2018年6月7日に、「政府機関等の情報セキュリティ対策のための統一基準群」(統一基準)の改定案がパブリックコメントにかかりました。統一基準は、2年おきに改定されていて、前回改定は2016年(平成28年度)でした。
一言で言うと、今回の改定は、あまり大きな変更を伴うものではありません。
ただし、サイバーセキュリティ戦略案では観点の1つとして「リスクマネジメント」が明記されていて、その点が統一基準においても強められそうです。
今回は、大きく4点の方針が示されています。
- 将来像を見据えたサイバーセキュリティ対策の体系の進化
- ふるまい検知等のエンドポイント対策
- IT資産管理ソフトウェアの導入
- DRM/IRM機能によるデータ保護
- 政府機関等のサービスの利用者の側に立った対策
- Webサイトの常時SSL化
- メールのサーバ間暗号化
- 政府機関等の自律的な能力向上への誘導(PDCAサイクルの効果的運用)
- 情報セキュリティ対策の運用における課題をCISOに報告
- CISOから改善事項を指示
- 「情報セキュリティ対策推進体制」を定義
- 業務形態に対応した規定の整備
- 独立行政法人等の業務形態への柔軟な対応
IT資産管理ソフトウェア、IRM機能などは、組織内に全面展開するのはそれなりに大変そうです。
ふるまい検知は導入するだけであれば簡単ですが、検知した後の対応体制も整備しておく必要があります。