ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2018/02/28 掲載

日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか?

連載:グローバルセキュリティ潮流底流

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。

パロアルトネットワークス 松原実穗子

パロアルトネットワークス 松原実穗子

パロアルトネットワークス アジア太平洋地域 公共担当 最高セキュリティ責任者 兼 副社長
防衛省で9年間勤務後、米国大学院にて国際関係・国際経済学の修士号を取得。その後、ハワイのシンクタンクにて、地政学的な観点でサイバーセキュリティ問題に取り組む。日本に帰国後は民間企業に移り、政策を中心としたセキュリティの責任者を務める。これまで日本政府の情報セキュリティ戦略に関わる委員会の一員としても選定されている。
現在はパロアルトネットワークスのアジア太平洋地域拠点における公共担当の最高セキュリティ責任者兼副社長を務め、各業界におけるオピニオンリーダーへのサイバーセキュリティ問題に関する働きかけや、域内の政府・業界への脅威インテリジェンス及びサイバーセキュリティのベストプラクティスの共有を担当。

photo
東京五輪に向け日本政府はサイバーセキュリティ政策の見直しを続けている
(© littlewolf1989 – Fotolia)
<目次>
  1. 政府が促す経営層のサイバーセキュリティへの積極関与
  2. 脅威の共有を促進する橋渡し人材の重要性
  3. 重要インフラの情報セキュリティ対策
  4. 2018年に公開される次期サイバーセキュリティ戦略
  5. まとめ

政府が促す経営層のサイバーセキュリティへの積極関与

 2020年の東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2017年には、4月中旬に「重要インフラの情報セキュリティ対策に係る第4次行動計画」および「サイバーセキュリティ人材育成プログラム」、そして7月に「サイバーセキュリティ研究開発戦略」と、3つの国家サイバーセキュリティ戦略が政府により発表されました。そして2018年、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいます。

 今回は「重要インフラの情報セキュリティ対策に係る第4次行動計画」および「サイバーセキュリティ人材育成プログラム」にみる日本政府の戦略の変遷と、今後の戦略策定への展望について解説します。

 2017年の2つのセキュリティ戦略は、2014年5月に初めて公開された「重要インフラの情報セキュリティ対策に係る第3次行動計画」と「新・情報セキュリティ人材育成プログラム」と比較すると、大きな違いが2つあります。

 第一に、どちらの戦略もサイバーセキュリティを経営における不可欠な要素として認識しており、経営層がサイバーセキュリティに積極的に関与し、サイバーリスク管理するよう促している点です。これは、2015年12月の「サイバーセキュリティ経営ガイドライン」(2017年11月改訂) にて、最初に示された原則に沿ったものです。

 2017年の「重要インフラの情報セキュリティ対策に係る第4次行動計画」では、重要インフラ企業の経営層はリスクアセスメントとリスクマネジメントを経営戦略に組み込み、情報セキュリティへの関与を高める必要がある旨強調されています。

 「サイバーセキュリティ人材育成プログラム」も同様であり、サイバーセキュリティは企業価値や国際競争力を高めるものであると指摘されています。さらに、サイバーセキュリティをやむを得ない「コストセンター(直接利益を創出しないもの)」ではなく、機会がもたらされる「ビジネスエネーブラー(ビジネス推進のカギ)」として扱うよう企業に求めています。

 サイバーセキュリティ経営ガイドラインは、経営幹部の関与を促しサイバーセキュリティ対策を強化するという、日本のサイバーセキュリティ政策と戦略において重要な役割を果たしています。

 「サイバーセキュリティ人材育成プログラム」では、日本の経営層は米国や欧州に比べてサイバーセキュリティの課題認識が低いという調査結果が指摘されています。独立行政法人 情報処理推進機構 (IPA) が2017年に実施した日米欧の企業へのアンケート調査によると、セキュリティ対策を推進する上での課題として、「経営層のリスク感度が低い」 の割合が日本では30.9%、米国では27.1%、欧州では 20.7%という差がありました。

 また、同プログラムでは、サイバーセキュリティはイノベーションを実現するためのものであり、経営層の認識の欠如がイノベーションへの挑戦機会の逸失につながるとも指摘されています。

 経営戦略として、また東京五輪の成功のためにサイバーセキュリティを迅速に進めていくには、従来のボトムアップ式アプローチではなく、トップダウンで組織全体、国全体のサイバーセキュリティに対する意識を改革し、サイバー脅威の状況やベストプラクティスを共有することで、サイバー攻撃を予防していくことが重要です。

脅威の共有を促進する橋渡し人材の重要性

 大きな違いの2つ目は、2017年のどちらの戦略も、セクター間の協力と情報共有の必要性を強調している点です。「重要インフラの情報セキュリティ対策に係る第4次行動計画」では、重要インフラ分野の企業への情報通信技術 (IT) と運用技術 (OT) の横断的な組織整備や人材育成の見直しを推奨しています。

