会計検査院は、情報システムに係る情報セキュリティ対策等の状況について、合規性、効率性、有効性等の観点から、①情報システムの整備、運用等に係る経費の支払状況及び契約の状況はどのようになっているか、②情報システムに係る情報セキュリティ対策は、統一基準群等に基づき適切に講じられているか、③情報セキュリティ対策に係る教育等及び監査は、統一基準群等に基づき適切に実施されているかなどに着眼して検査した。
なお、国家サイバー統括室は、各対象システムに係る情報セキュリティ対策等の状況に関する詳細な事実関係や、会計検査院が具体的にどのような情報システムを検査の対象としたのかなどの情報が公開された場合、特定の対象システムにおける情報セキュリティ対策等の問題点を狙い撃ちにした攻撃を誘発するなどのリスクがあるため、サイバーセキュリティを確保する観点から公開すべきではないとしている。
上記を踏まえて、これらの情報については、本報告書には記述しないこととした。
検査の状況の主な内容は次のとおりである。
(ア) 対象システムに係る台帳の整備状況等
本府省庁等16機関の41システム及び地方支分部局10機関の56システムについては、情報システム台帳に記載されておらず、情報システム台帳による管理が行われていなかった。また、本府省庁等13機関の109システム及び地方支分部局12機関の62システムについては、情報システム台帳に記載することとされている12事項のうち一部の事項が記載されていなかった(リンク参照)。
(イ) 情報システムのセキュリティ要件に係る情報セキュリティ対策の状況等
a ソフトウェアに関するぜい弱性対策
12機関の58システムについては、統一基準群に準拠したソフトウェアに関するぜい弱性対策が講じられていなかった(リンク参照)。
b アクセスの権限の管理
16機関の26システムについては、アクセスの権限の管理が統一基準群に準拠しておらず、適切に行われていなかった(リンク参照)。
c 主体認証情報の管理
18機関の55システムについては、主体認証情報の管理が統一基準群に準拠しておらず、適切に行われていなかった(リンク参照)。
d ログの取得・管理
19機関の102システムについては、点検対象ログが全く取得されていなかった。また、12機関の38システムについては、点検対象ログは取得されていたものの、ログの点検又は分析が実施されていなかった(リンク参照)。
e IT-BCPの策定及び運用
本府省庁等24機関の146システム及び地方支分部局13機関の113システムの計37機関の259システムについては、IT-BCPが策定されていなかった。
また、10機関の統括情報セキュリティ責任者は、危機的事象発生時における情報セキュリティに係る対策事項を定めていなかった(リンク参照)。
f 情報システムIDの付番等
本府省庁等13機関の42システム及び地方支分部局10機関の95システムの計23機関の137システムはID無しシステムとなっており、ID無しシステムは、ID付きシステムよりも情報セキュリティ対策の実施割合が低くなっていた(リンク参照)。
(ウ) 業務委託及び外部サービスの利用に係る情報セキュリティ対策の実施状況
a 業務委託に係る情報セキュリティ対策の実施状況
本府省庁等15機関の921件及び地方支分部局16機関の198件の契約においては、調達仕様書等に定めることとされている7事項のうち一部の事項が定められていなかった。また、確認方法に係る事項が調達仕様書等に定められていた契約のうち、本府省庁等14機関の233件及び地方支分部局6機関の23件の契約については、情報システムセキュリティ責任者等において、委託先における情報セキュリティ対策等の実施状況に係る確認が実施されていなかった。
本府省庁等13機関の213件及び地方支分部局10機関の62件の契約においては、調達仕様書等に再委託に係る事項のいずれか又は両方が定められていなかった(リンク参照)。
b 外部サービスの利用に係る情報セキュリティ対策の実施状況
本府省庁等11機関の68件及び地方支分部局4機関の10件の契約については、クラウドサービスの利用について許可権限者から承認を受けていなかった。
