政府統一基準群とは
「政府機関等のサイバーセキュリティ対策のための統一基準群」(通称:政府統一基準群)とは、国の行政機関や独立行政法人等が情報セキュリティ対策を実施する際のベースラインとなる基準文書群です。サイバーセキュリティ基本法に基づき、サイバーセキュリティ戦略本部が策定・公開しています。
策定の主体は国家サイバー統括室(NCO、旧NISC)で、定期的に見直し・改定が行われています。直近では令和7年(2025年)6月に令和7年度版が公開されました。
「政府機関向けの文書だから自社には関係ない」と考える中小企業は少なくありませんが、実は政府機関と取引のある民間企業にとっては極めて重要な文書です。政府調達の提案依頼書(RFP)や仕様書のセキュリティ要件は、この統一基準群に基づいて作成されるためです。
3つの構成文書
政府統一基準群は、以下の3つの文書で構成されています。
| 文書名 | 役割 | 民間企業での対応イメージ |
|---|---|---|
| 統一規範 | 情報セキュリティ対策の統一的な枠組みを規定 | セキュリティ基本方針 |
| 統一基準 | 対策項目ごとに遵守すべき事項を規定 | セキュリティ要件定義書 |
| 対策基準策定ガイドライン | 遵守事項を満たすための具体的な対策事項を例示・解説 | 実装ガイド |
読み解くうえで重要なポイントは、統一基準だけを見ても不十分ということです。統一基準には「遵守事項」(何をすべきか)のみが記載されており、「基本対策事項」(具体的にどう対策するか)は対策基準策定ガイドラインに記載されています。対策を検討する際は、必ずガイドラインまでセットで参照する必要があります。
統一基準群に含まれないものの、「統一基準適用個別マニュアル群」として、セキュリティ要件策定マニュアル、サプライチェーンリスク対応の仕様書策定手引書、スマートフォン利用の手引書なども公開されています。実務上はこれらも参照が推奨されます。
統一基準の対象範囲
7部構成の統一基準
統一基準は、以下の7つの部で構成され、情報セキュリティ対策のあらゆる領域をカバーしています。
| 部 | タイトル | 主な内容 |
|---|---|---|
| 第1部 | 総則 | 目的、適用範囲、用語定義 |
| 第2部 | 情報セキュリティ対策の基本的枠組み | 組織体制、CISO設置、PDCA、教育・訓練、監査 |
| 第3部 | 情報の取扱い | 情報の格付(機密性・完全性・可用性)、取扱制限 |
| 第4部 | 外部委託 | 業務委託先の管理、クラウドサービス利用、サプライチェーンリスク |
| 第5部 | 情報システムのライフサイクル | 企画・設計・開発・運用・廃棄の各段階でのセキュリティ |
| 第6部 | 情報システムの構成要素 | サーバ、端末、ネットワーク、ソフトウェア、アプリケーション |
| 第7部 | 情報システムのセキュリティ機能 | 認証、アクセス制御、暗号化、ログ管理、不正プログラム対策 |
適用対象
統一基準群の直接的な適用対象は以下の組織です。
- 国の行政機関(中央省庁等)
- 独立行政法人(IPA、NICT等)
- 指定法人(サイバーセキュリティ基本法で指定された法人)
ただし、これらの機関と取引する民間企業(委託先・調達先)にも間接的に適用されます。次のセクションで詳しく解説します。
民間企業への影響——なぜ中小企業にも関係するのか
政府調達における「統一基準群準拠」の要求
政府機関がITシステムやサービスを調達する際、提案依頼書(RFP)には統一基準群に基づくセキュリティ要件が盛り込まれます。つまり、政府機関向けにITシステムを構築・運用する事業者は、統一基準群で示される水準のセキュリティ対策を満たす必要があります。
第4部「外部委託」の重要性
統一基準の第4部では、業務委託先(民間企業)に対する情報セキュリティ上の要求事項が定められています。具体的には以下のような要件が含まれます。
- 委託先における情報セキュリティ対策の実施状況の確認
- 委託先が取り扱う情報の格付に応じた管理措置
- 再委託に関する管理(サプライチェーンリスク対応)
- インシデント発生時の報告体制
- 契約終了時のデータ消去・返却
NIST SP800-171に沿った8項目
令和5年度版の改定では、業務委託先に求めるセキュリティ要件としてNIST SP800-171を参照した8項目が明記されました。アクセス制御、意識向上と訓練、監査と説明責任、構成管理、識別と認証、インシデント対応、メンテナンス、メディア保護——これらの対策を自社で実施し、委託元に説明できる体制が求められています。
ISMAP(政府情報システムのためのセキュリティ評価制度)との関連
政府機関がクラウドサービスを調達する際は、原則としてISMAPクラウドサービスリストから選定することとされています。Microsoft 365やAWS、Google Cloudなどの主要クラウドサービスはISMAPに登録されていますが、クラウド上に構築するシステムのセキュリティ設計は、利用者(機関等およびその委託先)の責任です。
地方自治体・教育機関への波及
政府統一基準群は、地方自治体のセキュリティポリシーや、重要インフラ事業者の安全基準等策定指針の参照元にもなっています。そのため、自治体のIT業務を受託する中小企業にとっても、統一基準群の理解は不可欠です。
中小企業が押さえるべき重点領域
統一基準群の全体を完全に理解する必要はありませんが、政府機関と取引する可能性がある企業は、以下の領域を重点的に押さえておくべきです。
① 情報の格付と取扱い(第3部)
政府の情報は機密性・完全性・可用性の3軸で格付されます。特に機密性2以上の情報を取り扱う場合、暗号化、アクセス制御、記録管理に関する厳格な要件が課されます。委託先として情報を預かる場合、格付に応じた管理措置を自社で実施できなければなりません。
