National Information Security Center内閣官房情報セキュリティセンター

ＨＯＭＥ > 活動内容 > 政府機関総合対策促進グループ > 「政府機関の情報セキュリティ対策のための統一基準群（平成24年度版）」について

活動内容

「政府機関の情報セキュリティ対策のための統一基準群（平成24年度版）」について

　「政府機関の情報セキュリティ対策のための統一規範」（統一規範）、「政府機関の情報セキュリティ対策における政府機関統一管理基準及び政府機関統一技術基準の策定と運用等に関する指針」（運用指針）、「政府機関の情報セキュリティ対策のための統一管理基準」（統一管理基準）及び「政府機関の情報セキュリティ対策のための統一技術基準」（統一技術基準）から構成される「政府機関の情報セキュリティ対策のための統一基準群」（統一基準群）は、平成23年4月21日に情報セキュリティ政策会議で5度目の改定が行われました。これら統一基準群は、新たな脅威や情報技術・利用環境の変化等に応じて、随時見直しを行うこととしております。　
　昨年度（平成23年度）は、国の機関等を対象とした執拗な標的型攻撃が顕在化したり、東日本大震災へ対処するなかで従来のBCPの不備が明らかとなるなど、情報セキュリティに関して新たに対処すべき脅威やリスクが多数みられました。また、政府機関においても本格的にIPv6技術への対応を促進することが決定されるなど、情報技術・利用環境の変化への対応も求められています。
　一方で、統一基準群に基づく政府機関の情報セキュリティ対策も7年目に入り、各府省庁においてより自立的にセキュリティ対策を進めることが求められる一方、各府省庁独自のISMSの構築に配慮した結果、従来の取組が形骸化してきていることも懸念されました。
　これらを踏まえ、統一技術基準については、平成24年4月18日の情報セキュリティ対策推進会議（CISO等連絡会議）において、統一技術基準以外の統一基準群については、平成24年4月26日の情報セキュリティ政策会議において、それぞれ平成24年度改定版が決定されました。
　改定後の基準は、以下のとおりです。

○	「政府機関の情報セキュリティ対策のための統一規範」

最高情報セキュリティ責任者による情報セキュリティ対策の取組の理解及び把握に資する文書として、以下の事項を記載している。
(1) 目的及び対象（第一条―第二条）
(2) 政府機関の情報セキュリティ対策のための基本指針（第三条―第四条）
(3) 政府機関の情報セキュリティ対策のための基本対策（第五条―第二十四条）
別表1) 情報の格付の区分
別表2) 行政事務従事者の遵守事項

○	「政府機関の情報セキュリティ対策における政府機関統一管理基準及び政府機関統一技術基準の策定と運用等に関する指針」

次に示す3つの取組を骨格として、政府機関統一基準及び技術基準の運用の枠組みを示している。

(1) 政府機関統一基準及び技術基準の策定と各府省庁における情報セキュリティポリシーの見直し

各府省庁においては、政府機関統一基準及び技術基準に準拠して、自らの情報セキュリティポリシー（省庁対策基準）の見直しを図り、対策の底上げを図る。

(2) 対策実施手順書の整備の支援（各府省庁に対する草の根支援）

省庁対策基準を反映した多数の実施手順書等を各府省庁が作成する上で、手引き又は参考となるガイドライン群をセンターが作成し、各府省庁の利用に供する。

(3) 対策実施状況の確認と評価に基づくPDCAサイクルの確立

各府省庁自らが行う自己点検・自主検査、第３者の視点でセンターが行う検査と評価、当該評価結果をもとに情報セキュリティ政策会議が行う勧告、これらを受けて政府機関統一基準及び技術基準と省庁対策基準を見直すというPDCAサイクルの確立により、継続的な対策の向上を図る。

○	「政府機関の情報セキュリティ対策のための統一管理基準」及び「政府機関の情報セキュリティ対策のための統一技術基準」

各府省庁の情報セキュリティ対策内容の整合化・共通化を促進するために、各府省庁がとるべき情報セキュリティ対策を定めたもの。基準の構成は以下の通り。

(1) 「政府機関の情報セキュリティ対策のための統一管理基準」（平成24年度版）

　第1.1部　総則
　第1.2部　組織と体制の整備
　第1.3部　情報についての対策
　第1.4部　情報処理についての対策
　第1.5部　情報システムについての基本的な対策

