【要点抽出】サイバーセキュリティ2023

ニキヌス

普段、民間企業の立場として「国のサイバーセキュリティ」の全体像に触れる機会があまりなかったので読んでみました。

https://www.nisc.go.jp/pdf/policy/kihon-s/cs2023.pdf

まとめてはみたものの、ちゃんと15ページ程度の概要資料も公開されているので、そちらを見てもよいと思います。(こちら


何の本?

日本のサイバーセキュリティをこんな風に良くしていくぞという年次ごとの重点取り組み内容が書かれたものです。内閣のサイバーセキュリティ戦略本部から出ています。
「サイバーセキュリティ 20XX」という文書は、調べた感じでは2021年から出来たように見えます。2021年に作られた「サイバーセキュリティ戦略」において、その先3年間に何をやるのか・やったのかを年次報告することが決まっており、それに沿って毎年発表している建付けかと思います。

構成は?

全365ページと凄い分量ですが、本編は75ページで、残りは全て別添です。
本編は3部構成となってます。

  • 第1部 エグゼクティブサマリ

  • 第2部 サイバーセキュリティに関する情勢

  • 第3部 サイバーセキュリティ戦略に基づく昨年度の取組実績、 評価及び今年度の取組

第2部は「サイバーのリスクが年々ヤバい」ということを丁寧に書いてある内容なので読み飛ばし、今回は第1部の中の「これまでの取組実績」「今年度特に強力に取り組む施策について」を中心に、詳細部分を第3部から補記する形でまとめます。

前提知識

本書では各府省庁が取り組む大量の取り組みが列挙されており、それらの関係性や構成を先にイメージしてから読んだほうが良いです。
1枚の絵として分かりやすいのでこちらの資料を拝借しますが、

次期サイバーセキュリティ戦略(案)について 資料1-1より

日本のサイバーセキュリティの戦略は「自由、公正かつ安全なサイバー空間」の実現を目指しています。
そのために「Cybersecurity for All ~誰も取り残されないサイバーセキュリティ~」という考え方を根幹に据え、以下「3つの方向性」を進めることを決めています。

  •  デジタル改革を踏まえたデジタルトランスフォーメーションとサイバーセキュリティの同時推進

  •  公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保

  • 安全保障の観点からの取組強化

そして、上記の方向性を実現するために以下3点を柱とする「特に強力に取り組む施策」が選ばれている構図です。

  • 経済社会の活力の向上及び持続的発展
     ~DXの推進に向けたリスク対策の強化~

  •  国民が安心して暮らせるデジタル社会の実現
     ~政府機関や重要インフラのレジリエンスの向上~

  •  国際社会の平和・安定及び我が国の安全保障への寄与
    ~同盟国・同志国との国際連携・協力の推進~

これに研究開発や人材育成、啓発稼働を意味する「横断的施策」が加わっています。これも1枚で表すと以下の通りです。

サイバーセキュリティ2023の概要 P.10より

より粒度の細かい全体図は、本書の「別添7 担当府省庁一覧(2023 年度年次計画)」を表されています。

これまでの取り組み

ここでは本書の第一部 第2「今後の取組の方向性」 2「これまでの取り組み実績(レガシー)」の記載内容をまとめます。
以下5つの分類で、過去に取り組んできた内容がまとまっています。

(1)制度的な枠組み

  • サイバーセキュリティ基本法の制定と改正×2回

  • サイバーセキュリティ戦略本部の設置

  • サイバーセキュリティ戦略の設置と策定×3回

(2)政府機関等の情報システムのサイバーセキュリティ確保のための取組

  • 政府統一基準の策定・見直し×3回

  • 各政府機関における同基準の遵守状況について、NISC が定期的に監査(マネジメント監査と、ペネトレーションテスト)

