情報処理学会ホームに戻る
最終更新日:2005年11月14日

「政府機関の情報セキュリティ対策のための統一基準」
に追加すべき項目(骨子)に関する意見書提出

 

会長 安西祐一郎

 このたび本会では,第512回理事会(平成17年10月25日)において,内閣官房情報セキュリティセンター(NISC)に対し意見書を提出することを決定し,以下の通り,11月10日に提言を提出いたしましたのでご報告いたします.

 ■内閣官房情報セキュリティセンター(NISC)Webページ
  「政府機関の情報セキュリティ対策のための統一基準」に追加すべき項目(骨子)に関する意見の募集


該当箇所 「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版)」
3.2.1「情報の作成と入手」
意見内容 誰が情報の格付けに責任を持つかを明確にするとよいと思います.特に,各部門の情報管理責任者(この統一基準では「情報セキュリティ責任者」)が情報の格付けに責任を持つことにするのが望ましいと思われます.
理  由 情報の作成者が格付けを自由に決められる,というポリシーは自由度があって素晴らしいのですが,士気の高い従業員からなる小さな会社と違って,政府や自治体のような大規模な組織では,末端の行政事務従事者が常に正しく機密性(3段階),完全性,可用性を判断するのは困難であると思料するからです.
 
該当箇所 「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版)」
3.2.3 情報の保存
(d) 行政事務従事者は,要機密情報を電子計算機又は外部記録媒体に保存する場合には,暗号化を行う必要性の有無を検討し,必要があると認めたときは,情報を暗号化すること.
意見内容 「情報の機密性を維持すること」と一般的に表現してはいかがかと思います.
理  由 最近では暗号化だけではなくて,秘密分散によって USBとHDに分散して管理する技術が普及し始めてきました.
 
該当箇所 「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版)」
4部「情報セキュリティ要件の明確化に基づく対策」及び5部「情報システムについての対策」
意見内容 各府省庁のセキュリティ・アーキテクチャの制定について触れるのがよいかと思います.その際,政府機関統一のEA(エンタープライズ・アーキテクチャ)があるのならば,それとの関連について明確にする必要があると思われます.
理  由 セキュリティ・アーキテクチャ(例えば,ネットワークのゾーニングなど,)を制定することで,システムの開発や運用について,一定水準のセキュリティを保つことが容易になります.
この際,情報セキュリティは,ITインフラの品質コントロールと密接な関連があります.このため,ITガバナンスの仕組みと緊密に連携する必要があります.
 
該当箇所 「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版) 」
4.1.1節 主体認証
(1) (c) (ア)主体認証情報を保存する場合には,その内容の暗号化を行うこと.
同(イ)主体認証情報を通信する場合には,その内容の暗号化を行うこと.
意見内容 例えば,「盗聴に対する対策を行うこと」として,広く暗号化も含めた対策にしてはどうでしょうか.
理  由 これはパスワードによる認証を想定していると思いますが,ワンタイムパスワード,トークンやディジタル署名による認証では「暗号化」は生じません.
 
該当箇所 「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版) 」
5.2.2 端末
(d) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は,要機密情報を取り扱うモバイルPC については,内蔵記録媒体に保存される情報の暗号化を行う機能を付加すること.
意見内容 もっと一般的なパスワード等によるいわゆるロック機能(あるいは端末への主体認証)は触れなくて良いのでしょうか.
理  由 「盗難防止措置」の記述がそれを含んでいるのかも知れませんが, 昨今の情報漏えい事件の多くがノートPCの盗難によるものですので気になります.
 
該当箇所 「政府機関の情報セキュリティ対策のための統一基準」に追加すべき項目(骨子)
II「ソフトウェア開発<新規>」
意見内容 「ソフトウェアの開発工程」と限定するのではなく,「アプリケーションの開発工程」などの少しスコープの広い用語にしたほうが良いようと思われます.
理  由 政府機関では,ソフトウェア単体を開発するというよりは,ハードウェア,ネットワーク,運用などを含んだアプリケーション全体を開発することが多いかと思われます.そのような場合,様々なシステム設定,運用規定等にセキュリティ問題が紛れ込むことが多々あります.このため,ソフトウェアと限定することなく,アプリケーション開発工程全体にわたって,セキュリティ対策を行うことが重要と考えます.
 