(2) 「政府機関の情報セキュリティ対策のための統一技術基準」（平成24年度版）

　第2.1部　総則
　第2.2部　情報セキュリティ要件の明確化に基づく対策
　第2.3部　情報システムの構成要素についての対策
　第2.4部　個別事項についての対策
　政府機関の情報セキュリティ対策のための統一技術基準　別表1、2

〈本基準の理解を助けるための参考資料〉

「政府機関の情報セキュリティ対策のための統一管理基準（平成24年度版）」解説書
「政府機関の情報セキュリティ対策のための統一技術基準（平成24年度版）」解説書
「政府機関の情報セキュリティ対策のための統一管理基準（平成24年度版）」新旧対照表
「政府機関の情報セキュリティ対策のための統一技術基準（平成24年度版）」新旧対照表
「政府機関の情報セキュリティ対策のための統一管理基準（平成24年度版）」遵守事項一覧（Excel形式）
「政府機関の情報セキュリティ対策のための統一技術基準（平成24年度版）」遵守事項一覧（Excel形式）
「政府機関の情報セキュリティ対策のための統一技術基準（平成24年度版）　別表１、２」（Excel形式）

○	政府機関統一基準適用個別マニュアル群

政府機関統一基準適用個別マニュアル群とは、各府省庁が「政府機関の情報セキュリティ対策のための統一管理基準」及び「政府機関の情報セキュリティ対策のための統一技術基準」に基づき策定した省庁対策基準を、実際に適用する際に対策を円滑に実施するための文書（実施手順、規程及びマニュアル等）を作成する際の参考資料として作成したものです（一覧はこちら）。
なお、旧版の政府機関統一基準への適用個別マニュアル群については、別ページをご覧ください（一覧はこちら）。

【参考】「政府機関の情報セキュリティ対策のための統一基準」について

　政府機関（各府省庁）の情報セキュリティ対策については、１）情報セキュリティ水準の高い省庁と低い省庁の格差が大きい、２）急激に変化するIT環境に対応した情報セキュリティ対策を実施する人材が全体的に不足している等の問題が指摘されています。［参考資料］
　また、昨今、政府機関へのサービス不能（DoS）攻撃が増加し、国内の企業等においては、重要情報の漏洩問題が相次ぐなど、情報セキュリティ関連の事故が多発している状況にあります。
　こうした状況を受けて、まず、平成17年9月15日、情報セキュリティ政策会議第2回会合において、「政府機関の情報セキュリティ対策の強化に関する基本方針」及び「政府機関の情報セキュリティ対策における統一基準の策定と運用等に関する指針」が決定されるとともに、政府機関全体として統一的にとるべき対策のうち、緊急性の高いものについて定めた「政府機関の情報セキュリティ対策のための統一基準（2005年項目限定版）」及びその運用枠組みが決定されました。［参考資料］
> 　次いで、同年12月13日、情報セキュリティ政策会議第3回会合において、システムの開発・整備に関する対策項目などを追加した「政府機関の情報セキュリティ対策のための統一基準（2005年12月版［全体版初版］）」が決定されました。［参考資料］
　「政府機関の情報セキュリティ対策のための統一基準」については、技術や環境の変化を踏まえ見直しを行うこととされており、平成19年6月14日（情報セキュリティ政策会議第12回会合）及び平成20年2月4日（情報セキュリティ政策会議第16回会合）、平成21年2月3日（情報セキュリティ政策会議第20回会合）において、改訂版が決定されました［参考資料1］［参考資料2］［参考資料3］（平成22年5月11日（情報セキュリティ政策会議第23回会合）には、「第４版」に微修正を加えた「第４版（平成21年度修正）」が決定）。
　さらに、平成23年度には、基準運用の実効性の向上を図るため、従来の構成の見直しを図り、「政府機関の情報セキュリティ対策のための統一規範」、「政府機関の情報セキュリティ対策における政府機関統一管理基準及び政府機関統一技術基準の策定と運用等に関する指針」、「政府機関の情報セキュリティ対策のための統一管理基準」及び「政府機関の情報セキュリティ対策のための統一技術基準」が、平成23年4月21日、情報セキュリティ政策会議第25回会合において、決定されました。
　また、今後「政府機関の情報セキュリティ対策のための統一技術基準」については、情報セキュリティ対策推進会議において改定を決定することとなりました。　

