- 1.ガバメントクラウド
- 2.ISMAP
- 3.GSS
- 4.NISC
- 5.デジタル庁
- 6.サイバーセキュリティ基本法
- 7.個人情報保護委員会への報告
- 8.自治体のセキュリティ
- 9.政府デジタル人材のスキル認定
- 10 セキュリティの規格
1.ガバメントクラウド
1.1 概要
・政府共通のパブリッククラウドサービスの利用環境。
・デジタル庁の以下の資料に概要の記載があります。
https://www.digital.go.jp/policies/gov_cloud
・ガバメントクラウドを構成するクラウドサービスは、ISMAPに登録されている必要があります。
・調達は各省庁ではなくデジタル庁が一括して実施
・各府省庁がクラウドサービスの利用する場合、原則としてガバメントクラウドを検討する義務がある(ガバクラ法案)
1.2 クラウドファーストとクラウドスマート
| 方針 | 時期 | 内容 | 補足 |
|---|---|---|---|
| クラウドファースト (クラウド・バイ・デフォルト原則) |
2018年 | クラウドサービスの利用を第一として検討 | 2018年6月「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を公表 |
| クラウドスマート | 2022年 | クラウドサービスを賢く適切に利用 | 2022年秋に上の基本方針を改定。単にオンプレをクラウドにするだけではなく、業務の見直し(BPR)を行う |
クラウドファーストに従ってクラウド移行していくには、IaCの活用も重要であろう。
■参考:IaC(Infrastructure as Code)
インフラ構成をコードで管理し、再現性・自動化・バージョン管理を可能にする技術的手法。
AWSでいうと、AWSが提供する純正のIaCツールであるAWS CloudFormationやTypeScript, Python, Java, C# などのプログラミング言語でAWSインフラをコード化するAWS CDK(Cloud Development Kit)がある。
1.4 実際のサービス事業者
・採択されているのは、AWS、Google Cloud、Microsoft Azure、Oracle Cloud Infrastructure、さくらのクラウド
・データは日本国内のデータセンターに置くことが求められている
・ガバメントクラウド本番環境を利用している1497システムのうちAWSが1452システムを占める。→97.0%
出典:https://xtech.nikkei.com/atcl/nxt/column/18/00001/10042/
1.5 通常のクラウドではなくガバクラを使うといいことある?
現場のシステム主管(PJMO)は、通常のクラウドサービスを利用することも、ガバメントクラウドを利用することもできます。
では、ガバメントクラウドを使うと良いことある?
❶契約はデジタル庁がやってくれる
ただ、これが利点かどうかは考え方によると思う。予算請求などのプロセスであったり、誰の予算で行うかなど、詳細は不明。基本的には、デジタル庁が各省庁に請求することになるだろう。
❷サポート契約
AWSの場合、デジタル庁はエンタープライズの契約を結んでいるので、そのサポートが利用できます。
個別にエンタープライズ契約をすると数百万〜数千万円単位の費用(※要確認)になります。
※問合せやサポート
残念ながら、デジタル庁はそこはやってくれません。クラウド事業者への問合せ窓口は各システム主管が直接持つ
1.6 ガバクラ法案
(1)概要
・「情報通信技術を活用した行政の推進等に関する法律」(デジタル行政推進法)の改正案
・ガバメントクラウドを利用することを検討する「義務」がある。※個人的には、「検討する義務」というのが非常にあいまいな気がする。
(2)目的
・国と地方公共団体が共通のクラウド基盤を共同利用することで「コストを削減」し、「効率的かつセキュア」な行政システムを実現するための法整備を図る
・自治体とCSP(AWSやAzureなど)で直接契約をせず、CSPとデジタル庁、デジタル庁と自治体のそれぞれで契約を結ぶ。このようなことを可能にするために、この「ガバメントクラウド法案」での法整備が必要。
(3)法案の骨子
❶国と地方の共同クラウド利用環境の整備
国または地方公共団体の事務に関わる情報システムについて、国と地方など複数の主体が共同でクラウドサービスを利用できるようにする
❷ガバメントクラウド利用の検討義務
ガバメントクラウドを利用することを検討することを義務化。また、地方自治体など国以外の機関についても同様の内容を「努力義務」として規定
❸費用負担と一括契約の仕組み
デジタル庁がクラウドサービス提供事業者(CSP)との契約主体となり、国および地方公共団体等の利用料を一括で支払う仕組みを整える。これによりボリュームディスカウントを最大限引き出す。
