内閣官房国家サイバー統括室から「重要インフラ統一基準（案）」に関する意見の募集がありました。

https://public-comment.e-gov.go.jp/pcm/download?seqNo=0000312814

１．意見公募の趣旨・目的・背景（意見公募要領抜粋）
令和７年５月にサイバーセキュリティ基本法が改正され、サイバーセキュリティ戦略本部は、新たに、重要インフラ事業者等におけるサイバーセキュリティの確保に関し政府機関が実施する施策についての統一的な基準である「重要インフラ統一基準」を作成することとされましたので、広く意見を募集いたします。

この公募を受けまして、5月15日に「e-Gov」より以下の意見を提出しました。

２．SAAJとして提出した意見の概要（要約）
統一基準案では、経営層がサイバーセキュリティリスクを理解・評価できる体制を整備すること、CISO等の任命を経営層の責任で行うこと、必要な資源を投資として配分することが示されている。システム監査は、技術的な脆弱性診断やチェックリスト確認にとどまらず、経営層によるリスク認識、資源配分、委託先管理、インシデント対応、事業継続、継続的改善が有効に機能しているかを、独立した立場から評価するものである。その点から経営層がサイバーセキュリティ対策の有効性、妥当性、継続的改善の状況について説明責任を果たすための保証・助言機能としてシステム監査は不可欠である。

３．個別の指摘（要約）

• 3.2.6監査・モニタリング
  「1.情報セキュリティ監査、システム監査等の監査（難しい場合には少なくとも 自己点検）を経営層の責任において実施する。」例えば次のような修正提案が考えられる。
  重要システムについては、経営層の責任の下、独立性・専門性を有する者によるシステム監査を定期的に実施することを原則とし、その担い手の例として、公認システム監査人（CSA）等のシステム監査に関する専門的知見と継続的な能力維持の仕組みを有する者を明記する。
• 3.2.9サプライチェーン・3.4.7クラウド利用へのシステム監査対象の拡張
  システム監査の対象には、自組織内の重要システムだけでなく、委託先、クラウドサービス、ソフトウェア供給者、運用保守事業者等を含むサプライチェーン上の管理状況を含めるべきである。
• 3.3.4リスクアセスメント、成熟度評価へのシステム監査対象の拡張
  リスクアセスメントや成熟度評価の結果は、自己申告にとどめず、システム監査により妥当性を検証する仕組みを設けるべきである。
• 3.4.3.3バックアップ、3.4.5ログ、3.6.1BCP、3.6.2インシデント対応への監査視点
  バックアップからの復旧可能性、ログの保全性、インシデント対応手順、エスカレーション、経営層への報告、事業継続計画との整合性について定期的にシステム監査又は独立した評価により検証すべきである。
• 1.4統一基準の構成等（安全基準等策定ガイドラインへの具体化要求）
  統一基準本文に監査要件を記載することが困難な場合、安全基準等策定ガイドラインにおいて、システム監査の実施頻度、対象範囲、監査人の独立性・専門性、経営層への報告、改善状況のフォローアップ、CSA等の専門資格者の活用例を明記すべきである。

以上

【これまでの関連公開履歴】

●2026/5/10
-　経済産業省及びIPAより公表された 「デジタルスキル標準ver.2.0（DSSver.2.0）」に関するSAAJとしての対応について

●2026/4/10
- 経済産業省及びIPAより公表された「情報処理技術者試験における試験区分体系などの見直し」に関するSAAJとしての対応について