脱「省庁縦割りセキュリティ対策」、政府が統一基準

政府の情報セキュリティ政策会議は9月15日に第2回会議を開催し、「政府機関統一基準（2005年項目限定版）」を決定した。

[高橋睦美，ITmedia]

　政府の情報セキュリティ政策会議は9月15日に第2回会議を開催し、2つの施策を決定した。1つは、政府機関自身の情報セキュリティ対策強化を目指した「政府機関統一基準（2005年項目限定版）」とその運用枠組みについて。もう1つは、電力や鉄道、航空、物流といった重要インフラをサイバー攻撃や自然災害などさまざまな脅威から保護するための「重要インフラの情報セキュリティ対策に係る基本的考え方」だ。

　情報セキュリティ政策会議は、政府としての統一的な情報セキュリティ戦略の策定などを目的として、2005年5月にIT戦略本部の下に設置された組織だ。

　その当初の目的の1つに、政府としての統一的な安全基準の策定とそれに基づく各省庁の情報セキュリティ対策に対する勧告が挙げられていた。1つめの決定はこれを具体化したもので、まず対策すべき項目のうち緊急度の高いものが中心に取りまとめられている。

　政府機関はこれまでも、2000年7月に情報セキュリティ対策推進会議が定めた「情報セキュリティポリシーに関するガイドライン」に沿って各省庁ごとのポリシーを策定し、セキュリティ対策に取り組んできた。しかしこれは、全体的に見れば「分散的自己完結責任型」の取り組み。結果として各省庁ごとに対策内容や水準がまちまちとなり、セキュリティ水準の高い省庁と低い省庁の格差が大きいことが明らかになった。同時に、内部からの不正アクセスに対して脆弱である点も明らかになったという。

　「政府機関統一基準（2005年項目限定版）」は、こうした問題点の解消を狙ったもの。政府機関全体のセキュリティ対策を統一し、かつ具体的な実施手順を提示することにより、漏れなく、かつ省庁ごとのムラのない対策を実現していく。

　基準では、組織的な対策として「最高セキュリティ責任者の設置」「情報セキュリティ対策の教育」が挙げられているほか、情報の格付けとそれに基づく取り扱いの実施、情報システムおよび設備両面におけるセキュリティ対策などが挙げられている。

　そもそも、こうした状況が生み出されている根本的な原因として、セキュリティに関する専門家の不足が挙げられる。内閣官房情報セキュリティセンター（NISC）に関連する知識と情報を集約し、各省庁におけるセキュリティ対策を支援するという形を取ることにより、この問題の解消を狙う。

　また、セキュリティ対策は一度実行して終わりというものではなく、それがきちんと実施されているか、有効かどうかをチェックし、次の計画に反映させていくPDCAサイクルをまわしていくことが重要だ。そこで、今回定められた基準が実施されているかどうかをNISCが年度内に検査することとした。

　なお、今回まとめられた基準は、あくまで早急に必要な対策をまとめたもの。年内には、システムの開発・整備に関する対策項目などを追加した「政府機関統一基準（2005年12月版（全体版初版））」を策定するほか、より具体的な項目について定めた「Webサーバー設置ガイドライン」「モバイルパソコン管理ガイドライン」といった「個別ガイドライン群」を順次策定していく計画という。

　もう1つの「重要インフラの情報セキュリティ対策に係る基本的考え方」は、文字通り、生活を支えるさまざまなインフラを脅威から保護するための方向性を示すものだ。

　インフラに影響を与えるのは、いわゆるサイバーテロだけではない。ATMや航空管制システムのトラブルに見られるとおり、人的ミスや自然災害によって障害が発生し、基本的なサービスが立ち行かなくなるケースが生じている。

　政府の情報セキュリティ基本問題委員会ではこうした現状を踏まえ、重要インフラの範疇として、情報通信や金融などの7分野に「医療」「水道」「物流」などを加え、かつ脅威として意図的なサイバー攻撃だけでなく、人為的ミスや自然災害も視野に入れて防護策を講ずるべきとした「第2次提言」をまとめていた。

　今回提示された「重要インフラの情報セキュリティ対策に係る基本的考え方」は、この第二次提言を踏まえたものだ。重要インフラの対象範囲および想定脅威を見直した上で、年内をめどに新しい行動計画とガイドライン策定のための指針を作成する計画である。さらに、各分野の相互依存性を踏まえたうえで、早期警戒情報提供の枠組みや各分野間のコーディネーション機能の整備にも取り組むとしている。