令和7年度版「政府機関等のサイバーセキュリティ対策のための統一基準群」(政府統一基準)読んでみた!!
こんにちは!営業統括本部公共営業部の深田です。
今回は、公開から時間が経ってしまいましたが、令和7年度版「政府機関等のサイバーセキュリティ対策のための統一基準群」
通称政府統一基準を読み解いていきます
政府統一基準とは
統一基準群は、国の行政機関及び独立行政法人等(以下「政府機関等」という。)の情報セキュリティ水準を向上させるための統一的な枠組みであり、政府機関等の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項を規定しています。
【参照】国家サイバー統括室「政府機関等のサイバーセキュリティ対策のための統一基準群」
政府統一基準の概要はこちらの資料に記載されています。
政府統一基準は2年に一度改定されており、ひとつ前が令和5年版、その前が令和3年版となっております。
国家サイバー統括室(旧:内閣サイバーセキュリティセンター)が公開している政府統一基準に関する資料は以下の通りとなっています。
- 統一規範:目的および適用対象、基本方針と基本対策
- 統一基準:統一規範の実施のため必要な要件として、情報セキュリティ対策の項目ごとに機関等が遵守すべき事項を規定
- ガイドライン:政府統一基準の遵守事項を満たすためにとるべき基本的な対策事項
令和7年度版について
令和7年度版は令和7年7月1日に初版が発行されており、令和7年9月5日に一部改定されています。
政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)
統一基準について以下の章立てで書かれています。
第1部 総則
第2部 情報セキュリティ対策の基本的枠組み
第3部 情報の取り扱い
第4部 外部委託
第5部 情報システムのライフライクル
第6部 情報システムの構成要素
第7部 情報システムのセキュリティ要件
第8部 情報システムの利用
令和5年度版との差分
令和7年度版と令和5年度版の統一基準の差は、基本的にほとんどなく、「内閣官房内閣サイバーセキュリティセンター」が「内閣官房国家サイバー統括室」に名称変更されている事が主な変更点となります。
クラウドサービスに関する記載
第4部4.2にて、クラウドサービスに関する記載がされています。
こちらの部ではクラウドサービスの選定・利用に関して、それぞれ要機密情報を取り扱う場合・取り扱わない場合に分けて記載されており、含めるべきセキュリティ要件、利用にあたっての承認などに言及されています。
特にクラウドサービスの選定基準としてISMAP 等クラウドサービスリストから選定することと明記されています。
【参考】ISMAPクラウドサービスリスト
ISMAPは正式名称「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)で「イスマップ」と読みます。
政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。(概要)
政府機関等の対策基準策定のためのガイドライン(令和7年度版)
ガイドラインについて、統一基準と同じ章立てで書かれています。
令和5年度版との差分
令和5年度版は令和5年7月4日に初版が発行されたのち、令和6年7月24日に一部改定されています。令和5年度の一部改定版と、令和7年度の一部改定版を比較していきます。
※一部変更点については本ブログでは特筆して記載しておりません。
主な変更点:追記されてるもの
第2部 情報セキュリティ対策の基本的枠組み
2.1 導入・計画
2.1.1 組織・体制の整備
遵守事項 2.1.1(8)(b)「許可権限者の上司又は適切な者」について
遵守事項 2.1.2(1)(a)「情報システム台帳に整備する」について
基本対策事項 2.1.2(1)-1 e)「機関等外通信回線の種別・用途」について
→こちらの事項について、令和7年度版は追記されておりより分かりやすくなっています。
基本対策事項2.1.3(4)-2については、以下の事項が追加されています。
最高情報セキュリティ責任者は、「対策推進計画策定マニュアル」(内閣官房国家サイバー統括室)を参照して対策推進計画を定め、少なくとも1年に1回、策定した対策推進計画の総合評価を実施し、その結果等からの対策推進計画の見直しを踏まえて、次年度の「全体方針」及び「個別の取組の方針・重点等」を定めること。
第3部 情報の取扱い
3.1 情報の取扱い
3.1.1 情報の取扱い
基本対策事項 3.1.1(1)-2 a)「チャットルーム名等に記載」について
→チャットルームで情報を取り扱う場合のチャットルーム名等の記載について新しく基本対策事項がついかされています。
第4部 外部委託
4.1 業務委託
4.1.2 情報システムに関する業務委託
遵守事項 4.1.2(2)(a)(ア)「情報システムのセキュリティ要件」について
→新しく項が追加されています。
第6部 情報システムの構成要素
6.2 サーバ装置
6.2.4 ドメインネームシステム(DNS)
遵守事項 6.2.4(2)(b)「ドメインに関する情報が正確であることを定期的に確認」につい
て
→基本対策事項及び遵守事項について、令和7年度版では拡充されています。
主な変更点:記載内容の変更or削除
第2部 情報セキュリティ対策の基本的枠組み
2.1 導入・計画
2.1.1 組織・体制の整備
遵守事項 2.1.3(1)(a)「リスクを評価する」について
→こちらの項について、令和7年度版と令和5年度版ではリスク評価手法の解説が異なっています。
第4部 外部委託
4.1 業務委託
4.1.1 業務委託
