防衛関連企業における情報セキュリティ確保について

 LANやインターネットなどをはじめとしたIT(情報技術)の急速な伸展により、情報システムは、現代の社会基盤にまで成長してきたといえる。その一方、情報システムには、情報漏えい、改ざんなどの各種の不正行為、犯罪などの大きな問題があることも広く認識されるようになってきている。欧米各国では、比較的早いうちから、こうした認識をもっており、情報セキュリティに関する各種施策を積極的に推進してきている。最近では、こうした欧米各国の取組は、国際標準(ISO)の制定にまで発展しているところである。我が国においても、ITの進展に伴い情報通信関連企業を中心に国際標準や国際標準に準拠した評価制度の導入を目指す企業が増えつつある。
こうした中、平成14年、防衛省の装備品の製造を受注した企業内で、装備品である情報システムに関する情報が外部へ漏えいするという事案が発生した。
この事案を契機に、防衛省としては、中央から第一線の部隊まで様々な情報システムの整備が求められている状況において、情報システムの調達の契約履行過程で使用または作成される情報について、速やかに情報セキュリティの確保のために具体的施策をとる必要があると判断し、検討委員会を設け検討を進め、その成果をとりまとめた。

 検討の成果としては、国内外の企業でも導入の進みつつある国際標準などの考え方を取り入れた情報セキュリティ管理に関する基準などを策定し、防衛省の情報システムの製造等を受注する企業にこれに基づく対策の実施を求めていこうというものである。

具体的には、

  • ①  防衛省は、情報セキュリティ管理に関する国際標準などに準じて、「基本方針」、「基準」、「(監査)実施要領」という三つの階層からなる、調達における情報セキュリティ管理の体系を策定
  • ②  防衛省の情報システムを受注する企業に対し、同様な情報セキュリティ管理の体系の作成を要求
  • ③  防衛省は、当該企業の作成した情報セキュリティ管理の体系のうち、「基本方針」、「基準」、「実施手順」が防衛省の策定した「基本方針」、「基準」に適合しているか、企業が作成した「実施手順」に基づいて行う情報セキュリティ確保策が適切に実施されているかを「(監査)実施要領」に基づき監査

という枠組みを契約上、相手方企業に求め、企業の自主監査と防衛省の行う監査を通じてその確実な実施を図ろうというものである。

 この施策は、平成16年4月から、情報システムの契約に適用している。
さらに防衛省では、情報システム以外の装備品等についても、情報セキュリティ確保が重要との認識の下、前述の①から③に準じた情報セキュリティ確保策の適用対象を順次拡大(航空機分野:平成18年4月から、誘導武器分野:平成19年1月から)し、平成19年4月からは、これまで対象としていなかった装備品等にも適用して、防衛関連企業におけるセキュリティ体制の強化及び底上げを図ることとした。
なお、平成21年7月に、防衛装備品の情報セキュリティ確保の管理体系の見直しを行い、「調達における情報セキュリティ基本方針」を「装備品等及び役務の調達における情報セキュリティの確保について」に改め、平成22年4月から適用することとした。

  

 平成23年9月、防衛関連企業に対するサイバー攻撃事案を確認した。防衛省は、本事案を踏まえ、調達における情報セキュリティの確保に関する対策強化について検討を行い、防衛関連企業における情報セキュリティの強化を図るため規則の一部改正を行うこととした。

具体的には、

下記の場合には、直ちに防衛省へ報告することを義務化
 ・保護すべき情報が保存されたサーバ/パソコンにウイルス等への感染又は不正アクセスがあった場合
 ・上記サーバ/パソコンの置かれたネットワークに接続されたサーバ/パソコンにウイルス等への感染があった場合
責任者・連絡担当者を明らかにした連絡系統図の作成
少なくとも週1回以上、ウイルス対策ソフトによるフルスキャンを実施
保護すべき情報が社外へ漏えいしていないか、24時間365日監視
保護すべき情報へのアクセス記録については、3か月以上保存
暗号化対策の強化
社員への教育・訓練の実施状況を監査により確認

①については平成24年1月16日から、②~⑦については平成24年4月2日から適用することとした。

 今後とも防衛省は、国際標準や社会的な動向を把握しながら常に施策の見直しを行い、より確実かつ実効的な情報セキュリティ確保策の実施を求めることとしている。

平成22年3月31日までの契約に適用

防衛省と防衛関連企業の情報セキュリティ体系図

平成22年4月1日以降の契約に適用

防衛省と防衛関連企業の情報セキュリティ体系図(H22.4.1以降の契約)

平成23年12月28日改正

※適用日について
 別紙「装備品等及び役務の調達における情報セキュリティの確保に関する特約条項」の第6条、「調達における情報セキュリティ基準」の第12項第1号及び第3号の改正規定については、平成24年1月16日から適用、第8項、第10項及び第12項第2号の改正規定については、平成24年4月2日から適用


PDF形式のファイルを御覧いただく場合には、Adobe Reader(無料)が必要です。Adobe Reader は、Adobeのサイト(別ウィンドウ)からダウンロードしてください。

別ウィンドウで Adobe Reader のダウンロードページへ


ページの先頭へ戻る