政府 セキュリティ基準の改定案を公開


政府のIT総合戦略本部の下にある情報セキュリティ政策会議は2014年1月、「政府機関の情報セキュリティ対策のための統一基準群(2014年度版)」の案を決定しました。

2月14日までパブリックコメントを募集し、3月下旬の次回会合で正式決定し、新年度となる4月から各府省庁で順次運用を開始する予定です。



公開された「統一基準群」は、現行の統一基準群が複雑化・肥大化・形骸化しているという反省に立ち、「実効性の向上」を目標に掲げて、標的型攻撃やクラウドサービス、BYOD(私物端末の利用)、USBメモリーなどに関する規定が新規に盛り込まれています。

今後、「統一基準群」に準拠したセキュリティ基準が各団体でも運用されるため、自社のセキュリティ基準見直しの参考にしてください。



■統一基準群の構成と特徴

統一基準群は、以下の構成となっています。
(1)基本的な指針を定めた「統一規範」
(2)統一基準の策定と運用等に関する指針である「運用指針」
(3)本体である「統一基準」
(4)各府省庁での対策基準を策定するための「ガイドライン」

今回の改定は2013年6月に情報セキュリティ政策会議が決定した「サイバーセキュリティ戦略」に沿ったものであり、2013年5月に正式就任した内閣情報通信政策監(政府CIO)が関わる初の統一基準群となっています。



新年度版は、「実効性の向上」を目標に掲げており、標的型攻撃の激化や2013年7月に複数の省庁で発覚したグループメールサービスの利用に伴う情報漏えい、複合機へのサイバー攻撃のリスク顕在化など、政府機関が現時点で経験・直面している脅威を踏まえた内容となっています。

新しい統一基準群では、各府省庁の最高情報セキュリティ責任者(CISO)が自らの判断で目標や実施計画を策定し、対策の実施・評価・点検、計画の見直しを行うように求めることで、各府省庁が独自のPDCA(Plan-Do-Check-Action)サイクルによって自律的に対策を強化できるようにする。また、「分かりやすく守られやすい基準作り」を目指して、定義や用語の明瞭化・簡潔化、名宛人ごとの順守事項の集約、冗長な表現の排除、形骸化した規定の見直しにも取り組んでいけるようになっています。



■追加された内容

具体的には、以下の項目が追加されています。
(1) 標的型攻撃などの脅威の高度化・多様化に対する対応
(2) クラウドサービスなどの対応
(3) 「BYOD(Bring Your Own Device)」の対応
(4) USBメモリーやソーシャルメディアサービスなどの対応
(5) 複合機に関する対応




標的型攻撃への対策では、侵入防止の「入り口対策」、不正プログラムが組織内に侵入してしまった状況を想定した「内部対策」の基準も定められています。

また、メールやオンラインストレージ、グループウエアなどの民間のクラウドサービスについては、「約款による外部サービスの利用」として項目を設け、利用規定を整備して機密情報を取り扱わないことやサービスごとに責任者を設けることを求めています。

私物のPCやスマートフォンを行政事務に用いる「BYOD(Bring Your Own Device)」については、「府省庁支給以外の端末の利用」の項を設け、出張や外出の際にやむを得ず私物の端末を利用する際の規定を定められています。

今までなかった、USBメモリーやソーシャルメディアサービスなどの規定については、利用や運用の手順を定めることなどを求めています。




ナレッジソリュションズ コーポレーション
代表取締役 中村 豊成
Copyright(c) Knowledge Solutions Corporation.