今日は、今年6月に発表されたサイバーセキュリティ戦略について書いてみたいと思います。
サイバーテロ対策が重要な課題になりつつあります、と言われ続けて10年にもなりますが、数年前から諸外国でも本格的な対策を講じるようになっており、日本でも本格化しつつあります。
内閣官房に情報セキュリティ対策の部署が設置されたのは随分昔のことですが、現在は、内閣府のIT戦略本部下の情報セキュリティ政策会議(議長は官房長官)が政府のサイバーセキュリティ対策の基本戦略や政策を担い、実施部門は内閣官房情報セキュリティセンターNISC(センター長は安危担当内閣官房副長官補)が行っています。そしてそのもとでの即応態勢はGSOCと呼ばれる情報セキュリティ横断監視即応調整チームが日夜活動をしています。
http://www.nisc.go.jp/conference/seisaku/pdf/050530seisaku-press.pdf
そして今年になってようやく本格的なサイバーセキュリティ戦略文書が発表されました。
http://www.nisc.go.jp/active/kihon/pdf/cyber-security-senryaku-set.pdf
で、何を書いているか、ざっくり申し上げれば、これまでは小手先で勝負してたけど、そんなんじゃだめだから、政府もGSOC強化などしっかりと頑張るから、政府機関・電力などの重要インフラ事業者・一般利用者や中小企業・企業や教育研究機関・接続業者やメーカなどのサイバー空間関連業者など全員で取り組んで行きましょうよ、そしてほかの国とも連携して具体的な対策を世界レベルで作っていくよ、というものです。
この戦略文書、ざっくりと申し上げましたが、40ページ以上にわたる網羅的で細部にも検討が行きわたっている非常によくできた文書だと思っています。ただ、何か足りないのではないかと思うことがあるのです。3つばかり指摘しておきたいと思います。
1つ目。全員協力体制について、もちろん民間業者に何らかの義務を課すものではありません。どちらかと言えば、努力したら税制などで優遇するようなインセンティブ制度の導入を検討しますよというレベルです。しかし、民間も絶対に取り組んでいかなければならないわけですから、それを乗り越えなければ意味がありません。ここに戦略の限界の一つがあります。
防衛省サイバー防衛隊の設置がうたわれていますが、決して他国からのサイバー攻撃全部をこの防衛隊が守ってくれるというものではありません。技術上それは無理です。
ということで、結論としては、全員野球型サイバー防衛体制をとるためには、上手く機能する種々の法整備が必要になってきます。どういう法整にすべきか慎重に大胆に早急に検討しなければなりません。また別途触れてみたいと思います。
2つ目。サイバーセキュリティのポイントは動的対処、有機的対処、機動的対処にあると思っています。戦略文書には、確かに対処計画が記載されていてよくできていますが、ある種こうした動的に機能するような仕組みがビルドインされていない気がします。つまり、平たく言えば、現場で普通にパソコンに向かって仕事をしている人がやるべき事柄とそれがシステムに反映されていく仕組みです。
3つ目。米中間ではサイバー攻撃が首脳会談の主要議題に取り上げられていますが、これは米国の主要組織のほとんどが中国からのサイバー攻撃を受けているためです。米国ではすでに攻撃元に逆侵入して相手の特定や反撃を行うというカウンター攻撃の交戦規定(ROE)を定めようとする動きもあります。水面下でそうした具体的な対処方針を示すことも重要であると思います。
今後、経済活力・国際関係・安全安心の3点から、さらに良い制度になるように取り組んでいきたいと思っています。
参考までに、サイバー攻撃の事例や国際協力の動きをまとめておきます。