見出し画像

政府のサイバーセキュリティに関する令和6年度予算ってどうなってるの?

1onDo_

 前回、政府のサイバーセキュリティの方針を示した「サーバーセキュリティ2024」から、政府のサイバーセキュリティに関する今年の施策を見てみましたが、では実際のお金の動きはどうなのでしょうか。
 口でいろいろ言っても、結局はお金を含めた実行力がなければ物事は進みません(お金のかからない施策もありますが)。
 という事で、令和6年7月10日に開催されたサイバーセキュリティ戦略本部※第41回会合の資料から、今年度予算に関する「政府のサイバーセキュリティに関する令和6年度予算」を見てみたいと思います。

※サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、内閣に、サイバーセキュリティ戦略本部を置く。

サイバーセキュリティ基本法 第25条

全体予算
 この資料によれば、令和6年度のサイバーセキュリティに関する当初予算は2128.6億円で、昨年度の1378.9億円より749.7億円の増額。
 昨年の1.5倍だよ!凄い。
 参考までに、今年度の国家予算が112兆717億円なので、約0.19%。
 当たり前だけど、国って本当にいろいろなことに予算を使っているので、これが多いのか少ないのかは正直判断できません。(意味なし)

内訳
 実際の数字は資料そのものを見てもらうとして、それを元に各府省庁ごとにまとめてみた表が次のとおり。
 なお、資料に載っている主な施策から表を作っているので、そこに載っていない施策は含まれていないため、全部足しても2128.6億円にはなりませんのであしからず。

表1 令和6年度 政府のサイバーセキュリティに関する予算(主なもの)

 今年の当初予算、昨年の補正予算、昨年の当初予算が載ってます。当初予算というのは、前年度の夏頃にに各省庁が予算要求したものがベースであり、年度が始まってから、「やべ、これもやったほうがいいな!」となって、年度途中で追加された予算が補正予算。
 昨年度の補正予算に着目すると、厚生労働省の「厚生労働省及び関係機関等における情報セキュリティ対策推進費」に53.3億円ついていますが、恐らく、あちこちの病院がランサムウェアにやられて、緊急的に色々やったやつかな、と思います。

 なお、施策名を見ても中身が良く分からない、という方もいらっしゃると思いますが、私も分かりません(汗)。この施策名はある意味予算の箱のようなもので、毛色の同じものは同じ箱に入れて要求するので、実際にこの施策の中で何をやるのかは、それこそ「政府のサイバーセキュリティに関する令和6年度予算」の中身を見るしかありません。
 という訳で読んでみました。

資料を読んで分かったこと


・省庁ごとに資料作成フォーマットが異なる
 いきなり内容に関係ない話で恐縮ですが、読んで最初に思った事がこれ。
 施策ごとの資料って、それぞれは別に国民のために作られたわけではなく、各省庁が財務省に予算要求する時に作成した資料の一部だと思うのですが、そのフォーマットが省庁ごとで完全に異なっています。経産省は図は入れず、レイアウトはシンプルに分かりやすく、総務省は図を入れるのが好きで、時に情報過多気味…。国土交通省は情報量少なすぎない?みたいな。省庁ごとの特色があって面白いですが、資料ごとに読み方が異なるので読む側としてはあまり嬉しくない気がします。

・事業スキームが分かる(ものがある)
経産省、総務省、デジタル庁等の資料では、事業スキームが記載されています。事業スキームって何?という感じですが、例えば次の図のような感じです。

経済産業省の資料より

 これで何が分かるかというと、この事業は経済産業省そのものがやるのではなく、一部は民間企業に委託として発注し、残りは独立行政法人に交付金という形でお金を渡してやってもらう、という仕組みになっている、という事です。
 この独立行政法人情報処理推進機構というのは、あの「情報セキュリティ10大脅威」を発表しているIPAです。資料の中で、経産省はIPAに交付金や補助金という形でお金を渡して色々な事業を行っているのが分かります。
 一方で、総務省は、経済産業省のように分かりやすくスキームを書いていないのですが、「事業スキーム:補助事業」とだけ書いてあり、一緒に載っている図の中に、国立研究開発法人情報通信研究機構(NICT)に関するキーワード(NICTERとかCYNEXとか)がちらほら出てくるので、NICTに補助金を払って事業をやっているんだな、と分かります。
 各省庁の実情など知る由もありませんが、想像するに、国では決めなければいけないことが多くあるため、各省庁が自分たちで何かやるというよりは、施策に関する意思決定を自分たちでやって、実行にあたっては、法人等を使って事業を展開していく、というスキームが多いのかな、と感じました。

・サイバーセキュリティ予算の71.5%は防衛省が使う!
 省庁ごとの予算の割合と金額を整理した表は次のとおり

表2 令和6年度 政府のサイバーセキュリティに関する予算割合(省庁ごと)

 全部足したら100.1%になっていますが、元の資料を足したらそうなったので仕方ない。おかげで総額も実際よりも多くなってしまってます。ただ、ここで言いたいのは細かい金額ではなく割合と規模感なので、気にしないでください。
 表1で一番大きい1056億円の、防衛省の「情報システムの防護」。資料を見ても、まぁ、サイバー攻撃関係の機材やシステムの調達をするのね、位しか分からないです。で、そういった感じでサイバーセキュリティ関連予算2128億円の内、1500億円は防衛省が使うと。
 サイバーセキュリティ2024の中では、自衛隊の装備については大して触れていなかったと思うので、別の防衛関係の資料で示されているのでしょうか?

