見出し画像

能動的サイバー防御をめぐる議論(その2)

1onDo_

「サイバー安全保障分野での対応能力の向上に向けた有識者会議」(第2回)
1. 日時 令和 6 年 7 月 8 日(月)18 時 00 分から 19 時 00 分までの間
2. 場所 中央合同庁舎第4号館 共用第4特別会議室
参考資料

構成

最初に経済三団体(経団連・経済同友会、日本商工会議所)の意見を聞いて、それから質疑応答を行い、最後にテーマ別会合の開催状況の報告を聞く構成になっている。

出席者

 委員については第1回と変更なし。
 政府側は、第1回に参加していた岸田総理大臣と2名の内閣官房副長官がいない。総理がいないのは、1回目が特別だったとして、内閣官房副長官がいないのは、内閣官房としての関与が弱くなったというより、総理がいたから参加していた、という所だろうか。

 なお、今回から「内閣官房サイバー安全保障体制整備準備室」の肩書を持つ人物が6名参加している。室長1名、室長代理1名、室次長4名。この準備室自体は2023年の1月にできたようだが、第1回の「サイバー安全保障分野での対応能力の向上に向けた有識者会議」の参加者には名前が出てこない。その第一回で「内閣サイバーセキュリティセンター(NISC)を発展的に改組し」と示しているので、そのための準備室のはず。第1回では事務局側で参加していたのだろうか?この辺りは資料では良く分からない。

関係団体からの説明

 唐突に経済3団体からのヒアリングという形で説明が始まっている。第1回の議論の時の議事要旨にはそんな話は出ていないが、どこで決まったのだろうか?別に発言すること自体は構わないが、なぜこの3団体が選ばれたのか経緯が見当たらないのはモヤモヤする。

なお、発言者は次のとおり
・和田 昭弘 一般社団法人 日本経済団体連合会 サイバーセキュリティ強化WG主査
・伊藤 穰一 公益社団法人 経済同友会 企業のDX推進委員会 委員長
・岩本 敏男 日本商工会議所 デジタル化推進専門委員会 委員長

 各団体の違いが分からなかったので簡単に調べたら、経団連は大企業が会員で、経済同友会は大企業の経営者個人が会員、日本商工会議所は中小企業の会員が多い、という違いのようだ。

経団連 の意見

  • 経団連ではサイバーセキュリティは国家安全保障に関わる最重要領域の一つと認識し、「実効あるサイバーセキュリティ対策を講じることは、今や全ての企業にとって、経営のトッププライオリティ」と謳っている。

  • 官民連携による情報共有は、民間事業者の過度な負担を回避するとともに、片務的ではなく官民双方向なものとすべきである。
    また、政府の役割を明確化し、インテリジェンス活動やインシデント発生時のアトリビューションは、政府が責任を持って実行すべき

  • 情報共有の際には政府側で情報の重要性を精査し、必要な情報共有先に柔軟に共有することが欠かせない

  • 事業者は既に複数の政府機関にインシデント報告を実施している。報告の簡素化や窓口の一元化など、持続可能かつ実効的な制度設計が必須

  • サプライチェーン全体を俯瞰したレジリエンス強化に向けて、実効的な仕組みを構築することが必要である。その際、実行に必要な費用、人材、技術面での支援等も検討すべき

  • 人材確保について、省庁間や省内の縦割りを排し、中長期的なグランドデザインを描き、横串を刺した取組みをお願いしたい。また、業界横断的かつ中小企業を含むサプライチェーン全体での演習・訓練等の取組みを強力に推進する必要がある

