2021年度 第3回 定例研究会

<政府機関等のサイバーセキュリティ対策のための統一基準群の改定について>

2021年11月16日開催

講演概要

令和3年7月7日に「政府機関等のサイバーセキュリティ対策のための統一基準群」が3年ぶりに改定されました。
統一基準群は、政府機関等が情報セキュリティ対策を実施するためのベースラインを規定したものであり、国の行政機関や独立行政法人等は、統一基準群を踏まえた情報セキュリティポリシーを策定又は改定した上で、情報セキュリティ対策を適切に実施する必要があります。
今回の改定は、クラウドサービスの利用拡大やサイバーセキュリティ対策をめぐる動向を踏まえ、規定の見直し・強化を図るものです。本講演では、改定のポイントについて解説していただきます。

講師


内閣官房 内閣サイバーセキュリティセンター
内閣参事官

中野 美夏 氏

内閣官房 内閣サイバーセキュリティセンター
参事官補佐

峯岸 直己 氏


セミナーレポート

第3回定例研究会は、内閣官房 内閣サイバーセキュリティセンター 内閣参事官の中野 美夏 氏、参事官補佐 峯岸 直己 氏をお招きし、「政府機関等のサイバーセキュリティ対策のための統一基準群の改定について」をテーマに、ご講演を頂きました。

はじめに、中野氏より、サイバーセキュリティ政策の概要、統一基準群の役割と改定の概要についてご説明いただきました。
サイバーセキュリティ政策の概要としては、サイバーセキュリティ政策の推進体制におけるNISCの位置づけ、サイバーセキュリティ政策の経緯と統一基準群の変遷、あらゆる主体を対象としたサイバーセキュリティ戦略のポイント、東京オリンピック・パラリンピックにおけるサイバーセキュリティ対策の成果やそれらが国際的にも評価されている点などについてご紹介いただきました。
統一基準群の役割と改定の概要としては、統一基準群が運用指針、統一規範、統一基準、ガイドラインから構成され、省庁全体の情報セキュリティ水準を底上げする役割を担っていること、PDCAサイクルを踏まえた運用の重要性に触れ、今回の統一基準群の改定は、クラウドサービスの利用拡大、情報セキュリティ対策の動向、多様な働き方が前提となった状況などを踏まえたものであることについてご紹介いただきました。

次に、峯岸氏より、統一基準群の概要、令和3年度改定のポイントについてご説明いただきました。
統一基準群の概要としては、統一基準群の文書体系や章構成に触れ、第1部から第8部までの各部の概要とともに、主な改定箇所は第4部 外部委託、第6部 情報システムのセキュリティ要件、第8部 情報システムの利用であることについてご紹介いただきました。
令和3年度改定のポイントとしては、下記についてご紹介いただきました。

  1. クラウドサービスの利用拡大を見据えた記載の充実
    約款による外部サービスとクラウドサービスを外部サービスとして統合し、外部サービス上での要機密情報の取り扱いの有無により求めるセキュリティ対策のレベルを整理した点など
  2. 多様な働き方を前提とした情報セキュリティ対策
    テレワークやWeb会議サービス利用時の情報セキュリティ対策を新設した点など
  3. 情報セキュリティ対策の動向を踏まえた記載の充実
    近年のサイバー攻撃やインシデント事例を踏まえ、EDR、CDNサービス、IT資産管理ソフトウェア、標的型メール攻撃、暗号化消去、電磁的記憶媒体廃棄時の情報の抹消などのサイバーセキュリティ対策を例示した点や、ゼロトラストアーキテクチャなどの最新の考え方を反映した点など
  4. その他の修正
    情報の格付の区分についての解説を追加した点や、統一基準群及び関連文書の文書名を変更した点など

当日の参加人数は243名です。
Web会議形式ならではのチャットによる質疑応答が講演中から活発に行われ、峯岸様よりすべての質問について丁寧にフォローいただきました。質疑応答の様子からも本テーマに関する受講者の皆様の関心の高さがうかがえるセミナーとなりました。