平成26年度決算検査報告
政府は、官民における統一的、横断的な情報セキュリティ対策の推進を図るために、平成17年5月に、内閣に情報セキュリティ政策会議(27年1月9日以降はサイバーセキュリティ戦略本部)を設置している。同会議は、24年4月に、各府省庁が最低限実施すべき情報セキュリティ対策を推進するための組織・体制、規程類の整備等について定めた「政府機関の情報セキュリティ対策のための統一管理基準(平成24年度版)」及び情報システムに求められる技術的な情報セキュリティ要件等について定めた「政府機関の情報セキュリティ対策のための統一技術基準(平成24年度版)」をそれぞれ策定している。そして、「政府機関の情報セキュリティ対策における政府機関統一管理基準及び政府機関統一技術基準の策定と運用等に関する指針」(平成24年4月情報セキュリティ政策会議改定)によれば、各府省庁は、自らの管理下にある情報資産に責任を持ち、それぞれの業務や情報システムの形態に適応した情報セキュリティ対策を講じていくことが原則とされており、上記の両基準等で定められている水準以上の情報セキュリティの確保を目的として省庁対策基準(以下「ポリシー」という。)等を策定することとされている。
各府省庁は、ポリシーにおいて、情報セキュリティ対策に関する事務の統括者として、情報システムごとに情報システムセキュリティ責任者(国土交通省においてはシステム管理者。以下「責任者」という。)を置き、責任者は、情報システムの管理業務において必要な単位ごとに情報システムセキュリティ管理者(国土交通省においてはシステム管理要員。以下「管理者」という。)を置くことを定めている。各府省庁のポリシーによれば、責任者は、所管する情報システムで利用しているソフトウェアの種類及びバージョンを記載した文書を整備することとされ、また、管理者は、管理対象となる電子計算機等上で利用しているソフトウェアに関して、プログラムの不具合が原因となって発生する情報セキュリティ上の欠陥(以下「セキュリティホール」という。)に関連する情報が公開された場合は、これを適宜入手するとともに、入手した情報に基づき対策を講ずることとされている。
ソフトウェアを開発したメーカー等(以下「メーカー等」という。)は、一般的に、当該ソフトウェアの利用者に対するサポートを行っており、当該ソフトウェアにセキュリティホールが見つかった場合には、注意喚起等の情報やセキュリティホールへの対策を講ずるためのファイル(セキュリティホールを解消するための修正プログラム、バージョンアップのためのソフトウェア等。以下「対策用ファイル」という。)を提供している。しかし、ほとんどの場合、メーカー等によるソフトウェアのサポートの提供期間(以下「サポート期間」という。)は、ソフトウェアの販売又は提供の開始から一定の期間が経過した後に終了する。この場合、管理者は、当該ソフトウェアのセキュリティホールに関連する情報の入手が困難になったり、対策用ファイルを入手できなくなったりして、ポリシーに従ったセキュリティホールへの対策(以下「セキュリティホール対策」という。)を講ずることができなくなる。その結果、当該ソフトウェアを利用している情報システムにおいて、不正侵入、コンピュータウィルスへの感染等、ひいては情報の改ざん・漏えい、システム停止等が発生するリスクが高まることとなる。このため、これらのリスクを回避するためには、サポートが継続している後継となるソフトウェアへの更新等を実施する必要がある。
メーカー等は、一般的に、利用者がソフトウェアの導入・更新、予算確保等に係る計画を立てやすくするために、サポート期間の終了時期を予測するための情報として、ソフトウェアのサポートに関するライフサイクルポリシーを策定して、公表している。また、ソフトウェアによっては、メーカー等が上記のライフサイクルポリシーを公表せずにサポートの提供を突然終了する場合があるが、このようなソフトウェアについても、一般的に、メーカー等は後継となるソフトウェアの販売等を開始して一定期間経過後にサポートの提供を終了するなどしていることから、後継となるソフトウェアの販売の状況等がサポート期間の終了時期を予測するための情報となり得る。
サポート期間が終了しているソフトウェアを利用している情報システムについては、情報セキュリティ上のリスクを回避するために、速やかに後継となるソフトウェアへの更新等を実施する必要がある。しかし、一般的に、ソフトウェアの更新等に当たっては、情報システムの動作確認や改修が必要となることなどから、完了するまでには長期間を要することとなる。したがって、責任者は、情報システムの構築又は更改の際に、ソフトウェアのサポート期間の終了時期を予測するための情報を考慮して、次期更改時期まで対策用ファイルの提供が継続されると見込まれるソフトウェアをあらかじめ選定しておく必要がある。また、その後も、サポート期間の終了時期を予測するための情報を適宜入手して、後継となるソフトウェアへの更新等をサポート期間の終了日までに完了させる計画を策定する必要がある。
(検査の観点、着眼点、対象及び方法)
行政の情報化、電子政府の推進等により、情報システムは、国の機関の事務運営に欠かせないものとなっている。その一方で、インターネットを通じたサイバー攻撃による情報セキュリティに対する脅威は深刻化しており、国益の毀損、行政事務の停滞等の損失を国の機関にもたらすリスクが高まっている。
そこで、本院は、合規性、有効性等の観点から、各省庁におけるセキュリティホール対策が適切に実施されているかなどに着眼して検査した。
検査に当たっては、情報システムで幅広い利用実績があり、メーカー等のサポート期間が25年度中に終了した4種類のサーバ用ソフトウェア(以下、これらのソフトウェアを「検査対象ソフトウェア」という。表1参照)のいずれかを利用していた、インターネットに接続している8省庁(注1)の情報システム44システム(運用・保守等に係る契約に基づく25年度の支払額計41億4730万円。表2参照)を対象として、調書を徴してその内容を分析するなどして検査するとともに、上記の8省庁において、ネットワーク構成図、運用・保守契約書等の関係書類を確認するなどして会計実地検査を行った。
| ソフトウェアの名称 | メーカー等の名称 | 種別 | 販売等の開始時期 | サポート期間の終了日 | サポートに関するライフサイクルポリシーの公表の有無 |
|---|---|---|---|---|---|
| Microsoft SQL Server 2000 | マイクロソフト コーポレーション | データベース管理システム | 平成 12年 |
25年4月9日 | 有り |
| Red Hat Enter prise Linux 3 | レッドハット インコーポレイテッド | オペレーティングシステム | 15年 | 26年1月30日 | 有り |
| Apache Struts 1 | ジ アパッチ ソフトウェア ファウンデイション | Webアプリケーションフレームワーク | 13年 | 25年4月5日 | 無し |
| Apache HTTP Server 2.0 | ジ アパッチ ソフトウェア ファウンデイション | Webサーバソフトウェア | 14年 | 25年7月9日 | 無し |
(検査の結果)
検査したところ、次のような事態が見受けられた。
前記のとおり、サポート期間が終了しているソフトウェアを情報システムで利用している場合、不正侵入、コンピュータウィルスへの感染等、ひいては情報の改ざん・漏えい、システム停止等が発生するリスクが高まることとなる。そして、一般的にセキュリティホールを対象としたサイバー攻撃は、インターネット上からの通信が可能なサーバ(注2)(参考図参照)に対して行われる。
しかし、表2のとおり、8省庁は、前記インターネットに接続している情報システム44システムのうち21システムにおいて、インターネット上からの通信が可能なサーバ上で検査対象ソフトウェアのサポート期間が終了しているにもかかわらずこれを利用していた。そして、上記21システムの運用・保守等に係る契約に基づく25年度の支払額のうち、サポート期間の終了後に係る支払相当額は、計13億4067万円となっていた。
インターネットに接続している情報システムとインターネット上からの通信が可能なサーバの一例
| 省庁名 | 検査対象ソフトウェアのいずれかを利用していて、インターネットに接続している情報システム | 左のうち、インターネット上からの通信が可能なサーバ上でソフトウェアのサポート期間が終了しているにもかかわらず当該ソフトウェアを利用していた情報システム | ||