  • 通信を介した攻撃状況のモニターに関しては、事業者の法的安定性を損なわないように、事業者の解釈に委ねることなく、法律での明文化と丁寧なルールづくりが必要不可

  • 諸外国との連携強化について、安心・安全なサイバー空間の構築のた
    めには、トラスト(信用)に立脚した相互運用が不可欠

経済同友会 の意見

  • サイバー攻撃は一段と巧妙化、高度化、複雑化、組織化されていることが顕在化している

  • DXを中心とした経済の活性化を、日本企業全体として進める必要があるが、ここでサイバーセキュリティがきちんとできないと、DX推進が阻害されることになる

  • 今回議論されている能動的サイバー防御は我々も絶対に重要だと考えており、早期に導入すべきである。そして、NISCが発展的に改組して、創設する新組織には大変期待もしている

  • 今までNISCは、とても重要な役割を持っていたのだが、どちらかというと調整のような役割が多かった。海外に倣い、サイバーセキュリティ施策や技術開発に予算をつけるとともに、官民連携でもミーティングやワークショップを行い、リーダーシップを取るいった役割を演じるべきである。

  • 重要インフラ事業者に対するインシデント報告義務化を導入すべきである。しかし企業側は、企業の情報が外に出てしまうと企業価値が下がるなど、経営者や株主も含めてレピュテーションリスクに対する懸念がある。この点は結構慎重に検討すべきである。

  • 様々な国や企業の関係者から情報を収集する場合、報告することで情報提供者にどのようなメリットがあるかがとても重要である。報告した内容が外に漏れるリスクがある上、国からのフィードバックがないというのであれば報告義務のメリットがない。報告によって国がきちんと情報提供、助言、支援するとともに、その情報を集約して国全体のセキュリティを強化するのであれば、報告義務のリスクとメリットのバランスが釣り合うという話になる。この意味で、法律を策定しながら、官民が連携し、Give and take の枠組みを作ることが大切である。

  • 人材育成について、同じサイバーセキュリティ人材といっても、様々なスキルや役割がある。必要な人材の定義を可視化することが重要。

  • 米国や欧州では人材を定義するとともに教育機関と連携している。

  • 日本にはサイバーセキュリティの学科を持つ大学はほとんどない。大学も、様々な理由で改革を行うのは難しいが、人材はそもそも足りないので、高校や中学校も含めて同時並行で支援していく必要がある

  • サイバーセキュリティでは、デュアルユースの安全保障と民間の経済安全保障は技術が重なっていて、このような研究開発は一企業の努力では単独では難しい。ぜひ国や新しい組織に期待したい

日本商工会議所 の意見

  • サイバーセキュリティもそうだが、中小企業は、実はデジタル化の現状は、まだまだ深刻なものがある。日本商工会議所としては、セキュリティはもちろん重要だが、それ以前にデジタル化をどう進めるかというのも重要な課題と認識している。

  • ほとんどの企業、(商工会議所所属の)86%以上は、自分たちは何らかの対策はしているという認識を持っているが、中身を少し見てみると、いわゆる「ウイルス対策ソフトを入れているよ」とか、「ソフトウエアを定期的にアップデートしているよ」というレベルの基本的なレベルにとどまっている。

  • セキュリティ対策が進まない1つの理由は人材不足。デジタル人材そのものも十分確保できているという企業はほとんどおらず、セキュリティ人材の確保は一層深刻な状況というのは言うまでもない。

  • 情報システム担当者の設置というのは半分ぐらいの企業が兼任で、担当者がいないという企業も25%ぐらいはある。中小企業においては自分自身の業務の他、兼務でセキュリティを担う、プラスセキュリティの人材育成というのが重要。

  • どうしても中小企業は、サイバーセキュリティ対策が弱いということで狙われてしまう。ランサムウェア攻撃の被害の6割ぐらいは中小企業というデータもあり、対策が必須というのは言うまでもない。

  • 多くの中小企業では、対策が基本的な状況であり、より支援を強化していただく必要がある

  • 経済安全保障上の基幹インフラの維持は極めて重要だが、重要インフラのサプライチェーンを担う中小企業は特定されていると思うので、対象を絞
    って個々の企業のポテンシャルに合わせた実効的な支援、配慮が効果的かと思う。なお、中小企業には過度な負担とならないような制度設計が望まれる。

