nisc_9973

年金、マイナンバー、東京オリンピックを守れるか~NISCの講演「我が国のサイバーセキュリティ戦略」

  • このエントリーをはてなブックマークに追加

by [2015年6月08日]

nisc_9973

nenkin

約125万件もの個人情報が流出したという

 6月2日に大日本印刷が開催したセキュリティ系セミナー「標的型サイバー攻撃への備え」。奇しくもこの前日は、日本年金機構がサイバー攻撃を受けていたことが発覚し大きなニュースとなっていた。近年、このような特定の組織や企業に向けた「標的型攻撃」と呼ばれるサイバー攻撃が増えている。
 果たして我が国の政府は、深刻な被害をもたらすサイバー空間の脅威に対して、サイバーセキュリティ政策をどのように位置づけ、具体的な施策を展開しているのだろうか? 本セミナーの中から、内閣サイバーセキュリティセンターの藤田氏による基調講演「我が国のサイバーセキュリティ戦略」の内容をお届けする。

サイバーセキュリティ基本法とは?

nisc_9973

内閣官房内閣サイバーセキュリティセンター(NISC)参事官 藤田清太郎氏

 サイバーセキュリティ基本法は、基本法という名の通り措置法ではないので、罰則などはありません。ただ、従来の基本法に比べると少し踏み込んだものになっていて、政府内の取り組みに対する強権的な規定がいくつか盛り込まれています。
 何かの事案があった場合、各省庁はNISCに対する資料提供義務が発生し、対策が進まないときには内閣官房から各省庁に対して勧告ができるようになります。また、これまでの制度では各省庁は自分で自分を監査していましたが、これからはNISCも監査するようになります。これはマネジメントの監査だけではなく、ペネトレーション(侵入)テストといった監査テストまでも含んだ内容です。
 また、単独の省庁では対処の難しい事案が起きた時は、NISCが各省庁へ乗り込んでいって原因究明調査を共同でやります。この他、国家安全保障会議ともしっかり連携を取っていきます。
 2014年11月に成立したサイバーセキュリティ基本法に基づき、2015年1月に内閣へ「サイバーセキュリティ戦略本部」が、内閣官房へNISCが設置されました。発足式には菅官房長官にもお越し頂きました。
 2015年2月に開かれた新体制でのサイバーセキュリティ戦略本部では、安倍総理から「サイバーセキュリティは成長戦略を実現するためにも必要不可欠な基盤」「国家の安全保障、危機管理上の重要な課題」といったお言葉を頂きました。
 NISCはこれに基いて検討を進め、先月新たな「サイバーセキュリティ戦略」を公表したところです。構成としては「サイバー空間に係る認識」「目的」「基本原則」となっており、施策として以下のように大きく3つの柱を立てています。

東京オリンピックを見据えた“新たな”サイバーセキュリティ戦略

 従来の政府のサイバーセキュリティ戦略は、国民、社会、重要インフラ事業者、政府機関をどう守っていくのかということで「国民が安全で安心して暮らせる社会の実現」というコンセプトでした。
 今回の戦略には新たに「経済社会の活力の向上及び持続的発展」「国際社会の平和・安定及び我が国の安全保障」が加わりました。前者は経済社会の活力と発展のためにサイバーセキュリティをどう活用していくか、後者は安全保障のために我々はサイバー空間において積極的平和主義に立ちそのために何をしなければいけないか、というものです。
 今回の戦略は、2020年の東京オリンピックも見据えた3年間の計画としております。

経済社会の活力の向上及び持続的発展
 IOT社会の中でどうやってセキュリティを守っていくかといったテーマです。こういったものに必要な金額は、今後は費用ではなく投資として考えてほしいと思っています。
 IOTシステムの例として、例えば冷蔵庫にセンサーがついたとしましょう。冷蔵庫は非常にライフサイクルが長い製品です。「野良IOT」と言われることもありますが、こういった製品が放ったらかしになってしまわないように、製品を作る前からセキュリティバイデザインという考え方を徹底しなければなりません。
 企業経営者の意識改革も重要です。有価証券報告書に記述することがすべてではありません。市場の投資家や株主に対して「この企業はセキュリティにしっかり取り組んでいる」ということを、もっとわかりやすくする仕組み=市場から正当に評価される仕組みを考えていく必要があります。そのためには、経営者層がセキュリティ分野の人と分断される関係ではなくて、そこを橋渡ししてくれる人や機能が企業に必要です。
 そしてビジネス環境の整備をしていきます。ソフトウェアの中を見ることをリバース・エンジニアリングと言いますが、たとえそのソフトウェアに悪意のあるプログラムが埋め込まれているとしても著作権法上はそれを行なうことはできません。しかし「調査、分析を目的とすればできるのではないか」という意見を非常に多くのところから賜っております。法律の改正とまではいかずとも、グレーゾーン制度など、解釈の仕方で対応できるかも検討したいと考えています。

国民が安全で安心して暮らせる社会の実現
 例えば公衆無線LANなどは、東京オリンピックに向けてどんどん増えていきますので、公衆無線LANのセキュリティ対策のガイドラインを総務省と一緒に考える必要があると思っています。これら通信履歴のログも総務省のガイドラインでは3ヶ月保存するようになっていますが、それを6ヶ月に伸ばす方向で検討されています。
 また、政府機関を守るための取り組みとして、2015年度から、各省庁で擬似的に侵入攻撃をしてみて、各省庁のシステムに穴が無いかというのをNISCが中心になって検討します。それを監査に活かすという取り組みが始まります。

国際社会の平和・安定及び我が国の安全保障
 警察や自衛隊は、電力会社などの重要インフラに頼る部分はありますので、その連携を強化する必要があります。
 それから各国の能力構築をキャパシティビルディングと言いますが、特にASEANについて積極的に推進していきます。

 そしてこれらを横断的に支えるのが研究開発と人材育成です。人材についてはセキュリティやITの知識だけでなく、経営学や場合によっては心理学など、いろいろな分野の知識を持ったハイブリッド型が必要です。初等、中等教育からセキュリティ、論理的思考力の向上を図ることを文部科学省さんと一緒に考えていきます。
 ちなみにこれらの内容は英訳作業も進めています。日本からすれば当たり前のことばかりですが、我々の同盟国でない、我々と考え方を異にする国に対して、こうした基本原則を示していくことによって、いろいろな国際会議において日本として積極的に発言することができると考えています。

▼参考リンク
我が国のサイバーセキュリティ戦略(PDF)
内閣サイバーセキュリティセンター(NISC)
サイバーセキュリティ基本法案 – 衆議院
P&I Solutions セミナー 標的型サイバー攻撃への備え(大日本印刷)
日本年金機構

PageTopへ