 サイバーセキュリティチームを含むIT部門は、情報セキュリティの三要素であるCIA (機密性、完全性、可用性) において可用性よりも機密性を優先させる傾向にあるのに対して、プラントや工場で働くOTチームは可用性と安全性を優先し、運用やサービスの円滑な実行を優先します。

 例えば、OTチームはセキュリティパッチ適用によって運用に支障が生じる場合、運用の方を重視しがちです。しかし、ITチーム側はITのセキュリティが最優先となるため、ここでプライオリティに齟齬が生じます。

 サイバー攻撃による重要インフラ運用への妨害を防ぐにはIT部門とOT部門の協力が不可欠ですが、文化や優先順位の著しい相違は、両者間のコミュニケーションを困難にします。また、OT部門がサイバーセキュリティの重要性を認識していたとしても、資金投入の予算が十分になかったり、予算がIT部門によって管理されていたりすることがよくあります。

 そのためITとOTを橋渡しするチーム作りを行い、予算、文化、構造的な協力を奨励することが必要です。

【次ページ】日本が各種ガイドラインを世界規模で発信する理由

関連タグ

関連コンテンツ

記事
セキュリティ総論

PDCAではなく「OODA」が必要、サイバー攻撃に即時対応するための5要件とは

EYでは、情報セキュリティに関するグローバル調査「EY グローバル情報セキュリティサーベイ(GISS)」を実施している。調査では日本とグローバル違いについて、日本は内部犯行を疑う傾向があり、サイバー攻撃は単独犯によるものと考えがちという結果が出ている。また、日本ではインシデントが「発生していても検知できていない可能性」があるという。地域に限らず、サイバー攻撃に即時対応するための要件とは何だろうか。

記事
セキュリティ総論

「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント

日々新たな脅威が生まれるサイバーセキュリティの世界。11月16日、経済産業省が「サイバーセキュリティ経営ガイドライン 2.0」を発表した。前バージョンとなる1.1に対する主な改訂ポイントは、「経営者がCISO等に指示すべき10の重要項目」に侵入検知、復旧体制が追加され、サプライチェーンセキュリティに関する項目が再編された。その改訂意図から見えてくる現代のセキュリティマネジメントを見てみたい。

記事
セキュリティ総論

ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か?

10月31日、京都新聞がセキュリティ会社ディアイティの社員をウイルス保管容疑で逮捕したと発表した。その後毎日新聞やネットメディアなどが続報を伝えている。セキュリティ企業がウイルスを業務上保管することはあり得るので、業界では、誤認逮捕または警察権の濫用ではないのか、といった声も聞かれた。新聞やネットの情報では詳細が見えてこないので、当事者企業のディアイティおよび京都府警に取材したので、得られた情報を整理したい。

記事
セキュリティ総論

世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は

日本時間では10月16日、世界中のほとんどの製品が採用している無線LANプロトコル「WPA2」に、暗号鍵をクラックできるという脆弱性が発見された。あらゆる無線LANが影響を受けるとして、世界中の専門家が注目し多くのメディアが「無線LANに深刻な問題」と報じた。翌日、いくつかのCVEとともにパッチを含む詳細情報が明らかになり、現在、表面的な騒動は落ち着いている。果たしてこの問題は終わったのだろうか。

記事
セキュリティ戦略

イスラエルが「サイバーセキュリティ大国」となった背景にある「8200部隊」の影

サイバーセキュリティの先進国といえばイスラエルというイメージがある。事実、グローバルでシェアを伸ばすセキュリティベンチャーを見ると、イスラエルの企業だったり、CEO、CTOがイスラエル出身者である企業が少なくない。イスラエルのIT関連技術、セキュリティ技術の先進性は知る人ぞ知るものだが、その中で異彩を放つのが「8200部隊」と呼ばれるイスラエル国防省管轄機関。国防だけでなく、産業界にも影響を与える存在だ。

記事
個人情報保護・マイナンバー対応

エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影

米三大信用調査企業の一角であるエクイファックスが、1億4450万人分の個人情報漏えい事件を起こした。2017年3月から7月の間に、既知のApache Strutsの脆弱性に対するハッカー攻撃を受け、社会保障番号や運転免許証番号・生年月日・住所・クレジットカード情報などを流出させたのである。この問題は、リチャード・スミス最高経営責任者(CEO)の辞任に発展した。7月末の攻撃発覚後、1か月以上も事実を公表しなかっただけでなく、影響を受けた人々への対応がずさんであったことが強く批判され、株価は25%以上も下げている。日本企業のIT関係者は、エクイファックスの失敗から何が学べるのだろうか。

