尖閣映像:馬淵大臣がいう情報セキュリティポリシーと10月18日の大臣指示は?
秘書です。
馬淵大臣が強調している情報セキュリティポリシー。どうも、カタカナ文字がああいう論争に出てくることに違和感があります。一体何なのでしょう。
馬淵大臣がいっている情報セキュリティポリシーというのは、このこと↓か?
情報セキュリティポリシーに関するガイドライン
平成12年7月18日
情報セキュリティ対策推進会議決定
http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html
情報セキュリティポリシーに関するガイドライン
I.背景
・・・
各個人が、ネットワークに接続されたパソコンを使用することが一般的になることにより、組織内部の者による情報の意図的な漏洩及び外部への不正なアクセス等、内部から発生する情報セキュリティ上の問題に対する危険性についても無視できない。
・・・
→この「組織内部の者による情報の意図的な漏洩」「内部から発生する情報セキュリティ上の問題」にあたる、と考えているのか?
本ガイドラインは、これらの情報セキュリティを担保するために必要となる各省庁の情報セキュリティポリシーに関する基本的な考え方、策定、運用及び見直し方法について記したものであり、各省庁の情報セキュリティポリシー策定のための参考に資することを目的とするものである。
→これに基づき、海上保安庁の情報セキュリティポリシーがあり、それに基づき馬淵大臣は対応しているということか。
II.基本的な考え方
2.政府の情報セキュリティの基本的な考え方
・・・
一方、ネットワークに接続されている政府の情報システムは、常に、盗聴、侵入、破壊、改ざん等の脅威にさらされていることを認識し、政府としては、国民に対して、ネットワークを通じて正確な情報及び安定的な行政サービスを提供することを確保するとともに、個人のプライバシーに関する情報等の情報公開法で不開示とされる情報の機密の保持を確保しなければならない。
・・・
→「情報公開法で不開示とされる情報の機密の保持を確保」が目的ですから、やはり、機密性が重要。
3.定義
本ガイドラインで使用する用語の定義は、次のとおりである。
○情報セキュリティ
情報資産の機密性、完全性及び可用性を維持すること。
→尖閣映像が海保職員の多くがアクセス可能な勉強用の共有資産だった場合、「機密性」はどうなるのか?
○情報システム
同一組織内において、ハードウエア、ソフトウエア、ネットワーク、記録媒体で構成されるものであって、これら全体で業務処理を行うもの。
→海保全体で共有する情報システムだった場合、どうなるのか?
○情報セキュリティポリシー(以下「ポリシー」という。)
各省庁が所有する情報資産の情報セキュリティ対策について、各省庁が総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を含めた規定。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
5.ポリシーの公開
基本的に各省庁の判断によるところとなるが、情報公開法施行後は、この法律の趣旨を踏まえ公開か非公開かが判断されることとなる。一般的には、すべてを公開することは情報セキュリティ上の問題が起こり得ることから、公開する範囲については慎重に検討する必要がある。
ただし、各省庁の取組みとして、一定の対策を行っていることを公開することは、各省庁の情報セキュリティに対する姿勢を示す意味でも重要であることから、可能な範囲で公開することが望ましい。
→馬淵大臣がいう情報セキュリティポリシーも公開されているのでしょう。
6.ポリシーに関する留意点
(1) 組織としてどのような基本方針の下に情報セキュリティを確保していくのかを明確にすること。
また、情報セキュリティ対策を講じるための体制を確立し、業務を担当する者、情報システムを管理する者及び情報システムを利用する者等、同じ情報システムにおいても複数の者が関わることを十分認識した上で、権限と責任の範囲を明確化することにより、組織として情報セキュリティ対策が適切に進められるようにする必要がある。
→海保の場合、映像は共有する情報システムだったのではないか?
