ご存知でしたか?この言葉の意味。
元日(2013年)、某中央官庁からの機密情報漏洩に関するNEWSがありました。
その記事の中に、下記の記述がありました。
(前略)
政府の機密性の統一規範で、3段階のうち2番目(漏えいで国民の権利が侵害されるか、行政事務に支障を及ぼすおそれがある情報)に指定されていた。
(後略)
この統一規範という言葉や、3段階のうち2番目。といった表現。すぐに理解できましたでしょうか。
ここに記載されている「規範」とは、内閣官房情報セキュリティセンターで公開している主要公表資料の中に存在します
http://www.nisc.go.jp/materials/index.html
政府機関の情報セキュリティ対策のための統一規範
http://www.nisc.go.jp/active/general/pdf/kihan24.pdf
この資料で、前述記事の機密性に関する解説がなされています。
更に同資料の別表 (第二条第四項関係)をご覧いただくと、政府機関としては単に機密性だけを考慮しているのではなく、他のセキュリティ懸念にも配慮していることが解ります。これは一般にセキュリティの3要素といわれるもので、機密性、完全性、可用性に関し、定義をし、その中でも重要度の高いものには個別の名称を与え、各政府機関での厳正な管理を促しています。
- 機密性では、機密性2情報及び機密性3情報を「要機密情報」
- 完全性では、完全性2情報を「要保全情報」
- 可用性では、可用性2情報を「要安定情報」
上記の各要件から重要な情報であると認められる情報をまとめる名称として、要機密情報、要保全情報及び要安定情報を「要保護情報」と定義しています。
その別表によれば、上記記事記載の情報は、機密性2情報及び機密性3情報を「要機密情報」という。 に分類されていたことが分かりますので、同時に上記の「要保護情報」であることも分かります。
そのような重要情報・情報資産を具体的にどのように運用・管理すべきか。といったことも、前述の主要公表資料の中に存在します。
政府機関の情報セキュリティ対策における政府機関統一管理基準及び政府機関統一技術基準の策定と運用等に関する指針http://www.nisc.go.jp/active/general/pdf/unyou24.pdf
ここには民間のISMS同様に、どのように情報管理を組織的に行なうかの指針が示されており、情報セキュリティマネジメントに関し、健全なサイクルを回すことも記載されております。
更に、同主要公表資料には、管理基準と技術基準も公開されており、その解説書も同時に公開され、原文だけだと判断しにくい内容に解説が付された同解説書も公開されております。
「政府機関の情報セキュリティ対策のための統一管理基準(平成24年度版)」解説書http://www.nisc.go.jp/active/general/pdf/K304-111C.pdf
「政府機関の情報セキュリティ対策のための統一技術基準(平成24年度版)」解説書http://www.nisc.go.jp/active/general/pdf/K305-111C.pdf
例えば前述の記事中にある「要機密情報」に関し、この解説書で記載箇所を検索すると、対象箇所が見つかります。
参考までに「秘密分散技術」で検索していただきますと、対象箇所が見つかります。
今回記事の対象となっている「要機密情報」や、先般の東日本大震災等で問題となったサーバーデータのバックアップに関して「要安定情報」への措置の方法の一つとして記載されている箇所が見つかります。
まだまだ秘密分散技術自体の記述対象箇所は少ないのですが、純国産のセキュリティ技術として当該技術を開発し1999年から市場啓蒙してきた弊社としては、広く社会に貢献できはじめていることを実感できるものです。
尚、この主要公表資料には管理基準や技術基準に則って、現場の方々が実務処理を行なう際に必要なマニュアル群も開示されており、例えば電磁的記録の移送には「秘密分散技術」を用いた対処を行なう際の書式もあります。
政府機関統一基準群適用個別マニュアル群
http://www.nisc.go.jp/active/general/kijun_man.html
機密性3情報等移送・提供許可申請書http://www.nisc.go.jp/active/general/pdf/dm3-02-101_form2_sample.pdf
機密性2情報移送・提供届出書http://www.nisc.go.jp/active/general/pdf/dm3-02-101_form3_sample.pdf
この内閣官房情報セキュリティセンター様の公表資料を十分活用し、個別組織がばらばらに対策を考えて対処を行なうのではなく、政府機関全体として取り組み、その結果を全体で共有し、情報セキュリティマネジメントのサイクルをまわし、叡智を出し合い改善を継続して全体のレベルアップを具体化させていくことが肝要です。これは丁度ISMSの取り組みと同様で、多くの国民もそのような合理的な対処をできる国の姿を望んでいると考えます。
既存の手法だけでは対処できない攻撃が顕在化してきている現実。その脅威に対して政府機関の対策基礎として、上記公表資料は存在します。そうした観点からは、既存手法と新たな技術・手法による措置や対策を効果的に併用すること等も明記した政府機関のセキュリティ対策の規範や基準が重視されるべきと感じます。このような認識の下に、ITセキュリティ業界もこの有用な公表資料を活用すべきです。
国家的な情報セキュリティへの取り組み成果は、国際社会での日本のステータスを向上させると同時に、必ず民間への応用と対処市場・産業活性化、更には周辺への波及効果を含めた刺激となるもので、現状日本にとって非常に大事なものだと考えます。
参考:
- 「政府機関の情報セキュリティ対策のための統一基準群」について(H24年度の主な改定内容の解説を含む)
http://www.nisc.go.jp/active/general/pdf/dm7-04-111.pdf - 2013.1.10 情報セキュリティ対策推進会議幹事会・危機管理関係省庁連絡会議幹事会合同会議の開催について(報道発表資料)
http://www.nisc.go.jp/press/pdf/kanjikai_press2.pdf - 内閣官房情報セキュリティセンター(NISC)とは
http://www.nisc.go.jp/about/index.html
上記詳細等は、infoアットマークgfi.co.jp まで、お問い合わせ下さい。