統一基準群の全体構造
政府機関等のサイバーセキュリティ対策のための統一基準群は、国のサイバーセキュリティ戦略本部が決定し、内閣サイバーセキュリティセンター(NCO、旧NISC)が策定・運用するセキュリティ基準体系です。すべての政府機関・独立行政法人が準拠する義務を負い、政府情報システムの調達・運用に関わる民間事業者にも間接的に適用されます。
統一基準群は大きく3つの文書で構成されており、上位から下位に向かって具体化されます。
3文書の関係:統一規範・統一基準・ガイドライン
| 文書 | 位置づけ | 策定者 | 記載内容 |
|---|---|---|---|
| 統一規範 (サイバーセキュリティ対策のための統一規範) | 最上位の方針文書 | サイバーセキュリティ戦略本部 | 各府省庁が遵守すべきセキュリティ対策の基本的な枠組み。「何を守るべきか」の原則を規定 |
| 統一基準 (政府機関等のサイバーセキュリティ対策のための統一基準) | 具体的な対策基準 | NCO(旧NISC) | 統一規範に基づく具体的な遵守事項。「何をすべきか」を規定。7部構成 |
| ガイドライン (政府機関等のサイバーセキュリティ対策の実施に係るガイドライン) | 実装手順・解説 | NCO(旧NISC) | 統一基準の各条項に対する具体的な実装方法、技術的解説、設定例 |
統一基準は「何をすべきか」を抽象的に記載しているため、それだけでは具体的な対策がわかりません。ガイドラインには各基準項目に対する具体的な実装方法が記載されており、RFPへの対応や提案書作成の際に最も参照すべき文書です。
第1部 総則・第2部 情報セキュリティマネジメント
第1部 総則
統一基準の適用範囲、用語の定義、情報の格付け(機密性・完全性・可用性)の基準を規定しています。
情報の格付け
統一基準では、取り扱う情報を機密性・完全性・可用性の3軸で格付けし、格付けに応じた対策レベルを要求します。
| 機密性 | 定義 | 取扱い |
|---|---|---|
| 機密性3 | 秘密文書に相当する情報 | 暗号化必須、アクセス者の限定、操作ログの取得 |
| 機密性2 | 秘密文書ではないが漏洩により支障が生じる情報 | アクセス制御、送受信時の暗号化 |
| 機密性1 | 公開情報 | 特段の制限なし |
第2部 情報セキュリティマネジメント
ISMS(ISO 27001)と同様のPDCAサイクルに基づくセキュリティマネジメント体制の構築を要求しています。具体的には以下が求められます。
- 最高情報セキュリティ責任者(CISO)の設置
- 情報セキュリティポリシーの策定と年次見直し
- リスクアセスメントの定期的な実施
- 情報セキュリティ教育の年1回以上の実施
- 情報セキュリティ監査の実施(内部監査 + 外部監査)
第3部 情報を取り扱う区域・第4部 外部委託
第3部 情報を取り扱う区域
情報を取り扱う物理的な区域のセキュリティを規定しています。サーバールーム、執務室、会議室などを「要管理対策区域」として指定し、入退管理、施錠、監視カメラの設置基準を定めています。
第4部 外部委託(民間事業者に最も関係する部分)
第4部は、政府の情報システムを受託する民間事業者が直接準拠すべき最重要パートです。
| 要求事項 | 概要 | 民間事業者への影響 |
|---|---|---|
| 委託先のセキュリティ水準確認 | 委託先が統一基準相当のセキュリティ対策を講じていることを確認 | RFP回答時にセキュリティ対策状況の報告を求められる |
| 再委託の管理 | 再委託先にも同等のセキュリティ要件を適用 | 下請けの管理体制の構築が必要 |
| 情報の取扱い | 委託先での情報の格付けに応じた取扱い | 機密性2以上の情報の暗号化・アクセス制限 |
| インシデント報告 | 委託先でインシデントが発生した場合の速やかな報告 | インシデント対応手順の整備と報告体制の構築 |
| 契約終了時の措置 | 委託業務終了時のデータ消去と返却 | 確実なデータ消去の実施と証跡の提供 |
第5部 情報システムのセキュリティ機能
統一基準群の中で最も技術的な内容が記載されているパートです。情報システムに実装すべき具体的なセキュリティ機能を規定しています。
主要な要求事項
| 領域 | 要求事項 | 技術的な対策例 |
|---|---|---|
| 主体認証 | 利用者の識別・認証の実施、多要素認証 | ID/パスワード + MFA、生体認証、ICカード |
| アクセス制御 | 最小権限の原則、特権IDの管理 | RBAC(ロールベースアクセス制御)、PIM(特権ID管理) |
| 暗号化 | 通信の暗号化、保存データの暗号化 | TLS 1.2以上、AES-256、BitLocker |
| ログ管理 | 操作ログの取得・保存・分析 | SIEM、統合監査ログ、1年以上の保存 |
| 不正プログラム対策 | マルウェア検知・防御の実装 | EDR、次世代アンチウイルス、サンドボックス |
| 脆弱性管理 | 脆弱性情報の収集と修正適用 | 定期的な脆弱性スキャン、パッチ管理 |
第6部 情報システムの運用・第7部 インシデント対応
第6部 情報システムの運用
情報システムの安全な運用に関する要求事項を規定しています。
- 構成管理:ハードウェア・ソフトウェアの構成情報を最新の状態で管理
- バックアップ:定期的なバックアップと復旧手順の整備・テスト
- 変更管理:システム変更時の影響評価と承認プロセス
- 運用監視:システムの稼働状況とセキュリティイベントの継続的な監視
