英国公共部門組織向けCabinet Officeセキュリティ基準を満たす方法

英国の公共部門組織は、主にセキュリティポリシーフレームワーク（SPF）および政府セキュリティ分類（GSC）ポリシーという厳格な内閣府セキュリティ基準の下で運用されています。これらは市民データ、重要インフラ、国家利益を保護するために設計されています。これらの基準を満たすには、強制力のある技術的コントロール、継続的な監査対応、機密データがライフサイクル全体で保護されていることの証明が必要であり、特にサプライヤー、パートナー機関、市民とデータを共有する際に重要です。

公共部門がハイブリッドクラウドアーキテクチャを導入し、部門横断的な連携や数千のサードパーティとの関係を管理する中で、この課題はさらに複雑化しています。セキュリティ責任者は、年次監査時だけでなくリアルタイムでもコンプライアンスを証明し、内部ガバナンスチームと外部規制当局の双方を満足させる改ざん不可能な証拠を提示する必要があります。

本ガイドでは、内閣府セキュリティ基準をアイデンティティ管理、データ保護、監査ログ、サプライヤー保証にわたり運用化する方法を解説します。ポリシー要件を技術アーキテクチャに落とし込み、機密コンテンツへのゼロトラスト原則を徹底し、規制当局が求める監査体制を維持する方法を学べます。

エグゼクティブサマリー

内閣府セキュリティ基準（セキュリティポリシーフレームワーク（SPF）および政府セキュリティ分類（GSC）ポリシーを含む）は、英国政府および公共部門組織におけるOFFICIALおよびOFFICIAL-SENSITIVE情報の保護に関するベースラインコントロールを定めています。コンプライアンスには、アイデンティティおよびアクセス管理フレームワークの導入、データの転送中および保存中の暗号化、包括的な監査証跡の維持、サードパーティサプライヤーが同等のセキュリティ要件を満たすことの確保が求められます。

しかし、多くの組織は、特に部門横断的なデータ共有、外部パートナーや市民向けサービスを通じた機密データの保護において、ポリシー文言を実運用に落とし込むことに苦慮しています。この課題は、より広範なSPF要件と並行して、国家サイバーセキュリティセンター（NCSC）の技術ガイダンスとの整合も求められることでさらに複雑化します。

コンプライアンスの達成と維持には、コンテンツへのゼロトラスト原則を強制し、改ざん不可能な監査ログを生成し、既存のセキュリティインフラと統合して継続的な可視性と防御力を提供するための専用コントロールが必要です。

主なポイント

• 内閣府基準（SPFおよびGSCポリシーを含む）は、ポリシー文書だけでなく技術的な強制を要求します。組織は、アクセスを積極的に制限し、機密データをエンドツーエンドで暗号化し、OFFICIALまたはOFFICIAL-SENSITIVE情報とのすべてのやり取りについて検証可能な監査証跡を生成するコントロールを実装しなければなりません。
• アイデンティティおよびアクセス管理が基盤となりますが、コンテンツ認識型コントロールによって、アクセス後も機密データが保護されるかどうかが決まります。ゼロトラストアーキテクチャはネットワーク境界を超えて、ファイル、メッセージ、ドキュメントに対して直接ポリシーを適用する必要があります。
• 監査証跡は改ざん不可能かつ包括的で、具体的なコンプライアンス要件にマッピングされていなければなりません。セキュリティ責任者には、手作業による文書化なしで、評価、インシデント調査、情報公開請求に対応する証拠を自動生成できるシステムが求められます。
• サプライヤー保証義務では、サードパーティが内閣府基準に従って公式データを取り扱っていることを検証可能な証拠で示す必要があります。組織は自社インフラと外部パートナー環境の両方で一貫したセキュリティポリシーを強制しなければなりません。
• セキュリティ情報イベント管理（SIEM）、セキュリティオーケストレーション・自動化・対応（SOAR）、ITサービス管理（ITSM）プラットフォームとの統合により、コンプライアンスは静的な監査作業から継続的なセキュリティ運用へと進化します。リアルタイムのテレメトリにより、迅速な脅威検出、自動インシデント対応、大規模な運用効率化が可能となります。

