コラム

情報セキュリティ2010

2010年10月12日

  2010年7月22日付で情報セキュリティ政策会議が「情報セキュリティ2010」を決定し内閣官房情報セキュリティセンターから公表されました。「情報セキュリティ2010」は2010年5月11日に情報セキュリティ政策会議で決定された4カ年計画である「国民を守る情報セキュリティ戦略」の年度計画として位置づけられ、2010年度及び2011年度に実施する具体的な取組みを記載したものです。昨年度は「セキュア・ジャパン2009」の名称で公表されています。

  「情報セキュリティ2010」で目につくのは「大規模サイバー攻撃事態への対処態勢の整備等」です。2009年の「セキュア・ジャパン2009」でも随所にサイバー攻撃への対応は記述されていましたが、2009年7月の米韓での大規模サーバー攻撃事態(2010年版 10大脅威(2010年3月IPA)参照)を踏まえて、より具体的・系統的な記述で統合的な対処に努めることを宣言しています。

大規模サイバー攻撃事態への対処態勢の整備等(19施策)

(1) 対処態勢の整備(12施策)

  • 適切な初動対処のための態勢の整備(内閣官房)【年度内に態勢を整備、訓練を実施】
  • サイバーテロ対策に係る体制の強化、重要インフラとの連携強化(警察庁)
  • サイバー攻撃(インシデント)対応調整支援(経済産業省)
  • サイバー攻撃に対する防衛分野での体制の強化・研究等の推進(防衛省) 【年度内にサイバー企画調整官(仮称)を配置】等

(2)平素からの情報収集・共有体制の構築・強化(7施策)

  • 対処に資する情報の収集、内閣官房への集約、適時・適切な共有のための体制を強化(内閣官房、全府省庁)【年度内に情報収集・共有のための体制を強化】
  • サイバー攻撃に関する諸外国等との情報共有体制の構築・強化(内閣官房、関係府省庁) 【年度内に情報共有体制の在り方を検討】等

※「情報セキュリティ2010概要」から引用(引用した部分の章番号は省略しています。以下同様)

  次に「情報セキュリティ2010」の中から、ITセキュリティセンターの業務であるITセキュリティ評価機関と暗号試験機関としての活動にかかわる主な事項をピックアップしてみます。

政府機関の情報セキュリティ対策のための統一基準の見直し

エ) (一部略)・・IT 製品等を調達する際には、政府機関統一基準に基づき、「IT セキュリティ評価及び認証制度」により認証された製品等を優先的に取り扱う。

オ) 情報セキュリティに配慮したシステム選定・調達の支援(内閣官房及び経済産業省)

  a) (一部略)・・IT セキュリティ評価及び認証制度の認証製品の活用推進のための検討を引き続き行い、政府機関等における活用を促進する。

  b) 諸外国における状況も勘案しつつ、政府機関統一基準に定められている政府情報システム等の調達時における「IT セキュリティ評価及び認証制度」、「暗号モジュール試験及び認証制度」の認証取得の要否に関する要件の一つである「重要なセキュリティ要件」がある場合等について、その明確化を行い、上記統一基準の反映に資する。

※「情報セキュリティ2010」から引用・抜粋

  エ)項およびオ)a)項で述べられている内容は現行の「政府機関の情報セキュリティ対策のための 統一基準(第4版) (平成21年度修正)」(以下「統一基準」)でも謳われています。b)項は初めて明記された事項です。現状の統一基準で記されている「重要なセキュリティ要件」については基準があいまいでしたが、今年度はその明確化を行うことが定められたことになり、統一基準の次回の改定では明確化された内容が盛り込まれることになります。

  もう一点はシステムLSIのセキュリティ評価・認証体制を整備することが明記されています。システムLSIの評価及び認証はドイツとフランスを中心に実施しており日本メーカーも現状では両国で認証取得をしていますが、日本で評価及び認証体制が確立されることが望まれているところです。2009年度の「セキュア・ジャパン2009」でもシステムLSIの評価・認証のための体制整備は明記されていましたが、今年度は共同利用設備や人材育成など具体的な事項を明記しています。

情報家電、モバイル端末、電子タグ、センサーネットワークの情報セキュリティ確保方策

ウ) システムLSI のセキュリティ評価・認証体制の整備(経済産業省)
2011 年度までに、IC カード等に用いられるシステムLSI について、国内でISO/IEC15408 に基づくセキュリティ評価・認証が行えるよう必要な体制整備を行うため、2010 年度には、昨年度に引き続き、セキュリティ評価・認証のための共同利用設備の整備、人財育成、技術開発、調査等を着実に実施する。

※「情報セキュリティ2010」から引用・抜粋

≪参照≫

注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved