内閣サイバーセキュリティセンター参事官が語る、国のセキュリティ戦略とは

仕事や生活の場におけるPCやスマートフォンの浸透、IoT機器の普及などにより社会全体のIT依存度が高まるのと合わせて、標的型攻撃やランサムウェア等に代表されるサイバー攻撃による脅威も増大し続けている。サイバー攻撃に関しては、国家関与の疑われる攻撃も目立ってきており、国家レベルでの対策が急務になっている。

なかでも懸念されているのが、エネルギー、金融、運輸、医療など生活に直結するインフラを標的としたサイバー攻撃の高まりである。2020年に東京五輪の開催を控えている日本でも、重要インフラにまつわるリスクに対しどう対処していくべきかが国家的な大きな課題となっているのだ。

そこで本稿では、内閣官房内閣サイバーセキュリティセンター(以下、NISC)参事官の瓜生和久氏に、国のサイバーセキュリティ戦略と重要インフラ防護の取り組みについて話を聞いた。

「重要インフラ事業者必見! いま求められるセキュリティ対策セミナー」の参加申し込みはこちら(参加費無料、7月26日(水)開催、14:00～)

サイバーセキュリティ基本法における重要インフラ

前述のようなサイバー脅威の深刻化を受け、サイバーセキュリティを強化するために2015年1月に全面施行されたのが「サイバーセキュリティ基本法」だ。同法は、内閣官房長官が本部長を務めるサイバーセキュリティ戦略本部が、IT総合戦略本部や国家安全保障会議(NSC)と連携をとりながら制定。またサイバーセキュリティ戦略本部の設置と同時に、事務局的な役割を担うNISCが内閣官房に設立された。ちなみにサイバーセキュリティ基本法は、わが国の法律で初めて「サイバーセキュリティ」という言葉が用いられた法律である。

同法では重要インフラについて次のように定義している。

重要社会基盤事業者：
国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者

重要社会基盤事業者等：
重要社会基盤事業者及びその組織する団体並びに地方公共団体

瓜生氏が強調するのは、同法の第五条と第六条における重要インフラの責務に関する内容である。地方公共団体と重要社会基盤事業者(民間事業者)を分けて、以下のように定められているのだ。

地方公共団体の責務：
第五条　地方公共団体は、基本理念にのっとり、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有する。

重要社会基盤事業者の責務：
第六条　重要社会基盤事業者は、基本理念にのっとり、そのサービスを安定的かつ適切に提供するため、サイバーセキュリティの重要性に関する関心と理解を深め、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする

「地方自治体に対しては『責務を有する』と、はっきりと自主的な施策を義務付けているのに対し、民間事業者に関しては施策に『協力するよう務めるものとする』と努力規定となっています。ここが現在の国の姿勢を理解する上でのポイントと言えるでしょう」(瓜生氏)

また同法の第十四条では、重要社会基盤事業者等におけるサイバーセキュリティの確保の促進について言及しており、国は、重要社会基盤事業者等におけるサイバーセキュリティに関し、基準の策定や演習及び訓練、情報の共有その他の自主的な取り組みの促進、その他の必要な施策を講ずるものとしている。

重要インフラを国はどのように守ろうとしているのか

サイバーセキュリティ基本法と合わせて、日本におけるサイバーセキュリティの基本戦略として「サイバーセキュリティ戦略」が制定されている。その目的は「経済社会の活力の向上および持続的発展」、「国民が安全で安心して暮らせる社会の実現」、「国際社会の平和・安定およびわが国の安全保障」の3本柱となっている。

同様の戦略は多くの国で打ち出しているが、その“目的”に各国のサイバーセキュリティに対するスタンスがよく表れていると瓜生氏は指摘する。

「日本はアメリカのスタンスとよく似ており、公正・自由であることを重んじており、必要以上に国が管理すべきではないという考え方が根底にあります」(瓜生氏)

サイバーセキュリティ戦略の3つの目的に基づいて、2020年及びその後に向けた施策が示されている。例えば、経済社会の活力の向上および持続的発展の施策の1つには、安全なIoTシステムの創出による国際競争力の強化（国際標準化）がうたわれている。そして、国民が安全で安心して暮らせる社会の実現に基づいた施策の中に、国民・社会を守るための取組や政府機関を守るための取組とともに、重要インフラを守る仕組み取り組みについて言及しているのである。

さらに、攻撃を受けるとリスクが高い重要インフラのサイバーセキュリティに関して政府と重要インフラ事業者がそれぞれ取り組むべき対策が、「重要インフラの情報セキュリティ対策に係る行動計画」として取りまとめられている。今年4月には、サイバーセキュリティ戦略本部が、2020年の東京五輪の開催も見据えた第4次行動計画を決定。

内閣サイバーセキュリティセンター内閣参事官瓜生和久氏

瓜生氏は第4次行動計画について、「第3次計画と骨格はほぼ変わらないが、2020年のオリンピックとパラリンピックに対する計画がおり込まれている。同大会に関係する重要なサービスの安全かつ持続的な提供を大きく打ち出したことがポイントだ」と語った。

また、重要インフラの情報セキュリティ対策の現状と課題については、情報系(IT)に限らず、制御系(OT)を含めた情報共有の質・量の改善や、重要インフラサービス障害に備えた対処態勢の整備の必要性にも触れているのが特徴と言えるだろう。

では、今後2020年に向けて、同計画に基づいた施策はどのような体制で、どんなスケジュールで進めていくのだろうか。そこで企業や国民として何に留意すればいいのだろうか── その具体的な内容については、7/26(水)に開催されるセミナー「重要インフラ事業者必見! いま求められるセキュリティ対策セミナー」における瓜生氏の基調講演「サイバーセキュリティ戦略と重要インフラ防護等の取組」で詳細に語られる予定だ。

講演を控えて瓜生氏は、最後にこうコメントを送ってくれた。「様々な脅威が拡大するなか、何が起きるかわからない時代に突入したと言えます。IoTのセキュリティも重視するなど、これからは今までつながらなかったのもつながってくるのだということを意識してセキュリティを考える必要があるでしょう。そのヒントを私の講演からつかんでいただければと考えています」

セミナーの概要は以下の通り。