  • 多くの中小企業は、能力、リソースが不足しており、何かインシデントが発生しても、中小企業単独だけで原因を解決して、その対応策を打つということが困難である。政府から昨今のサイバーセキュリティに関する動向や対策事例など、情報発信を強化していただいて、官民連携のもとで、中小企業の事業継続という形で支援していただければ

  • 政府からの情報提供の強化について、個々の政策だけではなく、サイバー安全保障に関わる背景とか、経済安全保障推進法や国家安全保障戦略との関係性、現在の取組状況などを踏まえて、分かりやすく丁寧な説明を実施していただければと思う。特に、関係する企業及び対応を促したい団体等へは、プッシュ型での周知を政府から実施していただければと思う。

以上意見に対する質疑

【委員からの質問①】

 人材不足について、例えば優秀なセキュリティ人材について給料を倍支払ったらどうか。また、官に対する窓口の一元化という話もあったが、インフラ事業者同時で何か考えてはいるか?
【経団連の回答】
 企業においては「特化したサイバースキルを持つ人材がひとりいればよい」というわけではない。そういう人材は特化したスキルを持つ人材だと思うが、各企業に数名ずつ必要かといえば、特にユーザー企業においては、そうした人材が常に活躍できる場があるわけではなく、雇い続けるのは大企業でも非常に厳しい。
 クリティカル・インフラストラクチャーの団体についてはSC3(サプライチェーン・サイバーセキュリティ・コンソーシアム)がある。このほか、2015年に発足した「産業横断サイバーセキュリティ検討会」では重要インフラ企業も参画し、経営層を巻き込んだ情報交換や人材育成等の活動を行っている。
【経済同友会の回答】
 セキュリティ分野では、企業でも被害が見える化されてらず、ROIの中で考えると投資ができておらず、結果的に人材も獲得できていないという状況がある
【日本商工会議所の回答】
 中小企業といってもかなり幅があり、一概には言えないが、給与を上げるというのは、ほとんど現実的ではないと思う。ただ、先ほど申し上げたように、中小企業はデジタル化も進んでおらず、デジタル化を進めている企業は、トップが意識的に取り組んでおり、実際のビジネスをしながら、どんどん進めている。サイバーセキュリティも同じことだと思う。
 非常に重要な中小企業の場合は、中小企業自らが何かやるわけではなく、大手の企業のサプライチェーンとして受けているケースが多い。発注が上がってくるときに、このサイバーセキュリティは、ここのレベルまでやってほしいとなれば、その部分を嵩上げしてもらうことが、必然的に中小企業のサイバーセキュリティ対策に回ってくると思う。

【委員からの質問②】

 政府の情報発信、提供に非常に多く期待をされている、それが必要であるという発言があったが、どのような情報の提供あるいは情報提供の在り方をイメージされているのか。例えば、どういうタイミングで、どういう方法で、どの程度の情報をどのように発信してもらいたい、提供してもらいたいという希望が、具体的に幾つか出そろってくると良いのではないか。
 また、重要インフラに係るサプライチェーンを守っていくという観点から見たとき、ある程度体制が整っている大企業のほうで、サプライチェーンで取引のある中小企業のサイバーセキュリティまで、ある意味でいろいろな形で見ていく、そして、そのことが、競争法上問題ないという整理をしてほしいとか、あるいは中小企業のほうで、そういうこともある程度受け入れることができるとか、あるいはそれは問題があるといったことが具体的に問題になろうかと思うので、もしお考えがあれば、お聞かせいただきたい。
【日本商工会議所の回答】
 仮に政府サイドが何らかのアタック情報を入手したときに、中小企業においても、具体的にこういう部分についてチェックすべきだとか、あるいは単純に、自分たちの持っているプログラムのリストを全部、ディレクトリを洗う必要があるかなど示唆することができる。そして潜伏しているウイルスをハンティングすることもできるわけだ。そういう情報は中小企業からは絶対分からないので、これは政府が集めたところから対象を特定した上で、サプ
ライチェーンで上から下に流していくような形で情報提供をしていくと、現実的にかなり効率的な対応が打てることになる。
【経団連回答】
 情報提供の質のレベルについては、今議論があったとおり、私も同意である。例えば、ロシアのウクライナ侵攻において潜んでいるマルウェアを取り除いたという話などを聞くが、如何に対処したのかなど、安全保障に関わる情報を入手できているのであれば、ぜひ共有いただきたい。各所からいただいている一般的な脆弱性情報などについては、企業が取り組むべきと考えている。
 2点目の重要インフラのサプライチェーンの件については、やはり、下請法や独占禁止法の関係もあり、SC3等でも課題として認識されている。例えば、サイバーセキュリティ対策を強化することによって部品価格を値上げすることが下請法で許容されるのか、独占禁止法に抵触しないのか、といった判断について事業者は苦慮している。先ほど御提示があったとおり、サプライチェーンの上流企業が下流企業を助けてあげようとすることが利益供与に当たらないか。現行法に課題があると認識しており、今後検討していただければ、という趣旨である。

