CRSAのエンタープライズアーキテクチャ
エンタープライズアーキテクチャの概要
CRSAのエンタープライズアーキテクチャ(以下、「EA」という。)およびEAを構成する各レイヤーの概要を以下に示す。EAとは、企業の事業を構成する要素(組織や人的資源等)の構造を整理して、構造化する方法論、またはその取り組みを指すものであり、業務プロセスや情報システム等の最適化・効率化を図るために導入・推進される。
図 3‑2 EAを構成する各レイヤーの概要
CRSAのEAの構成について以下に解説する。
(1)ガバナンスレイヤー
CRSAが目指すべき方向性は、サイバーセキュリティ戦略(令和3年9月28日閣議決定)において以下とされている。
(2)業務レイヤー
業務に関係する要素を以下に示す。
-
サイバーセキュリティ担当組織等担当者
-
府省庁担当者
-
基準・ガイドライン(統一基準群及び各府省セキュリティポリシー等)
CRSAシステムが対象となる可能性がある業務を以下に例示する。
- 統一基準群等に準拠したコントロール(管理策)からの逸脱の把握と是正等に係る業務
府省庁担当者が行う内部監査、サイバーセキュリティ担当組織等担当者が行う監査等の現状把握と是正又は助言に係る業務。管理策の実施状況が継続的にモニタリングできるため、より精度の高い状況把握に基づく監査等が可能になることが期待できる。
-
インシデント発生時の対応に係る業務
インシデント発生時の資産等への影響規模や対応の優先度を評価するための情報収集および分析等業務。
-
セキュリティ対策実施状況の報告に係る業務
府省庁担当者が行うセキュリティ対策の実施状況に係る報告業務。管理策の実施状況が継続的にモニタリングできるため、より精度の高い状況報告が可能になることが期待できる。
-
政府横断的な脆弱箇所の発見と是正対応に係る業務
サイバーセキュリティ担当組織において実施する、政府横断的な脆弱箇所の調査・分析および検知した脆弱箇所の是正対応業務。
-
ゼロトラストアーキテクチャの運用環境維持に係る業務
パッチ適用の徹底等、ゼロトラストアーキテクチャの考え方に基づき運用環境を維持するための業務。
(3)アプリケーションレイヤー
CRSAシステムの機能に関係する要素を以下に示す。
-
政府横断GSOシステム
GSOダッシュボードとGSO リポジトリにより構成される。GSOダッシュボードは、データの可視化処理を担っており、サイバーセキュリティ担当組織等担当者がアクセスする。GSO リポジトリは、ASO リポジトリとのデータの授受およびGSOダッシュボードに表示するためのデータ処理を担う。
-
ASOシステム
ASOダッシュボードとASO リポジトリにより構成される。ASOダッシュボードは、データの可視化処理を担っており、府省庁担当者がアクセスする。ASO リポジトリは、診断対象システムからのデータの収集、GSO リポジトリとのデータの授受およびASOダッシュボードに表示するためのデータ処理を担う。ASO リポジトリは、診断対象システムからの収集したデータをGSO リポジトリに転送するためのデータの統計処理も担っている。
-
診断対象システム
CRSAにおける診断対象となる情報システム。
(4)技術レイヤー
CRSAシステムの実装に大きく影響する技術に関係する要素としては、クラウドサービスとオンプレミスの別が挙げられる。診断対象システムは、クラウドサービス上に構築されたものとオンプレミスとして構築されたものがあり、CRSAシステムは双方に対応する必要がある。政府横断GSOシステムは、クラウドサービス上において実装する方針である。一方で、ASOシステムは、診断対象システムを所管する各府省庁の判断により、クラウドサービス上に実装する場合とオンプレミスのシステムとして実装する場合がある。
CRSAシステムの診断対象領域
CRSAシステムは、下記の4つの領域を対象として診断を行う。
図 3‑3 診断対象領域と診断対象
(1) デバイス等
府省庁の政府情報システムにおけるデバイスについて、識別と状態の監視が適切に行われているか、端末やサーバ等のデバイスが適切に構成され、脆弱性が識別されて対応が実施されているかについて診断を行う。今後、監視対象を通信回線装置、その他デバイス(複合機やIoTデバイス等)、クラウド環境に拡張することが必要となる。
(2) アイデンティティ情報
府省庁の政府情報システムを利用するユーザのアイデンティティ情報について、管理が適切に行われているかについて診断を行う。今後、ユーザが適切に識別され、トレーニングを受けており、その役割に応じて適切な権限が付与されていることを確認する。
