私が事務局長を務める『サイバーセキュリティ対策推進議員連盟』において、政策提言を取りまとめ、安倍総理に申入れを行いました。
今回の提言における主なポイントは、
・オリンピック・パラリンピック東京大会等におけるサイバーセキュリティ対策の経験を、政府における重要な知的資産として残し、今後の様々な大規模イベント等に生かすべく、大会準備フェーズから必要な体制を整備することを求めていること。
・これからのデジタルトランスフォーメーション(DX)時代を我が国産業がリードしていくためには、企業等においてDXとサイバーセキュリティ対策を一体的に進める「戦略マネジメント層」をバランスよく配置していくことが重要であることに鑑み、企業等におけるそのような取組みを促していること。
です。
提言に基づき、我が国のサイバーセキュリティ対策が着実に強化されていくよう、引き続き力を尽くしていきます。
提言の全文を以下にお示しします。
サイバーセキュリティ対策推進議員連盟
提言
令和元年5月
本年度に開催が予定されているG20大阪サミットやラグビーワールドカップ2019日本大会に続き、オリンピック・パラリンピック東京大会の開催まで残すところ1年少々となった。
サイバー犯罪についてはこの数年で複雑化、巧妙化、組織化がさらに進み、その被害もますます甚大なものとなっている。21世紀の国家間紛争の舞台はサイバー空間や宇宙に拡大する事は間違いなく、我が国の経済と国民生活をその脅威から守るべく、政府が中心となり対策を強力に推進していく事が求められている。
また、デジタルネットワークとテクノロジーの活用が国力を示す物差しの一つになっていく中、「防御」施策の充実を図るのはもちろんの事、新しいテクノロジーへの「チャレンジ」、万が一の攻撃があった際の「回復力」の強化も求められる。
1.当議連の提言を踏まえた政府の取組状況
(1)オリンピック・パラリンピック東京大会関連
従来から実施しているリスクマネジメントの取組を高度化し、考慮すべきリスクをNISCが示すことで、重要サービス事業者等によるリスクの洗い出しと顕在化したリスクへの対応強化を促進するとともに、重要サービス事業者による対策をNISCが確認する事など、より精度の高いアセスメントが実施されているが、防御に耐えるレベルに至っているか否か、その評価は未だ不明確である。
オリンピック・パラリンピック東京大会を来年に控える中、これまで経験したことがないような未知のサイバー脅威が出現していることを踏まえると、オリンピック・パラリンピック東京大会におけるサイバーセキュリティ対策推進の中核となるサイバーセキュリティ対処調整センターの要員の質・量両面の向上が不可欠である。当議連としてこれまで、指揮官相当の要員を10名確保すべき旨提言してきたところ、政府において約30名まで拡大するとともに、その相当数を情報処理安全確保支援士、CISSP等のサイバーセキュリティ関連の高度試験に合格した者を充てる予定としており、評価できる。
東京オリンピック・パラリンピック競技大会組織委員会、NISC、東京都、警視庁等が様々な目的や方法で実施している演習等に、他の関係組織も参加し、情報共有や協力の方法についても確認することとしており、これら一連の演習を俯瞰的に把握し、関係組織の連携を円滑にするための工程表を作成することとしている。
過去のオリンピック・パラリンピック競技大会や本年に海外で行われる大規模イベントの際にサイバーセキュリティ対策に従事した専門家・専門組織等との間で対話を行い、その結果を踏まえてオリンピック・パラリンピック東京大会において想定されるリスクの見直しを実施することとしており、進捗が認められる。
(2)人材の育成ポートフォリオ及びサプライチェーンの構築関連
「オリンピック・パラリンピック東京大会を機に官民協力モデルの構築を一層進めることが重要」との当議連提言については大きな進捗が見られ、サイバーセキュリティ基本法改正法に基づいて「サイバーセキュリティ協議会」の組成が行われた。今後、NISC及び同協議会を中核としつつ、国際的な連携体制の強化、民間部門を含む情報共有の強化(ISACの組成促進、情報の自動共有のための仕組みの導入、AIを活用した情勢分析等)の推進が期待される。