第7部 セキュリティインシデント対応
インシデントの検知から報告・初動対応・復旧・再発防止までの体制と手順を規定しています。
- 検知・報告:インシデントの検知後、速やかにCISO・NCOに報告
- 初動対応:被害拡大の防止(ネットワーク遮断、アカウント停止等)
- 原因究明:フォレンジック調査による原因の特定
- 復旧:システムの復旧とサービスの再開
- 再発防止:根本原因への対策実施と教訓の共有
令和7年度版の主な改定ポイント
令和7年度版(2025年6月改定)では、以下の重要な変更が行われています。
| 改定ポイント | 内容 | 影響 |
|---|---|---|
| NCOへの改組 | NISCが国家サイバー統括組織(NCO)に改組。指揮権限が強化 | インシデント発生時の政府全体の対応が迅速化 |
| ゼロトラストアーキテクチャ | 境界型防御からゼロトラストへの移行を推奨 | ネットワーク設計の見直し、常時認証の導入 |
| JC-STAR | IoT機器のセキュリティ適合性評価制度の導入 | IoT機器の調達時にJC-STAR適合品の選定が求められる |
| SBOM | ソフトウェア部品表(SBOM)の作成・管理の推奨 | サプライチェーンリスク管理の強化 |
| クラウドサービスの利用基準強化 | ISMAPクラウドサービスリストからの選定を原則化 | クラウドサービス選定プロセスの変更 |
民間事業者が対応すべき要求事項
政府案件を受託する民間事業者が特に注意すべき要求事項を優先度別に整理します。
最優先で対応すべき項目
- 情報セキュリティポリシーの策定(基本方針 + 対策基準 + 実施手順の3層構造)
- 多要素認証(MFA)の全社導入
- インシデント対応手順の整備と委託元への報告体制の構築
- 通信・保存データの暗号化(TLS 1.2以上、BitLocker/FileVault)
- 監査ログの取得と保存(最低1年間)
段階的に対応すべき項目
- EDR(Endpoint Detection and Response)の導入
- 特権ID管理の強化(PIM/PAM)
- ISMAP登録クラウドサービスの利用
- 脆弱性管理の体制構築
- SBOM対応の検討
クラウドサービスでの対策マッピング
| 統一基準の要求事項 | Microsoft Azure / M365 | AWS | Google Cloud |
|---|---|---|---|
| 主体認証・多要素認証 | Entra ID MFA + 条件付きアクセス | IAM + MFA / AWS SSO | Cloud Identity + 2段階認証 |
| アクセス制御・最小権限 | Entra ID RBAC + PIM | IAM ポリシー + AWS Organizations | Cloud IAM + Organization Policy |
| 端末の暗号化 | Intune + BitLocker | Systems Manager + デバイス管理 | Chrome Enterprise + BeyondCorp |
| 不正プログラム対策(EDR) | Defender for Endpoint | GuardDuty + Inspector | Security Command Center |
| ログの取得・保存 | 統合監査ログ / Sentinel | CloudTrail + CloudWatch Logs | Cloud Audit Logs + Chronicle |
| 情報漏洩防止(DLP) | Purview DLP | Macie | Cloud DLP |
| 暗号化(保存・転送) | Azure Encryption / TLS | KMS + S3デフォルト暗号化 | Cloud KMS + デフォルト暗号化 |
| 脆弱性管理 | Defender 脆弱性管理 | Inspector + Systems Manager | Security Command Center |
BTNコンサルティングの支援
統一基準群準拠アセスメント
現在のIT環境・セキュリティ対策状況を統一基準群の要求事項に照らして評価し、ギャップと対応ロードマップを報告します。
クラウドサービスによる統一基準対応の実装
Microsoft 365(Entra ID / Intune / Defender / Purview)、AWS(IAM / GuardDuty / CloudTrail)、Google Cloud(Cloud IAM / Security Command Center)など、お客様の環境に応じたクラウドサービスで統一基準の技術的要件を実装します。
セキュリティポリシー策定支援
統一基準群が求める3層構造のセキュリティポリシー(基本方針・対策基準・実施手順)の策定を支援します。
中小企業のIT事業者向けに統一基準群の概要をまとめた記事もあわせてご覧ください。
→ 政府統一基準群とは?中小企業のIT事業者が知っておくべきポイントと対応策
まとめ
政府統一基準群は、統一規範(原則)→ 統一基準(遵守事項)→ ガイドライン(実装方法)の3層構造で構成されています。民間事業者にとって最も重要なのは第4部(外部委託)と第5部(セキュリティ機能)であり、MFA、暗号化、ログ管理、インシデント対応の4領域が対応の核となります。Microsoft 365、AWS、Google Cloudなどの主要クラウドサービスを活用すれば、統一基準の主要な技術的要件を効率的に満たすことが可能です。