開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2018/02/28

日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか?

連載:グローバルセキュリティ潮流底流

2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。

パロアルトネットワークス 松原実穗子

パロアルトネットワークス 松原実穗子

パロアルトネットワークス アジア太平洋地域 公共担当 最高セキュリティ責任者 兼 副社長
防衛省で9年間勤務後、米国大学院にて国際関係・国際経済学の修士号を取得。その後、ハワイのシンクタンクにて、地政学的な観点でサイバーセキュリティ問題に取り組む。日本に帰国後は民間企業に移り、政策を中心としたセキュリティの責任者を務める。これまで日本政府の情報セキュリティ戦略に関わる委員会の一員としても選定されている。
現在はパロアルトネットワークスのアジア太平洋地域拠点における公共担当の最高セキュリティ責任者兼副社長を務め、各業界におけるオピニオンリーダーへのサイバーセキュリティ問題に関する働きかけや、域内の政府・業界への脅威インテリジェンス及びサイバーセキュリティのベストプラクティスの共有を担当。

photo
東京五輪に向け日本政府はサイバーセキュリティ政策の見直しを続けている
(© littlewolf1989 – Fotolia)


政府が促す経営層のサイバーセキュリティへの積極関与

 2020年の東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2017年には、4月中旬に「重要インフラの情報セキュリティ対策に係る第4次行動計画」および「サイバーセキュリティ人材育成プログラム」、そして7月に「サイバーセキュリティ研究開発戦略」と、3つの国家サイバーセキュリティ戦略が政府により発表されました。そして2018年、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいます。

 今回は「重要インフラの情報セキュリティ対策に係る第4次行動計画」および「サイバーセキュリティ人材育成プログラム」にみる日本政府の戦略の変遷と、今後の戦略策定への展望について解説します。

 2017年の2つのセキュリティ戦略は、2014年5月に初めて公開された「重要インフラの情報セキュリティ対策に係る第3次行動計画」と「新・情報セキュリティ人材育成プログラム」と比較すると、大きな違いが2つあります。

 第一に、どちらの戦略もサイバーセキュリティを経営における不可欠な要素として認識しており、経営層がサイバーセキュリティに積極的に関与し、サイバーリスク管理するよう促している点です。これは、2015年12月の「サイバーセキュリティ経営ガイドライン」(2017年11月改訂) にて、最初に示された原則に沿ったものです。

 2017年の「重要インフラの情報セキュリティ対策に係る第4次行動計画」では、重要インフラ企業の経営層はリスクアセスメントとリスクマネジメントを経営戦略に組み込み、情報セキュリティへの関与を高める必要がある旨強調されています。

 「サイバーセキュリティ人材育成プログラム」も同様であり、サイバーセキュリティは企業価値や国際競争力を高めるものであると指摘されています。さらに、サイバーセキュリティをやむを得ない「コストセンター(直接利益を創出しないもの)」ではなく、機会がもたらされる「ビジネスエネーブラー(ビジネス推進のカギ)」として扱うよう企業に求めています。

 サイバーセキュリティ経営ガイドラインは、経営幹部の関与を促しサイバーセキュリティ対策を強化するという、日本のサイバーセキュリティ政策と戦略において重要な役割を果たしています。

 「サイバーセキュリティ人材育成プログラム」では、日本の経営層は米国や欧州に比べてサイバーセキュリティの課題認識が低いという調査結果が指摘されています。独立行政法人 情報処理推進機構 (IPA) が2017年に実施した日米欧の企業へのアンケート調査によると、セキュリティ対策を推進する上での課題として、「経営層のリスク感度が低い」 の割合が日本では30.9%、米国では27.1%、欧州では 20.7%という差がありました。

 また、同プログラムでは、サイバーセキュリティはイノベーションを実現するためのものであり、経営層の認識の欠如がイノベーションへの挑戦機会の逸失につながるとも指摘されています。

 経営戦略として、また東京五輪の成功のためにサイバーセキュリティを迅速に進めていくには、従来のボトムアップ式アプローチではなく、トップダウンで組織全体、国全体のサイバーセキュリティに対する意識を改革し、サイバー脅威の状況やベストプラクティスを共有することで、サイバー攻撃を予防していくことが重要です。

脅威の共有を促進する橋渡し人材の重要性

 大きな違いの2つ目は、2017年のどちらの戦略も、セクター間の協力と情報共有の必要性を強調している点です。「重要インフラの情報セキュリティ対策に係る第4次行動計画」では、重要インフラ分野の企業への情報通信技術 (IT) と運用技術 (OT) の横断的な組織整備や人材育成の見直しを推奨しています。

 サイバーセキュリティチームを含むIT部門は、情報セキュリティの三要素であるCIA (機密性、完全性、可用性) において可用性よりも機密性を優先させる傾向にあるのに対して、プラントや工場で働くOTチームは可用性と安全性を優先し、運用やサービスの円滑な実行を優先します。

 例えば、OTチームはセキュリティパッチ適用によって運用に支障が生じる場合、運用の方を重視しがちです。しかし、ITチーム側はITのセキュリティが最優先となるため、ここでプライオリティに齟齬が生じます。

 サイバー攻撃による重要インフラ運用への妨害を防ぐにはIT部門とOT部門の協力が不可欠ですが、文化や優先順位の著しい相違は、両者間のコミュニケーションを困難にします。また、OT部門がサイバーセキュリティの重要性を認識していたとしても、資金投入の予算が十分になかったり、予算がIT部門によって管理されていたりすることがよくあります。

 そのためITとOTを橋渡しするチーム作りを行い、予算、文化、構造的な協力を奨励することが必要です。

【次ページ】日本が各種ガイドラインを世界規模で発信する理由

お勧め記事

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!