【委員からの質問③】

 重要性の高いセキュリティ対策として、脆弱性情報を踏まえたアップデート、いわゆるパッチ適用を適時に運用するという点があるが、その重要性が中小企業においてはまだ十分に認識されていないという印象がある。
 また、サプライチェーンを構成する企業に対して、セキュリティ対策を推奨するときに、確かに優越的地位の濫用や下請法に抵触するのではないかというのが論点になる。
 この論点について、公正取引委員会から2022年10月28日に、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」という有益なガイドラインが出ている。それでも企業としては、サプライチェーンを構成する企業に対して、例えばEDRの導入を求めたり、サイバー保険の加入を求めたりするにあたって、優越的地位の濫用や下請法への抵触が気になって、二の足を踏んでいるという実情があるという印象がある。
【日本商工会議所の回答】
 基本的には委員のおっしゃるとおりだと思う。
 ただ、今は様々なソフトウエアが多段式に組み合わされているので、どこかの会社のソフトを直すと、実はシステム全体に悪い影響を及ぼすということが山のようにある。したがって多くの企業では事前のテストを入念にやらざるを得ない。そのパワーと効果とがトレードオフみたいなもので、どこまでパッチ対応するかという判断は、どちらかというと、ネガティブになっているところが多いと思う。
 基本原則は、委員のおっしゃるとおり、脆弱性が出たら、それは無条件に当てて、そこで何か出たら、提供側のパッチのミスだと割り切ることが必要だが、パッチを当てることによって大きな障害を引き起こすことが皆無でないので、この辺のところが、いたちごっこの要素があるように思う。

【委員からの質問④】

 官民連携の枠組みの在り方であるが、政府の役割を明確化するという点で、政府にサイバー空間の安全を確保する責務があるということを、法律に明記して、その上で政府の体制としては、これまで御議論されているように、NISCを発展的に改組して、政府の司令塔組織としていくことが考えられると思っている。
 さらに、その下に、官民の新たな協議体をつくると、先ほど、他の委員からもお話があったが、官民が力を合わせてともに守るという在り方を目指す方向へ向かっていけるのではないかと思った。
 お尋ねであるが、企業に過度な負担を負わせないという意見があるが、その過度な負担を負わせないということの中には、情報を提供する企業が、法的なリスクを負わずに済むようにするということも含まれるのではないか。
【経済同友会の回答】
 もちろん正直者をフェアに扱うことも重要であるが、EUではNIS2指令(EUのサイバーセキュリティー法令)において違反した場合は売上の数パーセントの支払いや経営者交代なども起きている。それを通じてサイバーセキュリティが強化されている現実もあると聞く。
 日本にはそのような罰則は現時点ではない。様々な論点はあるが、アメとムチの両方が必要であり、バランスを取りながら進めることが必要である。