内閣府セキュリティ基準とその運用上の影響の理解

内閣府セキュリティ基準は、政府情報資産を機密性・完全性・可用性の観点から保護するための包括的な枠組みを提供します。セキュリティポリシーフレームワーク（SPF）は、HMG組織がどのようにセキュリティリスクを管理すべきかについて内閣府の期待を示し、政府セキュリティ分類（GSC）ポリシーは、情報の機密性に応じた取り扱い方法を定義します。これらの基準は、リスク評価、セキュリティガバナンス、アイデンティティ管理、暗号化、セキュア開発、サプライチェーン保証の最低要件を定めており、すべて国家サイバーセキュリティセンター（NCSC）の技術ガイダンスに基づいています。

GSCポリシーは、最も一般的なOFFICIALおよびOFFICIAL-SENSITIVEなど、異なる分類レベルを区別します。OFFICIAL情報は、漏洩しても限定的な損害にとどまる業務データを含みます。OFFICIAL-SENSITIVE情報は、政策助言、市民記録、法執行データなど、無断開示が個人に損害を与えたり、公共の信頼を損ねたり、国家安全保障を脅かす可能性のある内容を含みます。この区別を理解することは、どの技術的コントロールが適用されるか、アクセス制限の厳格さ、規制当局が求める監査証拠に影響するため重要です。

運用上の影響は技術的実装を超えます。内閣府基準は、組織に明確なデータ所有権の定義、正式なリスク受容プロセスの確立、セキュリティ対策の最新文書化を求めています。セキュリティ責任者は、環境の変化に伴いコントロールが有効であり続けること、スタッフが適切なトレーニングを受けていること、インシデントが定められた手順に従って検知・調査・報告されていることを証明しなければなりません。

ポリシー要件を技術的コントロールに落とし込む

ポリシー文書は望ましい成果を記述しますが、特定の技術やアーキテクチャを明示的に指示することは稀です。セキュリティ責任者は、「適切なアクセス制御の実施」や「転送中のデータ保護」といった要件を、認証方式、暗号化プロトコル、ログアーキテクチャなどの具体的な技術的決定に落とし込む必要があります。

アクセス制御要件は、通常、ロールベースの権限付与、最小権限原則、定期的なアクセスレビューを義務付けます。これを実践するには、多要素認証（MFA）に対応したアイデンティティプロバイダーの導入、実際の職務内容を反映した詳細な権限モデルの定義、アクセス認証ワークフローの自動化が必要です。

暗号化要件は、転送中および保存中のデータ保護をNCSCの最新ガイダンスに準拠した暗号アルゴリズムで実施することを求めます。技術的実装には、適切なTLSバージョンの選択、証明書ライフサイクル管理、鍵管理システムの導入、機密データが移動するすべてのチャネルで一貫した暗号化の適用が含まれます。

監査要件は、セキュリティイベント、ユーザー活動、管理操作の包括的なログ取得を求めます。技術的実装には、関連イベントの取得設定、ログの集中管理プラットフォームへの転送、ログ改ざん防止、保存期間スケジュールに従ったログ保持が必要です。

内閣府基準に準拠したアイデンティティおよびアクセス管理の実装

アイデンティティおよびアクセス管理は、誰がどのリソースにどの条件でアクセスできるかを定めます。内閣府基準は、組織に対し、適切な認証方式によるユーザーの本人確認、最小権限アクセス原則の徹底、アクセス決定の監査証跡の維持を求めています。

認証強度は、データの機密性やリスク状況に合わせて調整する必要があります。OFFICIAL情報へのアクセスにはユーザー名とパスワードが求められる場合がありますが、OFFICIAL-SENSITIVEデータへのアクセスには、知識・所持・生体情報などを組み合わせた多要素認証が必要です。組織は、デバイスの状態、ネットワークロケーション、行動パターンなどのリスクシグナルを評価するアダプティブ認証を導入すべきです。

認可判断は複数レイヤーで行われます。ネットワークアクセス制御は特定システムへの到達可否を決定し、アプリケーションレベルの権限は実行可能な機能を決定します。コンテンツ認識型コントロールは、分類やデータ主体、運用状況に応じて、特定ファイルの閲覧・編集・ダウンロード・共有可否を判断します。

機密コンテンツ全体での最小権限原則の徹底

最小権限原則は、ユーザーに正当な職務遂行に必要最小限のアクセスのみを付与することを求めます。概念的には単純ですが、多様なコンテンツタイプ、動的なコラボレーション要件、頻繁な人事異動を管理する場合、実装は複雑化します。

