0
いいね!でマイページに保存して見返すことができます。
2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。
政府が促す経営層のサイバーセキュリティへの積極関与
2020年の東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2017年には、4月中旬に「
重要インフラの情報セキュリティ対策に係る第4次行動計画」および「
サイバーセキュリティ人材育成プログラム」、そして7月に「
サイバーセキュリティ研究開発戦略」と、3つの国家サイバーセキュリティ戦略が政府により発表されました。そして2018年、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいます。
今回は「重要インフラの情報セキュリティ対策に係る第4次行動計画」および「サイバーセキュリティ人材育成プログラム」にみる日本政府の戦略の変遷と、今後の戦略策定への展望について解説します。
2017年の2つのセキュリティ戦略は、2014年5月に初めて公開された「
重要インフラの情報セキュリティ対策に係る第3次行動計画」と「
新・情報セキュリティ人材育成プログラム」と比較すると、大きな違いが2つあります。
第一に、どちらの戦略もサイバーセキュリティを経営における不可欠な要素として認識しており、経営層がサイバーセキュリティに積極的に関与し、サイバーリスク管理するよう促している点です。これは、2015年12月の「
サイバーセキュリティ経営ガイドライン」(
2017年11月改訂) にて、最初に示された原則に沿ったものです。
2017年の「重要インフラの情報セキュリティ対策に係る第4次行動計画」では、重要インフラ企業の経営層はリスクアセスメントとリスクマネジメントを経営戦略に組み込み、情報セキュリティへの関与を高める必要がある旨強調されています。
「サイバーセキュリティ人材育成プログラム」も同様であり、サイバーセキュリティは企業価値や国際競争力を高めるものであると指摘されています。さらに、サイバーセキュリティをやむを得ない「コストセンター(直接利益を創出しないもの)」ではなく、機会がもたらされる「ビジネスエネーブラー(ビジネス推進のカギ)」として扱うよう企業に求めています。
サイバーセキュリティ経営ガイドラインは、経営幹部の関与を促しサイバーセキュリティ対策を強化するという、日本のサイバーセキュリティ政策と戦略において重要な役割を果たしています。
「サイバーセキュリティ人材育成プログラム」では、日本の経営層は米国や欧州に比べてサイバーセキュリティの課題認識が低いという調査結果が指摘されています。独立行政法人 情報処理推進機構 (IPA) が2017年に実施した日米欧の企業への
アンケート調査によると、セキュリティ対策を推進する上での課題として、「経営層のリスク感度が低い」 の割合が日本では30.9%、米国では27.1%、欧州では 20.7%という差がありました。
また、同プログラムでは、サイバーセキュリティはイノベーションを実現するためのものであり、経営層の認識の欠如がイノベーションへの挑戦機会の逸失につながるとも指摘されています。
経営戦略として、また東京五輪の成功のためにサイバーセキュリティを迅速に進めていくには、従来のボトムアップ式アプローチではなく、トップダウンで組織全体、国全体のサイバーセキュリティに対する意識を改革し、サイバー脅威の状況やベストプラクティスを共有することで、サイバー攻撃を予防していくことが重要です。
脅威の共有を促進する橋渡し人材の重要性
大きな違いの2つ目は、2017年のどちらの戦略も、セクター間の協力と情報共有の必要性を強調している点です。「重要インフラの情報セキュリティ対策に係る第4次行動計画」では、重要インフラ分野の企業への情報通信技術 (IT) と運用技術 (OT) の横断的な組織整備や人材育成の見直しを推奨しています。
サイバーセキュリティチームを含むIT部門は、情報セキュリティの三要素であるCIA (機密性、完全性、可用性) において可用性よりも機密性を優先させる傾向にあるのに対して、プラントや工場で働くOTチームは可用性と安全性を優先し、運用やサービスの円滑な実行を優先します。
例えば、OTチームはセキュリティパッチ適用によって運用に支障が生じる場合、運用の方を重視しがちです。しかし、ITチーム側はITのセキュリティが最優先となるため、ここでプライオリティに齟齬が生じます。
サイバー攻撃による重要インフラ運用への妨害を防ぐにはIT部門とOT部門の協力が不可欠ですが、文化や優先順位の著しい相違は、両者間のコミュニケーションを困難にします。また、OT部門がサイバーセキュリティの重要性を認識していたとしても、資金投入の予算が十分になかったり、予算がIT部門によって管理されていたりすることがよくあります。
そのためITとOTを橋渡しするチーム作りを行い、予算、文化、構造的な協力を奨励することが必要です。
【次ページ】日本が各種ガイドラインを世界規模で発信する理由
関連タグ