【委員からの質問⑤】

 人材流動性の低さが非常に課題である。
 セキュリティ研究の場合は、大学の中だけで研究をやるのは難しく、実務経験や社会人経験がある人材が大学に戻って、更に高い技術を身につけるということで、海外では良い成果、良い技術が出ていると思うが、日本はなかなかそうはなっていないということがある。このような人材にとって、そういうキャリアパスを取るということが非常にリスクがあり、かなり志のある人でなければ、それができない。大学に戻った後、大学で教員になるポストも少なく、学位取得した場合に企業に戻った後も、それがキャリアアップになるという保証が全くないという中で、かなり人材が停滞しているという印象を持っている。
 人が来ないから教育が充実しないのか、教育が充実しないから人が来ないのか、鶏と卵のようなところもある気がする。
 また、国産のセキュリティ技術を強化すべきという話もあったが、これも似たような話があると思っており、国産のセキュリティ技術は、確かに十分でないと思うが、一方、海外の技術に頼り切っている面もある。技術がないから導入が進まないのか、導入が進まないから、知見、経験、データがたまらない、データがなければ、研究も技術もできないということで、この負のスパイラルに陥っているという印象を持っている。
 こういった人を雇用する立場、また、技術を導入する立場の企業から見て、突破口はどこにあるかについて、考えをお聞きしたい。
【経済同友会の回答】
 やはり全体的に人材資金や投資が足りない。欧米に比べて、国も企業も人材投資が不十分である。
 国がリーダーシップを取って、適切なところにお金をつけて、企業もキャリアステップを考え、給与水準を上げる必要がある。また経営層にもセキュリティ知識に優れた人材を少なくとも取締役レベルのメンバーにいれるなどしないと、日本のサイバーセキュリティ強化は口だけ終わってしまう。

テーマ別会合の開催状況の報告

 議事要旨には、「事務局から、テーマ別会合(官民連携、通信情報の利用、アクセス・無害化措置)について、資料4から資料6を使用して開催したとともに、今後もテーマ別会合での議論を継続し、その結果を次回以降の有識者会議に報告することとされた。」とあるので、時間の関係からか、内容の説明まではしていないようだ。

河野国務大臣挨拶

 多くの中小企業を始めとする企業には、当たり前のことを当たり前にやっていただく、二要素認証なら二要素認証をやっていただいて、表門をきちんと閉めておいていただく。その上で、どうしてもゼロデイやら何やらで防げないものはあるのだろうと思います。
 やるべきことをやって、それでも防げないものについてはどう復旧するかということを考えていかなければいけないのかなと思います。
 どのようにやっていったらいいのかということと、いかにセキュリティな情報を持っているのかという、幾つかのマトリックスを頭に描きながら、どこをどれだけ注力していったらいいのかということを考えないといけない。
 あらゆることをパーフェクトにというのはできないという前提で、とセキュリティ担当大臣が言ってしまっていいのかどうか分かりませんが、そのあたりのことを少し頭の中に描きながら、優先順位をつけて対応していくことが必要なのかなと感じた次第です。


感想

 突然経済3団体が現れたりして、政治色が強めかなと思ったが、中身を見るとかなり真面目に議論されていて驚いた。また、3団体は同じ経済団体というジャンルではあるが、それぞれの立場の違いを感じることができるもの興味深かった。
 また、セキュリティのトップガンを育てる、とかの最先端の話ではなく、中小企業のセキュリティ向上が重要、という議論も地に足がついていて好感が持てた。
 結構良い事を言っている部分も多く、あまり省略できずについつい文字数が多くなってしまった。一時間の会議でこの内容は濃い!特に質疑が濃くて、本当にちゃんとサイバーセキュリティについて考えて議論しているのが伝わって来たのはうれしい誤算だ。
 これらの議論が、実際の施策にどのように反映され手行くのか、引き続き追いかけていきたい。


この記事が気に入ったらサポートをしてみませんか?