「サイバーセキュリティ2020」を読んで

サイバーにあまり絡みが無いようなブックレビューばかり続けていてもしようがないので、たまにはサイバーについても書いてみる。

掲題であるが、NISC（内閣サイバーセキュリティセンター）が毎年出しているサイバーセキュリティの戦略について、今年も「サイバーセキュリティ2020」という形で出したので、それを読んでみた。

（出典：NISC ホームページ）

2019年度の年次報告と、2020年度の計画に分かれるが、全部で342ページと相当大部であるため、自身の中で2020年度の計画の部分にフォーカスを当てて読んだ。
（それはそうと、別添8の用語解説はこれ社内でも使えそうだな、メモっとこ…( ..)φメモメモ）

本来であればオリパライヤーであった今年は、それに向けての記載で厚くなっていたに違いないが、今年はやはりコロナウィルスにおける影響についての切り出しで始まっている。

本レポート第2章では、これまでの取組との連続性で2020年度の取組について述べられており、（私が気になった）キーワードのみ抜き出してみると以下になった。

・経営層を含めたサイバー人材育成、経営ガイドラインのブラッシュアップや各種ガイドラインの改善
・サプライチェーンリスクへの取組（サイバー・フィジカル・セキュリティ対策フレームワーク）
・IoTシステムに対する対策
・安全・安心を守るための取組としての新技術への対応や新たなビジネス領域への対処、警察等によるサイバー犯罪への対処
・重要インフラに対する「安全基準等の整備及び浸透」「情報共有体制の強化」「障害対応体制の強化」「リスクマネジメント及び対処態勢の整備」「防護基盤の強化」

重要インフラ事業者に対しての取組は、第4次行動計画に記載の進捗は順調であり、引き続き対応していきたい、という評価（まあDelayしているとは書かないわな）。
あと記載で「抜き打ち訓練」も視野に、というような記述があったのが実務担当者としてはちょっとげんなり…（有用なものでは勿論あるんだろうけど、調整がまた怠いんだよね…我が社だけかしら）。

そして、第3章では、今後どういうところに注力していくかが述べられている。リスクアセスメントがまず始まりとしつつ、やはりキーワードとしてはクラウド、そしてサプライチェーンリスク。これに対してどのように対応していくのか、これが当面の課題であるとの認識を示している。

全体としては、これまでの取組の延長線上にあるという感じで、記載内容にも特段派手な、目新しいものは無かった気がする（私が見落としている可能性も多分にあるが）。まあクラウドやサプライチェーンリスクをどうするべきかを考えないといけないということなので、我が社と国の認識とが合っているということを確認できただけで良いか。（我が社もまだ試行錯誤中だから、どこの会社も多分似たような状況なのかね…）

我々民間事業者は兎に角目の前のセキュリティ対策に注力するということなのだろう。まあ愚直に頑張りたい。