該当箇所 「政府機関の情報セキュリティ対策のための統一基準」に追加すべき項目(骨子)
III「外部委託」
意見内容 システム開発や運用ベンダの選択基準に,CMMIやISMS取得などの認証を想定した,情報セキュリティ評価・認証制度による認証を取得しているかどうかを評価項目として活用することを盛り込んだらどうかと考えます.
理  由 I「機器等の購入」については,FIPS140やISO15408を想定したと思われる認証についての記述がありますが,最近のアプリケーション脆弱性をつく攻撃の増加を考えると,システムインテグレータやアウトソーサの品質も重要視する必要があります.
 
該当箇所 「政府機関の情報セキュリティ対策のための統一基準」に追加すべき項目(骨子)
V「情報保障のための機能<新規>」
意見内容 「情報保障」という用語を新たに取り入れるのではなく,セキュリティマネジメントの考え方を統一基準の「第1部」の中でより明確にすることで代替したらどうかと考えます.
理  由 Information Assuranceは,多くの場合情報セキュリティマネジメントと同義と捉えられていると思います.ここで述べられている「上位の機能」は,情報セキュリティマネジメントに常に必要なマネジメントの考え方(例えばPDCAサイクルに代表される)を指しているように読めます.もしそうであれば,「第1部」で既にある程度述べられています.第1部をよりわかりやすく明確にすることで,新たな用語の導入を避けられると考えます.
 

以下,「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版)」に関し,細かい点をいくつか箇条書きにいたします.ご参考にしていただけると幸いです.

  • 2.2.2「事故及び障害の対応」ですが,事故・障害が発生した時の対応しか書いてありません.実は,事故・障害が発生しそうな時の対応の対応も重要です.先日,8月15日に小泉総理が靖国神社に参拝するかもしれない,という状況の下で,サイバー攻撃のおそれがあるという事前警告がありました.このような場合の対処の方法も整備しておくことが重要です.
  • 同じ4.1.1「主体認証」ですが,識別コード(ユーザID)の定期的棚卸しについての規定がありません.「必要がなくなった場合届け出ること」とされていますが,多くの場合,届け出ない人のユーザIDが問題になります.同様に「主体認証情報格納装置」(セキュリティ・トークン)の規定にも,Expirationの規定がありません.
  • 4.1.3「権限管理」に「デュアルロック機能を情報システムに設けること」とありますが,「デュアルロック」とは何でしょう.1.1.3「用語集」にも定義が見当たりません.
  • 4.1.4「証跡管理」ですが,ログについての情報格付けの規定がありません.少なくとも,ログについてはしかるべき理由が無い限り,自動的に「完全性2」「機密性2」格付けが与えられて良いように思います.
  • 4.2 「情報セキュリティについての脅威」ですが,危険を回避するための要項は規定されてはいますが,自サイトが踏み台のような形で外部に脅威を与えるような状況に陥ったときの規定がないようです.情報システムセキュリティ責任者としての行動指針を記載しておくのがよいと思います.
  • 4.2.2「不正プログラム対策」ですが,一つの問題は,利用者がいろいろなソフトウェアを勝手にインストールするプラクティスがあることではないかと思います.その意味で,組織内で使用するために承認または推奨されるソフトウェアのリストなどを定めることを奨励すべきではないでしょうか.
  • 5.2.3「サーバ装置」で,バックアップを取得することが規定されていますが,バックアップの情報格付けも規定した方がよいでしょう.
  • 用語についてですが,JPCERTコーディネーションセンターが関与するセキュリティ上の問題については,「セキュリティホール」ではなく,「脆弱性関連情報」という表現を使用しています.また,経済産業省では,「ソフトウエア等脆弱性関連情報取扱基準」という表現を使用しています.用語の統一を図るなどを検討すべきだと思います.ソフトウエア等脆弱性関連情報取扱基準の用語定義は,整理されているので,これを参照するのがよいと思います.

以上