・残りの予算は600億円
 この時点で残りは600億円…。
 ん?そういえば、昨年より749.7億円増額したという事でしたが、そのうちで防衛省の増額分が気になったので、政府のサイバーセキュリティに関する予算(令和5年度予算政府案)と比べてみると・・・639億円!つまり今年度防衛省以外での増分は100億円!?サイバーセキュリティ関連予算が大幅に増えたかと思ったのですが、防衛費が増えていただけだった、というオチですか。
 という事は、防衛省以外の予算は昨年度が500億円で今年度が600億円。何だか心許なくなってきましたが、600億円でも昨年より2割増額ですし、多いか少ないかは結果で判断したいところです。まぁ、それが難しいのですが。

・増額分の分配先の詳細は・・・不明!
 で、その増額された100億円ですが、昨年の予算と見比べていくと、大きいところで経産省が58.8億円、NISCが32.2億円となります。ですが、今回見ている「政府のサイバーセキュリティに関する令和6年度予算」では、主な施策しか載っていないからか、施策として増額分が確認できるのが経産省で20億円弱、NISCでは増額分がどこに使われたか見えない、という状況です。

・防衛省以外で一番予算の多い施策は経産省の第二GSOC更改
 防衛省は別格なので除くとして、それ以外で一番大きい施策は、経産省にの「独法等の監視に係る次期システム構築事業」(57億円)です。中身を見ると、第二GSOCの更改を行い、令和7年度から運用開始するための詳細設計や構築を行なうとなっています。
 GSOCというのは、政府機関及び独立行政法人等を対象とした、サイバーセキュリティに関する監視や情報収集、攻撃の分析・解析を行い、政府機関等へ助言や支援を行うチームの事で、政府機関を対象とした第一GSOCと、独立行政法人等を対象とした第二GSOCに分かれています。
 昨年度は予算がないことから、今年度からの新規事業です。第一と第二のGSOCが、その監視対象以外にどういう差があるのかは資料がないので良く分からないです。
 今年度分が57億円ですが、来年度も継続して構築がある可能性がるので、システム設計開発の総額はさらに多くなると思われます。
 GSOCが各機関を監視しているという事は、逆にGSOCがサイバー攻撃で侵害されたら各省庁が危険に晒されることから、非常に重要な事業ですので、予算が多いのも納得です。
 なお、GSOCはNISCの監督の下でAPIが運用しています。事業主体がNISCではなく経産省というのは、実体としてIPAがほぼ動かしているというのでは、という事と、GSOC(2008年運用開始)はNISC(2015年内閣官房に設置)より前に作られた、という経緯によるものかな、と想像します。

・その他の施策
 2番目、3番目も経産省で、それぞれ「産業サイバーセキュリティ強靭化事業」(23.4億円)と「サイバーセキュリティ経済基盤構築事業」(20.2億円)です。共に前年度から引き続いている施策で、概ね予算額も変わっていません。
 「産業サイバーセキュリティ強靭化事業」(23.4億円)の方は、(1)「サプライチェーン・サイバーセキュリティ対策基盤構築」と(2)「人材育成と実際のシステム安全性・信頼性検証等」の2本建てとなっています。
 (1)は対策基盤構築、書いてあるので、何かシステムを作るのかな、と思いましたが、中身的には産業界でのガイドラインの充実、という事のようです。(2)は模擬プラントを用いたセキュリティ演習や重要インフラ等の制御システムの安全性・信頼性の検証となっており、産業界を外側からサポートする内容となっています。
 もう一つの「サイバーセキュリティ経済基盤構築事業」(20.2億円)は、CSIRT間での連絡調整とIPAのサイバーレスキュー隊(J-CRAT)の運営を行うもので、共に継続事業ですね。
 これを書くためにJ-CRATのページを見てみたのですが、年2回発行されていた活動状況のレポートが、なぜか2022年12月を最後に発行されていないようです。内容的にはなかなか興味深いのですが、これだと最新の動向が分かりませんね…。毎年予算がついているので、活動は間違いなくしているのでしょうが、レポートはやめたのでしょうか。予算削減?(汗)

・結論
 サイバーセキュリティ戦略本部 第41回会合で使われたこの「政府のサイバーセキュリティに関する令和6年度予算」という資料を見てみましたが、サイバーセキュリティ関係予算の一端及び主な施策を知ることができるので、サイバーセキュリティ関連施策に関する傾向を見るのには良いのではないでしょうか。全部解説するのは無理なので、興味がある方はご自身で目を通してみて下さい。
 ちなみに、最後に、サイバーセキュリティ戦略本部の現在のメンバーを載せておきます。大臣以外の専門家の方は9名いるようですが、こういうのってどうやって選ぶんですかね。一口にサイバーセキュリティといっても分野が広いので、9名で全てカバーできるのかな、とも思いますが、多分、これよりも下位に、もっと専門的な会議体があるのではないでしょうか。その辺も時間のある時に調べてみたいです。

サイバーセキュリティ戦略本部 名簿


この記事が気に入ったらサポートをしてみませんか?