日本マイクロソフトは2月15日、「Microsoft Security Forum 2023 -社会全体のサイバーハイジーンをめざして-」と題した顧客向けイベントを開催した。同イベントの基調講演では、政府のサイバーセキュリティ対策のほか、マイクロソフトのセキュリティ関連の取り組みが話された。

本記事では、ゲスト登壇した政府関係者が語った日本のデジタル政策の方向性と、政府のサイバーセキュリティ政策の最新の取り組みを紹介する。

【関連記事】
≪マイクロソフト、行政DXの要となる人材育成の支援事例を紹介≫
≪サイバー攻撃急増に対し「セキュリティ連盟」結成、具体的な取り組みは?≫

「国内のデータ利活用を立て直すべき」 - デジタル社会推進本部・平井議員

日本のデジタル政策の方向性については、自由民主党 デジタル社会推進本部本部長を務める衆議院議員の平井卓也氏が語った。

2022年9月に発表された「世界デジタル競争力ランキング2022」の「ビッグデータ活用・分析」の項目にて、日本が調査対象国・地域の中で最下位だった。

平井氏はこの点に触れつつ、「日本には良質のデータがあるのにうまく使えていないのが現状だ。国際的に自由なデータ流通を目指すDFFT(Data Free Flow with Trust)などでデータの信頼性が問われているが、国内においてはまずデータ利活用を立て直すべきではないか」と述べた。

  • 自由民主党 デジタル社会推進本部本部長 衆議院議員 平井卓也氏

    自由民主党 デジタル社会推進本部本部長 衆議院議員 平井卓也氏

サイバーセキュリティ対策については、政府が2月14日に国家機密などの機密情報をあつかう資格者を認定する「セキュリティー・クリアランス」制度の整備に向けた有識者会議を設置すると発表したことに関連して、アクティブサイバーディフェンス(積極的サイバー防御)の重要性に言及した。

「どんな活動がアクティブサイバーディフェンスに含まれるか、また、政府のサイバーセキュリティ対策組織へのハッカーの起用にあたっては、彼らの活動が法律的に守られるようにしなければいけない」(平井氏)

加えて、サイバーセキュリティ対策の高度化に向けて、情報共有の中身やレベルをもう一度整理する必要性も指摘した。

2023年中に統一基準を改訂し、ISMAPの審査・運用も合理化

政府のサイバーセキュリティ政策の取り組みについては、内閣官房 内閣サイバーセキュリティセンター(NISC) 副センター長で内閣審議官の吉川徹志氏が説明した。

「政府は2022年末に出した国家安全保障戦略において、安全保障面からのサイバーセキュリティ対応、特に国・重要インフラの安全保障を懸念させるようなサイバー攻撃への対応を強化する方針を示している。今後、そのための具体的な取り組みが検討されていく予定だ」と吉川氏。

  • 内閣官房 内閣サイバーセキュリティセンターー(NISC) 副センター長 内閣審議官 吉川徹志氏

    内閣官房 内閣サイバーセキュリティセンターー(NISC) 副センター長 内閣審議官 吉川徹志氏

日本のサイバーセキュリティ政策を担う中心組織が「サイバーセキュリティ戦略本部」となり、NISCは同本部の事務局に当たる。

NISCでは各省庁が統一的なルールと考え方で業務を行えるような調整を行っているほか、政府システムのCSIRT(Computer Security Incident Response Team) および各省庁や独立行政法人を対象としたSOC(Security Operation Center)の役割を担っている。

NISCは現在、2021年9月に閣議決定された「サイバーセキュリティ戦略」を基に、政府機関のセキュリティ強化、重要インフラのセキュリティ強化、地域・中小企業などのサイバーセキュリティ強化に向けた施策を実施している。

これらに加えて、ナショナルサート(National SIRT)として、今後は産業界への注意喚起などサイバーインシデントの未然防止の対応や、サイバー空間の脆弱性の拡大に対応した防護範囲の拡大に向けた活動なども実施していくという。また、他国との国際連携・協力・支援も強化する。

  • 内閣サイバーセキュリティセンターはナショナルサート(National SIRT)機能を強化する方針だ

    内閣サイバーセキュリティセンターはナショナルサート(National SIRT)機能を強化する方針だ

政府機関のセキュリティ強化は統一基準群に基づいて行われるが、2023年中に同基準群の改訂が行われる予定だ。同改訂では、ISMAP(政府情報システムのためのセキュリティ評価制度)の促進と対象範囲拡大、業務委託先などサプライチェーンも含めた情報セキュリティ対策強化、情報システムの設計・開発段階から講じるべきセキュリティ対策、ゼロトラスト・アーキテクチャ導入などに関連した内容が追記される予定だ。

  • 2023年中に政府機関のセキュリティ強化の統一基準群を改訂

    2023年中に政府機関のセキュリティ強化の統一基準群を改訂

このほか、ISMAPの改善も実施する予定だ。ISMAPは政府機関などがクラウドサービスの調達を行う際に、調達対象となるサービスのセキュリティや信頼性を確認するための制度として運用されている。2022年11月には、SaaS(Software as a Service)の中でもリスクの小さな業務・情報の処理に用いるサービスを対象とした新しいクラウド認定制度であるISMAP-LIU(ISMAP for Low-Impact Use)の運用が開始された。

吉川氏は、「ISMAPの立ち上げから2年、これまで28社・38サービスが登録されたが、外部監査コストの煩雑さやコストなどの課題も出てきている。今後は制度の審査・運用を合理化することで、ISMAPの登録や更新などの負担軽減を図りつつ、審査対応の迅速化も進める」と明かした。

2022年度内に改善の方向性を決定し、2023年6月以降、順次関係規定を改正し、改善内容を具体化する計画だ。併せて、NISCではISMAP利用拡大に向けた対外発信や企業などとのコミュニケーションも継続するという。