Japan
サイト内の現在位置
政府統一基準群理解の最短コース
NECセキュリティブログ2026年3月13日
わが国の政府機関等のサイバーセキュリティ対策基準として長い歴史を持つ政府統一基準群ですが、NIST文書に比較すると流通する情報量が少なく、理解のためのハードルが存在します。
本稿では、現場における試行錯誤の結果たどり着いた、政府統一基準群を理解するための最短コースを提案します。
なお、本稿は2026年2月23日時点の情報をもとに作成されています。参照した政府統一基準は、令和7年改訂版となります。
目次
1. はじめに
「政府統一基準とは何か」についての解説はすでに他Webサイトに存在するため、本稿では割愛します。
本稿は業務の遂行に際して政府統一基準群を理解・実践しなければならない方向けのガイダンス文書として、以下の章で「政府統一基準の理解の仕方」を解説します。
2章では、閲覧すべき文書を特定し、読む順序を解説します。
3章では、読み進める前に理解しておいた方がよい情報について解説します。
4章では、文書を読み進めるうえで重要な「遵守事項」と「基本対策事項」の関係性について解説します。
2. 政府統一基準群理解のためのステップ
2.1 政府統一基準群を構成する文書
政府統一基準群は以下の3つの文書から構成されています。
| 文書 | 内容 | ページ数 |
|---|---|---|
| 政府機関等のサイバーセキュリティ対策のための統一規範 (以下、「統一規範」という) |
サイバーセキュリティに関する対策の基準として、機関等がとるべき対策の統一的な枠組みを定め、機関等に自らの責任おいて対策を図らしめることにより、もって機関等全体のサイバーセキュリティ対策を含む情報セキュリティ対策の強化・拡充を図ることを目的としたもの | 6 |
| 政府機関等のサイバーセキュリティ対策のための統一基準 (以下、「統一基準」という) |
全ての機関等において共通的に必要とされる情報セキュリティ対策であり、政府機関等のサイバーセキュリティ対策のための統一規範に基づく機関等における統一的な枠組みの中で、統一規範の実施のため必要な要件として、情報セキュリティ対策の項目ごとに機関等が遵守すべき事項を規定したもの | 85 |
| 政府機関等の対策基準策定のためのガイドライン (以下、「ガイドライン」という) |
統一基準の規定を遵守するための対策基準を策定する際に参照するものであり、統一基準の遵守事項を満たすためにとるべき基本的な対策事項を例示するとともに、対策基準の策定及び実施に際しての考え方等を解説するもの | 536 |
また、学習資料として以下の文書も公開されています。
| 文書 | 内容 | ページ数 |
|---|---|---|
| 政府機関等のサイバーセキュリティ対策のための一基準群(令和7年度版)について (以下、「学習資料」という) |
学習資料 | 76 |
2.2 読むべき文書
文書体系としては「統一規範」を最上位として、「統一基準」「ガイドライン」が続く構成となります。本稿では、以下の理由により、「ガイドライン」を中心に読むことをお勧めします。理由は以下のとおりです。
| 文書 | 優先順位 | 理由 |
|---|---|---|
| ガイドライン | 高 | 具体的な実装を定めた「基本対策事項」を含み、政府統一基準群の本丸です。500ページ超の大部ではありますが、ポイントを絞って読み進めるべき文書です。 |
| 統一規範 | 中 | 抽象的であるため、「それはまあそうだろうな」という感想しか出ず、費やした時間のわりに印象に残りません。この文書はガイドラインを把握した後に読むことをお勧めします。 |
| 統一基準 | 低 | この文書に記載されている「遵守事項」は「ガイドライン」にも重複して記載されていますので、「統一基準」単体で読む必要がありません。 |
2.3 お勧めの順序
以下のように読み進めることをお勧めします。
| 順序 | 文書 | 項番 | 理由 |
|---|---|---|---|
| 1 | 学習資料 | 3.まとめ | 全体像を理解するため |
| 2 | ガイドライン | 1.1 本ガイドラインの目的等 (2)本ガイドラインの適用対象 |
適用対象を理解するため |
| 3 | ガイドライン | 1.1 本ガイドラインの目的等 (5) 対策基準の策定手順 |
基本対策事項の位置づけを理解するため |
| 4 | ガイドライン | 1.3 用語定義 | 独特の用語を理解するため |
