はじめに
2025年7月、内閣官房に設置されている国家サイバー統括室(旧内閣サイバーセキュリティセンター)は、「政府機関等のサイバーセキュリティ対策のための統一基準群」を更新しました。
この基準群の法的位置付けや各文書の概要は国家サイバー統括室のWebページ[1]およびこのページからダウンロードできる「統一基準群の概要」という資料[2]に簡潔にまとめられています。
「統一基準群の概要」の4ページには以下の体系図が掲載されており、基準群を構成する各文書の位置付けがわかりやすく説明されています。
図1:「政府機関等のサイバーセキュリティ対策のための統一基準群」体系図(2025年7月版)
図1のとおり、統一基準群の中で最も基本となるものは「統一規範」[3]であり、その「統一規範」が定めた要件を満たすために守るべき最低基準を定めたものが「統一基準」[4]です。ここまでは技術的というよりは組織を含めた「あるべき姿」を定めたもので、この「統一基準」の説明および利活用すべき技術や情報を例示したものが「(対策基準策定)ガイドライン」[5]です。
各機関は最終的に図1の「マニュアル群」を参照して自組織に適した対策や運用規定などを定めますが、そのマニュアルと結びつきが強くかつその時々の技術や社会情勢に影響を受けるのは「ガイドライン」です。
これまで同ガイドラインの2018年度版と2023年度版について、ストレージの廃棄にかかわる内容およびその更新内容について記事にしました。
そこで今回の記事では、2025年度版の「統一規範」から「ガイドライン」までのストレージにかかわる内容、特に暗号化機能と廃棄時処理の内容について、2023年度版との差異を中心にまとめます。……と言いつつ2023年度版から変更はないのですが。
まとめ
- 2025年7月版「統一基準群」の前版からの更新点は組織名変更がメイン
- ストレージドライブにかかわる内容(暗号化、廃棄時処理)には変更なし
暗号化
ストレージのデータ暗号化機能が必要になる根拠は、「統一規範」の第17条「情報のライフサイクル管理」と考えられます。この内容は2023年度版から変更ありません。
(情報のライフサイクル管理)
第十七条 機関等は、情報の作成、入手、利用、保存、提供、運搬、送信及び消去の各段階で、情報の格付及び取扱制限に従って必要とされる取扱いが損なわれることがないように、必要な措置を定め、実施しなければならない。「統一規範」第三章「政府機関等の情報セキュリティ対策のための基本対策」(5ページ)より
そして「統一基準」の7.1.5節「暗号・電子署名」に記載された「遵守事項」にも変更はありません。具体的には、「(1) 暗号化機能・電子署名機能の導入」に以下のように記述されています。
遵守事項
(1) 暗号化機能・電子署名機能の導入
(a) 情報システムセキュリティ責任者は、情報システムで取り扱う情報の漏えいや改ざん等を防ぐため、以下の全ての措置を講ずること。
(ア)要機密情報を取り扱う情報システムについては、暗号化を行う機能の必要性の有無を検討し、必要があると認めたときは、当該機能を設けること。
(イ)(以下省略)「統一基準」7.1.5「暗号・電子署名」(68ページ)より
相変わらず、機密情報を記録するシステムでデータ暗号化機能を使うかどうかの判断は現場に委ねられています。
この基準の対象はシステム全体ですので、ストレージに限らずネットワーク上を流れるデータやサーバのメモリ上のデータなど情報システムを構成するすべてのデータに係る暗号化機能が対象です。ネットワーク上を流れるデータの暗号化と比べてストレージを含めたほかの構成要素への暗号化適用が難しい?と考えて一律適用にしていないのか……インシデントは発生しているものの人間系の要因が大きいためかもしれません。人間系の課題をシステムで対処できるのが理想なのですが。
この暗号化機能に関する「ガイドライン」側の記述、つまり「統一基準」に記載された基準を満たすための「基本対策事項」とその「解説」についても、変更点はありません。この「ガイドライン」は推奨する暗号アルゴリズムなどについて「電子政府推奨暗号リスト」というものを参照しているのですが、参照するリストも更新されていません。
海外では各種標準規格への量子耐性暗号(Post-Quantum Cryptography: PQC)の取り込みが進んでおり、電子政府推奨暗号リスト側の更新という形で次回はこちらにも変更があるかもしれません。
廃棄時の処理
ストレージの廃棄時に適切な処理が必要となる根拠も、暗号化機能と同じく「統一規範」の第17条「情報のライフサイクル管理」と考えられます。
そして対応する「統一基準」側の記述は3.1.1節「情報の取扱い」に記載された「(7) 情報の消去」です。この「遵守事項」にも変更はありません。
遵守事項
(7) 情報の消去
(a) 職員等は、電磁的記録媒体に保存された情報が職務上不要となった場合は、速やかに情報を消去すること。
(b) 職員等は、電磁的記録媒体を廃棄する場合には、当該記録媒体内に情報が残留した状態とならないよう、全ての情報を復元できないように抹消すること。
(c) 職員等は、要機密情報である書面を廃棄する場合には、復元が困難な状態にすること。「統一基準」3.1.1「情報の取扱い」(7)「情報の消去」(25ページ)より
この「情報の消去」に関する「ガイドライン」側の記述、つまり「統一基準」に記載された基準を満たすための「基本対策事項」とその「解説」についても、変更点はありません。
この「ガイドライン」は、現状に即した形でSSDを含むフラッシュメモリを媒体とする各種ドライブの記載やNVMeを含めた具体的なコマンド名の記載を追加され、今ではOver-Provisioning領域やウェアレベリングまで言及しています。
また、廃棄にかかわる業者による転売事件を受けて追加された記述もあります。その件を含めてこちらも人間系に問題のあるインシデントが多いため、当面はインシデント対策が追加されていく形がメインになると考えられます。
おわりに
この記事では、2025年7月に発行された最新の「政府機関等のサイバーセキュリティ対策のための統一基準群」におけるストレージの暗号化機能と廃棄時処理について、2023年度版との差異を中心に説明しました。ただ、内容を確認したところ2023年度版から変更はありませんでした。
次の定期的な改訂は2年後の2027年になると考えられます。今後も国内外の動向を注視していきたいと思います。
References
[1] 国家サイバー統括室、「政府機関等のサイバーセキュリティ対策のための統一基準群」、2025年8月24日閲覧
[2] 国家サイバー統括室、「政府機関等のサイバーセキュリティ対策のための統一基準群の概要」(PDF)、2025年7月
[3] 国家サイバー統括室、「政府機関等のサイバーセキュリティ対策のための統一規範(令和7年度版) 」(PDF)、2025年7月
[4] 国家サイバー統括室、「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)」(PDF)、2025年7月
[5] 国家サイバー統括室、「政府機関等の対策基準策定のためのガイドライン(令和7年度版)」(PDF)、2025年7月
ライセンス表記
この記事はクリエイティブ・コモンズ 表示 - 継承 4.0 国際 ライセンスの下に提供されています。