サイバーセキュリティ基本法に基づき、内閣に設置されるサイバーセキュリティ戦略本部は、令和3年7月7日に「政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」という)」の令和3年度版を公開した。
統一基準群とは、中央省庁をはじめとする国の行政機関及び独立行政法人等(以下「機関等」という)の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項が規定された文書である。
機関等は、統一基準群を参照しつつ、各機関等の特性を踏まえた基本方針及び対策基準(以下「情報セキュリティポリシー」という)を定めなければならず、今回の統一基準群の改定により、旧版の統一基準群(平成30年度版)に基づき定めていた情報セキュリティポリシーの見直しが必要となる。
これに伴い、機関等へ情報システムやサービスを提供する民間の事業者においても、機関等が見直した情報セキュリティポリシーに基づく対策(すなわち令和3年度版の統一基準群に基づく対策)が新たに求められることとなる。
また、統一基準群は、サイバーセキュリティ戦略本部が公開する「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)改定版」における対策項目の参照先となっている等、機関等だけでなく、民間の事業者においても対策の策定や見直しにあたり参照すべき文書となっている。
しかしながら、統一基準群については、複数の文書から構成され、内容を正しく理解するには複数の文書の間に跨って定義された項目を併せて参照することが求められる等、複雑な文書体系となっており、初めて触れるような方にはやや敷居が高いものとなっている。
そこで、本記事では、統一基準群(令和3年度版)に基づく対策の策定や見直しの一助となることを目的とし、最低限押さえておくべき統一基準群の読み解き方と、令和3年度改定ポイントを解説する。
統一基準群の読み解き方
統一基準群の文書体系について
統一基準群は以下の4つの文書から構成されている。機関等はこのうち「政府機関等の対策基準策定のためのガイドライン」を参照しつつ、「政府機関等のサイバーセキュリティ対策のための統一基準」と同等以上の情報セキュリティ対策を可能とする対策基準を含む情報セキュリティポリシーを定める必要がある。
統一基準群を構成する文書 [1]
- 政府機関等のサイバーセキュリティ対策のための統一規範 ※以下、「統一規範」という
- 政府機関等のサイバーセキュリティ対策の運用等に関する指針 ※以下、「運用指針」という
- 政府機関等のサイバーセキュリティ対策のための統一基準 ※以下、「統一基準」という
- 政府機関等の対策基準策定のためのガイドライン ※以下、「対策基準策定ガイドライン」という
また、統一基準群には含まれないが、機関等において情報セキュリティポリシーの下位規程となる実施手順を定める際の参考として、統一基準適用個別マニュアル群が統一基準群と併せて公開されている。
図1‑1. 統一基準群の文書体系
[1] 内閣サイバーセキュリティセンター 「政府機関等のサイバーセキュリティ対策のための統一基準群(令和3年度版)」について(https://www.nisc.go.jp/active/general/kijunr3.html)
対策の策定・見直しにおいて参照すべき項目について
統一基準群では、機関等に求める対策事項に対し、①目的・趣旨、②遵守事項、③基本対策事項、④解説の項目が定義され、対策の策定・見直しにおいては、これらの4つが参照すべき項目といえる。
なお、これら4つの項目については、以下の図1‑2に示す通り、統一基準と対策基準策定ガイドラインの2つの文書に分かれて定義されている。ただし、いずれの項目も対策基準策定ガイドライン内に記されていることから、対策の策定や見直しの際には必ずしも双方の文書を併せて参照する必要はなく、対策基準策定ガイドラインの方を参照すればよい。
図1‑2. 対策の策定・見直しにおいて参照すべき項目
一方、悪い例として、統一基準への準拠が求められた場合等において、統一基準群の文書間の関係性を考慮せず、統一基準の文書のみを参照してしまうと、目的・趣旨及び遵守事項しか記載されておらず、統一基準の求める水準以下の対策を講じかねないため注意が必要である。