III.ポリシーのガイドライン
2.策定手続
(4) リスク分析
①概要
リスク分析とは、保護すべき情報資産を明らかにし、それらに対するリスクを評価することである。様々なリスク分析方法が考えられるが、ここでは具体的な方法の一つを示すこととする。
具体的な手順は次のとおりである。
(a) 各省庁の保有する情報資産を調査し、重要性の分類を行い、この結果に基づき、要求されるセキュリティの水準を定める。
(b) 各省庁の情報資産を取り巻く脅威を調査し、その発生頻度及び発生した際の被害の大きさからリスクの大きさを求める。
なお、一般的に両者の積をリスクの大きさとしている。
(c) リスクの大きさがセキュリティ要求水準を下回るよう対策基準を策定し、適切なリスク管理を行う。
なお、情報資産に変更があったとき、又は情報資産に対するリスクに変化が生じたときには、関係する情報資産についてリスク分析を再度行い、その結果ポリシーの見直しが必要となった場合にはその見直しを行う。また、定期的なポリシーの評価・見直しの際にも、リスク分析から再検討することが必要である。また、リスク分析の際に発見された情報資産の脆弱性で、早急に対応する必要のあるものについては、速やかに措置を講ずることが重要である。
リスク分析を行った結果の資料は、ポリシー策定の基礎資料として保管する必要があるが、当該資料には情報資産の脆弱性の分析が記されているため、厳重な管理が必要である。
→尖閣映像はどのようなリスク分析が行われ、重要性の分類が行われ、セキュリティ水準はどのようなものだったのか。
→海保が共有するものだったとすると、リスク評価を上回る価値が海保職員共有にあったのではないか。
②情報資産の調査
保護すべき情報資産を明らかにするにあたって、情報がどこにあり、誰が管理し、どのような状況で扱われているかについて調査する。
具体的な調査項目としては、次のものがある。このほか、リスク分析の結果等を検討した資料を作成する。
(例) 情報資産調査票
情報資産
用途
管理者
利用者(アクセス権限)
保存(設置)場所
保存(設置)期間
重要性 Ⅰ・Ⅱ・Ⅲ・Ⅳ
機密性[Ⅰ・Ⅱ・Ⅲ・Ⅳ]
完全性[Ⅰ・Ⅱ・Ⅲ・Ⅳ]
可用性[Ⅰ・Ⅱ・Ⅲ・Ⅳ]
→尖閣映像についてはどうなのでしょう?
③重要性による分類
調査した情報資産に対し、機密性、完全性、可用性の3つの側面から重要性を検討し、情報資産を分類する。
この分類は、情報資産をどのように扱い、保護するかを決めるための判断基準となり、これに基づき要求されるセキュリティ水準が定められる。
(重要性の3つの側面)
(a) 機密性・・情報資産の機密に基づく重要性
(b) 完全性・・情報資産の完全性・正確性に関する重要性
(c) 可用性・・情報資産の利用可能性・継続性に関する重要性
(例)
重要性の分類
Ⅰ: セキュリティ侵害が、国民の生命、財産、プライバシー等へ重大な影響を及ぼす。
Ⅱ: セキュリティ侵害が、行政事務の執行等に重大な影響を及ぼす。
Ⅲ: セキュリティ侵害が、行政事務の執行等に軽微な影響を及ぼす。
Ⅳ: 影響をほとんど及ぼさない。
(例)
重要性に基づくセキュリティ要求水準の設定(重要性の3つの側面を勘案して定める。)
重要性Ⅰ → セキュリティ要求水準1
重要性Ⅱ → セキュリティ要求水準2
重要性Ⅲ → セキュリティ要求水準3
重要性Ⅳ → セキュリティ要求水準4
④リスク評価
調査したすべての情報資産についてリスク評価を実施する。
(a) 取り巻く物理的、技術的、人的環境における脅威について調べる。 (脅威の例) 物理的脅威・ 侵入、破壊、故障、停電、災害等
技術的脅威・ 不正アクセス、盗聴、コンピュータウイルス、改ざん・消去、DoS攻撃、なりすまし等
人的脅威 ・ 誤操作、持ち出し、不正行為、パスワードの不適切管理等
(b) 各情報資産が直面するそれぞれの脅威に対するリスクの大きさについて、(a)脅威の発生頻度及び(b)発生時の被害の大きさから評価する。
なお、発生頻度及び被害の大きさを直接検討することに代えて、簡易的に発生頻度を情報資産の脆弱性に、被害の大きさを情報資産の重要性とする方法もある。
各情報資産について、全ての脅威に対してリスクの大きさを調査する必要がある。
(例) (段階的な評価水準設定)
(a) 脅威の発生頻度 A: かなりの頻度で発生する。 (脆弱性がかなり大きい。)
B: 時々発生する。 (脆弱性が大きい。)
C: 偶発的に発生する。 (脆弱性が小さい。)
D: ほとんど発生しない。 (脆弱性がほとんどない。)
(b) 発生時の被害の大きさ
重要性のランク付けと近似させる方法(つまり、重要性が大きい場合、被害の大きさも大きくなるとの考え方)がある。厳密に求めるには、重要性の3つの側面を勘案して定めることが必要である。
<被害の大きさ例>
a: 重要性Ⅰと同じ
b: 重要性Ⅱと同じ
c: 重要性Ⅲと同じ
d: 重要性Ⅳと同じ
⑤リスクに対する対策
リスク評価により定められた、情報資産の脅威ごとのリスクの大きさと、要求されるセキュリティ水準とを比較することにより、情報セキュリティ対策の方針が定められる。
対策基準の検討において、算定されたリスクの大きさを基準として、発生頻度及び被害の大きさを低減させ、セキュリティ要求水準を満足させる対策基準を定める。また、脅威の発生頻度又は被害の大きさを低減させる対策には、脅威を防止するものだけでなく、実際に被害が発生した場合に、如何に情報を守るか、如何に改ざんされないか、如何に継続して使用できるようにするか(あるいは障害が起きても如何に早急に復旧できるか)、といった観点を考慮に入れながら、対策を講じることが重要である。
具体的には、情報資産の重要性を勘案して定められたセキュリティ要求水準を達成する対策を講じることとなるが、セキュリティ要求水準が高いほど、発生頻度及び被害の大きさ(リスクの大きさ)は小さくならなければならない。
例えば、リスクの大きさをセキュリティ要求水準まで低減させる方法は、次の3つに分類できる。
(a) 「アクセス権限の付与を必要最低限の者に限る」等被害の大きさを小さくすることによってリスクの大きさを低減させる方法。
(b) 「コンソールからのみログインを許可する」等発生頻度を小さくすることによってリスクの大きさを低減させる方法。
(c) 「情報システムの改ざんなどを検知する」等被害の大きさと発生頻度のいずれも小さくすることによってリスクの大きさを低減させる方法。
具体的に定める対策は、情報資産及びその脅威の内容に応じて、利用者の利便性を考慮した効果的かつ効率的なものとする必要がある。
(例)対策基準の検討(不正アクセス) リスク評価の結果(発生頻度B、被害の大きさa)
↓
「不正アクセス」のリスクを低減させるための対策基準の検討
○アクセス権限の付与を必要最低限の者に限ること。
○コンソールからのみログインを許可すること。
○修正プログラム(パッチ)を導入すること。
○アクセス記録を監視・記録すること。
○情報システムの改ざんなどを検知すること。
○緊急時対応により情報資産を保護すること。等
↓
リスクの低減(発生頻度C、被害の大きさc)
→この観点からも、尖閣映像は「共有」が重視される情報資産だったのでは?
(5) 対策基準の策定
③情報の分類と管理
リスク分析によって行われた情報の管理方法に関する分類ごとに情報の管理の方法を定める。
(ⅰ) 情報の管理責任
それぞれの情報について、誰が管理責任を負うのかについて定める。情報を管理する者及び利用する者の2つの責任が考えられるが、それぞれ、具体的な責任と役割を定める必要がある。
また、情報管理責任者を各課において定めることとし、当該課において作成された文書の管理の責任を負うこととする。また、作成中の文書、電子メール等の管理責任が定められていない情報については、個人において適切に管理しなければならないことを定める。
→海上保安庁の鈴木久泰長官は今月5日、「(馬淵)大臣の指示を受け、責任者を決めて厳重に管理してきた」というが(下記記事参照)、ここでいう「責任者」とは上記における「情報管理責任者」のことなのか。10月18日までは情報セキュリティポリシーは発動されていなかったのか?また、情報管理責任者は何人おかれたのか。そもそも、情報システムで共有できる情報資産を、もしも本当に新聞報道にあるように「専用保管金庫に鍵を掛けて保管するように」という指示を出していたとしたら、それ自体が情報セキュリティポリシーの観点から大問題ではないか。そうだとすると、ここに実は大臣が大きく責任が問われるべき問題の一つがあるのではないか。海保全体で情報が共有されていたということがあれば、この指示は一体何だったのかという情報セキュリティポリシー上の問題になっていきます。情報セキュリティポリシーと10月18日の馬淵大臣の指示については、まだまだ勉強しなければなりません。
■海保庁ずさん 「管理徹底」指示は一部
2010年11月14日7時35分 日刊スポーツ
. 尖閣諸島付近の中国漁船衝突映像流出事件で、馬淵澄夫国土交通相(50)が先月18日に海上保安庁に指示した「情報管理の徹底」は、庁内のごく少数部署の幹部らだけにしか伝えられていなかったことが13日、分かった。流出元とみられる海上保安大学校や、関与を認めた海上保安官(43)が所属する神戸海上保安部などに伝わっていなかった。一方、保安官の同僚が巡視艇内のパソコンで「数人で映像を見た」と話していることも判明。情報管理の「徹底」どころか「ずさんさ」が浮き彫りになった。
海上保安庁の鈴木久泰長官は今月5日、流出映像について「(馬淵)大臣の指示を受け、責任者を決めて厳重に管理してきた」と強調した。だが海保関係者によると実際、馬淵大臣の「情報管理の徹底」という指示は、海保内で第11管区海上保安本部(那覇)、本庁関連部署、映像を撮影した石垣海上保安部(沖縄県石垣市)だけに発出された。「管理者を決め、専用保管庫に鍵を掛けて保管するように」との内容だった。
一方、映像流出元とみられる広島県呉市の海上保安大学校や、流出を告白した海上保安官が所属する神戸海上保安部などに指示は伝わっていなかった。流出発覚後の内部調査でも、海保大や神戸海上保安部は対象外だったことが判明。情報管理に加え、調査のずさんさが浮かび上がった。
一方、流出を告白した保安官は警視庁の聴取に対し「同僚が、(保安官らが乗船していた)巡視艇うらなみ内の共用パソコンに取り込んだものを、後から1人で(記憶媒体の)USBメモリーに保存した」と話していることが、捜査関係者への取材で分かった。保安官の同僚職員も捜査当局に対し「乗務していたうらなみ内のパソコンで、数人で映像を見た」などと話していることも判明。
また海保関係者によると、うらなみでは、保安官のほかに少なくとも3人が船内パソコンで映像を見ていた。関係者によると、乗員の1人が船内パソコンで海保内のネットワークにアクセスし、資料を探していた際偶然、海保大の共有フォルダーに衝突映像があるのを発見。映像をパソコンに取り込んだ。それを保安官のほか、少なくとも3人の乗員が見たという。
警視庁も既に、海保大の共有フォルダーに9月中旬から下旬にかけての5日間程度、うらなみのパソコンから複数回アクセスがあったことを確認した。ただ保安官はこれまで「自分で大学校の共有フォルダーから入手した」とも話しており、慎重に捜査している。
海保はこれまで「映像は厳重管理し、現在は検察当局や沖縄の海保以外にはない」と説明。だが映像が容易に入手できたとすれば、国家公務員法の守秘義務違反に当たるのかも怪しくなるため、捜査当局は逮捕の可否を検討せざるを得ない状況に追い込まれている。
⑧法令遵守
関連する法令への遵守等について定める。遵守すべき法律や行政指導として、どういうものが存在するかを列挙し、法令違反が起こらないようにすることが目的である。例えば、著作権法、不正アクセス禁止法、個人情報保護法等がある。
→いかなる法令違反なのか?
⑨情報セキュリティに関する違反に対する対応
ポリシーに違反した関係者及びその監督責任者に対しては、その重大性に応じて国家公務員法上等の懲戒の対象となり得ることをポリシーに定める。これは、ポリシー及び実施手順を軽視する傾向のある職員等に対する抑制策となるとともに、求められる情報セキュリティ水準の確保のためにも必要である。
なお、業務中に情報セキュリティに係る違反的な行動がみられた場合には、上司等の指示により直ちに端末の利用を停止させる等の迅速な対応ができるようにする必要がある。
→「重大性に応じて国家公務員法上等の懲戒の対象となり得る」。重大性とは何か。
馬淵大臣が強調している情報セキュリティポリシー。どうも、カタカナ文字がああいう論争に出てくることに違和感があります。一体何なのでしょう。
馬淵大臣がいっている情報セキュリティポリシーというのは、このこと↓か?
情報セキュリティポリシーに関するガイドライン
平成12年7月18日
情報セキュリティ対策推進会議決定
http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html
情報セキュリティポリシーに関するガイドライン
I.背景
・・・
各個人が、ネットワークに接続されたパソコンを使用することが一般的になることにより、組織内部の者による情報の意図的な漏洩及び外部への不正なアクセス等、内部から発生する情報セキュリティ上の問題に対する危険性についても無視できない。
・・・
→この「組織内部の者による情報の意図的な漏洩」「内部から発生する情報セキュリティ上の問題」にあたる、と考えているのか?
本ガイドラインは、これらの情報セキュリティを担保するために必要となる各省庁の情報セキュリティポリシーに関する基本的な考え方、策定、運用及び見直し方法について記したものであり、各省庁の情報セキュリティポリシー策定のための参考に資することを目的とするものである。
→これに基づき、海上保安庁の情報セキュリティポリシーがあり、それに基づき馬淵大臣は対応しているということか。
II.基本的な考え方
2.政府の情報セキュリティの基本的な考え方
・・・
一方、ネットワークに接続されている政府の情報システムは、常に、盗聴、侵入、破壊、改ざん等の脅威にさらされていることを認識し、政府としては、国民に対して、ネットワークを通じて正確な情報及び安定的な行政サービスを提供することを確保するとともに、個人のプライバシーに関する情報等の情報公開法で不開示とされる情報の機密の保持を確保しなければならない。
・・・
→「情報公開法で不開示とされる情報の機密の保持を確保」が目的ですから、やはり、機密性が重要。
3.定義
本ガイドラインで使用する用語の定義は、次のとおりである。
○情報セキュリティ
情報資産の機密性、完全性及び可用性を維持すること。
→尖閣映像が海保職員の多くがアクセス可能な勉強用の共有資産だった場合、「機密性」はどうなるのか?
○情報システム
同一組織内において、ハードウエア、ソフトウエア、ネットワーク、記録媒体で構成されるものであって、これら全体で業務処理を行うもの。
→海保全体で共有する情報システムだった場合、どうなるのか?
○情報セキュリティポリシー(以下「ポリシー」という。)
各省庁が所有する情報資産の情報セキュリティ対策について、各省庁が総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を含めた規定。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
5.ポリシーの公開
基本的に各省庁の判断によるところとなるが、情報公開法施行後は、この法律の趣旨を踏まえ公開か非公開かが判断されることとなる。一般的には、すべてを公開することは情報セキュリティ上の問題が起こり得ることから、公開する範囲については慎重に検討する必要がある。
ただし、各省庁の取組みとして、一定の対策を行っていることを公開することは、各省庁の情報セキュリティに対する姿勢を示す意味でも重要であることから、可能な範囲で公開することが望ましい。
→馬淵大臣がいう情報セキュリティポリシーも公開されているのでしょう。
6.ポリシーに関する留意点
(1) 組織としてどのような基本方針の下に情報セキュリティを確保していくのかを明確にすること。
また、情報セキュリティ対策を講じるための体制を確立し、業務を担当する者、情報システムを管理する者及び情報システムを利用する者等、同じ情報システムにおいても複数の者が関わることを十分認識した上で、権限と責任の範囲を明確化することにより、組織として情報セキュリティ対策が適切に進められるようにする必要がある。
→海保の場合、映像は共有する情報システムだったのではないか?
III.ポリシーのガイドライン
2.策定手続
(4) リスク分析
①概要
リスク分析とは、保護すべき情報資産を明らかにし、それらに対するリスクを評価することである。様々なリスク分析方法が考えられるが、ここでは具体的な方法の一つを示すこととする。
具体的な手順は次のとおりである。
(a) 各省庁の保有する情報資産を調査し、重要性の分類を行い、この結果に基づき、要求されるセキュリティの水準を定める。
(b) 各省庁の情報資産を取り巻く脅威を調査し、その発生頻度及び発生した際の被害の大きさからリスクの大きさを求める。
なお、一般的に両者の積をリスクの大きさとしている。
(c) リスクの大きさがセキュリティ要求水準を下回るよう対策基準を策定し、適切なリスク管理を行う。
なお、情報資産に変更があったとき、又は情報資産に対するリスクに変化が生じたときには、関係する情報資産についてリスク分析を再度行い、その結果ポリシーの見直しが必要となった場合にはその見直しを行う。また、定期的なポリシーの評価・見直しの際にも、リスク分析から再検討することが必要である。また、リスク分析の際に発見された情報資産の脆弱性で、早急に対応する必要のあるものについては、速やかに措置を講ずることが重要である。
リスク分析を行った結果の資料は、ポリシー策定の基礎資料として保管する必要があるが、当該資料には情報資産の脆弱性の分析が記されているため、厳重な管理が必要である。
→尖閣映像はどのようなリスク分析が行われ、重要性の分類が行われ、セキュリティ水準はどのようなものだったのか。
→海保が共有するものだったとすると、リスク評価を上回る価値が海保職員共有にあったのではないか。
②情報資産の調査
保護すべき情報資産を明らかにするにあたって、情報がどこにあり、誰が管理し、どのような状況で扱われているかについて調査する。
具体的な調査項目としては、次のものがある。このほか、リスク分析の結果等を検討した資料を作成する。
(例) 情報資産調査票
情報資産
用途
管理者
利用者(アクセス権限)
保存(設置)場所
保存(設置)期間
重要性 Ⅰ・Ⅱ・Ⅲ・Ⅳ
機密性[Ⅰ・Ⅱ・Ⅲ・Ⅳ]
完全性[Ⅰ・Ⅱ・Ⅲ・Ⅳ]
可用性[Ⅰ・Ⅱ・Ⅲ・Ⅳ]
→尖閣映像についてはどうなのでしょう?
③重要性による分類
調査した情報資産に対し、機密性、完全性、可用性の3つの側面から重要性を検討し、情報資産を分類する。
この分類は、情報資産をどのように扱い、保護するかを決めるための判断基準となり、これに基づき要求されるセキュリティ水準が定められる。
(重要性の3つの側面)
(a) 機密性・・情報資産の機密に基づく重要性
(b) 完全性・・情報資産の完全性・正確性に関する重要性
(c) 可用性・・情報資産の利用可能性・継続性に関する重要性
(例)
重要性の分類
Ⅰ: セキュリティ侵害が、国民の生命、財産、プライバシー等へ重大な影響を及ぼす。
Ⅱ: セキュリティ侵害が、行政事務の執行等に重大な影響を及ぼす。
Ⅲ: セキュリティ侵害が、行政事務の執行等に軽微な影響を及ぼす。
Ⅳ: 影響をほとんど及ぼさない。
(例)
重要性に基づくセキュリティ要求水準の設定(重要性の3つの側面を勘案して定める。)
重要性Ⅰ → セキュリティ要求水準1
重要性Ⅱ → セキュリティ要求水準2
重要性Ⅲ → セキュリティ要求水準3
重要性Ⅳ → セキュリティ要求水準4
④リスク評価
調査したすべての情報資産についてリスク評価を実施する。
(a) 取り巻く物理的、技術的、人的環境における脅威について調べる。 (脅威の例) 物理的脅威・ 侵入、破壊、故障、停電、災害等
