内閣官房 国家サイバー統括室は2026年6月12日、「政府機関等の対策基準策定のためのガイドライン」(令和7年度版)を一部改定しました。高性能AIの悪用によるサイバー攻撃の高度化・自動化を踏まえ、脆弱性対応やシステム停止判断の運用ルールを明確化する内容です。政府機関26組織・独立行政法人86組織・指定法人10組織が対象となります。

主なトピック

  • 全情報システムでセキュリティパッチの適時適用を前提とした運用設計(パッチマネジメント)を求め、迅速な適用が必要な場合はシステム運用の一時停止も検討事項に明記
  • 情報システム運用継続計画(IT-BCP)の要件をセキュリティ要件へ確実に反映するよう整備
  • インシデント発生時に国家サイバー統括室(NCO)へ報告する情報に、IoCやログ、デジタルフォレンジック結果等を追加
  • 基幹システム等で強い権限を持つ主体への多要素認証の原則導入
  • なりすましメール対策として、政府機関等側のDMARCポリシーを迷惑メール処理(quarantine)または受信拒否(reject)へ強化

詳細

このガイドラインの位置づけ

政府機関等の情報セキュリティは「統一規範」「統一基準」「ガイドライン」の3層構造で運用されています。サイバーセキュリティ戦略本部が決定する統一規範が基本方針を示し、統一基準がそれを満たすための遵守事項を定め、国家サイバー統括室が策定するガイドラインが具体的な対策事項と解説を提供する、という関係です。今回改定されたのはこのうちのガイドラインで、法的にはサイバーセキュリティ基本法第26条第1項第2号に基づいています。対象は中央省庁など政府機関26組織、独立行政法人86組織、指定法人10組織で、都道府県・市区町村などの地方公共団体は別枠の基準が適用されます。

脆弱性対策: パッチ適用とシステム停止の運用ルール

今回の改定で最も具体的な運用変更を伴うのが脆弱性対策です。全ての情報システムについて、セキュリティパッチを適時に適用することを前提とした運用設計をあらかじめ行うこと、サイバー攻撃の高度化・自動化の状況を踏まえて運用設計を随時見直すこと、そして迅速な適用が必要かどうかを判断したうえで脆弱性対策計画を策定・実施することが求められます。特筆すべきは、迅速な適用が必要な場合には「情報システムの運用を一時停止することも検討する」と明記された点です。可用性を優先しがちな行政システムの運用において、セキュリティを理由とした一時停止をあらかじめ選択肢として位置づけたことは、判断基準の明確化という意味を持ちます。

IT-BCP・インシデント対処・認証・メール対策の強化

このほか4つの改定事項があります。まず、情報システム運用継続計画(IT-BCP)については、各システムが政府業務継続計画上の非常時優先業務を支えているかを確認し、IT-BCPで求められる要件をセキュリティ要件に反映することが求められます。次に、インシデント発生時に国家サイバー統括室へ報告する事項に、IoC(侵害指標)やログ、デジタルフォレンジック結果といった脅威分析に資する情報が追加されました。また、基幹システムなどで情報セキュリティインシデントにつながりかねない強い権限を持つ主体には、原則として多要素認証方式の導入が求められます。最後に、政府機関等になりすましたメール対策として、DMARCポリシーを迷惑メール処理または受信拒否に強化することが盛り込まれました。

背景: 国家サイバー統括室(NCO)という新しい司令塔

この改定を所管する国家サイバー統括室は、2025年5月成立のサイバー対処能力強化法に基づき、同年7月1日に内閣サイバーセキュリティセンター(NISC)を発展的に改組して発足した組織です。トップには次官級ポストの「内閣サイバー官」が新設され、受動的な防御から攻撃の予兆を事前に察知して対応する「能動的サイバー防御」への転換が進められています。今回の改定も、この新体制下で高性能AIという新しい脅威要因に対応するための一手と位置づけられます。

用語解説

政府機関等の対策基準策定のためのガイドライン

政府統一基準の遵守事項を満たすために取るべき具体的な対策や解説をまとめた文書です。令和7年7月1日に初版が発行され、令和7年9月・令和8年6月に一部改定されています。国家サイバー統括室が策定を担っています。

国家サイバー統括室(NCO)

内閣官房に設置された、日本政府のサイバーセキュリティ政策を一元的に総合調整する組織です。サイバー対処能力強化法に基づき、2025年7月1日にNISCを改組する形で発足しました。

IT-BCP

情報システム運用継続計画のことです。災害やサイバー攻撃などの非常時にも優先業務を継続できるよう、情報システムの運用体制をあらかじめ定めておく計画を指します。

IoC(侵害指標)

Indicator of Compromise の略で、不正アクセスやマルウェア感染などのサイバー攻撃が発生したことを示す痕跡情報です。通信先IPアドレスやファイルのハッシュ値などが該当します。

DMARC

送信元をなりすましたメールを検知するための技術仕様です。受信側メールサーバーが、なりすましメールを迷惑メール扱い(quarantine)にするか受信拒否(reject)にするかをドメイン側のポリシーとして指定できます。

Vecta の視点

今回の改定で興味深いのは、「セキュリティのために可用性を犠牲にする」という重い判断を、個々の現場の裁量ではなく、あらかじめガイドラインの選択肢として明文化した点です。多くの組織にとって、稼働中のシステムを止める決断は心理的にも運用的にもハードルが高く、後回しにされがちです。それを国レベルの基準として言語化したことは、AIによる攻撃の高速化という脅威の変化に対する現実的な対応だと感じます。IoCやログの報告義務化、多要素認証の原則化といった他の改定事項も、個別の判断を属人化させず仕組みで支える方向性で一貫しています。Vectaも、地域や行政の知識をAIが扱える形に整理するにあたり、便利さや自動化を追求する一方で、どこに人の最終判断を残し、どこを仕組みで支えるかという設計思想を大切にしており、こうした基準整備の動きを継続して注視していきます。

出典