デジタル庁CISOの坂氏が明かす、政府の“後付け”セキュリティ対策を終わらせる舞台裏

サイバー攻撃の脅威が日増しに高まる中、政府の情報システムには「絶対に守らなければならない」というプレッシャーがのしかかる。マイナンバー基盤から各省庁の業務システムまで、デジタル化が進む一方で、セキュリティ対策は開発の最終段階で「後付け」されがちだった。しかしデジタル庁は、「構築段階からセキュリティを組み込む」という革新的なアプローチで、政府全体のサイバー防御体制を根本から変えようとしている。その挑戦の詳細について、デジタル庁 CISOの坂明氏が語った。

デジタル庁が担う「2つの顔」

　デジタル庁のサイバーセキュリティ対策には、大きく分けて2つの「顔」がある。1つは、政府全体の情報システムを支援し、国のセキュリティ基盤を底上げする政策的な役割だ。国全体のサイバーセキュリティを統括する国家サイバー統括室と連携し、デジタル社会の実現に向けた重点計画の策定から、ガイドラインの整備、さらには実践的な研究成果の導入まで──デジタル庁は政府情報システムを統括監理する立場から、セキュリティも含めた構築運用の指針策定、計画、実装をリードする。

　もう1つが、デジタル庁自身が構築・運用するシステムのセキュリティ確保だ。マイナンバー基盤、政府全体のネットワーク（G-Net）、各省庁が利用するエンタープライズシステム（GSS）など、国民生活を支える中枢インフラを直接管理している。

「デジタル庁は『Government as a Service』として、各府省が共通で利用するシステムや、他のシステムとの連携により効果を発揮する基盤を整備しています。これらのシステムは国民サービスの土台となるものであり、セキュリティ確保は最優先課題です」（坂氏）

　2021年9月の発足から5年目を迎えたデジタル庁。職員の半数以上を民間出身者が占めるフラットな組織の中で、坂明氏はCISO（最高情報セキュリティ責任者）として、時には国際的なミーティングへの参加、時にはシステム構築の最前線でチームとともに汗を流す。

　従来の政府情報システムでは、セキュリティ対策は開発の最終段階で「後付け」されることが常識だった。しかし、その手法では脆弱性が残りやすく、手戻りも大きい。デジタル庁はこの長年の悪習に対し、「セキュリティ・バイ・デザイン」で終止符を打とうとしている。政府全体のサイバー防御は、今、どう生まれ変わろうとしているのか？

この記事の続き＞＞