1.7 MAFFクラウド
(1)概要
このサイトより抜粋
・ガバメントクラウドの先行事例として、令和2年から稼働
・マルチクラウド・マルチアカウントのデザイン
→マルチクラウドなので、AWS+Azure(Microsoft)+GCP(Google Cloud Platform)など、複数のクラウドを利用する。マルチアカウントなので、一つのCSP内で、複数のアカウントを運用し、責任の分離やセキュリティ向上に寄与する。
・共通機能をMAFFクラウド管理者アカウントに集約
→管理者アカウントから全体のポリシーを一元的にコントロール
(2)MAFFクラウドの共通機能
上記に記載がありますが、MAFFクラウドの場合、以下の4つをセキュリティ面の共通機能とし利用しているとあります。
| 機能 | 概要 | |
|---|---|---|
| 1 | AWS Direct Connect | 専用線接続 |
| 2 | Amazon GuardDuty | 不正アクセスや悪意のある挙動を検出 |
| 3 | AWS Config | ルートユーザのMFAが無効になっている。ポートが全て空いているなどチェック、変更のログの取得 |
| 4 | AWS Security HUB | Configによる各リソースの診断結果をまとめ、全体として準拠性を満たしているかのチェック |
(3)MAFFクラウドCoE
・CoEとは
CoE(Center of Excellence」とは、知見・技術を集約し、全体をリード支援する専門チームのこと
・MAFFクラウドCoEとは
「MAFFクラウドCoEはクラウド移行を検討する各部署のPJMO(プロジェクト・マネジメント・オフィス、プロジェクト推進組織を指す)担当者に対し、検討から企画、予算要求、設計・構築、保守運用までのそれぞれの段階で技術支援している。」(出典:日経クロステック https://xtech.nikkei.com/atcl/nxt/column/18/02121/070700002/)
(4)クラウド移行の課題
(1)移行費用が膨らむこと
「クラウド利用で課題になるのは移行費用が膨らむこと」(出典:日経クロステック https://xtech.nikkei.com/atcl/nxt/column/18/02121/070700002/)
2.ISMAP
2.1 概要
・正式名称は、「政府情報システムのためのセキュリティ評価制度」で、Information system Security Management and Assessment Programの頭文字を取ってISMAPです。
・政府の資料によると、「政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、政府機関等(各府省庁等及び独立行政法人等)におけるクラウドサービスの円滑な導入に資することを目的とする制度で、令和2年6月に運用を開始」
・政府の資料によると、「各政府機関は、クラウドサービスを調達する際は本制度において登録されたサービスから調達することを原則」とする。
・ISMAP運営委員会の所管はNISC。
2.2 なぜISMAPが必要なのか
・通常のシステム調達ではこのような仕組みがないのに、なぜISMAPが必要なのか。まず、ISMAPは、「クラウドサービス」の調達に関しての制度であることをがポイントです。
・クラウドサービスは、仕様が公開されておらず、セキュリティ対策や運用がどのようになっているか、サービスを利用する側が判断することは困難です。
・政府がクラウドサービスを検討する都度、クラウドサービス側のセキュリティ対策状況を問合せたり確認するのは大変です。そこで、このISMAPによる評価制度を用いるのです。ISMAPに登録されていれば、一定の情報セキュリティ対策の実施が確認されています。よって、ISMAPのサービスに登録されたクラウドサービスを選定すればいいのです。
2.3 ISMAPクラウドサービスリスト
登録されている実際のサービスリストは、以下で検索できます。
https://www.ismap.go.jp/csm?id=cloud_service_list
たとえば、AWSは、「クラウドサービスの名称」が「Amazon Web Services」、登録番号がC21-0008-2となっている。Amazon Web Servicesの言明対象範囲として、ISMAPのサイトには資料があり、たとえば、以下がある。AWSのほぼ全て?のサービスが登録されているように感じる。
・Amazon Elastic Compute Cloud (EC2)
・Amazon Elastic Block Store (EBS)
・route53
・Amazon Simple Storage Service (S3)
Q.リージョンは海外でもいいの?
