日本のサイバーセキュリティを守るのがデジタル庁でいいのか

デジタル庁（準備中）のブログ

デジタル庁（準備中）のセキュリティチームと称する人たちのインタビューである。記事からは、我々が、国の情報システムを守っていくんだ、という主張が見て取れる。

しかし、国のサイバーセキュリティを守る司令塔は、内閣サイバーセキュリティセンター（NISC）ではないのか。ブログでは、確かにNISCという文字が書かれているのだが、添え物のような感じもする。

デジタル改革関連法案ワーキンググループ

このことについては、すでにデジタル改革関連法案の検討において議論されてきていたようだ。

デジタル改革関連法案ワーキンググループ（第４回）議事次第

令和２年11月26日に行われた会議のなかで、作業部会で次のようにとりまとめられている。

サイバーセキュリティについては、デジタル庁が作成する情報システムに関 する整備及び管理の基本的な方針(整備方針)において、サイバーセキュリテ ィに関する基本的な方針を示すこととし、当該部分については、サイバーセキ ュリティ戦略本部が作成している政府統一基準群を活用する形で同本部と緊 密に連携して作成する。
デジタル庁に、セキュリティの専門チームを置き、デジタル庁が整備・運用 するシステムの安定的・継続的な稼働によるサービス保証等の観点から検証・ 監査を実施するとともに、NISC がその体制を強化しつつ、デジタル庁が整備・ 運用するシステムを含めて国の行政機関等のシステムに対するセキュリティ 監査等を行う。
NISC は、引き続き、地方自治体、重要インフラ事業者等について、安全基準 の策定への支援等を通じて、サイバーセキュリティの確保を図る。これらによ り、国民の重要な情報資産を保護する。
なお、各府省等からのインシデント報告への対応や海外連携については引き 続き NISC が対応する。

また、ワーキンググループからは次のように提言がされている。

サイバーセキュリティの機能設計とセキュリティサービスの運用について、各省内 部の情報システムと情報ネットワーク機能に関して、デジタル庁で一元的に提 供できる体制とし、サイバーセキュリティ上の政府システムの責任を持つこと。

提言に対する考え方として、

デジタル庁に、セキュリティの専門チームを置き、デジタル庁が整備・運用す るシステムの安定的・継続的稼働によるサービス保証等の観点から検査・ 監査を実施する。デジタル庁とNISCの体制を含めた政府全体のサイバー セキュリティ対策の強化については、今後検討。

とされている。要するに、デジタル庁とNISCの関係については、詰めないままで、デジタル庁設置をとりあえず進めたということではなかろうか。

サイバーセキュリティとは国や自治体の情報システムのことだけではない

サイバー空間が陸・海・空・宇宙空間に次ぐ「第5の戦場」と米軍国防総省が定義したのは2011年のこと。当然日本でも、防衛省はサイバー攻撃に対する対策を行なっているところだ。そのほかの省庁や民間団体が、サイバー攻撃への取り組みを行なっている。

ところで、デジタル庁（準備中）でサイバーセキュリティに取り組んでいる人材には、非常勤で勤務して、本業では民間企業で働いている人もいるそうだ。この人に問題があるというわけではないが、リモートワークなど、官庁で考えられなかったような柔軟な働き方ができることをデジタル庁の仕事の「売り」としていて、それはサイバーセキュリティに関する人材についても適用され、国の情報システムのセキュリティ設計を担っていく、ということになる。

繰り返しになるが、サイバー空間は戦場である。柔軟な働き方で、利益相反が発生するような人材を増やすことが、望ましいのであろうか。