| 5 | ガイドライン | 必要な基本対策事項+遵守事項 | 基本対策事項から、実施しなければならないことを具体的に理解するため |
| 6 | 統一規範 | 全体 | ガイドラインに記載されていない内容をインプットするため |
3. 事前準備
3.1 資料のダウンロード
3.1.1 政府統一基準群のダウンロード
まずは
政府機関対策関連 - 国家サイバー統括室から、「統合版」と記載のあるzipファイルをダウンロードします。本稿では、全体像を理解するために、このzipファイルに含まれる「refernce-guider〇〇.xlsx」(以下「ガイドラインExcel版」といいます)を主に使用します。
3.1.2 学習資料のダウンロード
同じWebページに「統一基準学習資料」というPDFが公開されているので、こちらもダウンロードします。
3.2 全体像の把握
「学習資料」の「3.まとめ」の以下の記載が、統一基準群の全体像を把握するための最高のまとめになっています。以下、そのまま引用します。
| 統一基準群は、機関等(政府機関及び独立行政法人等)の情報セキュリティのベースラインを示している。 |
| 機関等は統一基準群を準拠・参照し、組織及び取り扱う情報の特性等を踏まえて情報セキュリティポリシーを策定している。 |
| 統一基準群はあくまでベースラインである。機関等の判断によって、より高い水準の対策も可能。 |
統一基準は全8部構成。
|
このわずか1ページの記載から、以下の政府統一基準群の構造が読み取れます。
- 統一基準群はベースライン
- 機関等が政府統一基準群をベースラインとしてポリシーを策定
- 1部は総則
- 2~4部は組織のガバナンス
- 5~8部はセキュリティ対策
3.3 ガイドラインにおける重要概念の確認
ガイドラインにおける以下の記述は事前に目を通しておいた方がよいでしょう。以下に概要を記載しますが、原文も参照してください。
| 項番 | 概要 |
|---|---|
| 1.1 本ガイドラインの目的等 (2)本ガイドラインの適用対象 |
統一基準の適用対象とする情報は以下のとおりとされています。
|
| 1.1 本ガイドラインの目的等 (5) 対策基準の策定手順 |
「学習資料」に記載のとおりではありますが、機関等が実施すべきことが図示されています。 |
| 1.3 用語定義 1.4 一般用語の解説 |
政府統一基準群では、時折一般的ではない用語が使用されるので、少なくとも以下の用語は事前に意味を押さえておくとよいです。
|
| 1.5 基本対策事項及び解説の読み方 | 政府統一基準群を理解するための最重要事項といってもよい考え方が記載されています。本稿4.3でも解説します。 |
4. ガイドラインの読み方
準備が整ったので、「ガイドライン」に記載されているセキュリティ対策を見ていきましょう。
4.1 対象の遵守事項確認
どの遵守事項を確認するかは、組織ごとに異なります。3.1.1でダウンロードした「ガイドラインExcel版」で、部・節をフィルタ表示すると、以下のように政府統一基準の概要を掴むことができます。
| ID | 内容 |
|---|---|
| 2 | 第2部 情報セキュリティ対策の基本的枠組み |
| 2.1 | 2.1 導入・計画 |
| 2.2 | 2.2 運用 |
| 2.3 | 2.3 点検 |
| 2.4 | 2.4 見直し |
| 2.5 | 2.5 独立行政法人及び指定法人 |
| 3 | 第3部 情報の取扱い |
| 3.1 | 3.1 情報の取扱い |
| 3.2 | 3.2 情報を取り扱う区域の管理 |
| 4 | 第4部 外部委託 |
| 4.1 | 4.1 業務委託 |
| 4.2 | 4.2 クラウドサービス |
| 4.3 | 4.3 機器等の調達 |
| 5 | 第5部 情報システムのライフサイクル |
| 5.1 | 5.1 情報システムの分類 |
| 5.2 | 5.2 情報システムのライフサイクルの各段階における対策 |
| 5.3 | 5.3 情報システムの運用継続計画 |
| 5.4 | 5.4 政府共通利用型システム |
| 6 | 第6部 情報システムの構成要素 |
| 6.1 | 6.1 端末 |
| 6.2 | 6.2 サーバ装置 |
| 6.3 | 6.3 複合機・特定用途機器 |
| 6.4 | 6.4 通信回線 |
| 6.5 | 6.5 ソフトウェア |
| 6.6 | 6.6 アプリケーション・コンテンツ |
| 7 | 第7部 情報システムのセキュリティ要件 |
| 7.1 | 7.1 情報システムのセキュリティ機能 |
| 7.2 | 7.2 情報セキュリティの脅威への対策 |
| 7.3 | 7.3 ゼロトラストアーキテクチャ |
| 8 | 第8部 情報システムの利用 |
| 8.1 | 8.1 情報システムの利用 |
この表題をもとに、どの部分を優先的に読むべきかを検討することをお勧めします。
2部~8部までを上から順に読んでいたのでは、焦点がぼやけてしまい、理解するには遠回りになります。自組織の特性と、理解する目的を勘案して優先順位を最初に定めることをお勧めします。以下は、想定される組織ごとの考え方の一例です。
| 組織 | 重点項目 | 理由 |
|---|---|---|
| 政府機関 | 第4部~第7部 実施できていない節を中心に読む |
第2部~第3部、第8部はこれまでの対応で実施されている可能性が高いため、クラウドサービスの4.2や、ゼロトラストの7.3など、最近の更新に注目して読むことが考えられます。 |
| システム構築ベンダー | 第4部、第7部は必須 第5部、第6部のうち、構築するシステム要素に該当する節を中心に読む |
第4部は業務委託について述べられているため、ベンダーとしては提案に含めるべき情報として理解しておくべきでしょう。第5部と第6部はシステム要素ごとに定められた基本対策事項を中心に読むことが考えられます。 |
4.2 政府統一基準群の特徴
管理策ベースでみたとき、政府統一基準群とNIST等のフレームワークは類似性があります。いずれもセキュリティの専門家の集合知による成果ですから、当然のことといえますが、政府統一基準群の以下の特徴は押さえておいてください。
- (1)遵守事項は人が主語
NISTの各種フレームワークにおいては、原文が英語のため「無生物主語構文」が頻発しますが、政府統一基準の遵守事項は全て人(責任者)が主語になっています。ベンダーの立場として政府統一基準を読むときは、文頭の「情報セキュリティ責任者は」といった主語を外して読むことで、NIST系フレームワークのように読めると思います。 - (2)類似する遵守事項・基本対策事項
4.1に記載のとおり、第6部は情報システムの構成要素ごとに遵守事項が定められています。対象が明確となるメリットがある一方、類似した遵守事項や基本対策事項が別の箇所に出現することに注意してください。一例として、「主体認証」に関する遵守事項・基本対策事項は、5.2.1、5.2.2、5.4.1、5.4.2、6.2.2、6.2.3、6.3.1、6.4.1、7.1.1、8.1.1に登場します。 - (3)「心構え」のような遵守事項・基本対策事項
特に第8部に顕著ですが、時折「心構え」のように受け取れる遵守事項・基本対策事項が存在します。一例として基本対策事項8.1.1(6)-2 c)は、職員等が「主体認証情報を忘却しないように努める」ことを定めています。政府統一基準群ベースの監査を行う際に頭を悩ませそうな項目ですが、続けて8.1.1(6)-2 c)の解説を読むと、「他者が容易に見ることができないような措置(施錠して保存するなど)や、他者が見ても分からないような措置(独自の暗号記述方式等)をしていれば、必ずしも、メモを取る行為を禁ずるものではない」とあり、単なる心構えの話ではないことが理解できます。
「ガイドラインExcel版」で遵守事項と基本対策事項を理解しようとしたときに、解説はフィルタで外しがちですが、重要な情報も含まれていることに注意が必要です。遵守事項と基本対策事項の記載で迷ったときは、必ず解説も参照してください。
4.3 基本対策事項と遵守事項の関係性
基本対策事項と遵守事項の関係性は、政府統一基準群を読み解くうえで重要なポイントになります。定義は以下のとおりです。
| 用語 | 定義 |
|---|---|
| 遵守事項 | 政府機関等が遵守すべき事項。 |
| 基本対策事項 | 遵守事項を満たすためにとるべき基本的な対策事項。 基本対策事項に例示される対策又はこれと同等以上の対策を講じることにより、対応する遵守事項を満たす必要がある。 |
基本対策事項の定義において、「基本対策事項に例示される対策又はこれと同等以上の対策を講じることにより、対応する遵守事項を満たす必要がある」とあることに注目してください。上述のとおり、政府対策基準群はベースラインですが、遵守事項だけを見たときにベースラインとして機能し得るものはそこまで多くありません。
一例として、「遵守事項 7.2.4(1)(a) 情報システムセキュリティ責任者は、情報システムにおいて、標的型攻撃による組織内部への侵入を低減する対策(入口対策)を講ずること」を見たときに、何をもって入口対策を実施していると言えるかを即答できる人はそこまで多くないでしょうし、人によって優先する対策は異なることでしょう。これでは、ベースラインとして機能しているとはいえません。そこで、「基本対策事項」が必要となるのです。遵守事項 7.2.4(1)(a)に関連する基本対策事項は以下の構造を持ちます。
| 種別 | ID | 内容 |
|---|---|---|
| 遵守事項 | 7.2.4(1)(a) | 情報システムセキュリティ責任者は、情報システムにおいて、標的型攻撃による組織内部への侵入を低減する対策(入口対策)を講ずること。 |
| 基本対策事項 | 7.2.4(1)-1 | 情報システムセキュリティ責任者は、サーバ装置及び端末について、組織内部への侵入を低減するため、以下を例とする対策を行うこと。 |
| 基本対策事項 (個別対策事項) |
7.2.4(1)-1 a) | 不要なサービス機能やアプリケーションを削除又は停止する。 |
| 7.2.4(1)-1 b) | 不審なプログラムが実行されないよう設定する。 | |
| 7.2.4(1)-1 c) | パーソナルファイアウォール等を用いて、サーバ装置及び端末に入力される通信及び出力される通信を必要最小限に制限する。 | |
| 7.2.4(1)-1 d) | サービスは原則「標準ユーザ」の権限で実行する。 |
基本対策事項7.2.4(1)-1で、「以下を例とする」という文言が含まれていることに注意してください。この文言により「7.2.4(1)-1 a)~d)の全てを実施する必要はない」のです。a)~d)のどこまでを満たせばよいのかは、遵守事項とシステムの性質に依存しますが、しかるべき理由がある場合にいずれかの基本対策事項(個別対策事項)を欠くとしても、遵守事項を満たしうることが重要です。また、仮にすべての「基本対策事項(個別対策事項)」を満たさない場合であっても、「同等以上の対策」が講じられていれば問題ないことになります。
一方、全ての基本対策事項(個別対策事項)を満たすよう指定するケースも存在します。以下、遵守事項7.2.4(1)(b)と関連する基本対策事項を見てみましょう。
| 種別 | ID | 内容 |
|---|---|---|
| 遵守事項 | 7.2.4(1)(b) | 情報システムセキュリティ責任者は、情報システムにおいて、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講ずること。 |
| 基本対策事項 | 7.2.4(1)-3 | 情報システムセキュリティ責任者は、情報窃取や破壊等の攻撃対象となる蓋然性が高いと想定される、認証サーバやファイルサーバ等の重要なサーバについて、以下を全て含む対策を行うこと。 |
| 基本対策事項 (個別対策事項) |
7.2.4(1)-3 a) | 重要サーバについては、組織内ネットワークを複数セグメントに区切った上で、重要サーバ類専用のセグメントに設置し、他のセグメントからのアクセスを必要最小限に限定する。インターネットに接続する必要がある場合は、必要最小限のプロトコルやポートのみに限定し、インターネットに接続する必要がない場合はインターネット分離を行う。 |
| 7.2.4(1)-3 b) | 認証サーバについては、利用者端末から管理者権限を狙う攻撃(辞書攻撃、ブルートフォース攻撃等)を受けることを想定した対策を講ずる。 |
基本対策事項7.2.4(1)-3で、「以下を全て含む」という文言が含まれていることに注意してください。この文言がある場合、「基本対策事項(個別対策事項)」は全て実施するか、全て実施する場合と「同等以上の対策」を行う必要があると考えられます。
- ※なお、「基本対策事項」を持たない遵守事項は、「遵守事項の解説を参照し、対策基準を定めることになる」ことが「ガイドライン 1.5 基本対策事項及び解説の読み方」に記載されています。
このように、政府統一基準が定めるベースラインは事実上基本対策事項で構成されていると私は考えています。「政府統一基準群に即したシステム」を構成する場合は、まず該当する基本対策事項の実装を目標とするのが明快です。基本対策事項が実装できない場合や、意味の取り方に迷うときは、解説や遵守事項を確認し、趣旨を把握することで「同等以上の対策」を検討することができます。
4.4 政府統一基準群の評価手順
ここまで述べてきたように、政府統一基準に準拠しようとした場合に主に確認すべきは基本対策事項です。これを理解していれば、「ガイドラインExcel版」をそのままチェックリストとして活用できます。遵守事項7.2.4(1)(b)は、下記のように基本対策事項(個別対策事項)からさかのぼる形で評価できます。
| ID | 内容 | 評価 |
|---|---|---|
| 基本対策事項 (個別対策事項) 7.2.4(1)-3 a) |
重要サーバについては、組織内ネットワークを複数セグメントに区切った上で、重要サーバ類専用のセグメントに設置し、他のセグメントからのアクセスを必要最小限に限定する。インターネットに接続する必要がある場合は、必要最小限のプロトコルやポートのみに限定し、インターネットに接続する必要がない場合はインターネット分離を行う。 | 【実装済み】 重要サーバをFWでセグメンテーションし、アクセス制御を行っている。 |
| 基本対策事項 (個別対策事項) 7.2.4(1)-3 b) |
認証サーバについては、利用者端末から管理者権限を狙う攻撃(辞書攻撃、ブルートフォース攻撃等)を受けることを想定した対策を講ずる。 | 【実装済み】 認証の連続失敗時にアカウントをロックする。 |
| ID | 内容 | 評価 |
|---|---|---|
| 基本対策事項 7.2.4(1)-3 |
情報システムセキュリティ責任者は、情報窃取や破壊等の攻撃対象となる蓋然性が高いと想定される、認証サーバやファイルサーバ等の重要なサーバについて、以下を全て含む対策を行うこと。 | 【実装済み】 7.2.4(1)-3 a)~b)を全て実装している。 |
| ID | 内容 | 評価 |
|---|---|---|
| 遵守事項 7.2.4(1)(b) |
情報システムセキュリティ責任者は、情報システムにおいて、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講ずること。 | 【遵守】 7.2.4(1)-3を実装している。 |
4.5 「統一規範」について
ある程度「ガイドライン」を読み込んだ後に、「統一規範」は必ず読むべきです。おそらく、本稿で勧めてきた「最短コース」を完了した直後の状態にあっては、理解できない統一規範内の記述があるはずで、それらは「理解の抜け漏れ」です。例えば、本稿では「情報の格付け」に関して省略しましたが、「統一規範」の第16条に記載がありますので、改めて「ガイドライン」を読み直すことで「抜け漏れ」を補完できます。
- ※そもそも「統一規範」を理解せずに政府統一基準群を完全に準拠することは不可能ですが、本稿では理解の早道として「ガイドライン」から始めていることを改めてお伝えします。
5. まとめ
最後までお読みいただきありがとうございました。本稿のまとめは以下のとおりです。
- 政府統一基準を理解したければ、ガイドラインを読むことが最良かつ最短。
- 政府統一基準のベースラインは基本対策事項において最もよく表現されている。
- 基本対策事項には、「以下を例とする」場合と「以下を全て含む」場合とで対応が異なる。
- 「ガイドライン」を読んだ後に「統一規範」を読むことで「抜け漏れ」を防ぐことができる。
政府統一基準は、わが国のサイバーセキュリティ対策を高めるための重要なフレームワークであることは疑いがありません。本稿によって関係各位が政府統一基準の理解を深める一助になれば幸いです。
以上
参考文献
- [1]政府機関等のサイバーセキュリティ対策のための統一基準群https://www.cyber.go.jp/policy/group/general/kijun.html
- [2]政府統一基準とは?最新の改訂版からセキュリティのトレンドを解説
https://jpn.nec.com/government/contents04.html
執筆者プロフィール
佐々木 教等(ささき のりとも)
担当領域:セキュリティコンサルティング
専門分野:PCI DSS、RMF、政府統一基準
セキュリティコンサルタントとして、PCI DSS準拠支援および審査、企業・官公庁のポリシー策定・アセスメントを担当。
保有資格:CISSP/CCSP、CISA、PCI DSS審査員(QSA)、システム監査技術者、ITサービスマネージャ、弁理士試験合格者
執筆者の他の記事を読む
アクセスランキング