A.はい、日本限定ということはありません。
AWSの場合も、「Amazon Web Services_言明対象範囲.pdf」によると、アメリカだけでなく、ヨーロッパ、オーストラリアなど、多くのリージョンが対象です。なので、海外リージョンを選べば、海外にデータセンターがあることになります。とはいえ、「契約に定める準拠法・裁判管轄に関する情報」の資料を見ると、準拠法は「日本国法」になっています。つまり、リージョンは海外であっても、日本の法律が適用されるということです。
実際の構築時には、海外のリージョンが選べるということであって、機密性が高い情報に関しては、国内のリージョンを選ぶことになると思います。
2.4 ISMAPの利用状況
・「ISMAP等クラウドサービスリスト」への登録サービス数は、令和6年10月末時点で76サービスまで増加している。
・ 国の行政機関におけるISMAPの利用率は、令和5年10月末時点で、IaaSは89%、PaaSは90%、SaaSは69%となっている。
(出典:https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/2409_01common/241209/common04_04.pdf)
2.5 ISMAPに関するQ&A
Q1.ISMAPに登録されるには何をすればよいですか?
A.提供するクラウドサービスに対して、登録セキュリティ評価機関による評価を受け、その結果をISMAP運営委員会に提出し、登録審査を通過する必要があります。
Q2.ISMAPとISMS認証は何が違いますか?
A.ISMS(ISO/IEC 27001)は組織全体の情報セキュリティマネジメントの仕組みで、ISMAPはクラウドサービス単位のより詳細な技術・運用面の適合性を求める制度です。
Q3.更新は必要ですか?
A.はい。監査対象期間が終わって、1年4ヶ月以内に更新申請が必要。イメージとしては、1年間が監査期間で、3か月間で監査結果を提出し、その後1か月で更新の申請をする。
Q4.ガバメントクラウドとISMAPは同じものですか?
A.いいえ、ガバメントクラウドは「政府共通のクラウド利用基盤」を指し、ISMAPは「その基盤に使えるクラウドサービスを事前に評価・登録する制度」です。ガバメントクラウドの構成サービスは、ISMAPに登録されているクラウドであることが前提です。ですが、ISMAPの登録されたサービスは、ガバメントクラウド以外の政府のサービスでも利用されます。
2.6 ISMAP取得期間、費用
(1)登録までの期間
通常、準備・評価・申請・審査を含めて6か月〜1年程度かかります。評価項目のボリュームが多く、事前準備が重要です。
(2)費用
・以下のサイトによると、「ISMAPの登録にかかる費用は概ね数千万円〜1億円ほどが相場」とあります。
https://secure-navi.jp/blog/000129
・グラファ―社の資料によると、年間の維持コストは3000万~4000万円程度とある。
https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/2409_01common/241209/common04_02.pdf
2.7 ISMAP管理基準
(1)概要
・ISMAPの評価基準は専用のISMAP管理基準があります。
・その内容ですが、ISMAPだからといって特別な基準というわけではありません。ISO27001や政府の統一基準、NIST SP800-53などがベースにあり、よくあるセキュリティ対策の基準といえるでしょう。
※出典は、政府の資料
・管理基準は、以下の3つで構成される。
| 基準 | 内容(ISMAPの管理策の資料より引用) |
|---|---|
| ガバナンス基準 | 経営陣が実施すべき事項として、JIS Q 27014(ISO/IEC 27014) の内容を精査し、監査の実施可能性の観点から「プロセス」の4 桁部分(X.X.X. を再構成し、ガバナンス基準とした。 |
| マネジメント基準 | 管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置、及び、リスクコミュニケーションに必要な実施事項を定めている |
| 管理策基準 | 組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えるものである。「管理策基準」のそれぞれの事項は、管理目的と詳細管理策で構成される。 |
(2)具体的な基準
・ISMAPの管理基準(ただし、一部しか掲載されていない)
https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010028&sys_kb_id=757ef62ac3755250076ededb05013195&spa=1
・ISMAPの管理基準の詳細な基準は500とか700とかの数らしく、かなり多いです。NISCの資料では、「リスクベースアプローチを活用することにより、管理策数を数百まで削減」したい方針が出されている。
・デジ庁が公開しているISMAPの管理策基準
参考資料 クラウドサービスが遵守すべき ISMAP 管理策基準 (統制目標、末尾にBが付された詳細管理策)
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/669b13b5/20220630_resources_standard_guidelines_outline_03.pdf
・以下は上記からの抜粋ですが、管理策という位置づけ上、やや抽象的な表現になっている。
| 通番 | ISMAP管理策番号 | クラウドサービスが遵守すべきISMAP管理策 |
