よむ、つかう、まなぶ。
本文 (47 ページ)
出典
| 公開元URL | https://www.digital.go.jp/policies/priority-policy-program/#document |
| 出典情報 | デジタル社会の実現に向けた重点計画(6/7)《デジタル庁》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
サイバーセキュリティ戦略30に基づき、政府全体として、同戦略を踏まえた施策を着実に
講じていくことにより、サイバーセキュリティの強化に努める。
特に、
「政府機関等のサイバーセキュリティ対策のための統一基準」31(以下「政府統一
基準」という。
)の継続的な見直しと監査等の取組によるセキュリティレベルの維持・向
上の推進の一環として、政府情報システム(共通基盤を含む。
)におけるクラウドサービ
スの利用拡大や常時診断・対応型セキュリティアーキテクチャの実装を見据え、令和5年
度(2023 年度)末までに政府統一基準を改定する。あわせて、デジタル庁及び内閣サイ
バーセキュリティセンター(NISC)において、情報資産管理手法やシステムの挙動やソフ
トウェアの状況をリアルタイムに監査・監視する常時診断・対応型のセキュリティアーキ
テクチャ等の実装に向けた検討及び実証事業を進める。
また、政府情報システムのためのセキュリティ評価制度(ISMAP)において、セキュリ
ティリスクの小さい業務・情報を扱うシステムが利用するクラウドサービスに対する仕
組みを、令和4年(2022 年)中に策定し、当該仕組みを利用したクラウドサービスの申
請受付を開始するなど、クラウド・バイ・デフォルトの拡大を推進する。あわせて、政府
が取り扱う情報の機密性等に応じてパブリッククラウドとプライベートクラウドを組み
合わせて利用する、いわゆるハイブリッドクラウド32の利用を促進する。このため、特に
厳格な取扱いが必要となる情報をクラウドサービスで扱う上での基準について、令和4
年(2022 年)中に政府方針を定める。また、政府として、クラウドサービスや関連する暗
号化等の技術開発や実証を支援しつつ、その成果を政府調達に反映していくなど、政府情
報システムにおけるクラウド利用を、地方公共団体等のユーザーの理解と協力を得て、セ
キュリティを確保しつつ進める。さらに、クラウド監視に対応した GSOC33の機能強化等の
推進をしつつ、GSOC の着実な運用に継続的に取り組む。
デジタル庁は、NISC とも連携して、情報システム整備方針においてサイバーセキュリ
ティについての基本的な方針を示し、当該方針に基づいて政府情報システムの整備・運用
を実施するとともに、各府省庁は、デジタル庁による統括・監理を通じて当該方針の実装
を進めることとする。これらの方針に基づいた取組を通じて、デジタル庁及び NISC は、
政府情報システムの整備・運用段階の全体にわたりセキュリティ・バイ・デザイン、
DevSecOps34のアプローチを含めてセキュリティ対策の強化を図る。デジタル庁が整備・運
用するシステムを中心とした安定的・継続的な稼働の確保等の観点から検証・監査を実施
することとし、その実施体制をデジタル庁と独立行政法人情報処理推進機構(以下「IPA」
という。
)が共同して構築し、令和4年度(2022 年度)以降、
「①デジタル庁システム」
(各府省が共通で利用する基盤を含む。
)を中心に、デジタル庁に設置するセキュリティ
の専門のチーム及びデジタル庁の依頼に応じて IPA が、整備・運用等の段階において情報
システム整備方針に沿っているか等を継続的に確認する。さらに、令和5年度(2023 年
30
令和3年9月 28 日閣議決定
現行版は「政府機関等のサイバーセキュリティ対策のための統一基準(令和3年度版)
」
(令和3年7月7日サイバ
ーセキュリティ戦略本部決定)
32
ただし、パブリッククラウドの組合せが困難な場合にはプライベートクラウドのみ。
33
Government Security Operation Coordination team
34
開発(Development)と運用(Operations)に加え、セキュリティ(Security)を融合させたライフサイクルとし
て、情報システムを捉える考え方。
31
41
講じていくことにより、サイバーセキュリティの強化に努める。
特に、
「政府機関等のサイバーセキュリティ対策のための統一基準」31(以下「政府統一
基準」という。
)の継続的な見直しと監査等の取組によるセキュリティレベルの維持・向
上の推進の一環として、政府情報システム(共通基盤を含む。
)におけるクラウドサービ
スの利用拡大や常時診断・対応型セキュリティアーキテクチャの実装を見据え、令和5年
度(2023 年度)末までに政府統一基準を改定する。あわせて、デジタル庁及び内閣サイ
バーセキュリティセンター(NISC)において、情報資産管理手法やシステムの挙動やソフ
トウェアの状況をリアルタイムに監査・監視する常時診断・対応型のセキュリティアーキ
テクチャ等の実装に向けた検討及び実証事業を進める。
また、政府情報システムのためのセキュリティ評価制度(ISMAP)において、セキュリ
ティリスクの小さい業務・情報を扱うシステムが利用するクラウドサービスに対する仕
組みを、令和4年(2022 年)中に策定し、当該仕組みを利用したクラウドサービスの申
請受付を開始するなど、クラウド・バイ・デフォルトの拡大を推進する。あわせて、政府
が取り扱う情報の機密性等に応じてパブリッククラウドとプライベートクラウドを組み
合わせて利用する、いわゆるハイブリッドクラウド32の利用を促進する。このため、特に
厳格な取扱いが必要となる情報をクラウドサービスで扱う上での基準について、令和4
年(2022 年)中に政府方針を定める。また、政府として、クラウドサービスや関連する暗
号化等の技術開発や実証を支援しつつ、その成果を政府調達に反映していくなど、政府情
報システムにおけるクラウド利用を、地方公共団体等のユーザーの理解と協力を得て、セ
キュリティを確保しつつ進める。さらに、クラウド監視に対応した GSOC33の機能強化等の
推進をしつつ、GSOC の着実な運用に継続的に取り組む。
デジタル庁は、NISC とも連携して、情報システム整備方針においてサイバーセキュリ
ティについての基本的な方針を示し、当該方針に基づいて政府情報システムの整備・運用
を実施するとともに、各府省庁は、デジタル庁による統括・監理を通じて当該方針の実装
を進めることとする。これらの方針に基づいた取組を通じて、デジタル庁及び NISC は、
政府情報システムの整備・運用段階の全体にわたりセキュリティ・バイ・デザイン、
DevSecOps34のアプローチを含めてセキュリティ対策の強化を図る。デジタル庁が整備・運
用するシステムを中心とした安定的・継続的な稼働の確保等の観点から検証・監査を実施
することとし、その実施体制をデジタル庁と独立行政法人情報処理推進機構(以下「IPA」
という。
)が共同して構築し、令和4年度(2022 年度)以降、
「①デジタル庁システム」
(各府省が共通で利用する基盤を含む。
)を中心に、デジタル庁に設置するセキュリティ
の専門のチーム及びデジタル庁の依頼に応じて IPA が、整備・運用等の段階において情報
システム整備方針に沿っているか等を継続的に確認する。さらに、令和5年度(2023 年
30
令和3年9月 28 日閣議決定
現行版は「政府機関等のサイバーセキュリティ対策のための統一基準(令和3年度版)
」
(令和3年7月7日サイバ
ーセキュリティ戦略本部決定)
32
ただし、パブリッククラウドの組合せが困難な場合にはプライベートクラウドのみ。
33
Government Security Operation Coordination team
34
開発(Development)と運用(Operations)に加え、セキュリティ(Security)を融合させたライフサイクルとし
て、情報システムを捉える考え方。
31
41