシーを策定していく上で、省庁内の様々な部局等と調整を行うとともに、理解を求めていかなければならない。

(3) 基本方針の策定
 各省庁の情報システムに求められる情報セキュリティの確保のため、それぞれの省庁が対策を講じることとする基本方針を定める。
 この基本方針には、情報セキュリティ対策の目的、対象範囲など、各省庁の情報セキュリティに対する基本的な考え方を示す。
 また、ポリシーを理解するために必要な用語について、その定義を定める。
 なお、基本方針は、情報セキュリティに関する基本的な方向性を決定づけるものであることから、頻繁に更新される性質のものではないことに留意する必要がある。

(4) リスク分析

@概要
 リスク分析とは、保護すべき情報資産を明らかにし、それらに対するリスクを評価することである。様々なリスク分析方法が考えられるが、ここでは具体的な方法の一つを示すこととする。
 具体的な手順は次のとおりである。
 (a) 各省庁の保有する情報資産を調査し、重要性の分類を行い、この結果に基づき、要求されるセキュリティの水準を定める。
 (b) 各省庁の情報資産を取り巻く脅威を調査し、その発生頻度及び発生した際の被害の大きさからリスクの大きさを求める。
 なお、一般的に両者の積をリスクの大きさとしている。
 (c) リスクの大きさがセキュリティ要求水準を下回るよう対策基準を策定し、適切なリスク管理を行う。
 なお、情報資産に変更があったとき、又は情報資産に対するリスクに変化が生じたときには、関係する情報資産についてリスク分析を再度行い、その結果ポリシーの見直しが必要となった場合にはその見直しを行う。また、定期的なポリシーの評価・見直しの際にも、リスク分析から再検討することが必要である。また、リスク分析の際に発見された情報資産の脆弱性で、早急に対応する必要のあるものについては、速やかに措置を講ずることが重要である。
 リスク分析を行った結果の資料は、ポリシー策定の基礎資料として保管する必要があるが、当該資料には情報資産の脆弱性の分析が記されているため、厳重な管理が必要である。

図4リスク分析のフロー

A情報資産の調査
 保護すべき情報資産を明らかにするにあたって、情報がどこにあり、誰が管理し、どのような状況で扱われているかについて調査する。
 具体的な調査項目としては、次のものがある。このほか、リスク分析の結果等を検討した資料を作成する。
(例)

情報資産調査票

情報資産

 

用途

 

管理者

 

利用者(アクセス権限)

 

保存(設置)場所

 

保存(設置)期間

 

重要性

TUVW
機密性[TUVW
完全性[TUVW
可用性[TUVW

B重要性による分類
 調査した情報資産に対し、機密性、完全性、可用性の3つの側面から重要性を検討し、情報資産を分類する。
 この分類は、情報資産をどのように扱い、保護するかを決めるための判断基準となり、これに基づき要求されるセキュリティ水準が定められる。

(重要性の3つの側面)
 (a) 機密性・・情報資産の機密に基づく重要性
 (b) 完全性・・情報資産の完全性・正確性に関する重要性
 (c) 可用性・・情報資産の利用可能性・継続性に関する重要性
(例)

重要性の分類

T

セキュリティ侵害が、国民の生命、財産、プライバシー等へ重大な影響を及ぼす。

U

セキュリティ侵害が、行政事務の執行等に重大な影響を及ぼす。

V

セキュリティ侵害が、行政事務の執行等に軽微な影響を及ぼす。

W

影響をほとんど及ぼさない。

(例)

重要性に基づくセキュリティ要求水準の設定(重要性の3つの側面を勘案して定める。)


重要性T  セキュリティ要求水準1
重要性U  セキュリティ要求水準2
重要性V  セキュリティ要求水準3
重要性W  セキュリティ要求水準4

Cリスク評価
 調査したすべての情報資産についてリスク評価を実施する。
 (a) 取り巻く物理的、技術的、人的環境における脅威について調べる。

(脅威の例)

物理的脅威・

侵入、破壊、故障、停電、災害等

技術的脅威・

不正アクセス、盗聴、コンピュータウイルス、改ざん・消去、DoS攻撃、なりすまし等

人的脅威 ・

誤操作、持ち出し、不正行為、パスワードの不適切管理等


 (b) 各情報資産が直面するそれぞれの脅威に対するリスクの大きさについて、(a)脅威の発生頻度及び(b)発生時の被害の大きさから評価する。
 なお、発生頻度及び被害の大きさを直接検討することに代えて、簡易的に発生頻度を情報資産の脆弱性に、被害の大きさを情報資産の重要性とする方法もある。
 各情報資産について、全ての脅威に対してリスクの大きさを調査する必要がある。
(例)

(段階的な評価水準設定)
(a)
脅威の発生頻度

A:

かなりの頻度で発生する。

(脆弱性がかなり大きい。)

B:

時々発生する。

(脆弱性が大きい。)

C:

偶発的に発生する。

(脆弱性が小さい。)

D:

ほとんど発生しない。

(脆弱性がほとんどない。)


(b)
発生時の被害の大きさ
 重要性のランク付けと近似させる方法(つまり、重要性が大きい場合、被害の大きさも大きくなるとの考え方)がある。厳密に求めるには、重要性の3つの側面を勘案して定めることが必要である。
 <被害の大きさ例>
a: 重要性Tと同じ
b: 重要性Uと同じ
c: 重要性Vと同じ
d: 重要性Wと同じ

図5リスク分析(例)

Dリスクに対する対策
 リスク評価により定められた、情報資産の脅威ごとのリスクの大きさと、要求されるセキュリティ水準とを比較することにより、情報セキュリティ対策の方針が定められる。
 対策基準の検討において、算定されたリスクの大きさを基準として、発生頻度及び被害の大きさを低減させ、セキュリティ要求水準を満足させる対策基準を定める。また、脅威の発生頻度又は被害の大きさを低減させる対策には、脅威を防止するものだけでなく、実際に被害が発生した場合に、如何に情報を守るか、如何に改ざんされないか、如何に継続して使用できるようにするか(あるいは障害が起きても如何に早急に復旧できるか)、といった観点を考慮に入れながら、対策を講じることが重要である。
 具体的には、情報資産の重要性を勘案して定められたセキュリティ要求水準を達成する対策を講じることとなるが、セキュリティ要求水準が高いほど、発生頻度及び被害の大きさ(リスクの大きさ)は小さくならなければならない。
 例えば、リスクの大きさをセキュリティ要求水準まで低減させる方法は、次の3つに分類できる。
 (a) 「アクセス権限の付与を必要最低限の者に限る」等被害の大きさを小さくすることによってリスクの大きさを低減させる方法。
 (b) 「コンソールからのみログインを許可する」等発生頻度を小さくすることによってリスクの大きさを低減させる方法。
 (c) 「情報システムの改ざんなどを検知する」等被害の大きさと発生頻度のいずれも小さくすることによってリスクの大きさを低減させる方法。
 具体的に定める対策は、情報資産及びその脅威の内容に応じて、利用者の利便性を考慮した効果的かつ効率的なものとする必要がある。
(例)対策基準の検討(不正アクセス)

リスク評価の結果(発生頻度B、被害の大きさa

「不正アクセス」のリスクを低減させるための対策基準の検討
アクセス権限の付与を必要最低限の者に限ること。
コンソールからのみログインを許可すること。
修正プログラム(パッチ)を導入すること。
アクセス記録を監視・記録すること。
情報システムの改ざんなどを検知すること。
緊急時対応により情報資産を保護すること。等

リスクの低減(発生頻度C、被害の大きさc)