基本対策事項 4.1.1(2)-1 d)「情報セキュリティ対策その他の契約の履行状況の確認方法」について
→こちらの項について、令和7年度版と令和5年度版では記載が若干異なっており書き換えられています。
基本対策事項 4.1.1(3)-1 b)「情報へアクセスする主体の識別とアクセスの制御」について
基本対策事項 4.1.1(3)-1 c)「ログの取得・監視」について
→令和5年度版においては、NIST SP800-171における参考情報について記載されていますが、令和7年度版では消えています。
4.2 クラウドサービス
4.2.2 クラウドサービスの利用(要機密情報を取り扱う場合)
基本対策事項 4.2.2(1)-4 c)「セキュリティ要件の異なるネットワーク間の通信の監視」について
基本対策事項 4.2.2(1)-4 e)「可用性を考慮した設計」について
基本対策事項 4.2.2(1)-7 b)「適切な格付・取扱制限の明示」について
4.2.3 クラウドサービスの選定・利用(要機密情報を取り扱わない場合)
遵守事項 4.2.3(2)(b)「利用の可否を決定する」について
→令和5年度版にあったこちらの項目が令和7年度版では削除されています。
4.3 機器等の調達
4.3.1 機器等の調達
基本対策事項 4.3.1(1)-2「必要なセキュリティ機能が適切に実装されていること」について
→令和5年度版でこのように記載されている項は令和7年度版においては
以下の2つの項目なっております。
基本対策事項 4.3.1(1)-2「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」
について
基本対策事項 4.3.1(1)-2 a)及び b)「当該制度の★1ラベル取得に求められるセキュリ
ティ適合基準」について
第6部 情報システムの構成要素
6.1 端末
6.1.3 機関等支給以外の端末の導入及び利用時の対策
以下の遵守事項及び文言が追加されています。
遵守事項 6.1.3(1)(a)「機関等支給以外の端末の利用」について
機関等支給以外の端末の利用とは、職員等が従事する業務で利用する機関等の情報システムから入手可能な業務に係る情報(業務上知り得る情報)、情報システムの仕様やデータ設定等に係る情報や、情報システムにおいて利用される主体認証情報(パスワード等)を機関等支給以外の端末において利用することである。ただし、機関等支給以外の端末で機関等が公表している情報を入手するなどの利用は、含まない。
特筆する令和5年度版との差分
4.2 クラウドサービス
4.2.2 クラウドサービスの利用(要機密情報を取り扱う場合)
基本対策事項 4.2.2(1)-9「暗号化に係る基本方針」について
こちらの項目について、記載されている内容は基本的に同じですが、鍵管理の具体的な手法として以下の文言が追加されています。
なお、鍵管理の具体的な手法として、主に以下の手法がある。採用する手法を検討する際は、手法ごとのセキュリティの安全性、導入コスト、運用負荷等を踏まえる必要がある。
• Cloud Native Encryption Service:利用者は鍵管理に関与せず、クラウドサービス提供者が鍵のライフサイクル(作成・保存・削除等)全体に渡って鍵管理を行う手法
• BYOK(Bring Your Own Key):利用者が作成した鍵をクラウドサービス上の鍵管理システム(Key Management System、以下「KMS」という。)にアップロードし、KMS の機能を用いて管理を行う手法
• HYOK(Hold Your Own Key):利用者が作成した鍵を KMS へアップロードするが、鍵の漏えいリスク低減のため、鍵の使用後は都度 KMS から鍵を削除する手法
• BYOE(Bring Your Own Encryption):利用者自らがクラウド上に鍵管理システムを構築し、そのシステム上で鍵管理を行う手法
• MCKMS(Multi Cloud Key Management System):利用者自らが複数のクラウドサービスを横断するように鍵管理システムを構築する手法
5.4 政府共通利用型システム
5.4.2 政府共通利用型システム利用機関における対策
基本対策事項 5.4.2(3)-1 f)「政府共通利用型システム利用機関における機器等のキッティングファイルの管理手順」について
こちらの項目が追加されており、内容としては以下となります。
キッティングファイル(機器等を業務利用できる状態にするためのファイルのこと。)が最新のものとなっていない又は意図せず改変・改造された場合、キッティングに支障が生じるだけでなく、重大な情報セキュリティインシデントが発生するおそれがある。そのため、キッティングファイルは、常に最新の状態に保つとともに、使用する外部記録媒体も含めて厳格に管理することが求められる
第7部 情報システムのセキュリティ要件
7.2 情報セキュリティの脅威への対策
7.2.3 サービス不能攻撃対策
基本対策事項 7.2.3(1)-1「サービス不能攻撃に対抗するための以下の機能」について
令和5年度は「サービス不能攻撃」について、という項目だったものについて名目が変わり、内容も拡充しています。
※本文は省略
基本対策事項 7.2.3(1)-4「攻撃への対処を効率的に実施できる手段」について
さらにこちらの項目も追加されています。
まとめ
本ブログでは、政府統一基準について・公開されているドキュメントの種類・令和5年度との差分について述べました。
比較的追加されている要件が少ない年度であったと感じます。
クラスメソッドでは公共機関向けの専任部隊を設けご支援を行っております!
詳しくはこちら!
