■「政府機関等の情報セキュリティ対策のための統一基準群」について

https://togetter.com/li/1714221

高木浩光氏による「デジタル庁によるnote発信における問題点の指摘」が話題になっているが、この焦点となっている

「政府機関等の情報セキュリティ対策のための統一基準群」（通称：統一基準群）について、誤解を前提としたブコメがあまりに多いので簡単に概要説明。

あくまで「統一基準群って何？」という大前提についての話で、高木氏の指摘内容自体は説明しない。

●原本はここ

https://www.nisc.go.jp/active/general/kijun30.html

現在令和3年度版策定中なのでこれが現行。全文が公開されている。

「群」と言われている通り、規範－指針－基準及び基準策定ガイドライン、という階層構造の文書群。

専門家でなくても判るよう噛み砕いた文章にはなっているが、規定である以上正確性を担保した文章で、読み飛ばせないゆえに、全体理解には相当負荷のかかる文書群ではある。

●本文書の性格

法律でも政令でもない。

但し無論根拠法は存在する。法律（サイバーセキュリティ基本法）において「国の行政機関等はサイバーセキュリティに関する対策の基準を作成しなければならない」と定められていて、「だったら個別に各機関で作るより統一基準を作ろう」という事で、内閣サイバーセキュリティ センター(NISC)が作成しているのがこの文書群。

中央省庁全てと国立行政法人の大半はこのセキュリティ基準を採用していて、ITシステムの導入/運用にあたっては、この基準を守らなければならないというルール。

一種公にされた内規的なものと思えばいい。

なお法令ではない以上、破っても罰則があるわけではない。（法律上の義務も「基準の策定」であって「基準の遵守」ではない）

統一基準群は「基準策定ガイドライン」という文書が含まれているとおり、わりと大枠の基準。それなりの自由度が設定されていて、「これをベースラインとして現実的な対策／実要件はこの基準の範囲内で、各省庁(独法)で細部を定めてね」という主旨。

今回の件は（デジタル庁独自基準がどうなっていようと／例え実際のセキュリティ上の問題が無かろうとも）、そもそもこのベースラインの内容に反しているからダメなんじゃね？というのが高木氏の指摘。

●統一基準群の実運用面（本項は私見）

膨大な文書であり、かつ行政文書にしてはしばしば改定される（セキュリティ対策なので当然の話）ので内容をきっちり把握している省庁の担当者は正直あまり多くない印象。

IT専門の部署でない部局が行うITシステムの調達では「セキュリティについては統一基準群に則ること」と仕様書に1行記載してすませる(＝設計内容丸投げ)ケースも多い。

統一基準群に基づき独自の具体的基準をきっちり策定し、基準を順守した設計となっているか目を光らせている省庁部局となると非常に限られる。(もちろん厳しい所は厳しい)

セキュリティ基準の必要性は当然なのだが、ITシステムにおいて、何も言われなくても仕様書の一行に対し数百項目の対策リストを出してくるような、統一基準群と標準ガイドライン群(注)に代表される中央省庁独自規則に精通した技術者を抱える特定ベンダに（入札自体はオープンで公平であっても）発注が集中してしまう実状を生んでいる一因でもある。

近年は統一基準群も標準ガイドライン群も「クラウド・バイ・デフォルト」を原則として、外部SaaS等の利用を積極的に推奨する方向の規定にしているのだが、そもそも統一基準群を把握している担当者が少ない現状では、方針がそうなっていてもなかなか浸透しないのが実態かと思われる。

把握できてない以上意図してなくても本件のようなやらかしを踏み抜く可能性がつきまとうわけで（SaaS事業者は統一基準群を守れているか、なんて回答してくれない）、そこを恐れる実務者の気持ちは分からないでもない。

（注）　標準ガイドライン群

https://cio.go.jp/guides

　正式名称「デジタル・ガバメント推進標準ガイドライン」。セキュリティ面以外のIT利活用の指針文書群。こちらも膨大な文書群で、中央省庁のIT関連ルールにおいて把握が大変な点で統一基準群と双璧。

Permalink | 記事への反応(1) | 21:09

ツイートシェア