記事
セキュリティ総論

辻伸弘氏が解説するランサム攻撃動向、「侵入されても発症させない」対策のキモとは

標的型攻撃やランサム攻撃など、企業を標的にしたサイバー攻撃は依然として大きな脅威となっている。さらに、取引関係にあるサプライチェーンや顧客にも攻撃対象は拡大しており、企業はこれらの脅威に対応していかなければならない。そこで、ランサム攻撃をはじめ幅広くサイバー空間の脅威の観測、情報発信を行うSBテクノロジーの辻 伸弘氏と、大興電子通信 セキュリティアドバイザーの中須寛人氏、富士通の斎藤 建氏、丸子正道氏が最新のマルウェア攻撃に対抗するためのポイントを紹介した。

記事
セキュリティ総論

“危険すぎる”国家が主導するサイバー攻撃、ウクライナ侵攻で見えた情報戦の変化とは

ロシア・ウクライナ戦争のさなか、スロバキアのセキュリティベンダーESETが、ロシアによるウクライナへの心理戦や情報操作を目的としたサイバー攻撃を確認・報告している。開戦前後はウクライナのインフラや政府機関を狙う攻撃であったが、戦争が長期化するにつれ、その攻撃にも変化が見られるという。現在は攻撃対象を広げ、その動きは周辺国をも巻き込み始めている。ESET CEOであるリチャード・マルコ氏への取材を交え、ロシアが仕掛けるサイバー攻撃の実態を暴く。

記事
セキュリティ総論

知らなきゃ“大事故”の可能性も、SaaS活用で陥る「6つの落とし穴」回避術

今や一般的になった企業によるSaaS(クラウドサービス)の導入。ユーザー部門にとっては利便性の高いサービスだが、間違った運用によりセキュリティ事故が発生するといったリスクもある。SaaS活用に潜むインシデントとは一体どんなものがあるのか。そしてそれらのインシデントを回避するにはどのような手法が有効なのかを解説する。

記事
セキュリティ総論

ChatGPTの情報漏えいをどう防げばいいのか? 続々登場する新ソリューションの仕組み

生成AIの利用が急増している。しかし、依然として生成AIに関する懸念はつきまとっており、生産性を改善しつつリスクをどう下げるのかが多くの企業のトピックとなっている。特に注目される「情報漏えい」をどう防ぐのか。続々と登場する新ソリューションを紹介しよう。

記事
セキュリティ総論

厳選!「日本のセキュリティ課題凝縮事例」から学ぶ、「インシデントを防ぐ組織」とは

日々、実に多くのセキュリティインシデントが発生している。この危機的な状況を前にして、新たにセキュリティ製品・サービス導入を検討する企業は多いだろう。だがそれ以前に、真の「インシデントが起こらない組織」をつくるためには、まず自社の現状を正確に分析し、既存の資産・資源をフルに活用する姿勢が重要になる。セキュリティの専門家集団として、さまざまな企業・組織に助言やプロジェクト支援を行っている日本シーサート協議会の萩原健太氏が、大阪の病院で発生したインシデント、いわば失敗事例から今すぐ取り組むべきセキュリティ対策の課題について解説する。

記事
セキュリティ総論

中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実

高度化するサイバー攻撃に対して、XDRやSOC、脅威インテリジェンスといったセキュリティ対策が注目されている。しかし、これらの手法やソリューションを導入できる企業は限られている。実際にセキュリティ対策に十分な投資を行えるのは、予算も人員もある大企業だけなのが現状だ。では、いずれも限られる中小規模企業(SMB)はどこまで対応すればよいのだろうか。

イベント・セミナー
オンライン
オンライン

Symantec World 2024[アーカイブ]

世界中で高まるサイバーセキュリティの脅威とリスク あらゆるリスクに備える、ゼロトラストの実現 企業のAI・DXによる変革が進展する中、デジタルデバイスやネットワーク、データといった重要なアセットがサイバー攻撃の対象になっています。こうしたリスクに対して、企業はあらゆる攻撃を想定し「ゼロトラスト」で対応することが求められています。こうしたサイバーセキュリティの最新動向とゼロトラストのセキュリティ対策をお届けすべく、オンラインで参加できるシマンテックのサイバーセキュリティセミナーを開催いたします。デバイスセキュリティ、ネットワークセキュリティ、データセキュリティの各セッションをご用意いたしました。シマンテックのゼロトラストの世界をぜひご覧ください。
イベント・セミナー
オンライン
オンライン

DXを加速するゼロトラストセキュリティ 2024 春

世界経済の混乱や、長引くインフレ、依然として残るコロナの影響などの中、企業は生き残りをかけてDXを推進しています。それと同時に、社外から社内のシステムにアクセスすることや、工場外から製造装置に直接アクセスするような機会も増えています。DXの進展やテレワークの普及などによりビジネスのクラウド化がさらに進んだ結果、従来型の「境界型モデル」ではネットワークセキュリティの維持が困難となり、「すべてのトラフィックを疑わしいものとみなす」ゼロトラストセキュリティへの注目が高まっています。境界なきセキュリティが求められる時代にデジタルトラストを確立するにはどうすればよいのでしょうか?当WebセミナーではDXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向性を模索し、ゼロトラストセキュリティに関するさまざま情報を提供してまいります。
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample