- 国会及び内閣に対する報告(随時報告)|
- 会計検査院法第30条の2の規定に基づく報告書|
- 令和7年9月|
各府省庁等の情報システムに係る情報セキュリティ対策等の状況について
- 検査対象
- (1) 内閣、内閣府、デジタル庁、総務省、法務省、外務省、財務省、文部科学省、厚生労働省、農林水産省、経済産業省、国土交通省、環境省及び防衛省の本府省庁等24機関 (2) 地方支分部局16機関
- 対象システムの概要
- 各府省庁等が整備、運用等を行っている情報システムのうち、様々な状況において重要な業務を実施するための情報システム
- 対象システム数
- (1) 236システム
(2) 120システム - 対象システムの整備、運用等に係る経費の支払額
- (1) 8439億7577万円(令和3年度~5年度)
(2) 362億1604万円(令和3年度~5年度)
1 検査の背景
(1) 国のデジタル社会の実現に向けた取組の概要
政府は、「デジタル社会の実現に向けた改革の基本方針」(令和2年12月閣議決定。以下「改革基本方針」という。)において、デジタル社会の将来像等についての政府としての方針を示している。
改革基本方針によれば、行政において人的資源を行政サービスの更なる向上につなげられるようデジタル化を推進することで、行政の簡素化、効率化及び透明性の向上を図ることとされ、官民を含む社会全体でのデジタル化を円滑に進めていくためにも行政のデジタル化は緊要であるとされている。
このようなことから、国の行政機関等が実施する業務において、情報システム(注1)の利用が拡大している。
- (注1)
- 情報システム ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するもの
(2) 国の情報セキュリティ対策の概要等
ア 国の情報セキュリティ対策に係る制度の概要等
インターネット等の高度情報通信ネットワークの整備等に伴ってサイバーセキュリティ(注2)に対する脅威が世界規模で生じ、深刻化するなどしていることから、サイバーセキュリティを確保することにより、情報システムにおける情報の機密性(注3)、完全性(注4)及び可用性(注5)を維持すること(以下「情報セキュリティ」という。)が重要となっている。また、デジタル社会形成基本法(令和3年法律第35号)等に基づき策定された「デジタル社会の実現に向けた重点計画」(令和5年6月閣議決定。以下「重点計画」という。)によれば、政府は、自然災害により国民の生命・身体・財産に重大な被害が生じ、又は生ずるおそれがある事態を想定してサイバーセキュリティの確保等の取組を推進することとされている。
そして、サイバーセキュリティに関する施策を総合的かつ効果的に推進することなどを目的として「サイバーセキュリティ基本法」(平成26年法律第104号。以下「法」という。)が制定されている。法に基づき定められた「サイバーセキュリティ戦略」(令和3年9月閣議決定)によれば、国の行政機関等は、サイバーセキュリティ対策を進め、情報システムの開発・構築段階も含めたあらゆるフェーズでの対策を強化していくこととされている。また、国民の安全・安心の根幹に関わる経済社会基盤の防護については、これを担う国の行政機関等が役割に応じて情報セキュリティを確実に保証することとされている。
国の行政機関等は、法等に基づくなどして、サイバーセキュリティ対策を含む情報セキュリティ対策の強化・拡充を図っており、国のサイバーセキュリティに関する施策は、図表0-1のとおり、内閣に設置されたサイバーセキュリティ戦略本部(以下「本部」という。)、内閣官房に設置された内閣サイバーセキュリティセンター(以下「NISC」という。令和7年7月1日以降は国家サイバー統括室)(注6)、デジタル庁等により推進されている。
- (注2)
- サイバーセキュリティ 電子的方式等により記録される情報の漏えい、滅失又は毀損の防止等の安全管理のために必要な措置並びに情報システム等の安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていること
- (注3)
- 機密性 情報に関して、アクセスを認められた者だけがこれにアクセスできる特性のこと
- (注4)
- 完全性 情報が破壊、改ざん又は消去されていない特性のこと
- (注5)
- 可用性 情報へのアクセスを認められた者が、必要時に中断することなく、情報にアクセスできる特性のこと
- (注6)
- 国家サイバー統括室は、「国家安全保障戦略」(令和4年12月閣議決定)に基づき、サイバー安全保障分野の政策を一元的に総合調整する新たな組織としてNISCを改組して設置されたものである。
本部、NISC及びデジタル庁が担う役割の詳細は次のとおりとなっている。
