会計検査院はこのほど、国会および内閣への報告書「各府省庁等の情報システムに係る情報セキュリティ対策等の状況について」を公表しました。本報告書は、各府省庁などの情報セキュリティ対策について実施状況を調査し、取りまとめたものとなっています。
検査対象は、内閣、内閣府、デジタル庁、総務省、法務省、外務省、財務省、文部科学省、厚生労働省、農林水産省、経済産業省、国土交通省、環境省および防衛省の本府省庁など24機関と地方支分部局16機関。対象システムは本府省庁などの236システム、地方支分部局の120システムです。
国の行政機関などの業務では情報システムの利用が拡大する一方、懸念されている情報セキュリティのインシデントが発生しているため、情報セキュリティの確保が重要課題となっています。国のサイバーセキュリティに関する施策は、サイバーセキュリティ戦略本部、国家サイバー統括室(前身は内閣サイバーセキュリティセンター=NISC)、デジタル庁などにより推進されており、行政機関などは情報セキュリティ対策の取り組みが求められています。
行政機関などは「統一基準群」に基づいた情報セキュリティ対策を講じることとされています。統一基準群とは、「統一規範」、「統一基準」、「ガイドライン」の3つ(※1)の文書で構成されています。今回の調査結果ではこの統一基準群に準拠した運用を行う必要性の認識不足や、基本対策事項についての理解が不十分だったことにより、対策が適切に講じられていなかったことが明らかとなりました。
具体的には、以下のような問題点を指摘しました。
- 統一基準群に準拠させるためのポリシーの改定を完了していない
- 業務委託に係る調達仕様書などに定めるべき事項が定められていない、など
- 情報システム台帳に記載されておらず台帳による管理が行われていない、など
- 統一基準群に準拠した対策が講じられていない(ソフトウェアに関する脆弱性対策が講じられていない、アクセスの権限・主体認証情報の管理が適切でない、点検対象ログが取得されていない、クラウドサービスの利用について許可権限者から承認を受けていない、など)
- 計23機関137システムで情報システムIDが付番されていない(ID付番なしシステムは情報セキュリティ対策の実施割合が低くなっていた)
- 計37機関259システムでIT-BCPが策定されていない
そのため、各機関では統一基準群に準拠した対策を講じるとともに、政府業務継続計画などに基づきIT-BCPの策定および適切な運用を確実に行うことが必要であるという見解を示しました。
このほか、情報セキュリティ対策に関わる教育や情報セキュリティ監査の状況などについて調査結果が記されています。
※1 それぞれの正式名称は「政府機関等のサイバーセキュリティ対策のための統一規範」「政府機関等のサイバーセキュリティ対策のための統一基準」「政府機関等の対策基準策定のためのガイドライン」
