新たな「サイバーセキュリティ戦略」についてトピックス・イベントレポート
内閣官房
内閣サイバーセキュリティセンター(NISC)
基本戦略グループ
内閣参事官
吉田恭子氏
-
※
所属・役職は2018年12月現在のものです。
サイバーセキュリティは、今や個人や企業・組織だけにとどまらず、政府も一体となって取り組むべき重要課題です。本セミナーでは、2018年7月に閣議決定された、3年ぶりとなる「新たなサイバーセキュリティ戦略」を中心に解説します。
我が国のサイバーセキュリティ政策の推進体制
本セミナーの中心的な話題である、2018年7月27日に閣議決定された、政府による「新たなサイバーセキュリティ戦略」について話す前に、吉田氏は我が国のサイバーセキュリティ政策の推進体制についての紹介を行いました。
政府としてのサイバーセキュリティ体制づくりのきっかけとなったのは、2000年に発生した省庁のWebページが連続して改ざんされた事件です。この事件をきっかけに、内閣官房に「情報セキュリティ対策推進室」が設置されました。
その後の標的型攻撃の高度化や、米ソニーピクチャーズへの攻撃、年金機構からの情報流出といった、国内外でのサイバー攻撃の頻発と並行して政策が積み上げられていき、2014年の「サイバーセキュリティ基本法」の公布に至ります。吉田氏は「サイバーセキュリティ基本法ができたことで、日本のサイバーセキュリティ体制を支える背骨がしっかりできた」と語りました。
そして、サイバーセキュリティ基本法の公布とともに、内閣官房に「サイバーセキュリティ戦略本部」が設置され、それを支える事務局として(吉田氏の所属する)「内閣サイバーセキュリティセンター(NISC:National center of Incident readiness and Strategy for Cybersecurity)」が設置されています。
サイバーセキュリティ基本法とNISC
サイバーセキュリティ基本法によって、我が国のサイバーセキュリティ政策推進の中心と定められているのが、「サイバーセキュリティ戦略本部」です。本部長を内閣官房長官が、本部員をサイバーセキュリティに関係の深い大臣や外部の有識者が、それぞれ務めています。サイバーセキュリティの確保は、ITの利活用や国家の安全保障と切り離せないことから、サイバーセキュリティ戦略本部は高度情報通信ネットワーク社会推進戦略本部(IT戦略本部)、国家安全保障会議(NSC:National Security Council)と緊密に連携しているのが特徴です。
サイバーセキュリティ戦略本部を支える存在である内閣サイバーセキュリティセンターは、サイバーセキュリティと関わりの深い警察庁、総務省、外務省、経済産業省、防衛省、および重要インフラを所管する金融庁、総務省、厚生労働省、経済産業省、国土交通省、そしてセキュリティ教育等との関連で文部科学省と協力しています。
内閣サイバーセキュリティセンターの主な業務は、GSOC(Government Security Operation Coordination team:政府機関情報セキュリティ横断監視・即応調整チーム)に関する事務、事案発生時の原因究明調査、システムの監査、サイバーセキュリティ戦略の策定等の企画・立案及び総合調整の事務です。GSOCについては、各省庁のインターネットへの出入り口にセンサーを設置して、不審な攻撃や動きなどを探知した場合は関係省庁に連絡し、連携して対処する仕組みを構築しています。
本セミナーで紹介する、2018年7月27日に閣議決定された「新たなサイバーセキュリティ戦略」は、サイバーセキュリティ基本法に基づいて作られる2回目の戦略となります。吉田氏は、この戦略を作る際に「IT利活用の裾野が広がったことによって、サイバーセキュリティもさまざまな分野に課題が広がり、やり取りすべき関係者も広がっている」と感じたそうです。
「新たなサイバーセキュリティ戦略」の概要
本年7月27日に閣議決定した「新たなサイバーセキュリティ戦略」は、
(1)策定の趣旨・背景
(2)サイバー空間に係る認識
(3)本戦略の目的
(4)目的達成のための施策
(5)推進体制
の5つの柱で成り立っています。また、(4)では政府全体で役割を分担しながらサイバーセキュリティを進めていくための具体的な施策が盛り込まれており、主な内容は以下の4つです。
(a)企業におけるサイバーセキュリティを中心とした産業パートである「経済社会の活力の向上及び持続的発展」
(b)重要インフラや政府機関のセキュリティ対策、大学におけるセキュリティの確保、2020年の東京オリンピックを見据えた体制、大規模サイバー攻撃への対処などに関する「国民が安全で安心して暮らせる社会の実現」
(c)国際連携や安全保障に関わる「国際社会の平和・安定及び我が国の安全保障への寄与」
(d)人材育成・確保、研究開発の推進、普及啓発といった「横断的施策」
サイバー空間と実空間の一体化によるリスク
「新たなサイバーセキュリティ戦略」策定の背景には、前回の戦略策定時の2015年の時点では「実空間との融合が高度に深化」していくだろうと予測していたサイバー空間が、いまや実空間と一体化し、我々の経済活動や国民生活に係る活動空間を拡張しているという、環境の変化があります。サイバー空間と実空間の一体化に伴い、自動運転やフィンテック、スマートシティなど、IT技術による活動空間は拡張しているのが現状です。
サイバー空間と実空間の一体化によって多くの恩恵が得られる一方で、新しい技術には潜在的なリスクがあります。したがって、新しい技術のリスクを踏まえて対処しないと、サイバー空間における障害やトラブルが実空間へも波及し、社会的な損失や経済的な損失が指数関数的に大きくなる可能性がある、というのが「新たなサイバーセキュリティ戦略」に記載されている「サイバー空間に係る認識」です。
海外では、「サイバー空間と実空間の一体化」を示す実例となる、サイバー攻撃によって実空間でのサービス停止のリスクが高まる事案、そして実際にサービスが停止してしまった事案も発生しています。
たとえば、結果として未遂に終わりましたが、2016年にドイツの原子力発電所に置かれている監視システムで、マルウェアが発見されています。また、同年のウクライナの電力供給会社に対して行われたサイバー攻撃では、実際に変電所が停止し、停電が発生してしまいました。2017年にWannaCry(ワナクライ、注1)が引き起こした、英国の国民保険サービスの停止による医療サービスの中断も記憶に新しいところです。
(脚注1)
WannaCry(ワナクライ):2017年に世界各国で大きな被害をもたらしたランサムウェア。Windowsのファイル共有機能であるSMBの脆弱性(MS17-010)を悪用して感染を拡大した。
「新たなサイバーセキュリティ戦略」の目的
「新たなサイバーセキュリティ戦略」における「本戦略の目的」では、今後3年間の政府としてのサイバーセキュリティにおけるさまざまな取組を支える、基本コンセプトが述べられています。それを構成するのが「任務保証」「リスクマネジメント」「参加・連携・協働」という3つの観点です。
「任務保証」では、サイバーセキュリティはそれ自体が目的ではなく、官民を問わず、自分たちのビジネスやサービスを遂行するために取り組むべきもの、と定義しています。
「リスクマネジメント」は、サイバー攻撃のリスクはゼロにはならない、という前提のもと、自分たちの業務やサービスが直面する可能性のあるリスクを分析し、それを抑えるべく、それぞれの組織が対策する必要がある、という内容です。
「参加・連携・協働」では、いかなる個人や企業・組織も、サイバー空間の技術・サービスの利活用や取引先との関係であるサプライチェーン等の観点から、サイバー空間ともはや無関係ではないことから、個人又は組織が平時から講ずるべき基本的取組の重要性・必要性を訴えるとともに、個別に対応できない問題については、個人や組織が連携して協働で対処すべき、と述べています。
吉田氏は、「インターネットは自由な空間であり、国が管理するのではなく、民間企業の創意工夫や自律的な活動によって支えられていくもの」という政府の基本的な立場を説明した上で、組織や個人が主体的にサイバーセキュリティに取り組むべき理由を説明しました。また、「いろいろな主体やモノがネットワークでつながっていくと、弱い部分が狙われる」と指摘した上で、「それぞれの組織、個々人が連携して対処していくことが重要」である、と述べています。
「新たなサイバーセキュリティ戦略」が求める経営層の意識改革とサプライチェーンへの対策
「新たなサイバーセキュリティ戦略」の目的を達成するために必要となるのが、経営層の意識改革です。新戦略では、サイバーセキュリティを、災害対策などと同様に、「リスクマネジメント」の一環と位置付けるべきであるとした上で、経営層に対して、サイバーセキュリティをIT部門やシステム部門に任せきりにせず、経営上のリスクとして取り組む必要がある、と提言しています。
サイバーセキュリティ対策を講ずるためには投資が必要です。サイバーセキュリティへの投資を促進するための施策として、経済産業省・総務省によってサイバーセキュリティの対策が講じられた製品を導入した場合の税制優遇措置である「コネクテッド・インダストリーズ税制」が2018年度よりスタートしています。
また、経済産業省及び総務省では、投資の促進とともにサイバーセキュリティにおける企業の情報開示を促進するため、ガイドラインを作成するなどの取組を進めているところです。NISCの調査によれば、有価証券報告書にサイバーセキュリティへの取組内容を記載する企業も増えており、情報開示の取組が今後さらに広がっていくことが期待されています。
さらに、経営層の意識改革については、経団連も力を入れており、2018年3月には「サイバーセキュリティ経営宣言」を公表しています。
「新たなサイバーセキュリティ戦略」において、「経営層の意識改革」とともに重要なキーワードとなっているのが「サプライチェーン」です。経済産業省が中心となって、サプライチェーンのセキュリティを確保するために何をしていくべきかという点について、業種横断的なガイドラインを作成していくほか、産業分野別の具体的な対応策を提示していく、としています。中小企業においても、サプライチェーンを担う組織の一つとして対策が必要です。経済産業省は、中小企業を対象にしたサイバーセキュリティへの取り組みを自己宣言する制度「SECURITY ACTION」を定めるなど、取組を進めています。
吉田氏は、企業のサイバーセキュリティについて、「サイバーセキュリティ対策自体を行うことが最終目標ではない」と述べた上で、「事業の継続や新しいサービスを創っていくため、という視点から、サイバーセキュリティ対策を行うことが重要」と訴えるとともに、「政府が用意しているさまざまな支援ツールのうち、それぞれの組織が使いやすいものを選んで取組を行ってほしい」と語りました。
重要インフラにおけるサイバーセキュリティの確保
政府は、鉄道や電力、情報通信など14分野(2018年7月に空港が追加)を「重要インフラ」に指定し、安全基準の整備や情報共有体制の強化、演習の実施などを行っています。また、NISCではこれまでの事案を分析して、サイバー攻撃によって重要インフラに障害などが発生した場合の深刻度評価を整備しました。この深刻度評価は事後に評価するための試案として初版として決定したものです。
新たな戦略では、2020年に開催される東京オリンピックに向けた対策も含まれています。2018年冬に行われた平昌オリンピックでは、大会準備期間に約6億件、大会期間中に約550万件のサイバー攻撃が発生しました。前回の夏季大会であるロンドンオリンピックでは、さらに多くのサイバー攻撃が行われたことを考慮すると、東京オリンピックでもかなり多くのサイバー攻撃が行われるでしょう。そういった東京オリンピックに向けたセキュリティ対策の一環として、NISCにおいては2018年度中に「サイバーセキュリティ対処調整センター」を構築します。
「サイバーセキュリティ基本法の一部を改正する法律」の概要
本セミナーが行われた2018年12月5日は、まさに「サイバーセキュリティ基本法」の改正案が、参院本会議で可決、成立したその日でした。
「サイバーセキュリティ基本法の一部を改正する法律」では、サイバーセキュリティに対する脅威が一層深刻化する中、我が国におけるサイバーセキュリティの確保を促進し、2020年東京オリンピック・パラリンピック競技大会の開催に万全を期すため、官民の多様な主体が相互に連携し、サイバーセキュリティに関する施策の推進に係る協議を行うため、国の行政機関や地方公共団体、重要インフラ事業者、サイバー関連事業者、教育・研究機関などが参加する「サイバーセキュリティ協議会」を設置し、情報共有等を図っていくことが定められています。
「サイバーセキュリティ協議会」への参加は任意ですが、参加者には秘密保持義務が発生するとともに、情報提供への協力が求められるのが特徴です。
政府によるサイバーセキュリティ人材育成の取り組み
セミナーでは、政府が行っているサイバーセキュリティ人材育成のための取組についても紹介されました。
政府は、各省庁に専任のサイバーセキュリティ担当審議官等を置き、その指導のもとでサイバーセキュリティおよびIT人材を確保・育成するための計画を毎年作成しており、人材確保に向けた取組として、学生向けの採用説明会への参加や、民間の人材の任期付き職員としての中途採用を行っているほか、人材育成のための施策として、すべての職員を対象にしたIT/セキュリティ研修を行っています。
さらに力が注がれる政府のサイバーセキュリティへの取り組み
平成31年度予算の概算要求額に占める、サイバーセキュリティ関連額は約852億円です。厳しい財政状況の中で、サイバーセキュリティ関係の予算は増えており、予算の面からも政府がサイバーセキュリティを重視し、さらなる取組を進めていこうという姿勢がうかがえます。