(ア) 本部及びNISC
法によれば、本部は、国の行政機関等におけるサイバーセキュリティ対策の基準の作成、当該基準に基づく施策の評価(監査を含む。)等を行うこととされている。
また、本部に関する事務は内閣官房において処理することとされており、内閣官房に設置されたNISCが、①行政各部におけるサイバーセキュリティの確保に関し必要な助言・情報の提供その他の援助及び監査、②行政各部の施策に関する統一保持上必要な企画及び立案並びに総合調整に関する事務のうちサイバーセキュリティの確保に関する事務(国家安全保障局等において行うものを除く。)等を行っている。
(イ) デジタル庁
デジタル庁設置法(令和3年法律第36号)によれば、デジタル庁は、国の行政機関が行う情報システムの整備及び管理に関する行政各部の事業を統括し及び監理することとされており、政府情報システム(注7)のサイバーセキュリティ対策等を実践するための参考となるガイドライン等の策定を行うなどしている。
- (注7)
- 政府情報システム 各府省庁等がサービス・業務を実施するために用いる情報システム
イ 統一基準群の体系の概要等
(ア) 統一基準群の体系の概要
本部は、国の行政機関等が自らの責任において講ずべきサイバーセキュリティ対策の基準として、図表0-2のとおり、「政府機関等のサイバーセキュリティ対策のための統一規範」(平成28年8月決定。以下「統一規範」という。)、「政府機関等のサイバーセキュリティ対策のための統一基準」(平成17年12月決定。以下「統一基準」という。)及び「政府機関等のサイバーセキュリティ対策の運用等に関する指針」(平成28年8月決定。以下「運用指針」という。)を定めている。
また、NISCは、「政府機関等の対策基準策定のためのガイドライン」(平成17年12月決定。以下「対策基準策定ガイドライン」といい、統一規範、統一基準、運用指針及び対策基準策定ガイドラインを合わせて「統一基準群」という。)等を定めている。
(イ) 統一基準における情報セキュリティ対策の概要
統一基準においては、図表0-3のとおり、国の行政機関等において共通的に必要とされる情報セキュリティ対策の項目が八つの部に区分して定められている。
| 部 | 情報セキュリティ対策の項目 |
|---|---|
| 第1部 総則 | 統一基準の目的・適用範囲等 |
| 第2部 情報セキュリティ対策の基本的枠組み | 組織・体制の整備、対策基準・対策推進計画の策定、教育、情報セキュリティ監査、情報セキュリティ対策の見直し等 |
| 第3部 情報の取扱い | 情報の取扱い、情報を取り扱う区域の管理 |
| 第4部 外部委託 | 業務委託、外部サービスの利用 |
| 第5部 情報システムのライフサイクル | 情報システムに係る台帳等の整備、情報システムの運用継続計画の整備・整合的運用の確保等 |
| 第6部 情報システムのセキュリティ要件 | 主体認証(注(2))機能、アクセス制御機能、権限の管理、ログ(注(3))の取得・管理、ソフトウェアに関するぜい弱性対策等 |
| 第7部 情報システムの構成要素 | 端末・サーバ装置等 |
| 第8部 情報システムの利用 | 情報システムの利用等 |
- 注(1) 下線部分は「3 検査の状況」において記述している項目である。
- 注(2) 「主体認証」は、主体(情報システム等にアクセスする者等)が、正当であるか否かを検証することである。
- 注(3) 「ログ」は、システムの動作履歴、利用者のアクセス履歴、通信履歴その他運用管理等に必要な情報を記録したデータである。
(ウ) 統一基準群の改定の概要
統一基準群は、サイバーセキュリティを取り巻く情勢の変化等に応じて、おおむね2年に一度、改定が行われている。そして、NISCは、情報セキュリティに関する動向を踏まえ、国の行政機関等の全体に関わるサイバーセキュリティ対策のうち改善等が必要と考えられる項目について行った調査や、法に基づき行った監査の結果を、統一基準群の改定等に反映させている。
ウ 標準ガイドライン群等の概要
政府は、政府情報システムの整備及び管理について、体系的な政府共通のルールを定めた「デジタル・ガバメント推進標準ガイドライン」(平成26年12月各府省情報化統括責任者(CIO)連絡会議決定。以下「標準ガイドライン」という。)を策定している。
また、デジタル庁は、標準ガイドラインの趣旨、目的等を理解しやすくするための「デジタル・ガバメント推進標準ガイドライン解説書」(平成31年2月決定)等(以下、標準ガイドラインと合わせて「標準ガイドライン群」という。)を定めている。