技術的脅威・ 不正アクセス、盗聴、コンピュータウイルス、改ざん・消去、DoS攻撃、なりすまし等
人的脅威 ・ 誤操作、持ち出し、不正行為、パスワードの不適切管理等
(b) 各情報資産が直面するそれぞれの脅威に対するリスクの大きさについて、(a)脅威の発生頻度及び(b)発生時の被害の大きさから評価する。
なお、発生頻度及び被害の大きさを直接検討することに代えて、簡易的に発生頻度を情報資産の脆弱性に、被害の大きさを情報資産の重要性とする方法もある。
各情報資産について、全ての脅威に対してリスクの大きさを調査する必要がある。
(例) (段階的な評価水準設定)
(a) 脅威の発生頻度 A: かなりの頻度で発生する。 (脆弱性がかなり大きい。)
B: 時々発生する。 (脆弱性が大きい。)
C: 偶発的に発生する。 (脆弱性が小さい。)
D: ほとんど発生しない。 (脆弱性がほとんどない。)
(b) 発生時の被害の大きさ
重要性のランク付けと近似させる方法(つまり、重要性が大きい場合、被害の大きさも大きくなるとの考え方)がある。厳密に求めるには、重要性の3つの側面を勘案して定めることが必要である。
<被害の大きさ例>
a: 重要性Ⅰと同じ
b: 重要性Ⅱと同じ
c: 重要性Ⅲと同じ
d: 重要性Ⅳと同じ
⑤リスクに対する対策
リスク評価により定められた、情報資産の脅威ごとのリスクの大きさと、要求されるセキュリティ水準とを比較することにより、情報セキュリティ対策の方針が定められる。
対策基準の検討において、算定されたリスクの大きさを基準として、発生頻度及び被害の大きさを低減させ、セキュリティ要求水準を満足させる対策基準を定める。また、脅威の発生頻度又は被害の大きさを低減させる対策には、脅威を防止するものだけでなく、実際に被害が発生した場合に、如何に情報を守るか、如何に改ざんされないか、如何に継続して使用できるようにするか(あるいは障害が起きても如何に早急に復旧できるか)、といった観点を考慮に入れながら、対策を講じることが重要である。
具体的には、情報資産の重要性を勘案して定められたセキュリティ要求水準を達成する対策を講じることとなるが、セキュリティ要求水準が高いほど、発生頻度及び被害の大きさ(リスクの大きさ)は小さくならなければならない。
例えば、リスクの大きさをセキュリティ要求水準まで低減させる方法は、次の3つに分類できる。
(a) 「アクセス権限の付与を必要最低限の者に限る」等被害の大きさを小さくすることによってリスクの大きさを低減させる方法。
(b) 「コンソールからのみログインを許可する」等発生頻度を小さくすることによってリスクの大きさを低減させる方法。
(c) 「情報システムの改ざんなどを検知する」等被害の大きさと発生頻度のいずれも小さくすることによってリスクの大きさを低減させる方法。
具体的に定める対策は、情報資産及びその脅威の内容に応じて、利用者の利便性を考慮した効果的かつ効率的なものとする必要がある。
(例)対策基準の検討(不正アクセス) リスク評価の結果(発生頻度B、被害の大きさa)
↓
「不正アクセス」のリスクを低減させるための対策基準の検討
○アクセス権限の付与を必要最低限の者に限ること。
○コンソールからのみログインを許可すること。
○修正プログラム(パッチ)を導入すること。
○アクセス記録を監視・記録すること。
○情報システムの改ざんなどを検知すること。
○緊急時対応により情報資産を保護すること。等
↓
リスクの低減(発生頻度C、被害の大きさc)
→この観点からも、尖閣映像は「共有」が重視される情報資産だったのでは?