  • 政府関係機関情報セキュリティ横断監視・即応チーム(GSOC)の設置

  • ISMAPの運用

  • サイバーセキュリティ・情報化審議官の各省庁への設置

  • 各省庁との「IT調達申合せ」「外部サービス申合せ」の実施

  • 各府省庁に対し、情報セキュリティ緊急支援チーム(CYMAT)の派遣や、技術的な支援・助言を実施する体制を構築

(3)重要インフラ分野のサイバーセキュリティ確保のための取組

  • 重要インフラ行動計画の策定・改定×3回

  • 政府と重要インフラ事業者等との間の情報共有体制を構築

  • 分野横断的演習の実施

  • 各分野における安全基準等の策定

(4)官民連携の取組

  • 東京オリパラに向けて、大会関係事業者等を組織化

  • リスクマネジメントの取組、演習(訓練)の実施

  • 情報共有のためのプラットフォームであるJISPシステムの構築・運用

  • 各省連名の注意喚起を発出し、民間主体等における検知・防御の促進

  • 「安心安全ガイドブック」の発行

  • サイバーセキュリティ月間等を通じ、人材育成・普及啓発を推進やリテラシーの向上

(5)国際連携・協力の取組

  • 法の支配の推進

  • サイバー攻撃抑止のための取組

  • 信頼醸成措置の推進

  • 能力構築支援

  • 同盟国・同志国等とのサイバー協議や対話の実施

  • IWWN、カウンター・ランサムウェア・イニシアチブ(CRI)等による同志国間の連携枠組みの推進

  • 日ASEAN セキュリティ協力等の能力構築支援の推進

今年度特に強力に取り組む施策

以下、主に第3部の各章の【今年度の取組】の記載内容を列挙します。
色々書かれていても要は「頑張ります」みたいなアウトプットがイメージできないものはできるだけ割愛します。

(1)経済社会の活力の向上及び持続的発展 ~DX の推進に向けたリスク対策の強化~

a.経営層の意識改革

  • 「サイバーセキュリティ経営ガイドライン」の啓発(経済産業省)

  • 「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」の改定(内閣官房)

b.地域・中小企業におけるDX with Cybersecurity の推進

  • 「サイバーセキュリティお助け隊サービス」のサービス拡充と啓発(経済産業省)

  • 「クラウドサービス提供における情報セキュリティ対策ガイドライン」と「クラウドサービスの利用・提供における適切な設定のためのガイドライン」の普及促進(総務省)

  • 「インターネットの安全・安心ハンドブックVer 5.00<中小組織向け抜粋版>」の周知(内閣官房)

c.新たな価値創出を支えるサプライチェーン等の信頼性確保に向けた基盤作り

  • SBOM活用に関するガイドラインの整備、啓発(経済産業省)

  • 脆弱性情報とSBOMの紐付けを機械的に行う手法の実証

  • 代表的な通信システムを対象にSBOMを作成・評価するなど、通信分野でのSBOM導入に向けた取組(総務省)

  • 情報セキュリティサービス審査登録制度の普及促進(経済産業省)

  • 上記制度に「機器検証サービス」を追加。機器メーカーが検証を実施する際に信頼性のある検証事業者を確認できる仕組みを構築(経済産業省)

  • 開発段階のIoT 機器に対する脆弱性検証を通じて検証済製品ラベルの整備等の仕組み作りの検討(経済産業省)

なお、SBOMについては途中に以下のような見解が書かれています。
米国の流れを受けて、いよいよ日本でも各サービス事業者に求める動きが加速しそうです。

SBOMは、単に脆弱性情報のリスト(部品構成表)ではなく、バリューチェーン・サプライチェーンに入るための必須要件(国際資格)と考えるべきである。

コラム②より

d.誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着

  • Wi-Fi の利用及び提供に関するセキュリティガイドライン類の改定(総務省)

  • 教員を対象とした情報モラル教育セミナーの実施(文部科学省)

  • 「インターネット安全・安心ハンドブック」の周知(内閣官房)

(2)国民が安心して暮らせるデジタル社会の実現 ~政府機関や重要インフラのレジリエンスの向上~

a.国民・社会を守るためのサイバーセキュリティ環境の提供

  • 「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」の改訂検討(内閣官房)

  • 重要インフラ所管省庁による安全基準等の改善状況を調査・結果を公表(内閣官房)

  • 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の普及啓発(内閣官房)

  • サイバー特別捜査隊が外国捜査機関等との国際共同捜査に参画し、重大サイバー事案の対処を推進(警察庁)

