2023年8月10日 / 最終更新日 : 2023年8月10日 dataclasys セキュリティ

政府セキュリティ統一基準の改定 重要ポイント:サプライチェーン対策の強化について

2023年7月4日、「政府機関等のサイバーセキュリティ対策のための統一基準群」(以下「統一基準群」)の令和5年度版が公開されました。

統一基準群は、国の行政機関や独立行政法人等(以下「政府機関」)が情報セキュリティ水準を維持・向上させるための統一的な枠組みを定めたものです。統一基準では、政府機関が最低限守るべき情報セキュリティ対策のベースラインや、さらに高い水準のセキュリティを確保するための対策事項を定めています。※1 ※2

前回の改定が行われたのは令和3年度なので、約2年ぶりの改定となります。今回の改定では、サプライチェーン対策の強化や政府機関等におけるクラウドサービスの利用拡大を踏まえた対策の強化、ソフトウェア利用時の対策の強化、脅威・技術動向を踏まえての対策の強化などが重要なポイントとして挙げられますが、本コラムでは特にサプライチェーンリスクの増大を踏まえた業務委託先に求める対策の強化について取り上げます。

改定の背景

今回の改定の背景として、「政府機関等のサイバーセキュリティ対策のための統一基準群の概要」※2 には、サプライチェーンの複雑化に伴い、委託先などのサプライチェーンの脆弱な部分を起点としたサイバー攻撃リスクが増大していることを踏まえた強化だと記載されています。

2021年5月には、業務委託先であった富士通のプロジェクト情報共有ツール「projectWEB」が不正アクセスを受け、内閣サイバーセキュリティセンターを含む政府機関等の情報が流出する事案が発覚しました。このような政府機関等の業務委託先からの漏えいについての対策強化が今回の改定の大きなポイントとなります。

改定のポイント

今回の改定では、業務委託先からの情報漏えいを防ぐために「NIST SP800-171」を参考に、政府機関等が委託先に求める基準を明確にしました。「情報の適切な取り扱いのための情報セキュリティ対策」として規定されたのは「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」※3 【基本対策事項】4.1.1(3)-1 に記載されている、以下の8項目となります。

  1. 情報セキュリティインシデント等への対処能力の確立・維持
  2. 情報へアクセスする主体の識別とアクセスの制御
  3. ログの取得・監視
  4. 情報を取り扱う機器等の物理的保護
  5. 情報を取り扱う要員への周知と統制
  6. セキュリティ脅威に対処するための資産管理・リスク評価
  7. 委託先が取り扱う情報及び当該情報を取り扱うシステムの完全性の保護
  8. セキュリティ対策の検証・評価・見直し

これらは政府機関等から業務委託先に提供される要保護情報等をセキュリティリスクから保護することを目的に、機関等が委託先に求めるものです。今後、機関等から提示される仕様書にはこれらを満たすための要件が盛り込まれ、また業務を請け負う民間事業者にはこれらに対応できる提案を行う必要があると考えられます。

弊社の提案する委託先からの対策

今回、政府統一基準においても「NIST SP800-171」を参考にすることで、政府機関等からの業務を請け負う事業者は高度なセキュリティ対策の実施を求められるようになりました。

SP800-171は、NIST(米国国立標準技術研究所)が2016年に発行したガイドラインで、「機密指定はされていないが管理対象となる情報(CUI:Controlled Unclassified Information)」の適切な取扱い方を定めたものです。本ガイドラインは、業務委託先がサプライチェーン攻撃などでCUIに分類される情報の漏洩を防ぐよう、適切な取扱い方を規定しています。

また、2022年4月に防衛装備庁が「防衛産業サイバーセキュリティ基準」を整備したことを発表しました。この新しいセキュリティ基準には、米国国防省が契約企業に義務付けている SP800-171と同水準の管理策が盛り込まれ、これを基に「装備品等及び役務の調達における情報セキュリティ基準」も刷新されたことにより、防衛装備品の調達に係る企業はこの基準に応じた高度なセキュリティ対策をすでに求められています。(2023年度の契約から適用)

弊社は2022年に業務提携先の公益財団法人防衛基盤整備協会(以下「防衛基盤整備協会」)様が防衛装備庁から受託した令和4年度「防衛装備品製造過程等におけるサイバーセキュリティ対策強化事業」への支援を行いました。前述の「装備品等及び役務の調達における情報セキュリティ基準」の中にはデータ暗号化の必要性も記されており、弊社の提供する暗号化システム『DataClasys』は、この要件を満たすものとして、防衛産業に関わる中小企業のセキュリティ強化の支援としてソリューションの提供等をさせていただきました。

『DataClasys』は、純国産のIRM(Information Rights Management)として、ファイルを暗号化することでアクセスを制御します。アクセス要求元が暗号化ファイルにアクセスする度に都度認証が行われ、正規のユーザでなければファイルを利用することはできません。また、利用権限(閲覧/更新/印刷など)も細かく設定することが可能であるため、正規のユーザにも必要最小の権限でファイルを利用させることが可能です。

今後、政府機関等からの業務を請け負う民間事業者にはより高度なセキュリティ対策が求められるようになります。『DataClasys』による暗号化対策にご興味のある方は、是非お気軽にお問い合わせ下さい。

カタログ・製品説明資料をダウンロードする
価格・ライセンス体系について詳しく見る

あわせて読む

参考

※1 「政府機関等のサイバーセキュリティ対策のための統一基準群」 | 内閣サイバーセキュリティセンター

※2 政府機関等のサイバーセキュリティ対策のための統一基準群の概要 | 内閣サイバーセキュリティセンター 政府機関総合対策グループ 2023年7月

※3 政府機関等の対策基準策定のためのガイドライン(令和5年度版) | 内閣サイバーセキュリティセンター

コラムカテゴリー
セキュリティ
インシデント

前の記事

メタップスペイメントで起きたカード情報流出の経緯とは PCI DSS準拠が必要な企業はセキュリティ見直しを
2023年8月1日
セキュリティ

次の記事

IPA「情報セキュリティ白書2023」公開 国内外のセキュリティ動向について
2023年8月16日