国の行政機関等が実施する業務においては、情報システムの利用が拡大している。
また、インターネット等の高度情報通信ネットワークの整備等に伴ってサイバーセキュリティに対する脅威が世界規模で生じ、深刻化するなどしていることから、サイバーセキュリティを確保することにより、情報システムにおける情報セキュリティを確保することが重要となっている。そして、国のサイバーセキュリティに関する施策は、本部、NISC、デジタル庁等により推進されている。
一方、国の行政機関等においても、情報セキュリティインシデントが発生しており、情報セキュリティ対策等に関する取組の推進がより一層求められている。
そこで、会計検査院は、合規性、効率性、有効性等の観点から、各府省庁等の情報システムに係る情報セキュリティ対策等の状況について、次の点に着眼するなどして検査した。
ア 情報システムの整備、運用等に係る経費の支払状況及び契約の状況はどのようになっているか。
イ 情報システムに係る情報セキュリティ対策は、統一基準群等に基づき適切に講じられているか(注14)。
ウ 情報セキュリティ対策に係る教育等及び監査は、統一基準群等に基づき適切に実施されているか(注14)。
会計検査院は、6年3月末時点において14府省庁等(注15)の本府省庁等24機関(注16)が整備、運用等を行っている情報システム(注17)のうち、様々な状況において重要な業務を実施するための情報システム(以下「対象システム」という。)236システム、及び14府省庁等の地方支分部局のうち16機関が整備、運用等を行っている対象システム120システムに係る情報セキュリティ対策等の状況について、3年度から5年度までを対象として検査した。
検査に当たっては、本府省庁等24機関及び地方支分部局16機関において、契約書、調達仕様書等の関係資料を確認するとともに、内閣官房及びデジタル庁においては、NISC及びデジタル庁が実施しているサイバーセキュリティに関する施策等の状況についても関係資料を確認するなどして会計実地検査を行ったほか、24機関及び16機関から調書の提出を受けてその内容を分析するなどして検査した。
なお、NISCを改組して設置された国家サイバー統括室は、各対象システムに係る情報セキュリティ対策等の状況に関する詳細な事実関係や、会計検査院が具体的にどのような情報システムを検査の対象としたのかなどの情報が公開された場合、特定の対象システムにおける情報セキュリティ対策等の問題点を狙い撃ちにした攻撃を誘発するなどのリスクがあるため、サイバーセキュリティを確保する観点から公開すべきではないとしている。
上記を踏まえて、これらの情報については、本報告書には記述しないこととした。