(5) 対策基準の策定
 リスク分析の結果によって得られた各情報資産に対する個々の対策について、体系化した上で対策基準を定める。
 @構成
  対策基準の構成は、次のとおりとする。
   (i) 組織・体制
   (ii) 情報の分類と管理
    (a) 情報の管理責任
    (b) 情報の分類と管理方法
   (iii) 物理的セキュリティ
   (iv) 人的セキュリティ
    (a) 役割・責任及び免責事項
    (b) 教育・訓練
    (c) 事故、欠陥に対する報告
    (d) パスワードの管理
    (e) 非常勤及び臨時職員等の雇用及び契約
   (v) 技術的セキュリティ
    (a) コンピュータ及びネットワークの管理
    (b) アクセス制御
    (c) システム開発、導入、保守等
    (d) コンピュータウイルス対策
    (e) セキュリティ情報の収集
   (vi) 運用
    (a) 情報システムの監視及びポリシーの遵守状況の確認(運用管理)
    (b) 運用管理における留意点
    (c) 侵害時の対応策
    (d) 外部委託による運用契約
   (vii) 法令遵守
   (viii) 情報セキュリティに関する違反に対する対応
 (ix) 評価・見直し

A組織・体制
 情報セキュリティの確保のための組織・体制については、幹部が率先して情報セキュリティの確保を推進することが重要であることから、情報セキュリティについて最高責任者(最高情報セキュリティ責任者(CISO)(*5))を定め、その責任及び権限を明確にする必要がある。具体的には、この最高責任者を長とする情報セキュリティ委員会(策定時の委員会と同じ)に対して、日々のポリシーの遵守状況の確認体制の確立、導入の際の改善点(現実との齟齬)の調査及び見直し、並びに教育・啓発活動を行う役割を担わせることになる。

図6組織図例

B情報の分類と管理
 リスク分析によって行われた情報の管理方法に関する分類ごとに情報の管理の方法を定める。
 (@) 情報の管理責任
 それぞれの情報について、誰が管理責任を負うのかについて定める。情報を管理する者及び利用する者の2つの責任が考えられるが、それぞれ、具体的な責任と役割を定める必要がある。
 また、情報管理責任者を各課において定めることとし、当該課において作成された文書の管理の責任を負うこととする。また、作成中の文書、電子メール等の管理責任が定められていない情報については、個人において適切に管理しなければならないことを定める。
(例)

情報は当該情報を作成した課部局等が情報管理責任者として管理責任を有する。
A局として作成された情報 A局総務課
A局X課として作成された情報  A局X課
省として作成された情報  大臣官房総務課(又は、管理責任者として指定された課)


 (A) 情報の分類と管理方法
 省庁が保有する情報について、リスク分析における情報資産の分類結果を踏まえ、その分類と管理方法を定める。
 具体的には、情報の分類、情報の分類に関する表示のほか、情報の管理方法としてのアクセス権限の設定、暗号化、媒体の管理、情報の変更又は廃棄の管理、分類の有効期限等について定める。
 また、既に分類された情報が複製された場合又は伝送された場合には、当該複製等もその分類に従い管理する。
(例)

A 原則
 当省内の情報は、情報公開法の趣旨を踏まえ公開、非公開について定めることとする。
 (以下、個人のプライバシーに関する情報や、情報セキュリティ上問題が生じる可能性のある情報等、情報公開法の趣旨を踏まえ公開することが不適当と判断される情報について必要に応じて定める。)

B 情報の分類に関する表示
 印刷したもの、ディスプレイ等への表示、記録媒体へ格納する際の媒体(FDへのラベル等)、ファイル名等について第三者が重要性の識別を容易に認識できないよう留意しつつ、分類がわかるように必要な表示を行わなければならない。

C 情報の管理(分類ごとに定める。)
 (a) アクセス権限の設定と暗号化
  情報の分類ごとに、アクセス権限を設定する。秘密とされた情報は必ず暗号化を行い、暗号鍵と別に厳格に管理しなければならない。
 (b) 媒体の管理
  秘密情報を記録した記録媒体(FD、MO、CD-R、DAT、MT、DVD-RAM等)は、施錠可能な場所に保管する。
 (c) 情報の変更又は廃棄の管理
  情報の変更又は廃棄に当たっては、情報管理責任者の承認を得て行うこと。また、作業の日付、作業担当者及び処理内容の履歴を保持すること。秘密情報を削除するときは、記録媒体の初期化など情報を復元できないような処理を実施すること。

C物理的セキュリティ
 情報システムの設置場所について、不正な立入り、損傷及び妨害から保護するための適切な設備の設置、出入管理及び執務室にあるパソコン等の盗難対策等物理的な対策について具体的な項目を定める。
 なお、モバイル機器を利用した情報漏洩を防ぐ等、今後のモバイル機器の普及等を考慮した対策について検討する必要がある。
(例)

コンピュータ等の機器及びネットワーク機器について、リスク分析に基づいたTUVWの分類に応じて、適切な物理的対策を講じなければならない。

 T 二重鍵及びIC認証カードの採用、監視カメラの設置、防磁壁の設置、入退出管理の徹底、消火設備の設置、配線の防護。
 U 機器への鎖の設置、配線の防護。
 V …

 これらの機器は、当該機器の管理責任課において、適切に管理をしなければならない。

D人的セキュリティ
 情報セキュリティの向上は、利便性の向上とは必ずしも相容れないものであり、利用者の理解が得にくい場合もあることから、十分な教育及び啓発が講じられるように必要な対策を人的セキュリティとして定める必要がある。
 (@) 役割・責任、免責事項
 基本方針で定めた対象範囲のうち、各対象者の情報セキュリティに関する役割・責任(誰が責任をとるのか、管理職・職員の役割)及び外部業者との関係(プログラム開発担当者との関係も含む。)について定める。
 免責事項については、例えば、自らの責任となる情報セキュリティ障害について、積極的にその障害について申告した場合は免責されることを定める等、ポリシーを円滑に運用するために必要な事項を定める。
 (a) 最高情報セキュリティ責任者
 すべての情報セキュリティに関する権限及び責任を持つこと、また、運用に関し、重大な事項に関する決定権限を持つ等の役割を定める。
 (b) 情報セキュリティ担当官(管理職等)
 各課部局において情報セキュリティ担当官を設置すること、各組織における指示系統、意見の集約及び責任等果たさなければならない職務の規定等を定める。例えば、各課の職員は、ポリシーに関する違反や問題が起こった際には、情報セキュリティ担当官に連絡し、助言又は指示を仰ぐこと、又はどのような場合に情報セキュリティ担当官が最高情報セキュリティ責任者に報告すべきか等を定める。
 (c) システム管理者
 情報システムの日々の管理、運用を実施するシステム管理者は、いわば情報システムの一部として必要不可欠なものである。また、その管理のために付与される権限は、情報セキュリティにも大きく影響を与えるものであることから、システム管理者の役割・責任について明確にするとともに、その権限が不当に利用されることのないよう複数のシステム管理者による作業及び作業内容の確認の仕組み等について定める。
 (d) 職員等

·         情報セキュリティ対策の遵守義務
 職員がポリシー及び実施手順(個別マニュアルとしてもよい)に記載されている内容を遵守して、情報セキュリティ対策を有効に機能させる義務があること、不明な点に関する助言の推奨等を定める。

·         外部委託に関する管理
 各省庁が省庁外の業者(受託事業者から下請けとして受託した業者を含む。)等に情報システムの開発及び運用管理を委託する場合には、対象範囲にしたがってポリシー、実施手順の遵守義務が当該業者に発生することを認識し、これを遵守させる必要があること、そのための教育の実施を行うこと、ポリシーが遵守されなかった場合の規定(損害賠償等)を契約書に明記すること等を定める。
 また、受託業者は、情報セキュリティ上重要な情報を取り扱う可能性があることから、受託業者及び情報セキュリティ上重要な情報を取り扱う者の技術的能力、信頼性等について考慮する必要がある。

·         非常勤及び臨時職員
 非常勤及び臨時職員についても、職員に準じた責任及び役割があることを定める。

·         その他
 情報セキュリティに係わる職員等が、異動、退職等により、業務を離れる場合には、当該職員等が知り得た情報が情報セキュリティ上問題となるおそれがあることに留意する必要がある。


