特別講演 情報セキュリティ関する政府統一基準について

佐藤慶浩 内閣官房情報セキュリティセンター 参事官補佐

2005/10/07

情報セキュリティ政策会議．これまでの政策会議では，各省庁基準はバラバラであったと認識．各省庁基準は穴あき．

統一化，整合化．具体的な対策提示．

今までサボっていたわけではなくて，スキルを持った人材不足．セキュリティセンター．
政府の統一基準と呼んでいるが，統一基準文書群．

これからの行動計画．年度内．政府内統一基準 9/21 決定は項目限定版が公表済み． 12 月を目指して，限定版を外して，全体の初版を作っている．限定版に基づいて，パブリックコメント．12 月に初版．情報セキュリティ対策の統一基準．情報セキュリティ以外の施策，情報システムそのものをもう一度見直ししようというのも含まれる．

ここまでが公開資料．

政府機関統一基準．公表されている内容から図に起こしなおした．

統一基準は文脈上二つの意味．いくつかの文書を統一したもの→文書群
・政府基本方針
・統一基準運用指針
・政府機関統一基準

三冊をまとめて，統一基準という場合もある．

政府として政府の統一基準が出来て，一つの基準に従うという印象があるかもしれないが，そうではなくて，政府機関統一基準に合致するような形で，各省庁の基準を見直す．統一基準を満たすように，各省庁で齟齬がないようにする．統一基準そのものに関しては，各省庁の特殊性まで入れ込んであるわけではない．

国家公務員倫理規定による守秘義務の適用範囲．
各府省庁の定める情報セキュリティ対策基準の範囲．

本統一基準だけで，すべての情報セキュリティ対策を網羅するのではない．書いてないことは政府でやるつもりが無い，ということでもない．

統一基準は第一部から第六部までの構成．基準の中の遵守事項を書かなければならないが，世の中でよく知られているガイドラインなど丁寧に分析，長所短所を調べて統一基準の構成を決めている．世の中にあるもので，目次，それぞれ，よくあるのは情報セキュリティのアーキテクチャのような切り口，情報セキュリティの体制・役割に基づいた切り口などいろいろある．目次に関しては，情報セキュリティの切り口ではやらない．行政事務の視点において，どういうかかわり方があるかという視点で全体構成を書いている．

主たる対象者：第二部：統括
第三部：全従事者
第四部：情報システム関係者

世の中のガイドラインの気づいた点：目次ベースである程度キレイにする構成の美学を追求しすぎ，隙間が出来てしまう．理想的にはそろえることができるかもしれないが，構成の美学にこだわると隙間が出来てしまう．隙間は避けたかった．規定文書ではあまり良くないかもしれないが，重複があってもよいだろうと考え，第六部を作成した．同じことを別の側面で規定することを受容するという形で作成している．目次構成を世の中とは違うやり方をとった．これらのことは，第一部総則のところでまとめている．

基準そのものをどうやって使うかということを基準の中で書くのはイレギュラーだが，入れている．
パブコメをしていただく場合に，是非紹介したい．

〜こと．という語尾で出来ている．すべて，誰が，というのを特定している．それぞれの遵守事項に見出しがあり，基本遵守事項と強化遵守事項．基本遵守事項は必須．強化遵守事項は，必要に応じて実施する．言葉尻だけではわからないが，違うので，そう呼んでほしい．

今回の基準で配慮した部分で，一つ目は目次構成．二つ目は，ある意味当たり前だが，情報の格付けを遵守事項に入れた．当然なのだが，何分にも政府機関は大きな組織，中央省庁だけでなく，外郭も含めて，非常な大きな人数を抱えている．大変だが，情報の格付けをするということを配慮した．格付けがなければ，対策が定まらない．小さなことからこつこつと，という基本を担保すべく基準を策定．

全職員がやらなければならない．情報システムにかかわる部分は第4部と第5部に分けている．漏れをなくしたい，重複はかまわないとしている．今日の時点で想定していない事象が出たり，セキュリティではなく，IT の新しいものなど，新しいものが出てきたときに対応できるように．

第4部
セキュリティ機能の必要性およびセキュリティ脅威の栄起用を確認し，必要な事項を適用する．全項目の遵守事項を確認する．対象とするものに何が必要かによって遵守事項が決まる．

第5部
当該システム種類を確認し，該当すれば適用する．該当する見出し項目の遵守事項を確認する．対象とするものがどんな種類かによって遵守事項が決まる．

K303 とは，政府内での呼び方．K303-051(51 版)

パブコメを10月中旬に実施．

第二回政策会議の公開文書との差異：書式上の改定，項目完全版に向けた骨子案を追加してある．逐条の解説文を付記している．

ご意見提出に当たってのお願い：
・パブコメの趣旨説明をお読みの上で，ご意見をお寄せください．
・早めのご提出をいただければ幸いです．

Q. 各機関で使用するなら共通基準の方が良いと思うのだが．
A. 共通の，としても良かったのだが，文書名の方が先に決まった．まったく間違ったタイトルだとは思っていない．共通という認識で呼んでもらえばわかりやすいと思う．

Q. 省庁間でバラバラであったということだと思うが，これで，世界に誇れるものになったのか．どのような意義があるのか？
A. 今回の基準そのものを他国と比べて相対的にどう捉えるかという調査はしていない．著しく劣るとは考えていない．平成12年度の各省庁情報セキュリティポリシーガイドラインに従って，抽象的な感じで作成されてバラバラ感がある．著しい問題があるわけではないが，横に並べてみると，ある省庁でやってることがある省庁ではやっていない．政府としての説明義務を果たしているわけではない．それをあるところまで埋める．機微名も野を扱っている機微なものもあるので，説明責任を果たせるための水準そのものを示しましょう．政府としてどうしているかという説明を可能にする．

この後，情報セキュリティ対策そのものの底上げをやっていくが，まずは，政府として何をやっているのかを答えられるようにした．

以上