SISOC TOKYO 発足セミナー 我が国のサイバーセキュリティ戦略

04
内閣サイバーセキュリティセンター(NISC)副センター長
内閣審議官 谷脇 康彦 氏

 NISCの役割は二つある。第一に、各省庁が個別に実施しているサイバーセキュリティ政策をたばねて、「国家戦略として推進」する役割がある。第二に、各省庁の情報システムの入口をモニタリングし、外部からの不審な通信を感知・解析し、所要の対策を促す「インシデントレスポンス」の役割を持つ。

サイバー空間で起きていること

 リスクの深刻化、リスクの拡散、リスクのグローバル化が進んでおり、その中で、政府機関については重要なインシデントに関するNISCから各省庁への通知件数が前年度に比べて倍増。センサー監視については、約400万件、8秒に1回の割合でアラートを感知している。世界経済フォーラム(WEF)の年次レポートによれば、世界が直面している28のグローバルリスクの中で、重要情報インフラの機能停止やサイバー攻撃について、昨年度に比べても発生する確率が高く、リスクが顕在化した場合の、インパクトも相対的に大きくなってきている。

サイバーセキュリティ基本法の施行

 2015年1月に基本法が施行された。NISCがサイバーセキュリティ戦略本部の事務局を担当しており、基本法に依って法的に権限を持ち、今年度からは各省庁に対するマネジメント監査とシステムへのペネトレーションテストを実施している。基本法による体制整備は、2015年5月に発生した年金機構に対するサイバー攻撃事案で役立った。具体的には、資料提出要求、原因究明調査、調査に基づく勧告は、基本法の枠組みにより初めて実施可能となった。

 政府機関のセキュリティポリシーについては、各省庁で実施すべき対策の統一基準を定め、全体の情報セキュリティ水準を段階的に底上げしていくアプローチを採っている。現在、最も力を入れているのが、標的型攻撃対策である。情報セキュリティ対策は、これまでの入口対策だけでは駄目で、侵入された後、いかに早く感知し、被害範囲を最小化するかという、「内部対策」が重要となってきている。

新たなサイバーセキュリティ戦略

 年金機構事案等をふまえ、2015年9月4日に閣議決定された新たなセキュリティ戦略においては、サイバーセキュリティ対策を費用ではなく投資としてとらえることが重要であるとした上で、2020年の企業におけるセキュリティ対策の情報開示に関するガイドラインを作成する必要があること、そして東京オリンピック・パラリンピックを見据えた重要インフラのセキュリティ強化に向けた情報共有等が求められること、そして、2013年12月に閣議決定された国家安全保障戦略を踏まえつつ、サイバー空間における安全保障や国際連携の議論をさらに深める必要がある。

 なお、基本法に基づきサイバーセキュリティ関連施策に関する予算重点化方針を初めて策定したが、本方針では、IoTセキュリティの確保、政府機関対策の強化、人材育成や研究開発に重点を置くこととしている。

  • パンフレットダウンロード