そして、デジタル庁は、標準ガイドライン群等に基づき、政府情報システムの整備及び管理に関する事業を特定して、より適切な管理等を実施するために、予算要求前から執行の段階までを含むプロジェクト監理の一環として、各政府情報システムに情報システムIDを付番している。
エ 国の行政機関等における情報セキュリティ対策の概要
国の行政機関等は、統一基準群及び標準ガイドライン群に基づき、次のような情報セキュリティ対策を講じている。
(ア) 統一基準群に基づく情報セキュリティ対策の概要
a ポリシー等の策定
統一基準群によれば、国の行政機関等は、自組織の特性を踏まえ、情報セキュリティ対策の基本的な方針(以下「基本方針」という。)及び情報セキュリティ対策の基準(以下「対策基準」といい、基本方針及び対策基準を合わせて「ポリシー」という。)を定めなければならないこととされている。そして、統一基準群においては、情報セキュリティ対策の項目ごとに遵守すべき事項(以下「遵守事項」という。)や、国の行政機関等が遵守事項を満たすためにとるべき基本的な対策事項(以下「基本対策事項」という。)が定められている。
そして、国の行政機関等は、遵守事項等の規定を満たすように、具体的な対策事項を対策基準に規定した上で、これに基づいて運用規程や実施手順のセキュリティ関係規程を定めることにより、基本対策事項に例示される対策又はこれと同等以上の対策を講ずる必要があるとされている(統一基準群とポリシーとの関係は図表0-2参照)。
b 情報セキュリティ監査
統一基準群によれば、国の行政機関等は、対策基準が統一規範及び統一基準に準拠し、かつ実際の運用が対策基準に準拠していることを確認するために情報セキュリティ監査を行わなければならないこととされている。そして、情報セキュリティ監査の結果等を勘案して、情報システムに係るリスクを評価し、必要な情報セキュリティ対策を講じなければならないこととされている。
c 組織体制
国の行政機関等は、統一基準群に基づき、情報セキュリティ対策の推進に係る事務を遂行するための体制(以下「情報セキュリティ対策推進体制」という。)等を整備している(図表0-4参照)。
図表0-4 国の行政機関等における情報セキュリティ対策推進体制等の例
国の行政機関等は、統一基準群に基づき、情報セキュリティに関する事務を統括する最高情報セキュリティ責任者及び同責任者の補佐等を行う統括情報セキュリティ責任者を置いている。そして、各情報システムについて担当部局を決めているほか、基本的に情報システムごとに情報システムセキュリティ責任者及び情報システム担当者を置いている。
また、最高情報セキュリティ責任者は、監査に関する事務を統括する者として情報セキュリティ監査責任者を置くこととされており、情報セキュリティ監査責任者は、監査実施計画の策定、監査の実施指示、監査結果の最高情報セキュリティ責任者への報告等の事務を統括することとされている(注8)。
- (注8)
- 最高情報セキュリティ責任者、統括情報セキュリティ責任者、情報セキュリティ監査責任者等は、各府省等に設置されているものとは別に、各府省の外局である庁に設置されている場合等があり、設置されている府省庁等を単位として取組が実施されている。
(イ) 標準ガイドライン群に基づく情報セキュリティ対策の概要
各府省庁等は、標準ガイドライン群に基づき、各府省庁等における行政デジタル化全体の管理体制として、図表0-5のとおり、デジタル統括責任者及び副デジタル統括責任者のほか、府省庁等内のIT施策に関する全体管理の機能を担う組織であるPMO(Portfolio Management Office)や、各プロジェクトを統括する組織であるPJMO(ProJect Management Office)を設置している。そして、このうち、PJMOについては、情報システム部門の職員だけでなく、業務実施部門等の職員も適切に参画するように組織することとなっている。
図表0-5 各府省庁等における行政デジタル化全体の管理体制の例
標準ガイドラインによれば、PJMOは、政府情報システムの整備及び管理に係るプロジェクトの実施に当たり、調達仕様書等において、政府情報システムに求める要件を定めることとされている。そして、当該要件として、情報システムの運用の継続性(障害、災害等による情報システムの問題発生時に求められる機能、システム構成等)や、情報システムの情報セキュリティ対策に関する事項を定めることとされている。また、PJMOは、原則として、情報システムの運用時において、情報セキュリティ対策等の事項についてPMO等と調整することとされている。
オ IT-BCPの概要
「政府業務継続計画(首都直下地震対策)」(平成26年3月閣議決定。以下「政府業務継続計画」という。)によれば、各府省庁等は、「政府機関等における情報システム運用継続計画ガイドライン(第3版)」(令和3年4月内閣官房内閣サイバーセキュリティセンター作成。以下「IT-BCPガイドライン」という。)に基づき情報システム運用継続計画を策定することとされている(以下、IT-BCPガイドラインに基づき策定された情報システム運用継続計画を「IT-BCP」という。)。
IT-BCPは、危機的事象(注9)が発生して、情報システムの運用が中断し又は途絶するときに、情報システムを継続し又は復旧させることにより、その影響を最小限に抑えるために必要な計画群の総称であり、危機的事象発生時にIT-BCPに沿って適切に対処することは、情報システム担当者の重要な役割の一つとなっている。
- (注9)
- 危機的事象 不正アクセス等の運用妨害、地震等の自然災害、火災等の人的災害等の様々な事象
(3) 政府デジタル人材の確保・育成等の概要
重点計画によれば、各府省庁等は、情報システムの整備・運用に当たり、委託業者任せにするのではなく、専門人材の採用等によって行政機関内部の体制を整備し、自らプロジェクトを適切に推進して管理することとされている。また、各府省庁等は、情報システムの適切な開発・運用やサイバーセキュリティ対策等の担い手となる人材を充実させるなどの政府デジタル人材の確保・育成等の取組を推進することとされている。
そして、「政府機関におけるデジタル改革に必要なIT・セキュリティ知識を有する人材の確保・育成総合強化方針」(令和3年7月サイバーセキュリティ対策推進会議(CISO等連絡会議)・各府省情報化統括責任者(CIO)連絡会議決定)によれば、各府省庁等は、所定の研修を修了した者について、業務経験も踏まえたスキル認定を行うこととされており、そのための共通の基準として、「政府デジタル人材のスキル認定の基準」(平成30年1月サイバーセキュリティ対策推進専任審議官等会議・各府省情報化専任審議官等会議合同会議決定)が定められている。
(4) NISC等における情報セキュリティ対策に関する取組の概要
ア 法に基づく監査
NISCは、法に基づく監査として、国の行政機関等における統一基準群等に基づく施策の取組状況等について検証するなどの監査(以下「マネジメント監査」という。)や、擬似的な攻撃により実際に情報システムに侵入できるかどうかの観点からサイバーセキュリティ対策の状況を検証するなどの監査を実施して、サイバーセキュリティ対策を改善するための助言等を行うことで、国の行政機関等におけるサイバーセキュリティ対策の強化を図っている。このうち、マネジメント監査の結果は毎年公表されており、「サイバーセキュリティ2024(2023年度年次報告・2024年度年次計画)」(令和6年7月サイバーセキュリティ戦略本部決定)によると、情報システムのセキュリティ要件に関する指摘が多くなっている(マネジメント監査における指摘に係る統一基準の部別の割合等については別図表1参照)。
イ クラウドサービスリストの公開
政府情報システムの整備及び管理に当たっては、オンプレミス(注10)からクラウド(注11)への移行が促されており、クラウドサービスの利用を第一候補として検討するクラウド・バイ・デフォルト原則に基づき調達を行うこととなっている。
そして、NISC、デジタル庁等は、安全性が評価されたクラウドサービスを登録して公開することにより、情報セキュリティ対策が十分なクラウドサービスを各府省庁等が効率的に調達できるよう、政府情報システムのためのセキュリティ評価制度(以下「ISMAP」という。)を運用している。ISMAPは、2年6月に運用が開始され、3年3月に初回となるクラウドサービスリストの登録及び公開が行われ、各府省庁等による利用が開始されている。
ウ 教育・訓練
(5) 情報セキュリティインシデントの発生状況
本部が3年度から5年度までに公表している年次計画及び年次報告によると、本部が国の行政機関等から受けた情報セキュリティインシデント(注13)に関連する報告等の件数は、3年度207件、4年度266件、5年度233件となっている。そして、これらの情報セキュリティインシデントの主な要因は、「外部からの攻撃」と、関係のない第三者へ誤ってメールを送信した事案等に係る「意図せぬ情報流出」となっている(国の行政機関等が公表している主な情報セキュリティインシデントについては別図表2参照)。
- (注13)
- 情報セキュリティインシデント 望まない又は予期しない情報セキュリティ事象であって、事業運営を危うくする又は情報セキュリティの確保に脅威を及ぼす可能性のある事象
(6) これまでの検査の実施状況
会計検査院は、これまで、各府省庁等における情報セキュリティ対策や情報システムの運用の継続性の状況について検査し、その結果を検査報告に掲記するなどしている(別図表3参照)。