 (A) 教育・訓練
 ポリシーの実施の一部は、情報システムに組み込まれた技術的措置によって自動的に実現することが可能であるが、多くの部分は組織の責任者及び利用者の判断や行動に依存している。したがって、情報セキュリティに対する意識を醸成し、また保つために、幹部を始めとしたすべての職員が情報セキュリティの重要性を認識し、ポリシーを理解し、実践するための教育・訓練を計画的に実施する必要がある。
 これは、不正アクセスから防御することはもとより、コンピュータウイルスの混入、内部者による情報の漏洩、外部への攻撃などを防ぐ観点からも重要である。
 具体的には、研修、説明会の実施及びその他の啓発活動を実施することを定める。新入職員への初任者研修にも取り入れる等、積極的な教育が必要である。
 (B) 事故、欠陥に対する報告
 職員は、情報セキュリティに関する事故やシステム上の欠陥を発見した場合には、独自にその事故又は欠陥の解決を図らずに速やかに情報セキュリティ担当官に報告をし、その指示を仰ぐことが必要である。その事故又は欠陥による被害を拡大しないためにも、この報告義務及びその方法を定める。
 (C) パスワードの管理
 不正アクセスを防止するため、情報システムを利用するすべての者は、厳格にパスワードの管理を行わなければならないことを定める。また、パスワードは、ネットワークや保護された文書内容へのアクセスを制御するために用いられることがある。アクセス制御に対するパスワードに関する対策だけでなく、各端末におけるパスワードの管理や文書に施すパスワードの管理等に対する対策についても適切に行う必要があることに留意すべきである。
(例)

@パスワードを秘密にしておくこと。
A
パスワードのメモは作らないこと。ただし、メモが安全に保管される場合はその限りではない。
B
情報システム又はパスワードに対する危険のおそれがある場合は、パスワードを変更すること。
C
適切な長さを持つパスワードを選択すること。その文字列については、想定しにくいものにしなければならない(詳細は実施手順で定める。)。
D
パスワードは定期的に、若しくはアクセス回数に基づいて変更し、古いパスワードの再利用をしてはならない。管理者用パスワードはさらにこのサイクルを頻繁にすること。
E
利用者のパスワードは他人に使用させないこと。
F
モバイル機器にパスワードを記憶させてはならない。


 (D) (非常勤及び臨時職員等の雇用及び契約
 非常勤及び臨時職員にも、情報セキュリティの確保の観点から、ポリシーの遵守について明確に理解させる必要がある。特に、パソコンを使用する作業を行わせる場合、当該パソコンのアクセス管理や当該職員が有する情報システムへの権限などを明確にし、これらの職員による不正アクセス等を防ぐことが必要である。
 したがって、非常勤及び臨時職員等の雇用について、ポリシーの周知徹底を行い、同意書に署名させる等、当該職員に対して行わなければならないことを定める。

E技術的セキュリティ
 (@) コンピュータ及びネットワークの管理
 情報システムの運用管理手順やネットワーク管理、記録媒体の保護、他の組織とデータ交換を行う際の留意点や規定について定める。
 リスク分析の結果に従い、機器の取扱い、管理の方法を定める。
(例)

情報資産の分類に従って、情報を以下のとおり管理する。
 T

  • すべてのアクセス記録を取得し、一定期間保存すること。また、定期的にそれらを分析、監視すること。
  • 情報システムの更新については、内容、必要性、計画を文書にて管理責任者に提出し、承認を受けた上で行う。代替機による動作確認、検証の後に本体への更新を行わなければならない。更新の際には、現状の保存を行い、復帰が即座に可能な状態にしておき、原則として執務時間外に行わなければならない。
  • 緊急時に直ちに対処できるようにするため、特に重要なシステムとして情報セキュリティ委員会が定めるシステムには、非常用の予備システムを準備すること。
  • 非常用の予備システムの動作検証を少なくとも四半期ごとに行うこと。
  • 定期的に管理者の教育を行うこと。
  • 定期的に情報システムのバックアップ用の複製を取ること。

U

  • 情報システムに重大な影響を与える可能性のあるものとして、情報セキュリティ委員会が定める操作については、すべてのアクセス記録を取得し、一定期間保存すること。 ^
  • 情報システムの更新については、内容、必要性及び計画を文書にて管理責任者に提出し、管理責任者が情報システムに重大な影響を与えると判断した場合は、最重要の手順、又は現状復帰の準備を整えつつ原則として執務時間外に行う。影響が少ない場合は、管理責任者の指示により作業を行うこと。
  • 定期的に情報システムのバックアップ用の複製を取ること。

V

  • ネットワークに接続する情報システムについては、手順書に従い必要な項目を申請した上で、管理責任者の承認を得た上で接続を行うこと。
    各情報システムの設定については、個別に実施手順書に定める。

W

  • 取扱は自由。ただし、無断でネットワークに接続してはならない。


また、利用者に対する情報システム使用の規定について定める。
(例)

情報システムを使用する際の規定

業務目的以外の使用の原則禁止

職員による情報システム、ネットワーク資源の使用は、原則業務目的に沿ったものが許可される。業務目的以外での業務システムへのアクセス、メールアドレスの使用及びインターネットへのアクセスを行わないこと。

業務上のデータの持ち出しの禁止

職員は、分類上Tに該当する業務上データを省庁外に持ち出してはならない。また、分類上Tに該当する情報資産の設置場所に、個人の所有するデータが記録された媒体を持ち込んではならない。職員の所属する組織の長(課であれば課長、室であれば室長)の許可がある場合には、この限りでない。
例えば、携帯端末又は記録媒体に格納された情報の省庁外への持ち出し又は当該情報資産が設置されている執務室内への持ち込み、及びネットワークを介してのデータ転送(メールによる個人アドレスへのデータの送信、又はその逆等)等を行う際は、許可を必要とする。

無許可ソフトウエアの導入の禁止

職員は、各自に供用されたパソコンに対して、情報システム管理課で認められていないソフトウエアの導入を行わないこと。特にネットワーク上の情報を盗聴するような監視ソフトウエアや、ネットワークの状態を探索するセキュリティ関連のソフトウエア及びハッキングソフトウエアの使用は厳禁する。 業務を円滑に遂行するために必要なソフトウエアについては、個別に情報セキュリティ担当官の許可を得て利用することができる。

機器構成の変更の禁止

職員は、各自に供用されたパソコンに対して、機器の増設/改造を行わないこと。特にモデム等の機器を増設して他の環境(インターネット等)へのネットワーク接続を行うことや、省庁外からのアクセスを可能とする仕組みを構築することは禁止する。


 (A)アクセス制御
 情報へのアクセスは、業務要件に従って許可される必要があることを定め、利用者の権限と責任について言及する。システム管理者側において措置すべきパスワードの管理方法やシステム管理者の権限を定める。重要なシステムは、特殊の個人認証方法を採用する等システムに応じたアクセス制御についても定める。また、外部から利用者の接続を許可する場合(いわゆるモバイル端末による接続等)の基準、情報及び情報システムへのアクセス要件等を定める。
 なお、地方支分部局等からの専用線等による接続がある場合、当該接続についても、適切なセキュリティが確保されている必要性があることから、状況に応じて、これらの接続に係るアクセス制御等の対策を行うことが重要である。
(例)

利用者登録(ユーザ登録)

情報システムに対するアクセスを許可するための正式な利用者登録及び登録抹消手順を定めることとする。

ログイン/ログアウト時の留意点

(実施手順に具体的な設定方法を定める。)

メール自動転送の制限
サーバへのアクセス権限の付与


 (B) システム開発、導入、保守等
 新たに情報システムの開発又は導入若しくは更新をしようとする場合は、ポリシーに従ってリスク分析を行い、適切な情報セキュリティ対策を施すために必要な事項について定める。また、システム開発等を受託する者に対する必要な事項を定める。
 これらの新たな機器、ソフトウエア、媒体及びサービスの導入の際には、事前に不具合の確認等のセキュリティに関する確認を行うことが重要である。また、これらの仕様書等についても取扱いには注意する必要がある。
 故障等により廃棄又は修理する機器については、その機器に存在する情報が、外部に漏洩することを防ぐため、例えばハードディスクを廃棄する際には、内容を読み出せないような措置を施してから廃棄する等の取扱いについて定める。
(例)