  • 教育機関、地方公共団体職員、インターネットの一般利用者等がサイバーハイジーンを実践できる環境を構築(警察庁)

  • 上記の対象者に対するサイバー事案や犯罪の事例共有を通じた意識啓発(警察庁)

  • 検査、監督とサイバー演習(DeltaWall)の実施(金融庁)

  • 「事務ガイドライン(第三分冊:金融会社関係)16.暗号資産交換業者関係」に基づいた監督(金融庁)

  • 「NOTICE」が2024年3月に期限を迎えることを踏まえ、脆弱性等があるIoT 機器の調査の延長・拡充に関する法案の提出(総務省)

  • サイバー攻撃観測網(NICTER)やサイバーセキュリティ情報を収集・分析等する基盤(CYNEX)等における観測・分析結果の各政府機関への情報提供(総務省)

  • 「5G セキュリティガイドライン」の普及・見直し検討(総務省)

  • 水道分野のリスクアセスメントツールの作成(厚生労働省)

  • 「水道分野における情報セキュリティガイドライン」の改訂検討(厚生労働省)

  • 「医療情報システムの安全管理に関するガイドライン」第6.0 版の普及啓発(厚生労働省)

  • 検察官や検察事務官向けのサイバー犯罪に対処するための研修を実施(法務省)

  • フィッシング詐欺の手法を分析し、対応力の向上(経済産業省)

  • 航空、空港、鉄道及び物流における「情報セキュリティ確保に係る安全ガイドライン」の改訂(国土交通省)

b. デジタル庁を司令塔とするデジタル改革と一体となったサイバーセキュリティの確保

  • 昨年度に公開した下記ガイドライン類をデジタル庁システムに活用

    1. 「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」

    2. 「政府情報システムにおけるセキュリティリスク分析ガイドライン」

    3. 「ゼロトラストアーキテクチャ適用方針」

    4. 「常時リスク診断・対処(CRSA)アーキテクチャ」

    5. 「ゼロトラストアーキテクチャ適用方針における属性ベースアクセス制御に関する技術レポート」

    6. 「政府情報システムにおけるサイバーセキュリティフレームワーク導入に関する技術レポート」

    7. 「政府情報システムにおける脆弱性診断導入ガイドライン」

    8. 「セキュリティ統制のカタログ化に関する技術レポート」

  • ISMAP、ISMAP-LIUの普及促進

c.経済社会基盤を支える各主体における取組①(政府機関等)

  • 政府統一基準の改定
    #最新のDDoS 攻撃の特徴を踏まえた対策や業務委託先における政府情報の保護に係る対策の強化などを盛り込む

  • 「政府機関等における情報システム運用継続ガイドライン」「情報システムに係る政府調達における情報セキュリティ要件策定マニュアル」の改定検討

  • 次期GSOCシステムの構築検討

  • サイバー空間の脅威動向を詳細に把握し、対処や分析能力の強化

    1. ナショナルサートの枠組みの強化

    2. DDoS 攻撃の踏み台として用いられるIoT端末等のボットネット対策の強化

    3. 省庁で用いられている業務用の端末から収集した情報を集約・分析し、脅威分析能力の向上に役立てる
      #安全性や透明性の検証が可能なセンサーを政府端末に導入して、海外製品に頼らずに端末情報を収集し、得られた情報をNICTのCYNEX(サイバーセキュリティ統合知的・人材育成基盤)に集約・分析

    4. 上記の分析により得た情報を、センサーの導入府省庁、政府全体のサイバーセキュリティを統括するNISC、GSOC、デジタル庁等へ共有。CTI(Cyber Threat Intelligence)の自律性の確保

d. 経済社会基盤を支える各主体における取組②(重要インフラ)