〈本基準の理解を助けるための参考資料〉

情報セキュリティ基本問題委員会第１次提言
各府省庁の情報システム及びその運用に関する安全基準の策定に係る基本方針について（平成16年7月26日情報セキュリティ対策推進会議幹事会）
各府省庁の情報セキュリティ対策の評価に係る基本方針について（平成16年7月26日情報セキュリティ対策推進会議幹事会）
情報セキュリティポリシーに関するガイドライン（平成12年7月18日情報セキュリティ対策推進会議決定、平成17年9月廃止）
「政府機関の情報セキュリティ対策の強化に関する基本方針」
「政府機関の情報セキュリティ対策における統一基準の策定と運用等に関する指針」
「政府機関の情報セキュリティ対策のための統一基準（2005年項目限定版）」
- 「政府機関の情報セキュリティ対策のための統一基準（2005年項目限定版）」解説資料
「政府機関の情報セキュリティ対策のための統一基準（2005年12月版［全体版初版］）」
- 「政府機関の情報セキュリティ対策のための統一基準（2005年12月版［全体版初版］）」解説書
- 「政府機関の情報セキュリティ対策のための統一基準（2005年12月版［全体版初版］）」の遵守事項一覧表（MS-Excel形式）
- 政府機関統一基準の説明資料（2006年8月2日）
「政府機関の情報セキュリティ対策のための統一基準（第２版）」
- 「政府機関の情報セキュリティ対策のための統一基準（第２版）」解説書
- 「政府機関の情報セキュリティ対策のための統一基準（第２版）」の遵守事項一覧表（MS-Excel形式）
「政府機関の情報セキュリティ対策のための統一基準（第３版）」
- 「政府機関の情報セキュリティ対策のための統一基準（第３版）」解説書
- 「政府機関の情報セキュリティ対策のための統一基準（第３版）」の遵守事項一覧表（MS-Excel形式）
「政府機関の情報セキュリティ対策のための統一基準（第４版）」
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）」解説書
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）」改訂の概要について（要約版）
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）」改訂の概要について
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）」の遵守事項一覧表（MS-Excel形式）
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）」と（第３版）の項番対応表
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）」と（第３版）の遵守事項対応表
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）」と（第３版）の新旧対照表
「政府機関の情報セキュリティ対策のための統一基準（第４版）（平成21年度修正）」
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）（平成21年度修正）」解説書
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）（平成21年度修正）」改訂の概要について
- 「政府機関の情報セキュリティ対策のための統一基準（第４版）（平成21年度修正）」と（第４版）の新旧対照表
「政府機関の情報セキュリティ対策のための統一基準群（平成23年度版）」
- 「政府機関の情報セキュリティ対策のための統一管理基準」
- 「政府機関の情報セキュリティ対策のための統一管理基準」解説書
- 「政府機関の情報セキュリティ対策のための統一管理基準」新旧対照表
- 「政府機関の情報セキュリティ対策のための統一技術基準」
- 「政府機関の情報セキュリティ対策のための統一技術基準」解説書
- 「政府機関の情報セキュリティ対策のための統一技術基準」新旧対照表
- 「政府機関の情報セキュリティ対策のための統一管理基準」及び「政府機関の情報セキュリティ対策のための統一技術基準」と「政府機関の情報セキュリティ対策のための統一基準（第４版）（平成21年度修正）」の項番対応表
- 「政府機関の情報セキュリティ対策のための統一管理基準」と「政府機関の情報セキュリティ対策のための統一基準（第４版）（平成21年度修正）」の新旧対照表
- 「政府機関の情報セキュリティ対策のための統一技術基準」と「政府機関の情報セキュリティ対策のための統一基準（第４版）（平成21年度修正）」の新旧対照表