ソースコードの提出の義務化、再委託契約の規定のほか、ISO15408への準拠、セキュリティホールの有無の確認等


 また、保守のための規定として、監視体制及び情報システムの修正に関する規定についても定める。
(例)

情報システムの24時間監視体制、システムの修正プログラム(パッチ)の導入決定に係る方針、時期等

 (C) コンピュータウイルス対策
 コンピュータウイルスに感染することを防止するために必要な対策を定める。コンピュータウイルスに対応するためのシステム整備、職員の守るべき規定等を定める。コンピュータウイルスが発見されたときの対応については、侵害時の対応として定める。
(例)

@許可されていないソフトウエアの導入の禁止(法令遵守とも関連)
A
外部ネットワークからファイル及びソフトウエアを取り入れる際には、サーバ側、端末側においてウイルス対策ソフトを実行
B
サーバ側、端末側のワクチンソフトについては、ワクチンプログラムを常に最新のものにバージョンアップするとともに、ウイルス情報の更新を頻繁に行うことが必要
C
重要なソフトウエア、情報システム及び情報について、その内容を定期的に確認

 (D) セキュリティ情報の収集
 セキュリティホールは、日々発見される性質のものであることから、積極的に情報収集を行う必要がある。このため、情報収集の体制、分析の手順、情報収集先等を定める。深刻なセキュリティホールが発見された場合、直ちに対応できるよう留意する必要がある。

F運用
 (@) 情報システムの監視及びポリシーの遵守状況の確認(以下「運用管理」という。)
 ポリシーの実効性を確保するため、また、不正アクセス及び不正アクセスによって他の情報システムに対する攻撃に悪用されることを防ぐためには、情報システムの利用者等が、ポリシーを遵守しているかどうかについて、また、インターネットを介した不正アクセスを含めた情報システムの稼働状況について、ネットワーク監視等により常に確認を行うことが必要である。したがって、ポリシーの各対象者による自己確認及び情報管理担当課による自動監視装置等の活用等によるネットワーク監視等を適切に実行することを定める。これらは、ポリシー遵守の確保のみならず、ポリシーそのものの問題点やポリシーが実態に整合的であるかどうかを評価するためにも重要である。
 運用管理を適切に実施するためには、一部の担当者に大きな負担とならないような体制を構築することが重要である。また、システムが稼働している間は、常時監視しなければならず、障害が起きた際にも、速やかに対応できる体制である必要がある。
 また、アクセス記録の取得・分析についても、明確に行うことを定める。アクセス記録は、時刻等の記録内容の正確性を確保するために消去や改ざんを防止するなど、適切に保管するための措置を講ずる。
 なお、詳細な内容(アクセス記録の保存期間、監視の人数体制等)は実施手順として定める。
 (A) 運用管理における留意点
 利用者の電子メールを閲覧する等のシステムソフトウエア、セキュリティ管理ソフトウエアを使用する行為によって国民のプライバシーに対する侵害があってはならない。また、セキュリティ対策として行われる場合においては、職員のプライバシーの問題にも影響することを考慮する必要がある。このため、これらのソフトウエアの使用については、どのような条件が揃ったときに、どのような体制で当該ソフトウエアを使用できるのかについての規定を定める。
 なお、これについて、利用者の理解を得ておくことが望ましい。
(例)

システム管理者は、情報キュリティ上の問題が起こる可能性のあるものとして責任者(管理職)が認めた場合のみ、責任者又は責任者が予め指定した者が立ち会うことにより利用者個人の電子メールを閲覧することができる。


 (B) 侵害時の対応策
 情報セキュリティが侵害された場合、又は侵害されるおそれがある場合等における具体的な措置について、緊急時対応計画として定めることが必要である。
 緊急時対応計画には、情報資産への侵害が発生した場合等における連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止の措置を講じるための一連の業務を定める。
 特に、原因究明に基づく対策、原因者特定、法的措置等に備えるための十分な証拠の保全、迅速な被害回復が行えるよう、検証や訓練などにより十分確認して策定する。
 また、自らが所有する情報資産における被害拡大防止のほか、外部への被害拡大のおそれがある場合には、その防止に努める。情報が漏洩することにより被害を被るおそれのある関係者に対し早急に連絡することが重要である。
 なお、当該事案が不正アクセス禁止法違反等の犯罪の可能性がある場合には、警察・関係機関と緊密な連携に努める。
 このほか、実施手順として明快な緊急時マニュアルを管理者及び利用者向けに作成する。

○緊急時対応計画に盛り込むべき事項

(a) 連絡先

連絡先、連絡担当者、連絡手段を定める。
(例)情報集約担当者(連絡窓口)、情報資産管理部署・省庁内の連絡体制、内閣官房内閣安全保障・危機管理室情報セキュリティ対策推進室、警察等の関係機関、その他

(b) 事案の調査

侵害事案を把握するために必要な調査方法・項目を定める。
(例)症状の分類、原因の特定、被害・影響範囲の把握、記録

(c) 事案への対処

対処措置の判断基準、責任者、実施者、実施手順等を定める。
(例)連絡、ネットワークの切断、情報システムの停止、記録の取得(アクセス記録、対処行動記録等)、復旧、再発の監視

(d) 再発防止の措置

事案の検証を行い、再発防止のための措置を定める。
(例)情報セキュリティ委員会への報告、当該事案に係るリスク分析、再発防止計画の策定(ポリシー評価を含む。)

 (C) 外部委託による運用契約
 外部委託によって、情報システムを運用していく際の契約について明確にし、その場合における確認体制を確立する必要がある。例えば、CERT/CC(*6)、JPCERT/CC(*7)等からの注意喚起情報(Advisory)が出た場合は直ちに情報セキュリティ担当課に連絡を行わなければならないこと、アクセス記録のチェックについて、危険度に応じて分類を行い重要なものについては、緊急連絡網を通じて契約者に直ちに連絡すること等、運用時に行う体制を定める。

G法令遵守
 関連する法令への遵守等について定める。遵守すべき法律や行政指導として、どういうものが存在するかを列挙し、法令違反が起こらないようにすることが目的である。例えば、著作権法、不正アクセス禁止法、個人情報保護法等がある。

H情報セキュリティに関する違反に対する対応
 ポリシーに違反した関係者及びその監督責任者に対しては、その重大性に応じて国家公務員法上等の懲戒の対象となり得ることをポリシーに定める。これは、ポリシー及び実施手順を軽視する傾向のある職員等に対する抑制策となるとともに、求められる情報セキュリティ水準の確保のためにも必要である。
 なお、業務中に情報セキュリティに係る違反的な行動がみられた場合には、上司等の指示により直ちに端末の利用を停止させる等の迅速な対応ができるようにする必要がある。

I評価・見直し
 ポリシーには、ポリシー及び情報セキュリティ対策の評価、情報システムの変更、新たな脅威等を踏まえ、定期的に対策基準の評価・見直しを行うことを定める。また、情報セキュリティ委員会の権限として、ポリシーの評価・見直しの実施を定める。
 (@) 監査
 情報システムの情報セキュリティについて、監査を行い、その結果をポリシーの評価・見直しに反映させる必要がある。
 監査を行う者は、十分な専門的知識を有するものでなければならない。また、適正な監査の実施の観点から、監査の対象となる情報システムに直接関係しない者であることが望ましい。
 (A) 点検
 ポリシーに沿った情報セキュリティ対策の実施状況について、利用者に対するアンケートや自己点検を行うことを定める。これらの結果は、実態に即したポリシーへの更新を行う際に必要な情報として活用するものである。
 (B) ポリシーの更新
 ポリシーの更新は、策定の場合と同様に、情報セキュリティ分野の専門家による評価も活用しつつ、関係部局の意見等を踏まえ、その妥当性を確認する手続を経ることが必要である。
 ポリシーには、関係部局からのポリシーの更新案に対する意見を反映させるための手続を定め、情報セキュリティ委員会によるポリシーの決定を必要とすることを定める。