ロールベースアクセス制御（RBAC）は、権限を個人ではなく職務にマッピングすることで出発点となります。しかし、RBACだけではデータの機密性やプロジェクト固有の知る必要性、期間限定アクセス要件を十分に考慮できません。組織は、データ分類、ユーザーのクリアランスレベル、プロジェクトメンバーシップ、状況要因を評価する属性ベースアクセス制御（ABAC）を重層的に導入する必要があります。

機密コンテンツを組織外と共有する際には、動的認可が特に重要です。組織は、コンテンツとともに移動するコントロールを導入し、ファイルが内部ネットワークを離れた後もアクセスを制限する必要があります。これにより、正規受信者が機密文書を無断で転送したり、プロジェクト終了後もアクセスを保持したりすることを防ぎます。

アクセス認証プロセスは、権限が適切であり続けることを継続的に検証します。組織は、データオーナーが各ユーザーの特定リソースへのアクセス必要性を確認する四半期または半年ごとのレビューを実施すべきです。自動化されたワークフローにより、認証タスクを適切な管理者に割り当て、認証が更新されない場合は自動的にアクセスを取り消すことができます。

転送中および保存中の機密データ保護

内閣府基準における暗号化要件は、OFFICIAL-SENSITIVEデータがネットワークを横断する際やストレージシステムに保存される際、常に保護されていることを義務付けています。組織は、NCSCガイダンスに準拠した適切なアルゴリズムを選択し、暗号鍵を安全に管理し、機密データが移動するすべてのチャネルで一貫して暗号化が適用されていることを保証しなければなりません。

トランスポート層セキュリティはシステム間のデータ移動を保護しますが、組織は最新のTLSバージョンの使用、脆弱な暗号スイートの無効化、必要に応じた証明書ピニングの実装を徹底する必要があります。メール暗号化は、従来のSMTPが機密性保護を備えていないため特に課題となります。組織はS/MIMEなどのメッセージレベル暗号化や、TLSを強制し未暗号化送信を拒否するセキュアメールゲートウェイを導入すべきです。

ファイル共有は、消費者向けクラウドサービスが十分なセキュリティコントロールを備えていないことが多いため、さらなる複雑さを伴います。セキュリティ責任者は、使いやすさと暗号化・アクセスログ・コンテンツ認識型制限の強制を両立した承認済み代替手段を提供する必要があります。

機密通信のエンドツーエンド暗号化の実装

エンドツーエンド暗号化は、意図した受信者だけが機密コンテンツを復号できるようにし、ネットワーク運用者やクラウドプロバイダー、不正な内部関係者による傍受を防ぎます。内閣府基準は、特に安全な政府ネットワーク外で送信されるOFFICIAL-SENSITIVE情報について、エンドツーエンド保護を事実上要求しています。

メール暗号化の実装では、セキュリティと運用上の実用性のバランスが求められます。組織は、添付ファイルを暗号化して保護リポジトリに保存し、認証保護付きダウンロードリンクをメールで通知するセキュアメッセージ配信システムを導入できます。この方法により、専用ソフトウェアを持たない受信者にも対応しつつ、エンドツーエンドの機密性を維持できます。

ファイル転送の暗号化は、基本的なHTTPS接続を超えて拡張する必要があります。組織は、保存中のファイルを暗号化し、個々のドキュメントにアクセス制御を適用し、誰がいつどのファイルにアクセスしたかの包括的な監査証跡を維持できるマネージドファイル転送プラットフォームを導入する必要があります。暗号鍵は、サードパーティプロバイダーではなく、組織自身が管理すべきです。

モバイルデバイスの暗号化は、スタッフがスマートフォンやタブレットから機密情報にアクセスする際のデータ保護に対応します。組織は、デバイスの暗号化を強制し、紛失・盗難時のリモートワイプ機能を実装し、管理外アプリケーションへの機密コンテンツ保存を制限する必要があります。

規制要件を満たす包括的な監査証跡の構築

監査ログは、セキュリティコントロールが有効に機能している証拠を提供し、インシデント発生時の調査や評価時のコンプライアンス証明を可能にします。内閣府基準は、組織に対し、セキュリティ関連イベントの記録、ログの改ざん防止、定められた期間のログ保持を求めています。