② クラウドサービスの利用(第4部・第5部)
政府のクラウド利用はISMAP登録サービスが原則ですが、利用するだけでは不十分です。アクセス制御の設定、データの保管場所(国内リージョン)、バックアップ方針、インシデント対応手順をクラウドの利用者側で設計・実装する必要があります。
③ サプライチェーンリスク管理(第4部)
サプライチェーン攻撃のリスクが高まる中、委託先のセキュリティ管理状況の確認が強化されています。再委託先の管理、SBOM(ソフトウェア部品表)の提供、外国法の適用リスクの確認なども求められるケースが増えています。
④ 認証・アクセス制御(第7部)
多要素認証(MFA)の適用、最小権限の原則に基づくアクセス制御、ログの記録・保存など、ゼロトラストの考え方に通じる要件が定められています。特にリモートアクセス環境では、条件付きアクセスやデバイス管理の仕組みが事実上必須です。
⑤ インシデント対応(第2部・第5部)
セキュリティインシデント発生時の報告・対応手順を事前に定め、定期的に訓練を実施することが求められています。委託先企業にもインシデント発覚後の速やかな報告義務が課されます。
令和7年度版・最新改定のポイント
2025年6月に公開された令和7年度版では、令和5年度版(2023年7月)およびその一部改定(2024年7月)を踏まえた更新が行われています。
組織体制の変更への対応
2025年に内閣サイバーセキュリティセンター(NISC)が国家サイバー統括室(NCO)に改組されたことに伴い、関連する組織名称が更新されています。
IoT製品のセキュリティ評価制度(JC-STAR)
経済産業省が推進するIoT製品のセキュリティ適合性評価制度が調達基準に反映されつつあります。将来的には、政府調達においてセキュリティラベルの取得が必須化される方針です。
SBOM(ソフトウェア部品表)の活用
ソフトウェアのサプライチェーン管理を目的として、調達時にSBOMの作成・提供を評価項目とする基本対策事項が追加されました。ソフトウェアの透明性を確保するための取り組みが具体化しています。
ゼロトラストアーキテクチャへの移行
デジタル庁が推進する「ゼロトラストアーキテクチャ適用方針」や「常時リスク診断・対処(CRSA)」の考え方が、統一基準群の実装にも反映されています。境界防御からゼロトラストへの転換は、政府機関とその委託先の双方に影響する大きなトレンドです。
BTNコンサルティングにできること
政府統一基準群への対応は、大手SIerの専売特許ではありません。特にクラウドベースの対策実装においては、Microsoft 365やEntra IDの設計・運用に精通した専門家のサポートが効果的です。
政府統一基準群への適合性アセスメント
現在のIT環境が統一基準群のどの要件を満たしているか、どこにギャップがあるかを洗い出す適合性アセスメントを実施します。第2部(組織体制)から第7部(セキュリティ機能)まで、チェックリスト形式で現状とのギャップを可視化します。
Microsoft 365を基盤としたセキュリティ対策の実装
統一基準群の多くの要件は、Microsoft 365 Business Premium / E3の標準機能で実装可能です。
| 統一基準群の要件 | M365での実装方法 |
|---|---|
| 多要素認証の適用 | Entra ID MFA(全プランで利用可能) |
| 最小権限のアクセス制御 | 条件付きアクセスポリシー(Entra ID P1) |
| 端末のセキュリティ管理 | Intune コンプライアンスポリシー |
| 不正プログラム対策 | Defender for Business(EDR) |
| データ損失防止 | Microsoft Purview DLP |
| 監査ログの記録・保存 | Microsoft 365 監査ログ |
| 情報の暗号化 | BitLocker(端末)、TLS(通信)、暗号化メール |
| メール脅威保護 | Defender for Office 365(Safe Links / Attachments) |
情報セキュリティポリシーの策定支援
統一基準群を参照した情報セキュリティポリシー(基本方針・対策基準・実施手順)の策定を支援します。政府機関の委託先として求められるセキュリティ文書体系を、自社の規模・業務に合わせて作成します。
ISMAP対応クラウド環境の設計
ISMAP登録されたMicrosoft 365やAzure上で、統一基準群の要件を満たすテナント設計を行います。条件付きアクセス、Intune、DLP、監査ログの保持期間設定など、「ISMAPに登録されたサービスを正しく使いこなす」ための設計・設定を実装します。
セキュリティ監査への対応支援
統一基準群に基づく情報セキュリティ監査(本部監査)の対象となる機関等、およびその委託先企業に対して、監査対応のための証跡整備やドキュメント作成を支援します。
「自社のIT環境が統一基準群に対応できているか不安」「政府案件の提案書にセキュリティ要件をどう書けばよいかわからない」——そういったお悩みに、ITコンサルティングの立場から具体的にお答えします。
→ ITコンサルティングの詳細を見る
まとめ
政府統一基準群は、政府機関のセキュリティ対策の「国の基準」であると同時に、政府と取引する民間企業にとっても避けては通れない文書です。特に第4部「外部委託」の要件は、委託先・調達先である中小企業に直接的な影響を与えます。
すべてを読み解く必要はありませんが、自社が関わる領域の要件を把握し、Microsoft 365等の既存ツールで対策を実装できる状態にしておくことが、政府案件の受注力強化とセキュリティレベルの向上を同時に実現する鍵です。
参考リンク:国家サイバー統括室 — 政府統一基準群