|---|---|---|
| 35 | 9.1.1 | アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、レビューする。 |
| 36 | 9.1.2 | 利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを、利用者に提供する。 |
| 37 | 9.2.1 | アクセス権の割当てを可能にするために、利用者の登録及び登録削除についての正式なプロセスを実施する。 |
| 38 | 9.2.1.6.PB | クラウドサービスのユーザによるクラウドサービスへのアクセスをクラウドサービス利用者が管理するため、クラウドサービス事業者は、クラウドサービス利用者に、ユーザの登録及び登録削除の機能及び仕様を提供する。 |
| 39 | 9.2.2 | 全ての種類の利用者について、全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために、利用者アクセスの提供についての正式なプロセスを実施する。 |
| 40 | 9.2.2.8.PB | クラウドサービス事業者は、クラウドサービスのユーザのアクセス権を管理する機能及び仕様を提供する。 |
| 41 | 9.2.3 | 特権的アクセス権の割当て及び利用は、制限し、管理する。 |
| 42 | 9.2.3.11.PB | クラウドサービス事業者は、特定したリスクに応じて、クラウドサービスの管理能力にあわせたクラウドサービス利用者の管理者認証に、十分に強固な認証技術を提供する。 |
| 43 | 9.2.4 | 秘密認証情報の割当ては、正式な管理プロセスによって管理する。 |
2.8 ISMAPとISO27017との比較
(1)共通点
・どちらも、クラウドサービスに特化したセキュリティの評価
・第三者による審査が必要
(2)相違点
| 比較項目 | ISMAP (政府情報システムのためのセキュリティ評価制度) |
ISO/IEC27017 (クラウドセキュリティ管理の国際規格) |
|---|---|---|
| 目的 | 日本政府が調達に使うクラウドサービスのセキュリティ基準を評価・登録する | クラウドサービスに特化した情報セキュリティ管理の国際的なベストプラクティスを提供 |
| 策定主体 | 日本政府(内閣官房、デジタル庁など) | ISO(国際標準化機構) |
| 対象 | 政府に納入されるクラウドサービス | 政府・民間問わず |
| 審査 | ISMAP運営委員会(NISC、デジタル庁、総務省、経済産業省、有識者) | 第三者認証機関 |
| 更新間隔 | 1年4か月 | 3年 |
| 取得費用 | 高 | 安 |
| 取得難易度 | 難 | 適切に管理されていれば難しくはない |
2.9 ISMAP-LIU
(1)概要
ISMAP-LIU(ISMAP for Low-Impact Use)は、ISMAPが対象とするクラウドサービスのうち、セキュリティ上のリスクの小さな業務、情報に用いられるSaaSを対象とする制度
(2)ISMAP-LIU策定の背景
「機密性2情報の中でも比較的重要度が低い情報のみを取り扱うサービス等リスクが低いサービスもあり、それらのサービスについて現行のISMAPと一律の取扱いとした場合、過剰なセキュリティ要求となり、それにより当該サービスの活用が進まない場合も考えられる。」
出典:https://www.ismap.go.jp/sys_attachment.do?sys_id=17a1ddcd8324a610aa68c6a8beaad363
(3)ISMAP-LIU に認定されたサービス
2022年11月にサービス申請受付を開始した。2025年3月現在、認定されたサービスは「営業DXサービス Sansan」1件だけのようです。
2.10 ISMAPの課題
課題が認識され、改善に向かっている。
(出典:https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/2409_01common/241209/common04_04.pdf)
3.GSS
3.1 GSSの基本
(1)GSSとは
・デジタル庁の資料は以下です。
https://www.digital.go.jp/policies/gov_solution_service
ここに「職員が利用する業務用PC、オフィスソフトウェア、コミュニケーションツール、各種セキュリティ対策等の業務環境の整備」とありますように、政府の職員が利用するPCやメール、ソフトウェアを利用する政府専用ネットワーク環境です。
・これまで利用していた「政府共通ネットワーク」の後継
・2023年度(令和5年)に移行完了を目指して進められた。
・NECさんのまとめ
https://jpn.nec.com/government/solution04/col_g.4/index.html
(2)GSSの目的
・府省間ネットワークを構築する
・広帯域、高品質、低コストかつ高いセキュリティを保つ。※それまでの政府共通ネットワークは、ビデオ会議などができないほど低速であった。
(3)歴史
※以下の記事を参照
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06774/
・霞が関WAN(1997年運用開始)
・政府共通ネットワーク(2013年に上記を刷新)
・2021年、ダークファイバーを使って省庁間でビデオ会議を利用する高速ネットワークを構築。このネットワークを各種業務システムが利用できる統合WANに作り替え。
・ガバメントソリューションサービス(GSS)
3.3 GSSとガバメントクラウド
(1)違いは?
・国民の皆様向けに利用する公開サーバはガバメントクラウドで提供され、職員はGSSを利用します。
・GSSが利用する各種アプリケーションの中で、クラウドサービスで提供されるものは、すべてガバメントクラウド上に構築されます。
3.5 GSSと他のネットワーク
(1)他のネットワーク概要
| 名称 | 正式名称 | 主な用途 | 接続対象 | 管理主体 | 特徴・備考 |
|---|---|---|---|---|---|
| GSS | Government Solution Service | 行政機関の業務用PCやネットワーク環境 | 中央省庁 | デジタル庁 | 政府共通プラットフォーム |
| LGWAN | Local Government Wide Area Network(総合行政ネットワーク) | 地方自治体間の行政専用ネットワーク | 自治体、都道府県、総務省など | J-LIS(地方公共団体情報システム機構) | インターネットから分離された閉域網。電子申請・帳票交換などで利用。セキュリティが高い。 |
| 情報ハイウェイ | 地域情報通信基盤整備推進事業などに基づくネットワーク(各自治体ごと) | 都道府県内の官公庁・教育機関などの通信基盤 | 自治体内の各種公共施設 | 各都道府県など | 主に地域内の通信網。LGWANやインターネットと連携することもある。 |
(2)LGWAN
ネットワーク接続はどうなっている?
デジタル庁の資料に、以下の図があります。
(出典:https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/b5181b0c-6424-4977-b415-b1cbb3301bc8/6fad53cc/20240618_policies_assessment_outline_05.pdf)
3.7 GSSで提供される具体的なサービス
・LAN
・PC端末
・ID管理
・省庁横断的なクラウドサービス
・テレワーク環境(ゼロトラストの考え方による設計)
出典は以下
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06774/
4.NISC
4.1 NISCとは
・内閣サイバーセキュリティセンター(National center of Incident readiness and Strategy for Cybersecurity:NISC)
・Cybersecurityとありますが、サイバーだけをやっているわけではない。メールの誤送信も含めたサイバー以外の情報セキュリティも含んでいる
4.2 NISCの活動
・NISCの活動は、大きく2つに分けられる
❶政府機関等の防護
❷重要インフラの防護 ※つまり、政府機関だけではなく民間企業のセキュリティ対策にも重要な役割を担う
https://www.nisc.go.jp/pdf/about/nisc_gaiyou.pdf
(1)政府機関等の防護
以下の資料によると、主な活動は3つ
| 項番 | 内容 | 具体的な内容 |
|---|---|---|
| 1 | 共通ルールの設定 | ・統一基準群 ・ISMAP(セキュリティ評価制度) ・調達申し合わせ |
| 2 | 横断監視・即応調整(GSOC) | ・リアルタイム横断的監視 ・警告・助言による情報共有 ・不正プログラムの分析・脅威情報の収集 |
| 3 | インシデント対処支援 | ・発生事象の把握 ・被害拡大防止、復旧、再発防止のための支援 ・研修・訓練等の実施 ・CYMAT支援(技術的支援等) |
(2)重要インフラの防護
4.3 GSOC
(1)GSOCとは
GSOC : Government Security Operation Coordination team
・2008年4月から政府機関に対する情報セキュリティ横断監視・即応調整チーム(第一GSOC)を設置
・2017年4月から独立行政法人等に対する情報セキュリティ横断監視・即応調整チーム(第二GSOC)を設置
(出典:https://www.nisc.go.jp/pdf/policy/kihon-s/shiryou04-3.pdf)
・各省庁にセンサーを置いている。
(2)GSOCで検知していること
・政府機関に対する不審な通信の検知
※「不審な通信」とは、外部から政府機関等に対する不正アクセス、サイバー攻撃やその準備動作に係るもの、標的型攻撃によりもたらされた不正プログラムが行うもの、これらに該当するとの疑いがあるもの等
・政府機関等のWebサイトに対する稼働状況の監視活動
・セキュリティ対策に必要となる情報収集や情報
(出典:https://www.nisc.go.jp/pdf/council/cs/dai19/19shiryou02.pdf)
4.4. 政府の統一基準
(1)統一基準
発出元はNISCである。
・「政府機関等のサイバーセキュリティ対策のための統一基準群」