|---|---|---|---|---|
| 情報システム数 | 運用・保守等に係る契約に基づく平成25年度の支払額 | 情報システム数 | 運用・保守等に係る契約に基づく25年度の支払額のうちサポート期間の終了後に係る支払相当額 | |
| (万円) | (万円) | |||
| 宮内庁 | 2 | 965 | 2 | 952 |
| 総務省 | 4 | 9億2778 | 1 | 9979 |
| 文部科学省 | 2 | 1380 | 2 | 1059 |
| 厚生労働省 | 4 | 2521 | 2 | 1196 |
| 農林水産省 | 6 | 7億5782 | 4 | 3億3843 |
| 経済産業省 | 3 | 2億9155 | 1 | 6598 |
| 国土交通省 | 18 | 10億8262 | 6 | 9262 |
| 環境省 | 5 | 10億3887 | 3 | 7億1178 |
| 計 | 44 | 41億4730 | 21 | 13億4067 |
前記8省庁の21システムのうち、検査対象ソフトウェアのサポート期間の終了後、直ちに当該終了に係る情報を入手していた宮内庁の2システム及び文部科学省の1システムを除く7省の18システムにおいて、責任者が、所管する情報システムで利用しているソフトウェアの種類及びバージョンを記載した文書を適切に整備していなかったり、責任者が文書を整備していたものの、管理者がソフトウェアのサポート期間の終了日に係る情報を適宜入手していなかったりしていた。このため、管理者は、検査対象ソフトウェアのサポート期間の終了後、2か月から13か月が経過してから運用・保守業務の請負業者から連絡を受けたことなどによりサポート期間の終了を把握していた。これらのうち、管理者が本院の検査を契機としてサポート期間の終了を把握していたものが4省(注3)の5システムあった。
前記のとおり、責任者は、情報システムの構築又は更改の際に、次期更改時期まで対策用ファイルの提供が継続されると見込まれるソフトウェアをあらかじめ選定したり、後継となるソフトウェアへの更新等をサポート期間の終了日までに完了させる計画を策定したりする必要がある。
しかし、前記8省庁の21システムにおいて、責任者が、上記のとおり必要とされているソフトウェアの選定や計画の策定を適切に行っていなかった。
このように、インターネット上からの通信が可能なサーバ上でサポート期間が終了しているソフトウェアを利用していたり、サポート期間の終了を管理者が把握するまでに長期間を要していたり、情報システムの構築又は更改の際の次期更改時期まで対策用ファイルの提供が継続されると見込まれるソフトウェアの選定や、後継となるソフトウェアへの更新等に係る計画の策定を行っていなかったりしていた事態は適切ではなく、改善の必要があると認められた。
(発生原因)
このような事態が生じていたのは、次のことなどによると認められた。
上記についての本院の指摘に基づき、各省庁は、27年7月までに、インターネット上からの通信が可能なサーバ上で利用していた検査対象ソフトウェアの更新等を実施するとともに、情報セキュリティ対策の一層の充実に資するよう、次のような処置を講じた。
ア 8省庁は、電子計算機等上でサポート期間が終了しているソフトウェアを原則として利用しないことについて、ポリシー等に明記した。
イ 7省は、責任者に対して通知を発して、所管する情報システムにおいて利用しているソフトウェアの種類、バージョン及びサポート期間の終了日に係る情報について、現在の状況を正確に反映した文書を整備し、これらの内容に変更がある場合は文書を更新すること並びに情報システムの構築、更改、運用・保守等の業務を調達する場合は、当該業務で納入又は更新を行うソフトウェアに関する上記の情報及びこれらの変更情報を提供させることを調達仕様書に明記することについて周知した。
ウ 8省庁は、情報システムの構築又は更改の際の次期更改時期まで対策用ファイルの提供が継続されると見込まれるソフトウェアの選定や、後継となるソフトウェアへの更新等に係る計画の策定を行うことについて、ポリシー等に明記した。