(3) システムとネットワークの状態
IPアドレスを持つデバイス間でどのようなトラフィックパターンやメッセージが発生しているかについて、特にマルウェア感染等のサイバーセキュリティ侵害事象に係るものについて診断を行う。将来的には、システムやアプリケーションのライフサイクル管理等(適切な管理策が導入されているか、定期的な脆弱性診断が実施されているか等)も診断対象とする。
(4) データ保護
府省庁の政府情報システムが保持する機密(特にプライバシー)データについて、適切な保護が実施されているかについて診断を行う。機密データについて、その識別やアクセス制限、暗号化等の措置が適切に実施されていることを確認する。
CRSAシステムを構成する機能とデータの流れ
アプリケーションレイヤーの概要を以下に示す。
GSOダッシュボード
各システムの状況を含む、政府全体のシステムの状況について表示する。主な表示項目は、以下の通り。
-
PC端末の数
-
モバイル端末の数
-
端末にインストールされているソフトウェアの数
-
検出されたソフトウェアの脆弱性の数
-
端末の設定違反(推奨していない設定)の数
-
端末の利用違反(未承認の利用者による利用)の数
-
マルウェア等の検知数
-
リスクスコアの値
ASOダッシュボード
府省庁の政府情報システムの状況について表示する。主な表示項目は、以下の通り。
-
PC端末の内訳
-
モバイル端末の内訳
-
端末にインストールされているソフトウェアの内訳
-
検出されたソフトウェアの脆弱性の内訳
-
端末の設定違反(推奨していない設定)の内訳
-
端末等の利用違反(未承認の利用者による利用)の内訳
-
マルウェア等の検知の内訳
-
リスクスコアの値
GSOリポジトリ
GSOリポジトリの機能は以下の通り。
-
ASOリポジトリからの連携データの集約・統合
-
インターネット上のデータベースからの脆弱性情報等のデータ収集
-
外部システムからの政府情報システムに係る情報等のデータ収集
-
リスクスコア算出等の各種のデータ処理
-
ダッシュボード表示データの編成
データストアに格納されるデータの構成は以下の通り。
| No | データ名 | 説明 |
|---|---|---|
| 1 | マスターデータ | 各府省庁の政府情報システムに関する基礎情報や脆弱性に関する基礎情報等のマスターデータ群 |
| 2 | 連携データ | 各府省庁の政府情報システムから収集された診断統計情報等、ASOシステムから政府横断GSOシステムへ受け渡される連携データ群 |
| 3 | スコアデータ | 組織スコアやシステムスコア等のスコアデータ群 |
| 4 | 外部データ | セキュリティインシデントに係るデータや脆弱性に関する情報等の外部から取り込まれたデータ群 |
| 5 | ログデータ | CRSAシステムが記録するログデータ群 |
表 3‑1 GSOのデータストアの構成
ASOリポジトリ
ダッシュボード表示データの編成ASOリポジトリの機能は以下の通り。
-
府省庁の政府情報システムから取得した診断データの集約・統合
-
リスクスコア算出等の各種のデータ処理
-
ダッシュボード表示データの編成
-
GSOリポジトリへ連携する統計情報の作成
データストアに格納されるデータの構成は以下の通り。
| No | データ名 | 説明 |
|---|---|---|
| 1 | マスターデータ | 各府省庁の政府情報システムに関する基礎情報や脆弱性に関する基礎情報等のマスターデータ群 |
| 2 | 連携データ | ASOシステムから政府横断GSOシステムへ受け渡す連携データ群 |
| 3 | スコアデータ | デバイススコアやシステムスコア等のスコアデータ群 |
| 4 | 診断データ | 各府省庁の政府情報システムから収集した診断情報 |
| 5 | ログデータ | CRSAシステムが記録するログデータ群 |
表 3‑2 ASOのデータストアの構成
診断対象システム
診断対象システムは、システムを構成するデバイス種別に違いにより基盤系システムとアプリ系システムに大別される。
基盤系システムは、主として端末およびネットワーク機器によって構成されている。端末は、職員に貸与されるPC端末に加えて、BYOD端末やモバイル端末を含む場合がある。
アプリ系システムは、主としてサーバ機器によって構成されている。
データの流れ
アプリケーションレイヤーでのデータの流れを以下に示す。
図 3‑5 アプリケーションレイヤーでのデータの流れ