https://www.nisc.go.jp/policy/group/general/kijun.html
・政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)
https://www.nisc.go.jp/pdf/policy/general/kijyunr5.pdf
・統一基準なので、詳細な内容までは踏み込んでいない。以下、情報セキュリティポリシーが3階層あるように、こちらも階層で分かれている。
(出典:https://www.nisc.go.jp/pdf/policy/general/rev_pointr5.pdf)
ちなみに、セキュリティポリシーの3階層とうまくリンクしているかというと、そうでもないみたい。上記の出典には以下も記載されている。
(3)機密性についての格付の定義
上記の資料に記載があるが、なかなかわかりづらい。ポイントになるであろうところを抜粋すると以下です。
| 格付の区分 | 分類の基準 |
|---|---|
| 機密性3情報 | 秘密文書としての取扱いを要する情報 |
| 機密性2情報 | 不開示情報に該当すると判断される蓋然性の高い情報を含む情報であって、「機密性3情報」以外の情報 |
| 機密性1情報 | 不開示情報に該当すると判断される蓋然性の高い情報を含まない情報 |
ちなみに、「蓋然性(がいぜんせい)」とは、起こる見込みのこと。
(4)最高情報セキュリティアドバイザー
・各省庁では最高情報セキュリティアドバイザーを設置し、セキュリティ対策に関する助言を求める。
・「政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)(https://www.nisc.go.jp/pdf/policy/general/kijyunr5.pdf)に記載されているのは2か所。
| 2.1.1 組織・体制の整備 遵守事項 (5) 最高情報セキュリティアドバイザーの設置 (a) 最高情報セキュリティ責任者は、情報セキュリティについて専門的な知識及び経験を有する者を最高情報セキュリティアドバイザーとして置き、自らへの助言を含む最高情報セキュリティアドバイザーの業務内容を定めること。 |
| 5.2.1 情報システムの企画・要件定義 遵守事項 (3) 情報システムのセキュリティ要件の策定 (d) 情報システムセキュリティ責任者は、構築する情報システムが取り扱う情報や情報システムを利用して行う業務の内容等を踏まえ高度な情報セキュリティ対策を要求する情報システムについては、情報システムの分類に応じて策定したセキュリティ要件について、最高情報セキュリティアドバイザー等へ助言を求め、業務の特性や情報システムの特性を踏まえて、上位の情報セキュリティ対策をセキュリティ要件として盛り込む必要が無いかを確認すること。 |
・「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」(https://www.nisc.go.jp/pdf/policy/general/guider6.pdf)には、具体的な業務内容の例が記載されている。
| 【 基本対策事項 】 <2.1.1(5)(a)関連> 2.1.1(5)-1 最高情報セキュリティ責任者は、以下を例とする最高情報セキュリティアドバイザーの業務内容を定めること。 a)機関等全体の情報セキュリティ対策の推進に係る最高情報セキュリティ責任者及び最高情報セキュリティ副責任者への助言 b)情報セキュリティ関係規程の整備に係る助言 c)対策推進計画の策定に係る助言 d)教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援 e)情報システムに係る技術的事項に係る助言 f)情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策定に係る助言 g)職員等に対する日常的な相談対応 h)情報セキュリティインシデントへの対処の支援 i)情報システムの分類に応じた情報セキュリティ対策に係る助言 j)前各号に掲げるもののほか、情報セキュリティ対策への助言又は支援 |
(5)具体的な内容
・政府ドメイン名の使用
| 遵守事項 (1) 政府ドメイン名の使用 (a) 情報システムセキュリティ責任者は、機関等外向けに提供するウェブサイト等が実際の機関等提供のものであることを利用者が確認できるように、政府ドメイン名を取得できない場合を除き政府ドメイン名を情報システムにおいて使用すること。 (b) 職員等は、機関等外向けに提供するウェブサイト等の作成を業務委託する場合においては、機関等に適するドメイン名を使用するよう調達仕様に含めること。 |
5.デジタル庁
5.1 デジタル庁について
(1)デジタル庁とは
(2)NISCとの違い
ChatGPTo4に答えさせました。