例えば、表1‑1に示すような遵守事項の内容(不正プログラム対策ソフトウェア等導入)のみを講じてしまい、遵守事項を満たすために求められる基本対策事項の内容(不正プログラム対策ソフトウェア等に求められる機能や運用)が伴わないことが懸念される。このため、統一基準への準拠が求められた際には、必ず対策基準策定ガイドラインを参照のうえ、対策を講じる必要がある。
表1‑1 . 不正プログラム対策に係る遵守事項と基本対策事項の例
基本対策事項参照時の注意点について
対策の策定や見直しにあたっては、前項で示した4つの項目のうち、具体的な対策事項が示される基本対策事項を中心に参照しつつ行うことが有効となる。ただし、基本対策事項で記載される対策については、以下の図1‑3に示す記載パターンによって、大きく要求レベルが異なることに注意が必要である。
図1‑3. 基本対策事項の記載パターン
例えば、対策基準策定ガイドラインでは、表1‑2に示す無線LAN環境導入時の対策における基本対策事項として、従来から「IEEE802.1Xによる無線LANへのアクセス主体の認証」が定義されている。
当該対策事項は平成30年度版では推奨はされつつも、あくまで“対策の選択肢”として「無線LAN通信の暗号化」や「MACアドレスフィルタリングによる端末の識別」等と併記されていた。しかし、令和3年度版では「MACアドレスフィルタリングによる端末の識別」の記載が削除され、“対策の組み合わせ”の1つとして「無線LAN通信の暗号化」等と併記される形になっている。
このため、現在無線LANへのアクセス主体の認証に際し、MACアドレスフィルタリングのみを講じているような機関等については、新たにIEEE802.1X認証を講じるか、IEEE802.1X認証と同等以上の対策を講じるよう見直しが求められることとなる。
表1‑2. 無線LAN環境導入時の対策に係る基本対策事項
このように現時点は”対策の選択肢”として示される内容であったとしても、機関等のセキュリティ水準の更なる向上や、今後の改定による“対策の組み合わせ”への要求レベル格上げに備え、可能な限り講じておくことが望ましい。
統一基準群(令和3年度版)の主要な改定ポイント解説
サイバーセキュリティ戦略本部が統一基準群(令和3年度版)の改定の方向性として掲げている以下の3点に対し、それぞれ機関等や機関等へ情報システムやサービスを既に提供している民間の事業者において、特に認識しておくべきと考えられる主要な改定ポイントをピックアップし解説する。
統一基準群(令和3年度版)改定の方向性
- クラウドサービスの利⽤拡⼤を⾒据えた記載の充実
- 情報セキュリティ対策の動向を踏まえた記載の充実
- 多様な働き⽅を前提とした情報セキュリティ対策の整理
クラウドサービスの利用拡大を見据えた記載の充実
機関等が調達するクラウドサービスや、機関等が調達せずとも画一的な約款や規約等への同意のみで利用可能となるサービスを、機関等が把握しないまま職員が利用してしまうケース(シャドーIT)に対するセキュリティ水準の確保のため、以下の表2‑1に示すような内容を含む改定が行われた。
表2‑1. 「クラウドサービスの利用拡大を見据えた記載の充実」に係る主要な改定ポイント
情報セキュリティ対策の動向を踏まえた記載の充実
政府機関等に対するサイバー攻撃の状況やインシデントの事例及び情報セキュリティ対策に係る最新の考え方を踏まえた記載の充実として、表1‑2で紹介した無線LANに係る対策の要求レベル格上げのほか、以下の表2‑2に示すような内容を含む改定が行われた。
表2‑2. 「情報セキュリティ対策の動向を踏まえた記載の充実」に係る主要な改定ポイント
多様な働き方を前提とした情報セキュリティ対策の整理
テレワークやWeb会議の利用等の多様な働き方を前提とした情報セキュリティ対策の整理として、以下の表2‑3に示すような内容を含む改定が行われた。
表2‑3. 「多様な働き方を前提とした情報セキュリティ対策の整理」に係る主要な改定ポイント
おわりに
本記事では、統一基準群(令和3年度版)に基づく対策の策定や見直しの一助となることを目的とし、最低限抑えておくべき統一基準群の読み解き方と、令和3年度改定ポイントについて解説した。
冒頭に述べた通り、統一基準群については、機関等だけでなく機関等以外の民間の事業者においても、対策の策定・見直しにあたり参照すべき文書となっているが、複雑な文書体系ゆえに、初めて触れるような方には敷居が高いものとなってしまっている。
このため、本記事をきっかけに、より多くの方々に統一基準群について理解を深めていただき、統一基準群を対策の策定・見直しに活用いただければ幸いである。