(5) 対策基準の策定
③情報の分類と管理
リスク分析によって行われた情報の管理方法に関する分類ごとに情報の管理の方法を定める。
(ⅰ) 情報の管理責任
それぞれの情報について、誰が管理責任を負うのかについて定める。情報を管理する者及び利用する者の2つの責任が考えられるが、それぞれ、具体的な責任と役割を定める必要がある。
また、情報管理責任者を各課において定めることとし、当該課において作成された文書の管理の責任を負うこととする。また、作成中の文書、電子メール等の管理責任が定められていない情報については、個人において適切に管理しなければならないことを定める。
→海上保安庁の鈴木久泰長官は今月5日、「(馬淵)大臣の指示を受け、責任者を決めて厳重に管理してきた」というが(下記記事参照)、ここでいう「責任者」とは上記における「情報管理責任者」のことなのか。10月18日までは情報セキュリティポリシーは発動されていなかったのか?また、情報管理責任者は何人おかれたのか。そもそも、情報システムで共有できる情報資産を、もしも本当に新聞報道にあるように「専用保管金庫に鍵を掛けて保管するように」という指示を出していたとしたら、それ自体が情報セキュリティポリシーの観点から大問題ではないか。そうだとすると、ここに実は大臣が大きく責任が問われるべき問題の一つがあるのではないか。海保全体で情報が共有されていたということがあれば、この指示は一体何だったのかという情報セキュリティポリシー上の問題になっていきます。情報セキュリティポリシーと10月18日の馬淵大臣の指示については、まだまだ勉強しなければなりません。
■海保庁ずさん 「管理徹底」指示は一部
2010年11月14日7時35分 日刊スポーツ
. 尖閣諸島付近の中国漁船衝突映像流出事件で、馬淵澄夫国土交通相(50)が先月18日に海上保安庁に指示した「情報管理の徹底」は、庁内のごく少数部署の幹部らだけにしか伝えられていなかったことが13日、分かった。流出元とみられる海上保安大学校や、関与を認めた海上保安官(43)が所属する神戸海上保安部などに伝わっていなかった。一方、保安官の同僚が巡視艇内のパソコンで「数人で映像を見た」と話していることも判明。情報管理の「徹底」どころか「ずさんさ」が浮き彫りになった。
海上保安庁の鈴木久泰長官は今月5日、流出映像について「(馬淵)大臣の指示を受け、責任者を決めて厳重に管理してきた」と強調した。だが海保関係者によると実際、馬淵大臣の「情報管理の徹底」という指示は、海保内で第11管区海上保安本部(那覇)、本庁関連部署、映像を撮影した石垣海上保安部(沖縄県石垣市)だけに発出された。「管理者を決め、専用保管庫に鍵を掛けて保管するように」との内容だった。
一方、映像流出元とみられる広島県呉市の海上保安大学校や、流出を告白した海上保安官が所属する神戸海上保安部などに指示は伝わっていなかった。流出発覚後の内部調査でも、海保大や神戸海上保安部は対象外だったことが判明。情報管理に加え、調査のずさんさが浮かび上がった。
一方、流出を告白した保安官は警視庁の聴取に対し「同僚が、(保安官らが乗船していた)巡視艇うらなみ内の共用パソコンに取り込んだものを、後から1人で(記憶媒体の)USBメモリーに保存した」と話していることが、捜査関係者への取材で分かった。保安官の同僚職員も捜査当局に対し「乗務していたうらなみ内のパソコンで、数人で映像を見た」などと話していることも判明。
また海保関係者によると、うらなみでは、保安官のほかに少なくとも3人が船内パソコンで映像を見ていた。関係者によると、乗員の1人が船内パソコンで海保内のネットワークにアクセスし、資料を探していた際偶然、海保大の共有フォルダーに衝突映像があるのを発見。映像をパソコンに取り込んだ。それを保安官のほか、少なくとも3人の乗員が見たという。
警視庁も既に、海保大の共有フォルダーに9月中旬から下旬にかけての5日間程度、うらなみのパソコンから複数回アクセスがあったことを確認した。ただ保安官はこれまで「自分で大学校の共有フォルダーから入手した」とも話しており、慎重に捜査している。
海保はこれまで「映像は厳重管理し、現在は検察当局や沖縄の海保以外にはない」と説明。だが映像が容易に入手できたとすれば、国家公務員法の守秘義務違反に当たるのかも怪しくなるため、捜査当局は逮捕の可否を検討せざるを得ない状況に追い込まれている。
⑧法令遵守
関連する法令への遵守等について定める。遵守すべき法律や行政指導として、どういうものが存在するかを列挙し、法令違反が起こらないようにすることが目的である。例えば、著作権法、不正アクセス禁止法、個人情報保護法等がある。
→いかなる法令違反なのか?
⑨情報セキュリティに関する違反に対する対応
ポリシーに違反した関係者及びその監督責任者に対しては、その重大性に応じて国家公務員法上等の懲戒の対象となり得ることをポリシーに定める。これは、ポリシー及び実施手順を軽視する傾向のある職員等に対する抑制策となるとともに、求められる情報セキュリティ水準の確保のためにも必要である。
なお、業務中に情報セキュリティに係る違反的な行動がみられた場合には、上司等の指示により直ちに端末の利用を停止させる等の迅速な対応ができるようにする必要がある。
→「重大性に応じて国家公務員法上等の懲戒の対象となり得る」。重大性とは何か。