はじめに
背景と目的
社会全体のデジタルトランスフォーメーションが加速し、我々を取り巻く様々な分野においてデジタル技術の利活用が進んでいる。他方、サイバー攻撃はその発生頻度の増加と高度化が続く状況下にあり、サイバーセキュリティ対策のさらなる強化が不可欠となってきている。こうした中で、政府情報システムに対しても、今後、サイバー攻撃の脅威は高まっていくことが予想される。
こうした背景から、政府機関においても、情報セキュリティポリシーを適切に策定及び維持し、ポリシーに則り各種セキュリティ施策を効率的かつ確実にシステムへ反映し、期待通りシステム実装及び運用されていることのセキュリティ監査が行われている。
一連のセキュリティ管理策は、整合性の維持・管理を含めてこれまで人手により検討し実施されてきた。ウォーターフォール型開発の手法を用い、モノリシックアーキテクチャを採用し、また境界型のサイバー攻撃対策を主として行ってきた環境においては、人手によるセキュリティ管理策の検討でも耐えうることはできていた。しかし、DevOpsやアジャイル型開発といった開発手法の普及、クラウドネイティブ技術の採用など、管理対象である情報システム環境の多様化による複雑性の増大やシステムライフサイクルの短縮化などにより、柔軟かつ頻繁にセキュリティ管理策のテーラリングが必要になり、以前にも増して人手によるセキュリティ管理策の管理、運用が困難なものとなっている。加えて、コンプライアンス意識の高まりにより、準拠すべき規格、フレームワーク、管理策は増加しており、組織における情報セキュリティポリシーもまた複雑化と増加の一途をたどっている状況であり、セキュリティ管理策の整合性維持が難しくなっている。
このような状況の中、セキュリティ監査を行う側の負担も増しており、一回のセキュリティ監査を実施するに当たって多大な労力が掛けられている。また、セキュリティ監査実施直後はシステムとして在るべき姿に近い状態を実現できるが、往々にして、時間経過するにつれて在るべき姿と実態との間で乖離が発生してしまっている。セキュリティ確保を確実にするためにも、システムは在るべき姿を常に維持し続けることが重要であり、理想的には、継続的にセキュリティ監査される状態を目指すべきである。
これらの課題を解決するために、本技術レポートで示すセキュリティ統制のカタログ化を行うことで、セキュリティ統制業務の自動化が実用的になるのではないかと考える。本技術レポートではセキュリティ統制のカタログ化に関する見通しを掲載し、セキュリティ統制業務の自動化の一助とすることを目的とする。
適用対象
本文書は、政府情報システムに適用される情報セキュリティポリシーやセキュリティ管理策を適用対象として想定している。なお、本文書は両者の関係性を整理するものであり、適用の遵守を求めるものではない。
位置づけ
本文書は、標準ガイドライン群のInformative(情報提供)のレベルの参考文書である。
用語
本文書において使用する用語は、表 1及び本文書に別段の定めがある場合を除くほか、標準ガイドライン群用語集の例による。その他専門的な用語については、民間の用語定義を参照すること。
| 用語 | 意味 |
|---|---|
| セキュリティ統制 | セキュリティの目標を達成するために設定された一連のセキュリティ管理策と、それらを実装・運用することによる目標達成に向けたマネジメントの活動のこと。 |
表 1 用語の定義