デジタル庁: → 「どうやって便利なデジタル行政をつくるか」を考える役所 → システムやサービスそのものの設計・推進がミッション NISC: → 「そのデジタル社会をどうやって守るか」を考える専門組織 → サイバーセキュリティに特化し、リスク管理・対策が主な役割 ※補足 両者は密接に連携しており、デジタル庁が推進するシステムにもNISCのセキュリティ基準が適用されるケースが多いです。
5.2 各種のガイドライン
(1)生成AIの調達・利活用に係るガイドライン
・正式名称は「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」で、以下のリンクに記載があります。
https://www.digital.go.jp/news/3579c42d-b11c-4756-b66e-3d3e35175623
・この中で、「5.2生成AIによるリスク」が整理されている。以下はリスクを引用。
| カテゴリ | 内容 | 詳細 |
|---|---|---|
| 技術的リスク | データ汚染攻撃等のAIシステムへの攻撃 | 学習データへの不正データ混入、アプリケーション⾃体を狙ったサイバー攻撃、プロンプトを通した攻撃等のリスクにより、AIの出力が意図的に操作され、悪影響が生じる。 |
| バイアスのある出力、差別的出力、一貫性のない出力等 | 学習データの偏り等によりAIが差別を助長する。 | |
| ハルシネーション等による誤った出力 | 生成AIが事実と異なることをもっともらしく回答する。 | |
| ブラックボックス化、判断に関する説明の不足 | AIの判断のブラックボックス化により、有事の説明責任を果たせなくなる。また、複雑な機構を持つAIシステムの場合、メンテナンスやトラブルシューティングの難易度が上がる場合がある。 | |
| 社会的リスク | 個人情報の不適切な取扱い | 適切な同意取得がなく、透明性を欠く個人情報の利用が行われる。 |
| 生命等に関わる事故の発生 | 自動運転等において、AIの誤動作による⼤規模な事故リスクが発生する懸念がある。生成AIで機械等のプログラムコードを生成するケースでは、誤った/非効率なコードによって、パフォーマンスの低下や事故等につながる懸念がある。 | |
| トリアージにおける差別 | AIが優先順位を決定する際にバイアスを持つことで、公平性の喪失等が生じる可能性がある。医療場面においては、生命に対する脅威が発生する可能性がある。 | |
| 過度な依存 | 人材採用活動等、重要な意思決定におけるAIへの過度な依存により、企業が説明責任を問われたり批判を受けたりする懸念がある。また、生成AIを用いたチャットボットとの会話により、利用者が精神的依存状態になる事例も報告されている。 | |
| 悪用 | 詐欺目的でAIが利用される懸念がある。 | |
| 知的財産権等の侵害 | 生成物による他者の知的財産権等の侵害の可能性がある。複数のアーティストからの集団訴訟事例もある。 | |
| 金銭的損失 | 企業が自社の扱うAIの出力により他者の権利を著しく侵害した場合等において、損害賠償請求など金銭的な責任を問われる懸念がある。 | |
| 機密情報の流出 | 個人情報及び機密情報がプロンプトとして入力され、そのAIからの出力等を通じて流出してしまう懸念がある。特に、外部サービスと内部データを連携する場合は、意図しない重要情報の漏えいや情報の改ざん等に注意が必要となる。 | |
| 労働者の失業 | AI等の導入により、失業リスクや格差の拡大なども懸念されている。 | |
| データや利益の集中 | 一部のAI開発者のみにデータや利益が集中する懸念がある。また、少数言語国では自国言語による高性能なAIが存在しないといった懸念がある。 | |
| 資格等の侵害 | 法律又は医療等業法免許及び資格が求められる領域に生成AIを利活用する場合、業法免許及び独占資格等の侵害リスクが存在する。 |
(2)セキュリティ・バイ・デザインガイドライン
・DS-200 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン
https://www.digital.go.jp/resources/standard_guidelines
6.サイバーセキュリティ基本法
6.1 サイバーセキュリティ基本法
以下の4つの章で構成されている。
第一章 総則(第一条―第十一条)
第二章 サイバーセキュリティ戦略(第十二条)
第三章 基本的施策(第十三条―第二十三条)
第四章 サイバーセキュリティ戦略本部(第二十四条―第三十五条)
6.3 サイバーセキュリティ戦略本部
以下にあるように、官房長官(2025年は林 芳正さん)を筆頭に、デジタル大臣や総務大臣および外部の有識者による18名のメンバーで構成されている。
https://www.nisc.go.jp/pdf/council/cs/meibo20250401.pdf
日本全体のサイバーセキュリティ戦略の決定する会議のことだと考えればいいだろう。
| Q.NISCとはどういう関係? |
A.戦略本部が決めた方針を具体的に実行・調整・監督する事務機関がNISC
7.個人情報保護委員会への報告
7.1 個人情報保護委員会への報告
以下に記載あり。
https://www.ppc.go.jp/personalinfo/legal/leakAction/
■ポイント ・「漏えい」ではなく「おそれ」であっても報告が必要 ・民間企業の場合は1000人を超える場合だが、行政機関の場合は100人が基準 ・民間企業の場合、「個人データ」であるが、行政機関の場合は「保有個人情報」が対象
(1)個人データと保有個人情報の違い
| 用語 | 対象主体 | 適用法令 | 特徴 | *補足 |
|---|---|---|---|---|
| 個人データ | 民間事業者等 | 個人情報保護法(一般法) | 検索可能な形で管理される個人情報 | 個人情報保護法に従いうので、コンピュータ処理されるか、検索可能な形で整理された個人情報。バラバラに保管した紙の名刺の情報は対象外 |
| 保有個人情報 | 行政機関・独法等 | 行政機関個人情報保護法 など | 組織的に保有し、一定期間使用が予定される個人情報 | 個人データと違い、書類などの紙で保存した情報も含まれる |
(2)報告の期限
・速報は、発覚日から、3-5日以内
・確報は、発覚日から30日以内
(3)漏えい等報告が必要な場合
・要配慮個人情報が含まれる
・不正に利用されることにより財産的被害が生じるおそれがある(たとえば、クレジットカードの番号など)
・不正の目的をもって行われたおそれがある
・一定件数以上(民間企業の場合は1000人を超える場合だが、行政機関の場合は100人)
・条例要配慮個人情報が含まれる保有個人情報の漏えい等(又はそのおそれ)※地方公共団体の機関、地方独立行政法人
8.自治体のセキュリティ
8.1 ネットワーク分離
通信経路 (7) LGWAN接続系端末に1台化 オンプレミス セキュアブラウザの対策イメージ
(出典:https://www.soumu.go.jp/main_content/001001339.pdf )
9.政府デジタル人材のスキル認定
9.1 資料の出典
政府デジタル人材のスキル認定の基準
https://www.nisc.go.jp/pdf/council/cs/taisaku/shingikan/dai26/26skill_nintei.pdf
9.2 スキル認定区分
政府デジタル人材のスキル認定は、「政府デジタル人材として職務を遂行する」人に対する認定であり、全員が該当するわけではありません。ごく一部と言えるでしょう。
ちなみに、以下の5つの区分があります。
| 項番 | スキル認定区分 |
|---|---|
| 1 | 係員スキル認定 |
| 2 | 係長スキル認定 |
| 3 | 課長補佐(プロジェクト担当)スキル認定 |
| 4 | 課長補佐(サイバーセキュリティ担当)スキル認定 |
| 5 | 課室長スキル認定 |
9.3 スキル認定の基準
以下のすべての要件を満たす必要がある
(1)業務経験
(2)公的資格試験等の合格又は修了
(3)研修の修了
9.4.公的資格試験等の合格又は修了
スキル認定区分に応じて、求められる資格が異なる。
たとえば、係長であれば、応用情報技術者試験の合格が求められる。※代替えのベンダ資格もあり。
10 セキュリティの規格
| 規格 | 意味 | 説明 | 主な対象者 |
|---|---|---|---|
| ISO/IEC27001 | 情報セキュリティマネジメントシステム(ISMS)要求事項 | 情報セキュリティの基本ルール(認証対象) | 全組織・情報システム部門 |
| ISO/IEC27002 | 情報セキュリティ管理策の実践のための規範 | 27001の実施手順集(詳細な管理策) | 実務担当者 |
| ISO/IEC27014 | 情報セキュリティガバナンス | 経営層向けのセキュリティ統治ガイド | 経営層・CISO・ガバナンス責任者 |
| ISO/IEC27017 | クラウドサービスにおける情報セキュリティ管理策の実践のための規範 | ISO27001のクラウドに特化したものと考えればいいでしょう。 | クラウド提供者・利用者 |
| ISO/IEC27018 | 個人識別情報(PII)の保護に関する実践規範(パブリッククラウド) | パブリッククラウドでの個人情報保護ガイド | クラウド提供者(PIIを取り扱う) |
| ISO/IEC27701 | プライバシー情報マネジメントシステム(PIMS)-要求事項および指針 | 27001をベースに、プライバシー保護に関するもの。GDPRとの対応表も付則にあり、GDPRに適合する際にも参考になる。 | プライバシー担当者・法務部門・情報管理責任者 |
