見出し画像

サイバーセキュリティを適切に評価するためには(CSCの記事)

カーズィ

写真出展:mohamed HassanによるPixabayからの画像https://pixabay.com/ja/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=4576720

 2021年10月19日にサイバー空間ソラリウム委員会が、サイバーセキュリティ統計局の創設に関する記事を紹介していた。内容は、アメリカのサイバーセキュリティに関する評価基準が確立されていない状況を改善するため、サイバーセキュリティ統計局を創設し、基礎となるデータや情報を集積し、政策に反映することを提言するものである。これまでの白書の中で位置づけが良く分かりにくい統計局の位置づけを具体的に説明した初の記事であることから、本記事の概要を紹介させていただく。

↓リンク先(US Cybersecurity Has a Metrics Problem. Here’s How to Fix It.)https://www.justsecurity.org/78667/us-cybersecurity-has-a-metrics-problem-heres-how-to-fix-it/

1.記事の内容について
 ・サイバーセキュリティのリスク管理における最も大きな議論の一つは、成功の評価基準の設定である。今年、議会は大きくサイバー政策を進展させてきたが、サイバーセキュリティが真の意味で改善したかどうかを適切に判断できていない。このことは、サイバー政策の有効性を理解することの困難さを物語るものである。
 ・SolarWinds、マイクロソフトメールサーバー、コロニアルパイプラインなどの事件に触発されて、各省各庁は多額の予算と人員を割り当てられたが、コストパフォーマンスが高いと言えるのか?アメリカはこういった問いに答えるための基準を欠いており、国家の基本的なサイバーセキュリティが理解されておらず、提言された政策がサイバーセキュリティをどのように改善するのかと言った証拠やデータがほとんどない。この状況を改善するため、サイバーセキュリティ統計局の創設が重要になるだろう。
 ・2021年8月にサイバーセキュリティソラリウム委員会は、2021年の年次報告を発表し、2020年3月以降の提言の実施状況について概観した。本報告書において、サイバーセキュリティ統計局の創設を提言し、サイバーセキュリティの情報やデータの集積をするよう求めた。この提言はあまり注目されてこなかったが、超党派の全米インフラ防衛法において、サイバーセキュリティ統計局の創設が盛り込まれることになった。
 ・サイバーセキュリティ統計局に集積されたデータは、サイバーインシデントの各種指標(影響範囲、事件の概要、深刻度、犯人など)を提示するものであり、国家統一的な統計の策定の基礎となる。更には、こういった情報についての情報共有の中核的な役割を果たすことにもなる。
 ・国家の統計局には類似の組織がある。連邦政府には13の基幹統計局があり、収入、犯罪、人口動態、農業生産、物価、航空などを取り扱っている。これら統計局は政策決定の基礎となる情報を提供しているが、サイバーセキュリティに特化した情報を収集している機関はない。類似の基幹としては、全米科学財団の全米科学技術統計センターがあるが、担当分野が研究開発投資、科学技術人材や教育、科学競争力などの分野に限られており、多段階認証、ネットワーク監視ソフト、サイバー攻撃などの事件については取り扱っていない。サイバーセキュリティに関する同行、サイバー攻撃を防止するための戦略、サイバー工芸が発生する状況などに関する情報は、サイバーセキュリティ政策にとって必要不可欠のものである。
 ・統計局をどの省庁に配置するべきかといおう問題も、非常に大きな論点である。傘下に統計局を有する商務省が第一の候補であるが、インフラの強靭化やサイバーセキュリティに関連する課題を取り扱っていない。国土安全保障省はCISAを抱えており有力な候補ではあるが、商務省ほど統計には秀でていない。
 ・サイバーセキュリティ統計局は、3つの情報源を持つことになり、それは連邦政府、州及び自治政府、サイバーインシデントの保険会社になるだろう。統計局長は政策実施に必要なデータ及び情報をリスト化して公表し、情報提供の基準や手続きを定める。民間企業が情報提供を躊躇しないよう、統計局は得た情報を他の目的に流用してはならない。また政府以外が提供した情報は、訴訟の証拠として利用されてはならない。保険会社は、請求を受けたセキュリティインシデントが発生した場合は、90日ごとに報告しなければならない。
 ・他国でも同様の取り組みが行われている。オーストラリアのサイバーセキュリティセンターは、2020年から2021年のサイバー上の脅威に関する報告書を発表したが、その情報は生きたサイバー犯罪報告書や入手したサイバーセキュリティインシデント報告を活用したものである。イギリスの国家サイバーセキュリティセンターは、2021年3月に第6回目のサイバーセキュリティ違反調査を発表したが、その情報はイギリス国内の組織や企業のサイバーインシデントに関する報告をまとめたものだった。更にサイバー上のリスクに対する措置、サイバーセキュリティ違反の性質や影響、サイバー攻撃の種類など多岐にわたる情報が含まれている。
 ・サイバーインシデントの報告は、統計局にとって非常に重要となることから、情報が集約されるように、組織体制を構築しなくてはならない。また提供された情報は、情報提供者にインセンティブを与えるため、捜査当局などに提供されないようにする必要がある。統計局が提供する情報は、民間部門にとっても有用であり、特にサイバーインシデント保険が果たす役割は非常に大きい。市場が黎明期であることから、サイバー上のリスクの適切なコストを算定するための根拠を統計局が提供することが必要になるだろう。

2.本記事についての感想
 CSCの提言の中で、サイバーセキュリティ統計局の提言についてはやや理解が難しいものがあったが、今回の記事でその具体的な役割が見えてくるようになった。統計と一口に言っても、警察が発表しているような事件だけでなく、保険会社からの情報を含んでおり、こういったことは保険数理の理解が必要不可欠であることから、専門的な部署の創設が必要であるという考え方は、一定の説得力がある。サイバーインシデント検証局というものも創設が提言されるようだが、目的や役割が異なっているようであり、サイバー空間ソラリウム委員会は非常に細かく組織を創設することを考えているようだ。ただ組織の増加により、縦割りの弊害や権限の調整などの新たな問題も発生することになるため、今後は運用上の課題をいかに解決するのかが重要になるだろう。
 日本では公務員の定員削減などにより、統計関係の部署が大幅に削減されていることから、こういった部署を創設することは非常に大きな政策的転換が必要になる。岸田政権自体には全く期待できないが、高市政調会長のようなサイバー政策に明るい政治家が多数出てこれば、こういった取り組みから様々な教訓を学んで日本流のサイバー政策を推進してくれるだろう。

 英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。(リンク先及び提供者のサイト名)
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為(情報を編集・加工等した情報を利用することを含む。)について何ら責任を負わない。

この記事が気に入ったらサポートをしてみませんか?