本府省庁等12機関の39件及び地方支分部局3機関の5件の契約においては、クラウドサービスのセキュリティ要件が管理策水準となるように調達仕様書等に定められていなかった。また、これらの契約のうち、本府省庁等4機関の8件の契約については、ISMAPのクラウドサービスリストに登録されていないクラウドサービスを利用していた(リンク参照)。
(ア) 情報セキュリティ対策に関する教育等の状況
a 各府省庁等における教育の実施状況
3年度から5年度までの各年度に、1府省庁等においては、教育実施計画が策定されていなかった。
業務委託に係る情報セキュリティ対策に関する教育が実施されていた府省庁等の機関の契約のうち、業務の委託先において実施する情報セキュリティ対策に関する7事項のうち一部の事項が定められていなかった契約の割合が82.4%となるなどしており、業務委託に係る情報セキュリティ対策に関する教育が実施されていた府省庁等においても、業務委託に係る情報セキュリティ対策は必ずしも適切に講じられていない状況となっていた(リンク参照)。
b NISCによる教育の状況
NISCによると、NISC勉強会の講義後に実施するアンケートにより、当該講義が情報セキュリティ対策の理解に資するものとなっていることを確認しているとしていた。一方、各機関において統一基準群に準拠した運用を行う必要があることについての認識が欠けていたなどのため、情報セキュリティ対策が適切に講じられていないなどの状況が見受けられた(リンク参照)。
(イ) 情報セキュリティ監査の実施状況等
3年度は3府省庁等、4年度は2府省庁等、5年度は1府省庁等において監査実施計画が策定されていなかった。
また、4府省庁等の計画外監査に係る委託契約17件のうち14件については、監査結果が情報セキュリティ監査責任者等に情報共有されていなかった(リンク参照)。
国の行政機関等が実施する業務においては、情報システムの利用が拡大しており、情報システムの整備、運用等に係る経費は多額に上っている。
一方、サイバーセキュリティに対する脅威が世界規模で生じ、深刻化するなどしており、国民の安全・安心の根幹に関わる経済社会基盤を担う国の行政機関等が、サイバーセキュリティ対策を進めることにより情報セキュリティを確実に保証することが求められている。
ついては、国家サイバー統括室、デジタル庁及び各機関は、重要な業務を実施するための情報システムである対象システムに係る情報セキュリティ対策が適切に講じられ、対象システムが今後も有効に機能するよう、次の点に留意する必要がある。
ア 各機関において、統一基準群に基づき情報システム台帳を整備すること
イ 各機関において、統一基準群に準拠したソフトウェアに関するぜい弱性対策、アクセスの権限の管理、主体認証情報の管理及びログの取得・管理に係る情報セキュリティ対策を講ずること。また、政府業務継続計画及びIT-BCPガイドラインに基づきIT-BCPの策定等を適切に実施すること
ウ ID無しシステムの整備、運用等を行っている各機関において、必要に応じてデジタル庁と協議するなどして、情報システムIDの取得について検討するとともに、デジタル庁において、ID取得要領を改定するなどして、既存の情報システムに係る情報システムIDを取得する場合の手続等を明確にすることについて検討すること
エ 各機関において、統一基準群に準拠した業務委託及び外部サービスの利用に係る情報セキュリティ対策を講ずること
オ 各機関において、統一基準群に基づき教育実施計画を策定するとともに、情報セキュリティ対策が適切に講じられるよう、ポリシーやセキュリティ関係規程の内容、情報セキュリティ対策の必要性等に関する教育を充実させるための方策について検討すること。また、国家サイバー統括室において、対策基準策定ガイドライン等の改定に当たり、情報セキュリティ対策がより確実に講じられるよう記載内容を工夫するとともに、統一基準群の内容や情報セキュリティ対策の必要性についての理解が更に深まるように引き続き教育等の取組を進めること
カ 各機関において、統一基準群に基づき監査実施計画を策定し、当該計画に基づき監査を実施すること。また、計画外監査の結果が情報セキュリティ監査責任者等に情報共有されるように対応を検討すること
会計検査院としては、各府省庁等の情報システムに係る情報セキュリティ対策等の状況について、引き続き注視していくこととする。