(6)ポリシーの決定
 策定されたポリシー案については、情報セキュリティ分野の専門家による評価、関係部局の意見等を踏まえ、その妥当性を確認する手続を経ることが必要である。
 ポリシーには、関係部局からのポリシー案に対する意見を反映させるための手続を定め、各省庁における正式なポリシーの決定を必要とすることを定める。

3.導入

(1)導入作業の概要
 ポリシーの運用開始までに、ポリシーを関係者に周知徹底し、確実に実施するための措置を行う。

(2)実施手順の作成
 実施手順はポリシーに記述された内容を具体的な情報システムや業務においてどのような手順に従って実行していくかについて定める。この実施手順は、ポリシーを遵守しなければならない者全員について、各々の扱う情報、実施する業務等に応じて情報セキュリティを確保するためにどのようにしなければならないかを示すいわゆるマニュアルに該当するものである。したがって、業務を実施する環境に応じて、必要のある場合には個別に定める必要がある。また、既存の規定等で対応できる事項については、適用される規定を定めることが必要である。
 実施手順は、情報セキュリティ委員会による承認を受けることなく、それぞれの部局において策定、更新及び廃止することができることとする。

(3)ポリシーへの準拠
 情報セキュリティ委員会は、ポリシーの運用開始に先立ち、実態及び実施手順のポリシーへの準拠状況の検証を情報セキュリティ担当官に実施させる。準拠状況を収集・検討し、適切な助言、措置等を行った上で運用を開始する。
 情報セキュリティ担当官は、自分の責任範囲におけるすべての情報資産について導入された、物理的セキュリティ対策、人的セキュリティ対策、技術的セキュリティ対策、緊急時対応計画及び実施手順が、ポリシーに準拠しているかどうかを検証する。

(4)配布及び説明会
 情報セキュリティ委員会は、ポリシーを関係者に周知するための、ポリシーの配布や説明会を行う。また、実施手順については、各課部局において行う。
 外部委託業者等についても必要に応じて該当部分の配布等を行うとともに、ポリシーへの準拠を合意させることが望ましい。
 なお、実施手順については、外部に漏洩しないよう、厳重に取り扱うことを関係者及び外部委託業者等に対して徹底する。

4.運用

 ポリシーを確実に運用していくために組織・体制の確立、監視、侵害時の対応等の措置を適切に行う必要がある。

(1)運用管理
 情報セキュリティ委員会の下で、情報管理担当課及び各課部局の情報セキュリティ担当官は、ポリシーに従って、物理的セキュリティ対策、人的セキュリティ対策、技術的セキュリティ対策等が適切に遵守されているか確認する。
 情報セキュリティ上重大な問題が生じる可能性のあるポリシー違反が発見された場合には、緊急時対応計画に従って処理する。
 これらの結果は侵害事案の証拠となるほか、ポリシーの実効性を測る資料となるので、厳重に保管し、評価・見直しの際に活用する。

(2)侵害時の対応
 @ 訓練の実施等
 緊急時対応計画の円滑な実施のため、定期的に訓練を実施する。訓練の結果を踏まえ、緊急時対応計画の評価・見直しを適切に実施する。
 A 連絡における留意事項
 連絡手段は、情報セキュリティ上安全なものを用いる。(重要な内容については、メールを利用しないようにする等、盗聴等による脅威を増加させないようにする。)
 情報セキュリティ上重要な任務を担う者は、24時間連絡をとれる手段を複数用意することが望ましい。
 B 調査における留意事項
 調査に時間をとられることによって、必要な連絡に遅れがあってはならない。
 C 対処における留意事項
 対処を実施する際に、責任者の許可無く担当者が実施できる範囲、責任者の許可が必要な範囲を定める。また、責任者との連絡が不可能な場合の権限の委任、事後報告についても考慮する。
 D 再発防止計画
 再発防止計画については、当該侵害に関するリスク分析の結果を踏まえ、ポリシー、各種措置、緊急時対応計画、実施手順の評価・見直しに係る検討結果を具体的に示す。

5.評価・見直し

 ポリシー及び情報セキュリティ対策の評価、情報システムの変更、新たな脅威等を踏まえ、定期的に対策基準の評価・見直しを適切に行うことが重要である。ポリシーを常に実態に即したものとし、情報セキュリティ水準を高く保つためにも、この評価・見直しについては、情報セキュリティ委員会の下で行うことが必要である。

(1)監査
 外部の機関を活用して監査を行う場合、当該機関に情報システムの弱点が知られることになるということを十分留意の上、信頼性について慎重な検討を行い、機関の選定を行うことが必要である。
(2)ポリシーの更新
 特にポリシー導入後の最初に行われるポリシーの更新においては、ポリシーと実態との相違を十分考慮することが重要であることから、関係部局の意見聴取等を行い、実態把握を行うことが望ましい。また、ポリシーを更新する際には、実態に即したものとするために、新たにリスク分析から行わなければならない。また、日頃から新たな攻撃方法の情報収集に努め、ポリシーの更新に活用することも必要である。
 新たなポリシーが完成した際には、再度配布及び適用が必要となり、これには、当初にポリシーを導入した時と同様多大な労力が必要となる。効果的な方法を検討し実施することが必要である。

(3)ガイドラインへの反映
 ポリシーの評価・見直し結果については、このガイドラインへ反映させる必要がある。

平成12年12月15日
情報セキュリティ対策推進会議

重要インフラのサイバーテロ対策に係る特別行動計画

重要インフラのサイバーテロ対策に係る特別行動計画

1 特別行動計画の目的

 この特別行動計画の目的は、いわゆるサイバーテロなど、情報通信ネットワークや情報システムを利用した、国民生活や社会経済活動に重大な影響を及ぼす可能性があるいかなる攻撃からも、重要インフラを防護することである。
 政府は、内閣官房を中心として、官民の緊密な協力の下、この計画の実施に努めることとし、民間重要インフラ分野の事業者及び地方公共団体(以下「民間重要インフラ事業者等」という。)においては、この計画を指針として、自主的な取組の強化を図るものである。また、政府は、民間重要インフラ事業者等における計画の実施に当たっては、必要な協力を行うこととする。

2 いわゆるサイバーテロの脅威

 産業や政府の活動の多くは、情報システムに依存するようになってきており、更に加速的な情報化・ネットワーク化の進展が見込まれている。重要インフラにおいても、電力供給、交通、電子政府等の国民生活や社会経済活動に不可欠なサービスの安定的供給や公共の安全の確保等に関する重要な役割を情報システムが果たすようになってきている。

 このような重要インフラの基幹をなす重要な情報システムに対して、情報通信ネットワークや情報システムを利用した電子的な攻撃(以下「サイバー攻撃」という。)が行われた場合には、国民生活や社会経済活動の混乱、国民の生命の危険などの重大な被害が生ずるおそれがある。このような攻撃は、他の物理的攻撃と異なり、情報システムに侵入する技術を有する者であれば、一台のコンピュータによって行うことも可能な一方、国民生活や社会経済に混乱を引き起こすこと等を目的として組織的に大規模な攻撃が行われることも懸念されている。

 外国においては、金融関係等の情報システムが被害を受けた事例や、個人がいわゆるハッカーとして、重要インフラ等の情報システムに対する侵入、サービス不能攻撃(DoS攻撃)、コンピュータウイルスの流布等によって重大な被害を起こした事例もあり、このような脅威は現実のものとなってきている。米国においては、高度な技術を有する犯罪者集団やテロリスト集団などが重要なネットワークを攻撃することによる、経済的な被害、混乱、死傷者等をもたらす脅威に対して、国家計画の策定などに取り組んでいるところである。

 また、インターネット等の他のネットワーク等との接続が進むことによって相互依存性が高まっていくこと及び情報システムの仕様の標準化や共通化が進展していることから、現時点では外部からの侵入の危険性が少ない情報システムについても、このような脅威は増大していくこととなる。さらには、内部関係者の関与等の脅威にさらされる可能性は常に存在しており、また、他のネットワークとは接続していないとされている情報システムであっても、外部からの侵入の危険性を排除することはできないことを認識しなければならない。

