はじめに

社会全体のデジタルトランスフォーメーションが加速し、我々を取り巻く様々な分野においてデジタル技術の利活用が進んでいる。他方、サイバー攻撃はその発生頻度の増加と高度化が続く状況下にあり、サイバーセキュリティ対策のさらなる強化が不可欠となってきている。政府情報システムに対しても、今後、サイバー攻撃の脅威は高まっていくことが予想される。

こうした背景から、政府機関等に対するサイバー攻撃に対しても、それを防御することだけに注力するのではなく、攻撃の発生を速やかに検知し、対応することで被害を極小化し、正常状態に迅速に復旧することにも意識を向ける必要がある。

近年、包括的にサイバーセキュリティ態勢を構築するための代表的なツールとしてアメリカ国立標準技術研究所（以下、「NIST」という。）において、サイバーセキュリティフレームワークが開発され、国際的にもその利用や応用が進んでいる。

本文書はサイバーセキュリティフレームワークの基本的な考え方を解説した上で、政府機関や政府情報システムに対して当該フレームワークを導入するための方針、実施プロセスを示すと共に政府統一基準やその他のセキュリティに関する基準等との関係についても言及する。

背景と目的

本文書は、政府情報システムの開発や運用業務に従事する関係者に対して、サイバーセキュリティフレームワークの概要とその必要性、及びその特徴を示すことを主目的とする。

サイバーセキュリティ対策を講じる際には、特定のセキュリティ対策ソリューションを導入するだけでは不十分であり、サイバーセキュリティ態勢を構築・維持する上で構成される機能（「識別」「検知」「防御」「対応」「復旧」）に対して、組織及び情報システムのリスクに応じたセキュリティ対策を実施することが重要である。

サイバーセキュリティ対策の計画や実施の段階において、サイバーセキュリティフレームワークを参照し、導入することで、組織や情報システムにおけるサイバーセキュリティの各機能におけるサイバーセキュリティ対策のばらつきや不十分なリスク管理が解消され、政府機関並びに政府情報システムにおけるサイバーセキュリティの水準が向上することが期待される。

適用対象

本文書は、政府情報システムを適用対象として想定している。なお、本文書はサイバーセキュリティフレームワークへの理解を深める参考文書であり、適用の遵守を求めるものではない。

位置づけ

本文書は、標準ガイドライン群のInformative（情報提供）のレベルの参考文書である。

本書の構成

第2章ではサイバーセキュリティフレームワークの概要を示し、サイバーセキュリティフレームワークの必要性と特徴について説明する。サイバーセキュリティフレームワークに関する知見がない読者は、本章を理解することで第3章以降の記載内容への理解を深めることができるため、一読することを推奨する。また、第6節ではサイバーセキュリティフレームワークの諸外国での活用状況について紹介する。

第3章ではサイバーセキュリティフレームワークを導入するためのプロセスについて、準備段階で実施すべき事項や導入段階で実施すべき事項を示すとともに、第3節ではサイバーセキュリティフレームワークを導入する際の留意事項についても説明する。

第4章ではサイバーセキュリティフレームワークと政府統一基準を筆頭に他のセキュリティの基準等との関係性について説明する。サイバーセキュリティフレームワークは、政府統一基準やその他のセキュリティに係る基準やフレームワークを排他するものではなく、政府機関は、政府統一基準および各政府機関の情報セキュリティポリシーに準拠した上で、サイバーセキュリティフレームワークを参照することが重要となる。

用語

本文書において使用する用語は、表１-1及び本文書に別段の定めがある場合を除くほか、標準ガイドライン群用語集の例による。その他専門的な用語については、民間の用語定義を参照すること。