防衛セキュリティ要件 (PSR) - 完全ガイド

NCSC（全国サイバーセキュリティセンター）とは

環境・気候・通信省（DECC）が2011年にNCSCを設立しました。NCSCの使命は、政府のITサービスや重要国家基盤に関わる提供者に、最も深刻なネットワーク情報セキュリティ上のリスクや脆弱性について助言と最新情報を伝えることです。

NCSCは、政府全体で発生する大規模なサイバーセキュリティ事案の対応を主導し、市民や企業への助言、そしてグローバルなサイバーセキュリティコミュニティとの強固な国際連携を構築して情報交換を促進する役割を担っています。2011年以降、今後の運用に備えて基盤の強化と能力の拡充に注力しています。

PSRとは

防衛セキュリティ要件（PSR）は、ニュージーランド政府が国民、情報、資産をセキュリティリスクから守るために用いる枠組みです。

オーストラリアのPSR枠組みに似て、ニュージーランドのPSRは政府機関が守るべき必須の安全要件を定めています。内容は、身体のプライバシー、人員の安全、統計や通信技術のセキュリティ、ガバナンスなど広範なトピックを含みます。

ニュージーランドPSRは、テロ、スパイ活動、サイバー攻撃など多様な脅威から資産や証拠を守るため、政府機関が適切な安全対策を講じることを支援する目的もあります。同時に、政府機関が安全かつ適切に機能し、政府情報のセキュリティと機密性を維持することを保証するものです。

政府機関はPSRの遵守が義務付けられており、違反した場合は信頼失墜、罰金、法的措置など重大な影響が生じる可能性があります。

PSRの主要ポリシー

ニュージーランドの防衛セキュリティ要件は、セキュリティ管理、人の保護、情報の強化、物理的プライバシーの4領域で構成されています。全ての企業は、この4領域にまたがる20の規定を守る必要があります。

1. セキュリティガバナンス (GOVSEC)

戦略的かつ効率的なセキュリティリスクの管理により、従業員、データ、資産を守ることが可能です。企業は日常業務、方針、手続きに安全対策を組み込む必要があります。

PSRの8つの必須管理規範は、企業内の全セキュリティ分野を適切に監視し、管理するために定められています。

• GOV 1 – 適切な権限を構築し維持する。
• GOV 2 – リスクに基づいた戦略を採用する。
• GOV 3 – 事前に災害復旧計画を策定する。
• GOV 4 – 脆弱性への意識を高める。
• GOV 5 – プロジェクト全体で脅威を管理する。
• GOV 6 – データ流出への対応策を講じる。
• GOV 7 – 高い危険に応じた対応を可能にする。
• GOV 8 – 管理能力を評価する。

2. PERSEC - 人員セキュリティ

内部関係者とは、現職または元従業員、契約者、ビジネスパートナーを指します。彼らは、信頼の立場から得た情報を利用し、従業員、顧客、資産、評判に影響を与える可能性があります。

人は企業の最大の強みであると同時に、最も大きな脆弱性でもあります。

PSRサイトでは、採用段階からキャリア全体にわたって安全対策を実施すること、つまり脅威に基づく戦略を推奨しています。PSRには、以下の4種類の人員に関する規定が示されています：

• PERSEC 1 - 適切な人材を採用する。
• PERSEC 2 - 常に適性を確認する。
• PERSEC 3 - 退職時の計画を立てる。
• PERSEC 4 - 国家関与の資格情報を管理する。

3. INFOSEC - データセキュリティ

企業は、取り扱う、保管する、送信するデータの機密性、完全性、利用可能性を維持する必要があります。データの機密保持は全企業にとって極めて重要です。

データの性質と価値を把握することは、強固なパスワード管理戦略を構築する上で不可欠です。

詳細な資産管理を行うことで、組織のBC/DR対策に寄与する情報やICTシステムが明確になります。

また、PSRでいう「情報資産」の定義も明確にしておく必要があります。これは、以下のようなあらゆる種類の資料を指します：

• 文書やその他の印刷物。
• デジタル記録。
• 保存、処理、送信に関わるソフトウェアおよびハードウェア。
• 個人が収集したデータ。
• 設計、構成部品、使用方法を示す物理的な資料。

このため、情報セキュリティの基本対策は以下の4点となります：

• 基本対策 1: 脆弱性の把握。
• 基本対策 2: 情報の完全性を維持する計画。
• 基本対策 3: データの暗号化状況の確認。
• 基本対策 4: 現行の防護策を維持すること。

4. PHYSEC - 物理セキュリティ

安全で安心な環境を維持することは、全体の安全計画において重要な要素です。アクセス制御を確実にする包括的な計画は、技術的対策と手続き上の対策の両面から構成されます。

データや情報の保護を強化するため、追加の対策と不正侵入の検知が必要です。

また、健康と安全の基準が向上することは、企業の生産性や効率の向上にも寄与します。

信頼できる物理的アクセス管理の第一歩は、潜在的な弱点を特定することです。保護の対象としては、

• 従業員、データ、資産、
• 顧客、
• 企業文化などが挙げられます。

潜在的な脅威を洗い出した後、その発生確率と被害の大きさを評価する必要があります。リスク評価により、予防策を講じるべき分野が明らかになります。

以下の4つの必須リスク軽減策が定められています：

• PHYSEC 1 – 保護すべき対象を把握する。
• PHYSEC 2 – 物理的な包括計画を策定する。
• PHYSEC 3 – データ保護の有効性を確認する。
• PHYSEC 4 – 現行のファイアウォールルールを維持する。

PSR要件の遵守

政府機関はPSRの遵守が義務付けられています。要件を満たさない場合、信頼失墜、罰金、法的措置など重大な影響が生じます。

遵守を確実にするため、政府機関は定期的なセキュリティ評価や監査を受け、セキュリティのギャップや弱点を明らかにし、改善策を講じます。

さらに、物理資産、人員、情報を守るための適切なセキュリティ方針、手続き、管理策を策定・実施し、プライバシー事案への対応、復旧対策も含まれます。

また、遵守を支援するため、第三者のセキュリティコンサルタントや業者と連携することもあります。

‍

結論

ニュージーランド政府が国民、情報、資産を脅威から守るために用いる枠組みです。政府機関が遵守すべき安全要件を定め、物理セキュリティ、人員プライバシー、情報・通信技術のセキュリティ、ガバナンスなどを含みます。政府機関にとってPSR遵守は必須であり、違反すると重大な影響が生じます。本枠組みは、テロ、スパイ、サイバー攻撃など様々なリスクから資産や情報を守るための対策を講じることを保証するものです。