セキュリティ関連イベントには、認証試行、認可判断、データアクセス・変更、管理操作、セキュリティ設定変更などが含まれます。組織は、オンプレミス、クラウド、マネージドサービスを問わず、一貫したログ取得を実施する必要があります。ログフォーマットには、誰がいつどのデータに何をしたか、どこからアクセスしたかを再構築できる十分なコンテキストが必要です。

ログの改ざん防止には、不正な活動やコンプライアンス違反の隠蔽を防ぐため、書き込み後変更不可のストレージ、暗号署名、ブロックチェーンによる検証などを導入すべきです。

監査証拠を具体的なコンプライアンス要件にマッピング

汎用的なセキュリティログだけでは、内閣府基準への直接的なコンプライアンス証拠にはなりません。セキュリティ責任者は、記録されたイベントを個別のSPFおよびGSC要件に明示的にマッピングする監査フレームワークを導入し、評価者が手作業で文書を確認せずとも迅速にコンプライアンスを検証できるようにする必要があります。

コンプライアンスマッピングは、基準を個別の検証可能なコントロールに分解することから始まります。各コントロールについて、どのログイベントが実装と有効性の証拠となるかを特定します。アクセス制御要件は、認証イベント、認可判断、アクセスレビューにマッピングされます。暗号化要件は、暗号操作や鍵管理活動にマッピングされます。

証拠収集の自動化により、手作業による監査準備の負担が大幅に軽減されます。セキュリティチームがスプレッドシートやスクリーンショットを手作業でまとめる代わりに、コンプライアンスプラットフォームが集中ログリポジトリから関連イベントを抽出し、自動的にコントロール証拠パッケージを生成できます。

保存ポリシーは、規制要件と運用ニーズに合わせて調整する必要があります。内閣府ガイダンスでは、通常、セキュリティログを少なくとも1年間保持することが求められ、特に機密性の高いシステムやデータタイプではより長期間の保持が必要です。

サードパーティサプライヤーのセキュリティとコンプライアンス管理

サプライチェーンセキュリティは、公共部門組織がOFFICIAL-SENSITIVEデータを請負業者、パートナー機関、サービスプロバイダーと日常的に共有するため、内閣府基準の重要な要素です。組織は、サプライヤーが自社に代わって情報を処理する場合でも、データ保護の責任を負い続けます。

サプライヤー保証は調達段階から始まり、組織は候補サプライヤーがデータの機密性に応じたセキュリティ要件を満たせるかどうかを評価します。この評価では、サプライヤーの認証、セキュリティアーキテクチャ、インシデント対応能力、下請け体制などを確認します。

継続的なサプライヤー管理には、契約期間中サプライヤーが合意したセキュリティコントロールを維持しているかの監視が必要です。組織は、定期的なセキュリティ証明の提出、定期監査や評価の実施、SOC2タイプIIなどのサプライヤー監査報告書の確認を求めるべきです。

サプライヤーエコシステム全体での一貫したセキュリティポリシーの強制

技術的コントロールは、契約上の義務だけでは実現できないサプライヤーセキュリティを提供します。組織は、サプライヤーのインフラ能力に関係なく、共有データに対して暗号化・アクセス制限・監査ログを強制するプラットフォームを導入すべきです。

セキュアなコラボレーションプラットフォームにより、一般的なメールやファイル共有サービスではなく、制御された環境でサプライヤーと機密コンテンツを共有できます。組織は、特定のドキュメントやフォルダーへのアクセスのみをサプライヤーに付与し、ダウンロード・印刷・転送を防止できます。期間限定アクセスにより、契約終了後の情報保持も防げます。

データ損失防止（DLP）コントロールは、サプライヤーとのやり取りにも拡張し、送信コンテンツをスキャンして機密情報を検出し、ポリシーに従って送信をブロックまたは暗号化します。組織は、標準チャネルでのOFFICIAL情報共有を許可しつつ、OFFICIAL-SENSITIVEコンテンツには暗号化送信と監査ログを必須とするDLPルールを設定できます。

サプライヤーアクセスレビューは、サプライヤーが組織システムやデータに必要最小限のアクセスのみを保持していることを検証します。組織は、データオーナーがどのサプライヤーがどのリソースへの継続的アクセスを必要としているかを確認する四半期ごとのレビューを実施すべきです。

コンプライアンスコントロールとセキュリティ運用の統合

従来、コンプライアンスとセキュリティ運用は別々の分野として機能してきました。内閣府基準は、これらの機能を統合し、コンプライアンス要件をセキュリティ監視に反映し、セキュリティテレメトリを活用して継続的なコンプライアンスを証明することを求めています。

セキュリティ情報イベント管理（SIEM）プラットフォームは、インフラ全体からログを集約し、複数システムにまたがる攻撃を検出する相関分析を可能にします。組織は、未承認アクセス試行、過剰な権限付与、異常なデータ転送などのポリシー違反を検出するSIEMルールを設定すべきです。

セキュリティオーケストレーション・自動化・対応（SOAR）プラットフォームは、内閣府のインシデント管理要件を満たす自動インシデント対応ワークフローを実現します。SIEMが不審な活動を検出した際、SOARは影響アカウントの自動隔離、フォレンジック証拠の収集、関係者への通知、調査ワークフローの開始を自動化できます。

コンプライアンス監視と証拠収集の自動化

手作業によるコンプライアンス監視は大規模環境では非現実的であり、セキュリティチームの負担を増やす一方で、コントロール有効性の可視性は断続的にしか得られません。組織は、コントロールの運用状況を継続的に評価し、設定の逸脱を検知し、コンプライアンス違反が発生した際にアラートを出す自動監視を導入すべきです。

自動ポリシー検証は、システムやプラットフォームに対してセキュリティ設定が定義されたベースラインと一致しているかを確認します。組織は、暗号化設定、アクセス権限、ログ設定、パッチレベルなどを日次または週次でスキャンすることができます。

継続的な証拠収集により、評価開始時に慌てて文書をまとめるのではなく、常に監査対応可能な体制を維持できます。コンプライアンスプラットフォームは、設定スナップショット、アクセスレビュー記録、トレーニング完了データ、セキュリティイベントログなどを自動収集し、コントロールフレームワークに沿って整理します。

リスクスコアリングモデルは、セキュリティテレメトリ、コンプライアンス所見、脆弱性データを集約し、優先順位付けやリソース配分に役立つ定量的なリスク指標を提供します。組織は、リスクの傾向を時系列で追跡し、ガバナンス委員会や規制当局にリスク低減を示すことができます。

機密コンテンツのライフサイクル全体での保護

内閣府基準は、OFFICIAL-SENSITIVE情報の作成から保存、最終的な廃棄まで、ライフサイクル全体での保護を重視しています。包括的な保護には、ファイル、メッセージ、ドキュメントがどこに存在し、どのようにアクセスされても、直接ポリシーを適用するコンテンツ認識型コントロールが必要です。

コンテンツ分類は、どのファイルがOFFICIAL-SENSITIVE情報を含むかを特定し、ポリシー強制の基盤となります。組織は、キーワードやパターン、データタイプを検出して自動的に分類ラベルを付与し、GSC要件に沿った適切なセキュリティポリシーを自動適用する自動分類を導入できます。

分類に基づくポリシー強制により、機密コンテンツは自動的に適切な保護を受けます。組織は、分類済みドキュメントのメール送信時に暗号化を必須としたり、OFFICIAL-SENSITIVEファイルの未承認クラウドサービスへのアップロードをブロックしたり、分類済みコンテンツのダウンロードを管理デバイスのみに制限したりできます。

移動中の機密データに対するゼロトラスト原則の実装

ゼロトラストアーキテクチャは、ネットワークが攻撃者によって既に侵害されている可能性があるという前提で設計されます。ネットワーク境界を信頼せず、すべてのアクセス要求を検証し、最小権限原則を徹底し、すべてのトラフィックを脅威の観点から検査します。内閣府コンプライアンスでは、ゼロトラスト原則をネットワークアクセスだけでなく、ユーザー・システム・組織間を移動する機密コンテンツ自体に直接適用する必要があります。

コンテンツ認識型ゼロトラストコントロールは、誰がアクセスを要求しているかだけでなく、何にアクセスし、何をしようとしているかも評価します。組織は、OFFICIAL-SENSITIVEドキュメントの閲覧のみを許可しダウンロードを禁止したり、監査証跡付きで編集を許可したり、定義済みユーザーグループ外への共有を制限するポリシーを適用できます。

リアルタイムのポリシー強制により、被害発生後の検知ではなく、セキュリティ違反自体を未然に防ぎます。組織は、未承認チャネルを通じた機密コンテンツの送信をブロックしたり、無断受信者による共有ファイルへのアクセスを防止したり、特権操作を承認済み管理者のみに制限するインラインコントロールを実装できます。

技術的強制と継続的保証による内閣府基準の運用化

内閣府セキュリティ基準を満たすには、ポリシー文言を機密データのライフサイクル全体で保護する強制力ある技術的コントロールに落とし込む必要があります。組織は、ユーザー認証と最小権限原則を徹底するアイデンティティ管理フレームワーク、NCSCガイダンスに準拠した転送中および保存中の暗号化、SPF要件を満たす包括的な監査証跡、サードパーティサプライヤーによる公式情報の同等セキュリティ取り扱いを実装しなければなりません。

初期導入にとどまらず、コンプライアンスにはポリシー違反を検知する継続的監視、進化する要件に対応するアダプティブアーキテクチャ、コンプライアンスプロセスとセキュリティ運用の統合が求められます。内閣府基準を単なる文書作成作業ではなく技術アーキテクチャ要件と捉える組織は、市民データを守り、規制監査に耐え、公共部門エコシステム全体で安全なコラボレーションを実現する防御力あるセキュリティ体制を構築できます。

セキュリティ責任者は、データがどこに存在しても機密ファイルやメッセージに直接ポリシーを適用するコンテンツ認識型コントロールを優先すべきです。ゼロトラストアーキテクチャはネットワーク境界を超えて、すべてのアクセス要求を検証し、GSC分類に基づく制限をリアルタイムで強制する必要があります。自動化により、コンプライアンスは定期的な監査準備から継続的な保証へと進化し、セキュリティテレメトリがコントロール有効性の常時証拠を提供します。

Kiteworksによる統合的な機密コンテンツ保護を通じた内閣府コンプライアンスの実現

公共部門組織が内閣府セキュリティ基準を実装する際の根本的な課題は、多くのセキュリティツールがネットワーク保護やエンドポイント防御に重点を置いている一方で、機密データがメール、ファイル共有、コラボレーションツールを自由に移動し、十分なコントロールが欠如していることです。組織には、機密コンテンツが移動するすべてのチャネルを保護し、ゼロトラストおよびコンテンツ認識型ポリシーを強制し、包括的な監査証跡を生成し、既存のセキュリティインフラと統合できる統合プラットフォームが必要です。

Kiteworksのプライベートデータネットワークは、メール、ファイル共有、マネージドファイル転送、Webフォーム、APIを横断して、移動中の機密コンテンツを保護するために設計された専用プラットフォームを提供します。汎用コラボレーションツールとは異なり、Kiteworksは個々のファイルに対してきめ細かなアクセス制御を適用し、分類ベースのポリシーを自動適用し、機密コンテンツとのすべてのやり取りについて改ざん不可能な監査ログを維持します。

Kiteworksは、ユーザーロール、データ分類、デバイス状態、状況リスク要因をすべてのアクセス要求ごとに評価する属性ベースアクセス制御を通じて、コンテンツ自体にゼロトラスト原則を直接適用します。組織は、コンテンツの機密性に応じて閲覧・編集・ダウンロード・共有を制限し、自動的に期限切れとなる期間限定アクセスを実装し、正規受信者による無断転送を防止できます。

Kiteworksが生成する包括的な監査証跡は、内閣府SPFのログ要件に直接マッピングされ、認証イベント、認可判断、コンテンツアクセス、管理操作をすべてのコミュニケーションチャネルで記録します。監査ログは暗号署名され改ざんを防止し、設定可能なポリシーに従って保持され、迅速な調査や証拠収集を可能にする構造となっています。

SIEM、SOAR、ITSM、データガバナンスプラットフォームとの統合により、Kiteworksの機能はセキュリティ運用全体に拡張されます。組織は、監査テレメトリを集中SIEMプラットフォームに転送して相関分析を行い、不審な活動発生時に自動インシデント対応ワークフローをトリガーし、機密コンテンツ保護をより広範なゼロトラストアーキテクチャに組み込むことができます。

カスタムデモを予約して、Kiteworksがどのように内閣府セキュリティ基準の遵守と、機関・サプライヤー・市民間の安全なコラボレーションを両立できるかをご体験ください。