「重要インフラのサイバーセキュリティに係る行動計画」で掲げる5つの主な取り組みに沿って記載。基本的に「引き続き頑張る」記載に見える。

「重要インフラのサイバーセキュリティに係る行動計画」の概要

(a)障害対応体制の強化

  • 組織統治の在り方について安全基準等策定指針において規定化

  • BCP/IT-BCP、コンティンジェンシープラン、CSIRT、監査体制等の整備

  • 重要インフラ事業者等の自組織のリスクに応じた防護対策等を推進

(b)安全基準等の整備及び浸透

  • 安全基準等策定指針の整備

(c)情報共有体制の強化

  • 引き続き、官民を挙げた情報共有体制の強化

(d)リスクマネジメントの活用

  • 重要インフラ事業者の中でリスクアセスメントが実施されていない原因の分析及び対応策の検討を実施。リスクマネジメントの促進

  • 重要インフラにおける相互依存性の調査

(e)防護基盤の強化

  • 分野横断的演習の裾野拡大

  • より困難な脅威にも適切に対応できる状態に達することを目指す取組

  • 各重要インフラ事業者内での演習促進

その他、昨今の被害状況を踏まえ、医療分野に対する対策強化が第一部に記載されています。

医療法施行規則第 14 条第2項を新設し、病院、診療所又は助産所の管理者が遵守すべき事項として、サイバーセキュリティの確保について必要な措置を講じることを追加している。(令和5年4月1日施行)
今後、「医療機関向けセキュリティ教育支援ポータルサイト」を通じたサイバーセキュリティインシデント発生時の相談対応、「医療情報システムの安全管理に関するガイドライン」第6.0 版(令和5年5月31 日改定)に基づく医療機関のシステム・セキュリティ管理者、経営層等の特性に合わせたサイバーセキュリティ対策研修の実施や普及啓発等に取り組む。 

コラム④より

e. 経済社会基盤を支える各主体における取組③(大学・教育研究機関等)

  • 大学等の情報セキュリティ担当者向けの各層別研修の改善

  • 情報システムに対する脆弱性診断及びペネトレーションテストの継続実施

  • 実環境から継続的に収集しランダム化したデータを研究データとして共有、海外学術機関と連携。攻撃データ解析技術の開発。

f.多様な主体によるシームレスな情報共有・連携と東京オリンピック競技大会・東京パラリンピック競技大会に向けた取組から得られた知見等の活用

  • 運用ルールやシステムの継続見直し(CS協議会)

  • サイバー攻撃に関する対策情報の作出や、情報共有(CS協議会)

  • G7広島サミットや2025年度 大阪・関西万博に向けて、東京大会で得られた知見・ノウハウを連携

g. 大規模サイバー攻撃事態等への対処態勢の強化

  • 大規模サイバー攻撃事態等対処訓練や関係各省庁の様々な取組の継続

(3)国際社会の平和・安定及び我が国の安全保障への寄与

知らない言葉が多すぎる割に興味がない分野でしたので第3部の詳細は読み飛ばしました。ここでは第1部の記載から抜粋します。

  • 同盟国・同志国とのサイバー協議や対話の実施

  • 日米豪印での協力における取組

    1. 重要インフラ防護、ソフトウェアセキュリティに関する4か国の共通原則の策定・実施

    2. インド太平洋地域における能力構築プログラム・啓発活動

  • ランサムウェア対策におけるカウンター・ランサムウェアイニシアチブの推進

  • ASEAN諸国や島しょ国などのインド太平洋地域諸国に対する能力構築支援の取組

    1. 日 ASEAN サイバーセキュリティ政策会議(AJCPM)を実施

    2. 日 ASEAN 友好協力50 周年記念会議の開催による官民連携等を強化

    3. 日 ASEAN サイバーセキュリティ能力構築センター(AJCCBC)における各種演習・Cyber SEA Game(ASEAN Youth Cybersecurity Technical Challenge)を実施

    4. インド太平洋地域向け産業制御システムサイバーセキュリティ演習を実施

    5. 国際協力機構(JICA)と連携した外国捜査機関等に対する支援を実施

    6. 大洋州島しょ国を対象としたサイバーセキュリティ能力構築支援プロジェクトを検討

    7. 途上国のサイバーセキュリティ能力構築支援に特化した世界銀行「サイバーセキュリティ・マルチドナー信託基金(Cybersecurity Multi-Donor Trust Fund)」への拠出を通じたインド太平洋地域を含む途上国のサイバー分野に係る能力構築支援を強化

  • 各国の法執行機関とのサイバー事案等の捜査に係る国際連携の推進

(4) 横断的施策

a.研究開発の推進

  • 経済安全保障重要技術育成プログラムにおける研究開発ビジョン(第一次)を推進(内閣府)

  • JST の戦略的創造研究推進事業において、サイバーセキュリティを含めた研究課題に対する支援を継続(文部科学省)

  • 未知の脆弱性が存在しないかどうかの技術的検証(内閣官房)

  • 「5G セキュリティガイドライン」の普及促進と見直し検討(総務省)

  • スマートフォンアプリによる情報送信等についての国内の解析能力水準の確認と課題の整理(総務省)

  • 実世界とサイバー空間が相互連関する社会(サイバーフィジカルシステム)を支えるセキュリティ技術及びその評価技術の開発(経済産業省・NEDO)

  • 量子セキュアクラウドを用いた高度情報処理基盤を構築・運用し、新たなユースケース創出や社会実装の促進を検討(内閣府)

  • 信頼できるAI等、革新的な人工知能基盤技術の構築や、サイバーセキュリティを含む社会的課題の解決に向けた応用研究(文部科学省)

  • 必要に応じてCRYPTREC 暗号リストを改定(デジタル庁・総務省・経済産業省)

  • 量子コンピュータが現代暗号に及ぼす影響を引き続き分析・予測(NICT・IPA)

b.人材の確保、育成、活躍促進

  • 「プラス・セキュリティ」の普及における必要な取組の調査・検討と、企業・教育機関での先行試行(経済産業省・SC3)

  • デジタルスキル標準の普及促進・必要に応じて見直し(経済産業省)

  • 「マナビDX」等を通じた発信等により利用促進、企業・大学等の提供講座等の掲載拡充(経済産業省)

  • サイバーセキュリティを含む専門的・実践的な教育訓練講座の認定を継続実施(経済産業省)

  • 普及啓発・人材育成施策ポータルサイトへ掲載する人材育成プログラムの募集、プログラムの更なる普及促進策を継続検討(内閣官房)

  • NICTのCYNEX を通じ、サイバーセキュリティ情報を国内で収集・蓄積・分析・提供し、高度なサイバー攻撃を迅速に検知・分析できる卓越した人材を育成するとともに、民間・教育機関等における自立的な人材育成を促進(総務省)

  • 「実践的サイバー防御演習(CYDER)」を実施(総務省)

  • 「SecHack365」を実施(総務省)

  • 「セキュリティ・キャンプ」の継続開催(経済産業省)

  • デジタル人材の育成のためのモデルカリキュラムの普及促進(文部科学省)

  • サイバーセキュリティ教育強化に取り組む大学への支援(文部科学省)

  • 国立高専における教育カリキュラムの検討や教育実践の展開(文部科学省)

  • サイバーセキュリティに関する公共職業訓練を実施(厚生労働省)

  • 政府デジタル人材育成のための資格試験や研修の見直し(内閣官房・デジタル庁)

c.全員参加による協働、普及啓発

  • 「サイバーセキュリティ意識・行動強化プログラム」の実施(内閣官房)

感想

今回初めて「国のセキュリティの施策」の目線について学びましたが、非常に数が多くて複雑でした。
各府省庁、管轄領域ごとのセキュリティ強化に取り組まれている様子は頼もしく見える反面、セキュリティの世界においてやるべきことは業種は違えどもそう大きく変わらないはずであり、これほどガイドラインや教育・訓練の場が散らばっているのは果たしてあるべき姿なのかが気になりました。

また、「日本のセキュリティに関する法令や制度の整備が遅れている」という話を各所で耳にします。
これだけ書き並べる取り組みをしても、なお遅れていると。
まだ私の知識では、それが具体的にどういった点についての劣後点なのか挙げることはできませんが、確かに米CISAが日々出している指令やガイドラインの素早さや内容の具体性には、遠く及ばないだろうなとは感じます。

そうはいってもITの世界そのものが米国リードであることはもはや覆しようのない話ですから、国の批判をしてオシマイではなく、私達が能動的に海外の情報を拾いにいくようにしたいですね。
このnoteも徐々に海外の情報も扱いたいと思いますが、国内のガイドライン類の読破だけでもまだまだ時間がかかりそうです。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら

この記事が気に入ったらサポートをしてみませんか?