社会的な関心が高いオリンピック・パラリンピック東京大会を契機として、経営層にサイバーセキュリティ対策の重要性に関する認識を普及するため、リスクマネジメントの実施方針を経営層が確認しているか否か、セキュリティ対策の基本方針の策定に経営層が関与しているか否かについて、事業者からNISCへ報告する事としており、一定の進展が見られる。
(3)制度整備関連
いわゆる非享受目的の利用に係る権利制限規定(著作権法第30条の4)の創設を含む著作権法の一部を改正する法律(平成30年法律第30号)が2018年5月18日に成立し、2019年1月1日に施行された。これにより、リバースエンジニアリングを行うことが認められた。
IoT機器を悪用したサイバー攻撃の深刻化を踏まえ、国立研究開発法人情報通信研究機構(NICT)の業務にパスワード設定等に不備のあるIoT機器の調査等を追加するための国立研究開発法人情報通信研究機構法の改正法が2018年5月16日に成立し、同年11月1日に施行された。同改正法に基づき、2019年2月より、NICTがサイバー攻撃に悪用されるおそれのある機器を調査し、インターネットプロバイダを通じて利用者への注意喚起を行う取組「NOTICE(National Operation Towards IoT Clean Environment)」を実施している。
2.オリンピック・パラリンピック東京大会に関する強化策
様々な民間事業者等がサイバー脅威情報を有していることから、こうしたサイバー脅威情報を重要サービス事業者等へ効果的・効率的に提供するための仕組みを構築する。
本年のG20大阪サミットおよびラグビーワールドカップ2019日本大会、2020年のオリンピック・パラリンピック東京大会、2025年の大阪・関西万博の開催に当たっては、膨大な人材、資金、知識、ICTなどが投入されており、その為に構築した日本における「サイバーセキュリティレジリエンス」がこれらのイベントが終了した後も継続的な日本のセキュリティプラットホームになるよう、その体制を整備する。このため、早急に専門チームを設置し、レビューとモニタリング結果を残す事が我が国の重要なレガシーとなる。その資産は、2025年の大阪・関西万博や、以降のオリンピック・パラリンピック競技大会を含む各種の大規模イベントに引き継ぐことが可能となり、日本の国際社会への多大な貢献にもつながる。また、将来的にはグローバルなサービスとして産業化できる可能性もある。
3.人材育成に関する強化策
人材育成プログラムにおいて、教員の質や、人材育成を実施する際のシラバス、カリキュラム、必要な施設などのレベルを可視化する施策が求められる。
各層の人材の活躍促進・処遇改善に向けては、企業に求められる人材の役割やスキル、キャリアパスの見える化のためのモデル構築に向けて、育成プログラム修了者の活用状況に関する調査も踏まえ、成熟度ごとに企業の参考となる事例集を開発する。
地域におけるセキュリティ人材の育成拠点・育成モデルの構築に取り組むことで、様々なレベルのセキュリティ人材育成のエコシステムの構築に取り組む。
独立行政法人情報処理推進機構(IPA)を中心に、デジタルトランスフォーメーション(DX)とサイバーセキュリティを一体的に進める「戦略マネジメント層」の育成や、情報系・制御系に精通した重要インフラ・産業基盤等の中核人材の育成を行う。
学生のセキュリティレベルに応じた講師の派遣や出前授業等を業界団体と連携して実施するなど、高等専門学校と産・官との連携を一層進めていく。
国、自治体、重要インフラ事業者等の情報システム担当者を対象とする実践的サイバー防御演習を行う。
4.その他の施策
自治体のセキュリティクラウドについて、構築後一定期間が経過しており、施策の実施状況と課題の精査が必要である。
国民一人一人や中小企業を含む、国全体での取組を推進するため、官民の様々な取組を集約するポータルサイト構築による取組の見える化や連携推進等を進める。
産業界とも連携したセミナーや、サイバーセキュリティ経営の実践のためのガイドラインや事例集の周知、優れた取組みを行っている企業の表彰等により、経営層のより一層の意識向上に向けて取り組む。
情報通信機器等の開発や製造過程において、情報の摂取・破壊や情報システムの停止等の悪意のある機能が組み込まれる懸念など、サプライチェーンリスクへの対応の重要性が高まっていることに鑑み、半導体をはじめ、5G時代における安全性の高い機器開発を国際的な協調の下で進める。
情報処理安全確保支援士の活用促進・制度運用の更なる改善等に取り組む。
以上