3 重要インフラ分野

 いわゆるサイバーテロの脅威により、国民生活や社会経済活動に重大な影響を与えると考えられる重要インフラ分野を、当面、情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む。)とする。ただし、新たな脅威等を踏まえ、本行動計画で対象とする重要インフラ分野について、適宜、見直しを行うこととする。

 各重要インフラ分野を所管する省庁は、所管分野がこの計画を適切に実施できるよう協力することとする。
 なお、いわゆるサイバーテロの脅威から、我が国の重要インフラを防護するため、これらの重要インフラ以外の分野においても、必要に応じ、この特別行動計画を参考として、対策の強化を図ることが重要である。

 被害の予防(セキュリティ水準の向上)

 被害を予防するためには、その前提として、対象となる重要インフラの情報システムのリスク分析を行い、情報システムの重要度に応じた対策を講ずることによって、恒常的に各重要インフラ分野のセキュリティ水準の向上を図ることが必要である。

(1) 民間重要インフラ分野等のセキュリティ水準の向上

o         民間重要インフラ事業者等は、「情報セキュリティポリシーに関するガイドライン」(平成12年7月18日、情報セキュリティ対策推進会議決定)や各省庁の情報セキュリティ関連ガイドライン、OECDのセキュリティガイドライン等を参考としてリスク分析や情報セキュリティポリシーを策定するなど、セキュリティ水準の向上に努める。

o         各民間重要インフラ分野及び地方公共団体(以下「民間重要インフラ分野等」という。)においては、仕様が共通する情報システムを使用する場合又は互いに情報システムを接続する場合において、分野に共通するリスクに対し適切な対処を行うため、各民間重要インフラ分野等における対策指針の策定について検討する。

o         政府は、民間重要インフラ事業者等のセキュリティ水準の向上に資するために、情報の提供、助言、指導等、民間重要インフラ事業者等の取組に対する支援の一層の推進に努める。

(2) 電子政府の構築に向けたセキュリティ水準の向上

o         各省庁は、平成15年度までに電子政府の基盤を構築することを踏まえ、「情報セキュリティポリシーに関するガイドライン」を踏まえて策定したポリシーに従い、セキュリティ水準の向上のため必要な措置を講ずる。

o         内閣官房の専門調査チームによる、各省庁の情報システムのセキュリティ対策に係る技術的調査・助言等を実施する。

5 官民の連絡・連携体制の確立・強化

 各重要インフラ分野においては、セキュリティ情報(セキュリティ改善に必要な情報)及び警報情報(サイバー攻撃の発生情報等の警戒や緊急対処に必要な情報)の共有、予防・対処等を連携して行うための官民における体制の確立・強化を図ることが必要である。
 特に、いわゆるサイバーテロの脅威が増大していくなか、サイバーテロ対策に関する官民の連絡・連携体制を確立することは急務であることから、各分野における状況を踏まえ、本計画決定後一年以内を目標として、次の体制を構築することが必要である。

(1) 各民間重要インフラ分野等における連絡・連携体制

 各民間重要インフラ分野等において、次の役割を担うサイバーテロ対策に係る事業者間の連絡・連携体制を、既存の連絡体制を活用しつつ構築する。

o         各分野に共通するセキュリティ情報及び警報情報の収集、連絡及び共有

o         サイバー攻撃が発生した場合又はそのおそれがある場合における連絡体制

o         政府及び関係機関との一元化された連絡の実施 等

(2) 他分野の重要インフラ事業者との連絡・連携体制

 ネットワークを介して、他分野の重要インフラ事業者と情報システムを相互接続している場合には、サイバーテロ対策に関し互いの連絡・連携体制を必要に応じ構築する。

(3) 政府における連絡・連携体制の確立

 政府においては、内閣官房を中心とし、次の役割を担う連絡・連携体制を構築する。

o         セキュリティ情報及び警報情報の収集、連絡及び共有

o         サイバー攻撃が発生した場合又はそのおそれがある場合における情報集約

o         政府部内、関係機関及び各民間重要インフラ事業者等との連絡 等

(4) 情報の取扱い

 情報の収集及び共有に際しては、民間重要インフラ事業者等から適切に情報が提供されるよう、あらかじめ、情報の取扱いが厳正な管理の下で行われることなどを関係者間で合意するなど、関係者間における信頼関係の構築に努める必要がある。

(5) 民間重要インフラ事業者等に対する協力

 政府は、セキュリティ情報及び警報情報の提供等、民間重要インフラ事業者等に対する協力に努める。

6 官民連携によるサイバー攻撃の検知と緊急対処

 各重要インフラ分野においてサイバー攻撃を受けた場合又はそのおそれがある場合の対応策を定めるとともに、官民全体で対処能力の強化を行う必要がある。

(1)サイバー攻撃の検知

o         政府及び民間重要インフラ事業者等は、基幹をなす重要な情報システムに障害が発生した場合に、それがサイバー攻撃か否かを判断することが困難であることを前提に、想定される事態を十分に踏まえ、障害の内容、発生箇所、障害の範囲等、事案に対する適切な対処を行えるようあらかじめ手順を定める。

o         政府及び民間重要インフラ事業者等は、政府関係機関、情報セキュリティ関係団体、情報システムのベンダー等からセキュリティ情報及び警報情報の収集を行う。

(2)緊急時対応計画の策定

o         各民間重要インフラ分野等においては、サイバー攻撃が発生した場合又はそのおそれがある場合の対策及び緊急時対応計画の策定について、5で定める連絡体制を活用しつつ検討を行う。
(緊急時対応計画に想定される事項)
・連絡、被害拡大防止、証拠保全、復旧(応急)、再発防止等

 また、この計画においては、迅速な対応を可能とするよう、サイバー攻撃の検知後の時間経過に応じた手順をとりまとめることが重要である。

o         緊急時における対処には、高度な判断を必要とする場合があることから、責任と権限を有する適切な者が速やかな判断を行うことができるよう、緊急時対応計画等の手続に定める。

(3) 緊急時における情報の連絡手順

o         サイバー攻撃を受けた場合又はそのおそれを示す情報を得た場合の緊急時における情報の連絡手順を次のとおりとする。

ア サイバー攻撃に関する情報の連絡

1.      サイバー攻撃を受け、又はそのおそれを示す情報を得た省庁又は民間重要インフラ事業者等は、速やかな対処を講ずるとともに、分野内の他の民間重要インフラ事業者等、所管官庁、関係機関等の定められた連絡担当者に当該情報を連絡する。

2.      情報の連絡を受けた省庁は、当該情報を内閣官房に連絡するとともに、攻撃を受けた民間重要インフラ事業者等に対する指示、助言等を行う。

3.      内閣官房は、関係省庁等との連携を図り、情報収集等を行う。


イ 警報情報の連絡

4.      内閣官房は、攻撃又はそのおそれを示す情報の内容から必要な場合には、各省庁に警報情報を連絡する。

5.      各省庁は、内閣官房から警報情報を受けた場合には、所管する民間重要インフラ事業者等に速やかに当該情報を連絡する。

o         政府及び民間重要インフラ事業者等は、必要に応じサイバーテロ対策の訓練を実施する。

o         政府及び民間重要インフラ事業者等は、攻撃による被害によって国民生活や社会経済活動に影響を生じた場合には、関係者に対し、迅速かつ適切な情報の提供を行うよう努める。

(4) 政府における緊急対処体制の強化

o         サイバー攻撃が発生した場合又はそのおそれがある場合において、内閣官房は、各省庁等との協力・連携を図り、情報集約を行うとともに、政府として対処が必要な場合には、対処方針について各省庁との調整を行う。

o         内閣官房は、このための所要の連携体制を各省庁等の協力を得て構築するとともに、各省庁は、サイバーテロ対策に係る情報収集体制及び対処体制を強化する。

7 情報セキュリティ基盤の構築

 サイバーテロ対策を進めていくため、人材の育成、研究開発、法制度の整備等の情報セキュリティ基盤の構築を推進することが必要である。
 また、重要インフラをサイバー攻撃から防護するためには、重要インフラのみならず、一般の情報システムを運用・利用する者が、いわゆるサイバーテロの脅威を認識し、セキュリティ対策の重要性についての理解を深め、必要なセキュリティ対策を講じることが重要であることから、広く一般に対して、普及啓発を行うことが必要である。

(1) 人材育成の推進

o         政府及び民間重要インフラ事業者等は、職員等に対する教育・訓練、セキュリティ技術の専門家の継続的な養成等に努める。

(2) 研究開発の推進

o         政府及び民間重要インフラ事業者等は、いわゆるサイバーテロの脅威に対して強固な基盤を構築するために必要な技術開発、脅威の分析、対策・技術に関する調査研究等を、官民の協力・連携を図りながら推進する。

(3) 普及啓発の推進

o         政府は、不正アクセス行為の発生状況等の公表、不正アクセス行為からの防御に関する啓発及び国内外のいわゆるサイバーテロの脅威に関する知識の普及等を行う。

o         政府は、民間重要インフラ事業者等の職員等を対象とした情報セキュリティに関する研修等を推進する。

(4) 法制度の整備

o         政府は、国際的動向との調和及び情報通信ネットワークにおける安全確保の観点から、関連する刑事基本法制など法制度の整備を検討する。

8 国際連携

 サイバー攻撃は、国境を越えて行われる可能性があることから、このような攻撃に適切に対処するため、国際的な連携を推進することが必要である。

o         政府及び民間重要インフラ事業者等は、国外の情報セキュリティ関係団体等からの情報収集に努める。

o         政府は、OECDやG8におけるサイバーテロ対策に関連する国際的な取組に対する協力を推進する。

o         政府は、諸外国の関係機関との間の情報交換や共同訓練等、国際的な連携強化を推進する。

9 行動計画の見直し

 この行動計画は、官民の連絡・連携体制の確立を中心としてとりまとめたサイバーテロ対策の初めてのものであり、政府は、この行動計画の進捗を踏まえ、定期的及び必要に応じ、この行動計画の見直しを実施する。

電子政府の情報セキュリティ確保のためのアクションプラン

平成13年10月10日
情報セキュリティ対策推進会議

1.現状と課題

 2003年度までに「電子政府」の実現が予定されており、行政文書の電子化、ペーパーレス化及び情報ネットワークを通じた情報共有・活用や、国民、企業等との間の行政手続のオンライン化が行われることとなる。この結果、自宅や職場からインターネットを経由し、原則として、行政手続が24時間受付可能となり、国民や企業の利便性が飛躍的に向上することが期待されている。

○ その反面、ネットワークを通じてやりとりされる情報のコンテンツは、企業の営業秘密や個人情報といったものから、国家安全保障に関するものなども含まれており、情報システムの安全性が24時間確保されていなければ、「電子政府」に対する国民からの信頼は得られず、円滑に機能しなくなる。

○ このため、IT戦略本部において電子政府の実現の加速・前倒しが進められていることも踏まえ、電子政府の情報セキュリティ確保についても、以下のような諸方策をできるだけ前倒しして実施していくべきである。
 その際、サイバー空間には国境がない上、国と地方自治体がネットワークを介して接続される予定であることにかんがみ、総合的な安全性、信頼性の確保のためには、国際的な連携、地方自治体との連携及びその取組みの支援が重要であることに留意すべきである。

2.具体的な方策

(1) 情報セキュリティポリシーの実効性の確保

·         内閣官房は、2002年夏を目処に、「情報セキュリティポリシーに関するガイドライン」策定後に発生した各種事案等も踏まえつつ、各省庁の情報セキュリティポリシーについて再度評価を行い、システム管理者の配置、セキュリティ監査等につき実施手法の模範例(ベストプラクティス)を提示する。

·         また、内閣官房は、各省庁の情報セキュリティポリシーの再評価結果を踏まえ、2002年秋を目処に、「情報セキュリティポリシーに関するガイドライン」を改訂する。

·         各省庁は、2002年度中に内閣官房における再評価結果及びガイドラインの改訂を踏まえ、各省庁情報セキュリティポリシーの見直しを実施するとともに、ベストプラクティスを参考としつつ情報セキュリティポリシーの実効性の確保に必要な措置を実施する。

(2) 暗号の標準化の推進

·         「電子政府」におけるセキュリティ確保のためには、政府調達における一定水準のセキュリティ確保のための情報機器等に関する基準(具体的にはISO/IEC15408)を可能な限り利用することと同様、暗号についても、一定水準以上の安全性及び信頼性を有するものの利用が不可欠であり、これを推進することが必要である。

·         このため、総務省及び経済産業省は、両省で実施している研究会の成果等も踏まえ、2002年度中に「電子政府」における調達のための推奨すべき暗号のリストを作成し、これを踏まえ、各省庁における暗号の利用方針について合意を目指す。

(3) 情報システムの監視体制等の整備

·         情報システムの監視は、一義的には各省庁が自ら責任を持って行うべきだが、緊急事態への対応を全ての省庁が遺漏なく迅速、的確に行っていくためには、各省庁の情報セキュリティ対策状況及び監視の実効性を踏まえつつ、適切な方法により重層的な監視体制をとることが必要である。
 このため、内閣官房を中心とした実効性のある重層的な24時間監視体制の在り方について2002年度に検討し、実証実験を行う。

·         また、各省庁の情報セキュリティに携わる者の活動を支援し、もって政府の情報システムの安全確保を促進するため、情報セキュリティ関連情報を集約したポータルサイトを設置することは非常に有意義である。
 このため、内閣官房を中心として、かかるセキュリティ・ポータルサイトの運営について今年度中に基本的考え方をとりまとめ、2002年度中に同サイトを公開する。

(4) 緊急対処体制の整備

·         「電子政府」の信頼性を確保するためには、万が一サイバー攻撃等の事案が発生した場合の緊急対処が重要である。このため、緊急事態に際して、早急に原因解明を行って対応措置を講ずるとともに、広く情報提供等を行い、再発防止に努めていくための体制が必要である。

·         このため、関係省庁の協力を得て、内閣官房において緊急事態に対処するための「ナショナル・チーム」(National Incident Response Team;NIRT)(仮称)を編成し、日頃から訓練を施し、関係機関との情報交換等に努め、万一の緊急事態に備えておくことが必要である。

·         このため、「NIRT編成プロジェクトチーム」(仮称)を早期に発足させ、本年度中に、人材の確保・訓練の在り方、関係省庁との協力の在り方、事態対処マニュアルの整備等につき検討、結論を得て、2002年度に「ナショナル・チーム」を発足させる。

(5) 人的基盤の整備

·         個人情報や企業秘密関連情報等機微な情報のやりとりも含む「電子政府」の運営に当たっては、守秘義務がある公務員が主体的に情報セキュリティ対策を行うことが重要である。

·         このため、情報セキュリティ関連の一定水準以上の知識・技術を有する者の確保に努めるとともに、一般職員についてもユーザー教育の徹底、情報セキュリティ関連の研修の充実を図る。

(6) セキュリティ強化ソフトウェア等の研究

·         国境がないサイバー空間の中で我が国の「電子政府」が安全に機能していくためには、セキュリティを強化したソフトウェアを使用することも有効な方策の一つであり、2002年度に、内閣官房が中心となってセキュリティを強化したソフトウェアの開発等政府として取り組むべき研究についての実現可能性調査(フィージビリティ・スタディ)を実施する。

(7) 技術開発の実効性の確保

·         ITを巡る状況は急速に変化しており、「電子政府」の情報セキュリティ確保のためには、環境変化に対応していく間断のない技術開発が重要である。

·         また、費用対効果の観点から、実施した技術開発の成果をできる限り共有し、活用していくことが重要である。

·         このため、関係省庁において、中長期的な観点から、基盤的技術を中心とした技術開発を推進するとともに、内閣官房を中心として、技術開発内容や成果について共有・活用を図るためのメカニズムを今年度中に構築し、今後実施するプロジェクトから速やかに的確なニーズ把握等技術開発内容の調整に必要な措置を講ずる。

サイバーテロ対策に係る官民の連絡・連携体制について

平成13年10月10日

 「重要インフラのサイバーテロ対策に係る特別行動計画」(平成12年12月15日、情報セキュリティ対策推進会議。以下「特別行動計画」という。)を踏まえ、以下の考え方に基づき、サイバーテロ対策に係る官民の連絡・連携体制の構築を進めることとする。

1 対象となる重要な情報システム等

 特別行動計画に定める「重要インフラの基幹をなす重要な情報システム」(以下「重要システム」という。)及び特別行動計画の対象となる事業者については、いわゆるサイバーテロによって国民生活や社会経済活動に与える重大な影響を考慮し、重要インフラ分野ごとに定めることとする(別紙1参照)。
 なお、具体的に対象となる重要システムの詳細については、別紙1に掲げる重要システムの例を踏まえ、各事業者において定めることとする。

2 サイバー攻撃発生時等における連絡体制等

(1) 連絡体制

 サイバー攻撃発生時等における政府と事業者との間の連絡は、重要インフラ分野ごとに、既存の事故、障害時等における連絡体制等の活用又は業界団体等におけるサイバーテロに関する連絡窓口の構築等により、各重要インフラ分野を所管する省庁(以下「所管省庁」という。)を通じて行うものとする(別紙2参照)。
 また、各重要インフラにサービスを提供する情報サービス産業事業者については、個々の重要インフラ事業者を通じて行う
ものとする。
 なお、各重要インフラ分野内における情報共有及び検討体制については、事業者間で共通する課題がある場合など、情報共有等が有効な場合に業界団体を中心として行うこととする。

(2) 情報連絡の対象となる事案
 情報連絡の対象となる事案は、@重要システムに重大な障害が発生した時、A重要システムに対するサイバー攻撃を検知した時又は攻撃の予告があった時及びB重要システムに対するサイバー攻撃による被害を検知した時とする(別紙3参照)。
 この場合において、
 @の「重大な障害」とは、法令等で報告が義務づけられている事故、障害、業務遅延等のほか、特異重大なものとして事業者が連絡を要すると判断したものを含むものとする。
 Aの「重要システムに対するサイバー攻撃を検知した時」については、「被害は発生していないが、そのおそれが高い攻撃を検知した場合」に限ることとする(別紙4参照)。
 なお、@、A及びBのいずれにも該当しない場合においても、サイバー攻撃の未然防止、被害の拡大防止等に資すると考えられる事案について情報の提供を行うこと並びに@、A及びBに該当するかどうか不明な場合について所管省庁又は内閣官房に対して相談を行うことを妨げるものではない。

(3)情報連絡の内容
 情報連絡の内容については、@事案発生時における利用可能な連絡手段、連絡担当者等の連絡を確保するための情報を必須とするほかは、Aその時点で判明している情報を随時連絡することとする。この際、当該情報が全容が解明するまえの断片的又は不確定なものであっても差し支えないものとする。
 なお、以下に掲げる事項について、判明した範囲で随時連絡するように努めるものとする。

ア 対象システム

·         ハードウエア、ソフトウエア(システムの名称、バージョン、パッチの適用状況等)>


イ 事案概要

·         事案の分類(@重要システムにおける障害、Aサイバー攻撃の検知、B予告、Cサイバー攻撃による被害)

·         攻撃の種別(不正アクセス、サービス不能攻撃、情報漏えい・改ざん、システム破壊等)

·         原因(セキュリティホール、侵入経路、不正プログラム等)

·         インフラサービスへの影響等被害の程度


ウ 対処状況

·         対策の概要(システムの停止・復旧、セキュリティ改善策等)

·         その他の連絡先(警察・セキュリティ関係機関等)


エ 他の事業者に対する攻撃の可能性
オ その他

(4) 連絡手段
 事案発生時の連絡手段については、事業者と所管省庁の間及び政府部内において事前に明確化することとする。この際、電話、FAX、e-mail等2以上の連絡手段を明示するものとする。
 なお、e-mail等インターネットを用いて機密に関する情報の連絡を行う場合には、リスク分析や費用対効果などに応じて暗号等の導入の必要性について検討することとする。

3 政府及び事業者における対応

(1) 所管省庁における対応
 所管省庁は、各事業者から2により連絡を受理した場合(重要システムに重大な障害が発生した時に行われる連絡で、当該障害が設定ミス・操作ミスや業務の便宜のために行った行為等サイバー攻撃を原因とするものでないことが明らかである場合を除く。)には、速やかに内閣官房へ連絡するとともに、関係所管分野の事業者等からの情報収集、現状把握等に努めるものとする。
 また、内閣官房からの指示、情報提供等を踏まえて、各事業者に情報の提供、対処方法、体制等についての助言、指導等を行うものとする。

(2) 内閣官房における対応
 内閣官房は、各所管省庁からの情報、関係機関等からの関連情報等を収集・分析するとともに、事案の重要度に応じ、各所管省庁を通じた情報提供や助言、指導、対策支援等、関係省庁と連携した各種の緊急対処措置を講ずることとする。

(3) 事業者における対応
 各事業者は、特別行動計画に定める緊急時対応計画に想定される事項(連絡、被害拡大防止、証拠保全、復旧(応急)、再発防止等)について、速やかに適切な措置を執るものとする。

4 情報の取扱い

(1)情報共有に関する考え方

ア 共有の原則
 本連絡・連携体制において連絡された情報の取扱いについては、法令等に定めがある場合又は連絡を行う事業者の了承がある場合を除き、連絡を受ける所管官庁及び内閣官房以外に提供しないものとする。
 ただし、官民連携してサイバーテロ対策を進めるため、次の事項に該当する場合には他の事業者及び関係機関等との情報共有を行うものとする。
@
 セキュリティホール等を発見した場合であって、他の事業者に同じ問題が生じるおそれがあると認められる場合
A
 サイバー攻撃の発生又は攻撃の予告がある場合であって、他の事業者の重要システムが危険にさらされていると認められる場合
 また、政府及び各事業者は、共有された情報につき、その保秘に十分留意しなければならないものとする。

イ 共有の範囲及び内容
 情報共有(提供)は、注意喚起等として各事業者の対策に資するものとして行うものであることから、情報を共有(提供)するその範囲及び事項は次のとおりとする。
@ 情報を共有(提供)する範囲は、当該情報に直接関係する事業者等(業界固有のシステムの場合には当該業界内、他の分野に関係する場合は関係するすべての分野)とする
A 共有(提供)する情報の内容は、情報連絡を行った事業者が不利益を被らないよう、具体的な対策を実施するために必要な事項に限るものとする。また、企業名や分野名を提供する必要がある場合については、原則として同意を得た上で行うものとする。

(2)情報の公開に関する考え方
 事業者から提供された情報は、原則として行政機関の保有する情報の公開に関する法律(平成11年法律第42号。以下「情報公開法」という。)第5条第2号ロに規定する情報(任意提供情報)として取り扱うものとする。ただし、これは本官民連絡・連携体制の枠組みの中で情報を提供(共有)することを妨げるものではない。(なお、当該情報が情報公開法第5条第2号本文但し書きに規定する情報に該当する場合には、公開されることがある。)

5 その他

(1) 本連絡・連携体制の運用に関し必要な具体的事項については、年内を目途に政府及び各重要インフラで協議の上定めることとする。

(2) 本連絡・連携体制の効率的かつ効果的な運用を図るため、政府及び各事業者は訓練を実施するものとする。また、内閣官房は、平素より関係省庁及び関係機関の協力を得て、広くセキュリティ情報(セキュリティ改善に必要な情報)の収集、分析を行うとともに、これらを本連絡・連携体制の運用により得られた成果と併せて各重要インフラに随時提供するよう努めるものとする。

(3) 本申し合わせは、警報情報(サイバー攻撃の発生情報等の警戒や緊急対処に必要な情報)の共有に関する事項を中心として定めるものであるが、2(1)に定める連絡の体制は、セキュリティ情報についても、政府と重要インフラ分野各事業者間の情報共有、連絡、相談の枠組み等として活用し得るものとする。

(4) 本申し合わせについては、運用の状況、情勢の変化等を踏まえ、随時見直しを行うものとする。

http://www.bits.go.jp/about/about.html#a01