政策と産業の最新動向を伝え、解説する“クオリティペイパー”


谷脇副センター長

谷脇副センター長

NISCの司令塔機能を強化
IT戦略本部と同等 センターが監査や擬似的攻撃を行う

◎政策クロスロード
内閣サイバーセキュリティセンター(NISC)副センター長
内閣審議官 谷脇康彦氏に聞く

1月9日に施行されたサイバーセキュリティ基本法に基づき、政府のサイバーセキュリティ確保のための体制強化が行われた。政府においては、今後6月をメドに「新サイバーセキュリティ戦略」がとりまとめられる。機能強化されたNISCについて、谷脇氏に聞いた

—新たなスタートを切ったNISCだが、新旧の違いはどこにあるのか?
サイバーセキュリティ基本法が施行される以前は、情報セキュリティ政策会議はIT戦略本部の下部組織として位置づけられており、法的権限が明確ではなかった。これは情報セキュリティ政策会議の事務局であるNISCについても同様であった。
今回の内閣サイバーセキュリティ戦略本部は、基本法においてIT戦略本部等と同等の組織として位置づけ、その権限も明確に規定されている。また、事務局であるNISCについても内閣官房組織令を改正し、法的権限や機能が明確化された点が大きな違いだ。
各省との関係では、サイバーセキュリティ戦略本部に対し、サイバーセキュリティ関係の情報や資料の提出が義務付けられた。また戦略本部から各省への勧告が出せるようになった。従って、各省の持つセキュリティ関連のインシデント情報を集約する機能が強化され、戦略本部の司令塔機能が強化された。
各省庁がそれぞれセキュリティポリシーを作っているが、その運用状況については自己監査をしてきている。今回の基本法ではNISCが第三者的に監査することが盛り込まれたため、より客観的な監査が行われるようになる。
また、監査の一つとして、各省のシステムへの擬似的攻撃(ぺネトレーションテスト)が可能になった。NISCが各省の情報システムに対して疑似攻撃を行い脆弱性を明らかにし、対策を講じることができるようになる。
2つめは、重大インシデントが発生した場合の原因究明調査。各省で重大なインシデントが発生した場合、これまでは各省が調査し、ボランタリーベースでNISCに報告がなされていた。今回からインシデントが発生した省とNISCが当初から連携して原因究明調査を行う。より能動的にNISCの知見が各省のインシデントに対し活かせるようになった。
第1回目のサイバーセキュリティ戦略本部が2月10日に開催され、安倍総理にも出席頂いた。そして、6月をメドに新サイバーセキュリティ戦略を取りまとめるよう、総理からご指示を頂いた。
今までの戦略は政策会議の決定であったが、今回から法律に基づき、IT戦略本部やNSCからの意見聴取のあと、戦略本部での案の決定を経て、閣議決定と国会報告が行われることになった。

—サイバーセキュリティの現況は?
急速にサイバー脅威が深刻化してきている。政府に対する攻撃の回数は2012年度に108万件であったものが、2013年度には5倍の508万件となっている。情報通信、電力、鉄道、航空など13の重要インフラ分野への攻撃も1年間で2倍に増加している。深刻化するサイバー攻撃に対する防御能力の強化は『待ったなし』だ。
2つめはITの急速な普及がサイバー脅威を拡散している。個人情報の固まりであるスマートフォンのセキュリティ、厖大なソフトウェアで構成される自動車のハッキング対策などが重要になってきている。また、2020年度までに東電管内では2700万台導入される予定のスマートメータもあり、電力供給網に対するサイバー攻撃を阻止していかなくてはならない。
3つめは、サイバー脅威のグローバル化だ。2013年に韓国ではサイバー攻撃によって銀行のATM、放送会社・新聞社の業務システムがダウンし、大きな被害が出た。その際に使われた不正なプログラムは同時期に日本でも発見されている。また昨年12月には、米国のソニー・ピクチャーズ・エンターテイメントに対する大規模なサイバー攻撃が明るみとなったが、もはや国境を超えてくるサイバー攻撃の脅威への対応は喫緊の課題と言える。
そして2020年にはオリンピック・パラリンピック東京大会が開催される。この祭典中に『ダウンタイム』は許されない。12年のロンドン大会では期間中、約2億回のサイバー攻撃が公式サイトに対して発生した。英国政府は本番の6年前からサイバー攻撃対策を準備していた。英国の教訓なども踏まえつつ、東京大会成功に向けたサイバーセキュリティ対策の強化を急ぐ必要がある。

—今年の予算の重点は?
政府機関の防御能力の向上に関しては、昨年5月に統一基準を改定した。この統一基準は各省がセキュリティポリシーを定める際に最低限守るべき基準であり、今回の改定では標的型攻撃への対応に重点を置いている。具体的には、標的型メールを開いて添付ファイルを開いたりメールに記載されたリンクをクリックすると、そのパソコンがウイルス感染し、攻撃者にシステム内部の情報を窃取されてしまう
実はこのリスクをゼロにするのは難しく、10人に1人が開いてしまう。そのため、侵入されたとしてもいかに早く気づき被害を最小化するかが大事で、『多重防御』と言う考え方を各省の情報システムに組み込んでいく。
その他、NISCとしては、先ほど述べた監査体制の整備、情報分析機能の強化、官民の情報連携の強化などに取り組んでいくこととしている。
人材について、現状、NISCには約80名がいるが、可能な限り速やかに100名を越える体制に持っていく方針である。その中で、任期付職員の採用をしていく。これは民間部門の専門家をNISCで直接採用する仕組みで、最長5年雇用できる。また各省からNISCへの出向者もさらに増やしてく方向だ。

—セキュリティ人材育成は時間がかかるが?
昨年5月、セキュリティ人材育成のための新たなプログラムを作成した。現状ではサイバーセキュリティに携わる人材が26・5万人いる。しかし、そのうち約16万人が一定レベルに達してない。そして、絶対数も約8万人不足している。
現在、輩出される人材量は年間0・1万人。絶対的に不足している。一方、一般にIT人材は約106万人いる。こうした人材にセキュリティ・スキルを持ってもらう必要がある。
そのための供給面の対策が必要だ。今、複数の大学で、セキュリティ人材を育成するコースを始めている。それらの動きを政府として支援していきたい。
もう1つは需要側。セキュリティ人材がより欲しいというニーズがないと増えていかない。そのため、各企業の経営層の意識改革がいる。
サイバー攻撃を受けて顧客の個人情報が漏洩したり、知的財産が窃取されることは企業経営にとって大きなリスクであると言う認識を持ってもらえるように働きかけて行きたい。また経営層とセキュリティの現場をつなぐ人材の育成も必要だろう。

<たにわき・やすひこ>
内閣官房内閣審議官(内閣サイバーセキュリティセンター副センター長)。
84年、郵政省(現総務省)入省。郵政大臣秘書官、在米日本大使館ICT政策担当参事官、総務省総合通信基盤局料金サービス課長、同事業政策課長、情報通信国際戦略局情報通信政策課長、大臣官房企画課長、大臣官房審議官(情報流通行政局担当)などを経て、13年7月より現職。著書に「ミッシングリンク~デジタル大国ニッポン再生」(12年7月、東洋経済新報社刊)など。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">