2023年5月29日から6月2日にかけて、弊社主催のオンラインセミナー「Cybereason Security Leaders Conference 2023春 トップランナーと考えるこれからのサイバーセキュリティ」が開催されました。本稿では、2日目に行われた内閣官房 内閣サイバーセキュリティセンター 副センター長 吉川徹志氏によるセッション「最近の情勢を踏まえた我が国のサイバーセキュリティ政策について」の内容を紹介します。

政府のサイバーセキュリティ対策の中心的な役割を担うNISC

「VUCA」という言葉が大きく取り沙汰されているように、現代は「予測困難な時代」だと言われています。特に最近はパンデミックや戦争など、グローバルレベルで予測困難な出来事が次々と発生し、世界の社会経済に大きなインパクトを与え続けています。

こうした急速な社会状況変化に乗じて、サイバーセキュリティのリスクも急速に変容しています。パンデミック対応のために多くの企業・組織が導入したリモートワーク環境の脆弱性を狙ったサイバー攻撃の急増や、ウクライナ戦争に伴って国家主導のサイバー攻撃が激化するなど、今やサイバーセキュリティは国家の安全保障に深く関わるイシューとしてとらえられるようになりました。

こうした事態に対応するために、日本政府もサイバーセキュリティ対策の強化を急いでいます。その取り組みの中心にいるのが、内閣官房 内閣サイバーセキュリティセンター(NISC)です。内閣官房長官を長とするサイバーセキュリティ戦略本部の事務局の機能を担っており、関係省庁や重要インフラ事業者、民間企業などと広く連携・協力しながら、我が国のサイバーセキュリティ対策の戦略を立案・実行しています。

NISCの行動指針は、国が定める「サイバーセキュリティ戦略」に基づいています。2021年9月に閣議決定された最新版のサイバーセキュリティ戦略では、それまでの戦略を継承しつつも「DXとサイバーセキュリティの同時推進」「公共空間化と相互連関・連鎖が発展するサイバー空間全体を俯瞰した安全・安心の確保」「安全保障の観点からの取組強化」という3つの方針を新たに掲げられ、戦略の強化が図られています。

政府が現在特に力を入れているサイバーセキュリティ政策

これとともに、国のサイバーセキュリティ対策を語る上で決して外せないのが「政府統一基準」です。これはサイバーセキュリティ基本法に基づき、政府機関および独立行政法人等の情報セキュリティ水準を維持・向上させるための統一的な枠組みであり、政府機関等が講ずるべき情報セキュリティ対策の「ベースライン」を定めています。

令和3年度版が現時点での最新版となっていますが、現在その改訂作業が進められており、令和5年夏ごろには正式な改訂が予定されています。具体的には従来の画一化されていたベースラインから、システムの重要度に応じたレベル分けが新たに導入されたり、DDoS攻撃対策の強化などが盛り込まれる予定になっています。

また「政府情報システムにおけるクラウドサービスのセキュリティ評価制度(ISMAP)」についても、現在改訂作業が進められています。2021年に制度が立ち上がったISMAPは、政府機関等がクラウドサービスの調達を行う際にセキュリティや信頼性を確認するための制度として定着しましたが、その一方で外部監査のコスト負担や審査作業の長期化などの課題も指摘されていました。

そこで現在、これらの課題を解決するための改訂作業が進められています。また2022年11月には新たに「ISMAP LIU」の運用もスタートし、リスクの小さな業務・情報の処理に用いるSaaSサービスをよりスピーディーに導入できる仕組みも新たに設けています。

NISCが力を入れているもう1つの取り組みとして、「重要インフラ防護の推進」が挙げられます。情報通信や金融、運輸、エネルギー、金融など14分野の重要インフラのサイバーセキュリティを強化するために、これらの事業を営む民間企業や所轄官庁、関係機関などと広く連携しながら、各種行動計画を「重要インフラのサイバーセキュリティに係る行動計画」としてまとめています。

企業の経営層に向けた啓蒙活動をさらに強化

一方、重要インフラ分野以外の一般企業に対しても、現在サイバーセキュリティ対策強化のためのさまざまな働き掛けが政府主導の下で行われています。最も広く知られているものの1つに、経済産業省が中心となって取りまとめられた「サイバーセキュリティ経営ガイドライン」がありますが、そのほかにも「関係法令Q&Aハンドブック」「被害共有・公表ガイドライン」「経営層向け動画」など、特に民間企業の経営層向けにサイバーセキュリティの重要性を訴えかける施策が強化されています。


 
さらには国内だけでなく、他国と連携した取り組みにも力を入れています。昨今の国際社会の情勢を踏まえ、各国ともサイバーセキュリティを安全保障上の脅威として認識し始めており、国際連携の動きが加速しています。日本でも二国間・多国間の双方で国際連携を深めており、近年では日米豪印のいわゆる「QUAD(4か国戦略対話)」の枠組みの中で、サイバーセキュリティ対策における4カ国間の連携が強調されています。

これに基づき、日本国内で2023年2月1日から3月18日にかけて実施された「サイバーセキュリティ月間」では、QUADのサイバーセキュリティ啓発イベントとも連携しながら各種の啓発キャンペーン活動が展開されました。

このように現在サイバーセキュリティ対策は、単に「悪い個人や組織から身を守る」というレベルを超え、国の重要な安全保障政策の一環として位置付けられるようになりました。こうした背景も踏まえた上で、企業の経営者はサイバーセキュリティ対策を経営責任としてしっかり自覚し、あらためてその重要性を見直してみるべきでしょう。

【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/