はじめに

背景と目的

社会全体のデジタルトランスフォーメーションが加速し、我々を取り巻く様々な分野においてICTの利活用が進んでいる。他方、サイバー攻撃はその発生頻度の増加と高度化が続く状況下にあり、サイバーセキュリティ対策のさらなる強化が不可欠となってきている。こうした中で、政府情報システムに対しても、今後、サイバー攻撃の脅威は高まっていくことが予想される。

政府情報システムは国民生活や行政の活動の根幹を支える基盤であり、これらのシステムにおけるインシデントは社会基盤の機能停止に直結するリスクがある。このため、令和3年度に閣議決定されたサイバーセキュリティ戦略に基づき、従来の「境界型セキュリティ」にとどまらない、常時診断・対応型のセキュリティアーキテクチャの実装に向けた技術検討を進めていく必要がある。

従来型のセキュリティ監視・運用体制においては、政府として統一的なセキュリティポリシーの適切な運用、迅速なリスク検知・低減活動が困難となることが予想され、資産管理、構成管理、脆弱性管理等の拡充・レベルアップが求められている。このため、政府全体のサイバーセキュリティリスクを早期に検知し、これを低減することを目的とし、常時リスク診断・対処（CRSA: Continuous Risk Scoring and Action）システム（以下、「CRSAシステム」という。）の導入を検討することになった。具体的には、令和5年度版の「政府機関等のサイバーセキュリティ対策のための統一基準群」（以下、「統一基準群」という。）に基づき、各府省庁システムにおけるサイバーセキュリティリスクについて常時かつ継続的に状況を把握し、必要に応じて各府省庁と連携してリスク低減活動を実施するための、情報収集・分析システムを構築することが求められている。

本文書は、「デジタル社会の実現に向けた重点計画」、「サイバーセキュリティ戦略」及び「情報システムの整備及び管理の基本的な方針」を踏まえ、CRSAのエンタープライズアーキテクチャを解説したものである。

適用範囲

本文書は、政府情報システムを適用対象として想定している。なお、本文書はCRSAシステムへの理解を深める参考文書であり、適用の遵守を求めるものではない。

位置づけ

本文書は、標準ガイドライン群のInformative（情報提供）のレベルの参考文書である。

用語

本文書において使用する用語は、表１-1及び本文書に別段の定めがある場合を除くほか、標準ガイドライン群用語集の例による。その他専門的な用語については、民間の用語定義を参照していただきたい。