見出し画像

能動的サイバー防御をめぐる議論(その3-②)「官民連携」

1onDo_

 今回は、サイバー安全保障分野での対応能力の向上に向けた有識者会議(第3回)の資料から、有識者会議とは別に個別のテーマを深堀りしている別会合のうち、「官民連携」に関するテーマ別会合(第1回、第2回)の内容を見ていく。
 ・有識者会議(第3回)の資料構成はこちら記事のとおり
 ・テーマ別会合についてはこちらの記事のとおり


😎「官民連携」会合概要

官民連携に関するテーマ別会合
 第1回:令和6年7月3日(水) 8時30分~10時30分 オンライン開催
 第2回:令和6年7月23日(火) 9時00分~10時15分 オンライン開催

有識者会議構成員のうち、「官民連携」に関する会合の参加者は次のとおり
なお、これら構成員とは別に河野国務大臣は毎回参加し、最初に挨拶をしている。

官民連携に関するテーマ別会合の参加者

 1回目について、オンライン開催とはいえ8時30分開始って、中々に攻めた設定だ。社内会議なら緊急案件とかならギリありそうだが…方々から人を集めた会議ではちょっと勇気がいりそう。恐らくは一番トップの河野大臣の日程に合わせたのだと思うが、事務局は苦労しているのではないだろうか…。

 参加者について、有識者会議構成員17人のうち13人が参加。法律関係の人が不参加なのかな、と思ったが、法律事務所で参加している人もいるし、あまり傾向はない。

 逆に、この「官民連携」の会合に”しか”参加していないのは次の二人一人のみ
・落合洋一 氏(筑波大学デジタルネイチャー開発研究センター長/准教授)
・辻伸弘 氏(SB テクノロジー株式会社 プリンシパル セキュリティ リサーチャー)
※(9/20追記:記事作成当初「落合洋一」氏もこの会合にしか参加していないと記載していましたが、「情報通信の利用」の第1回会合の2日目に参加していました。見落としです。お詫びして訂正します。)

 これをどう見るか。
 「通信の情報の利用」「アクセス・無害化」の会合については、それぞれ、「政府のものではない情報の一部を覗き見る」、「攻撃してくる・攻撃が想定される他国のサイバーに手を出す」という、ある意味、今まで触れなかった一線を越える領域の話になる。
 一方の「官民連携」では、今ある枠組みの発展・組み換えとなる話であり、その辺りが違いではないだろうか。
 まぁ、何というか、結論を導くにあたり政治的な配慮が強く求められそうな分野について、何らかの意思・配慮があったのかな、などと勝手な想像してしまう…。
(9/20追記)記事作成当初色々書きましたが、この会合のみの参加は1人だけとなると、あまり理由はなくて、普通に日程の都合なのかな、などと思ったので上の考察を削除しました。

📚第1回会合まとめ

1 対応能力向上のための官民連携の必要性

  • 重要インフラのデジタル化
    重要インフラのDXが進んだ結果、サイバーセキュリティに関するリスクが高まった

  • 重要インフラ等への攻撃の高度化
    サイバー攻撃は巧妙化、高度化、複雑化、組織化が進んでおり、単純なインディケータ情報の共有では検知や対策が困難
    現状、インシデントの報告窓口は複数存在しており、一刻を争う状況の中で、報告コストを下げるため、窓口の一本化やフォーマットの統一が求められる

  • 社会全体の強靱化の必要性
    数の上で90%以上を占める中小企業の対策は絶対的に必要。
    国家のサイバーセキュリティの力とは、その国におけるサイバーセキュリティ人材の層の厚さ。
    セキュリティ分野に実際に人材が流入するような状況にはなっていない。

2 高度な攻撃に対する支援・情報提供

  • 情報提供に関する政府の役割について
    重要インフラは、国民視点でサービスを継続できることが大事。
    情報共有は、レジリエンスを高める上で最も重要。
    被害企業から情報を報告してもらうには、インセンティブの設計が大事。
    官民連携による情報共有は、双方向であるべき。

  • 提供すべき情報について
    経営者、実務者、アナリストといった階層ごとに適切な情報を提供することが必要

  • 情報提供・情報共有の体制について
    有事においてはワンボイスで情報発信をすることが重要
    インテリジェンス活動等を含めて政府が分析した情報を、必要な共有先に柔軟に共有すべき。
    クリアランスがあると海外との連携、官民の情報共有が行いやすくなる。

3 ソフトウェアの脆弱性対応

  • 脆弱性への対応について
    毎年、多くの脆弱性が公表されているが、攻撃に悪用されているのはそのうち1%未満。悪用されている脆弱性に優先的に手当てをすることが重要。

  • ベンダーの責務について
    インフラのサイバーセキュリティにとって一番重要なのはやはりゼロデイに対応すること。
    ソフトウェアベンダーなどに対して規律付け、報告の義務化などを行うべき。
    SBOMセキュアバイデザインセキュアバイデフォルトを推進すべき。
    中小のメーカーや攻撃が集中する通信機器のメーカへのサポートが重要。

  • 脆弱性情報等の提供について
    KEVに載ってこない、日本やアジアのみでよく使われているソフトの脆弱性情報を日本語で発信していくことも大切。
    豪州では、資産情報を予め登録させて、登録情報と適合した脆弱性情報が速やかにフィードバックされる仕組みがあり、自動化の取組の一つ。

4 政府の情報提供・対処を支える制度

  • インシデント報告の義務化について
    重要インフラ事業者に対してインシデントの報告を義務化すべき。
    義務化の範囲はある程度広くあるべき。
    デジタル・インフラストラクチャーと電力は特に重要なインフラとして扱うべき。
    非重要インフラについて、ソフトウェアベンダー、防衛産業、重要製造業など、特に重要な者に対しては、報告の義務化などを適用してもいいのではないか。

  • インシデント報告の迅速化について
    インシデント報告は、これまで監督省庁へ行われてきたが、報告先の一元化を含めて工夫してほしい。
    サイバー攻撃の情報共有は迅速であることが重要。そのための鍵は自動化。

  • 報告された情報の取扱いについて
    報告フォーマットの統一化が必要。
    情報提供については、明確な規律が必要。
    事業者から提供される情報は、慎重に取り扱うべき。

5 サイバーセキュリティ戦略本部・NISC・関係省庁が連携した施策の推進

  • 事案が発生したときに、司令塔として関連省庁に指示を出す組織だとすれば、有識者の関わり方を含めて、構成の在り方を検討すべき。

  • 政府機関等、それぞれの役割と責任範囲を明確に整理すべき。

6 重要インフラ事業者等の普段からの対策強化

  • 重要インフラは、国民視点でサービスを継続できることが大事

  • 基準、ガイドラインを策定するとともに、認証、資格の活用や遵守状況の公表など、実効性を高める仕組みを考えていくことが重要。

  • 実行に必要なリソース支援、政府調達要件への採用等も検討すべき。

7 政府機関等の普段からの対策強化

  • まずは、各組織におけるサイバーセキュリティ水準を強固にすることが必要。

  • 今まで以上にサイバー攻撃に関する膨大かつ詳細な状況の観測・分析の積み重ねが必要。

  • 国家安全保障の観点からも政府主導で高品質な国産セキュリティ製品、サービス供給の強化を支援すべき。

8 人材の育成・確保

  • 産学官の共通認識をするため、政府主導で人材定義の可視化を検討すべき。

  • 人材育成については、非技術者の巻き込みも大事。

  • サイバーセキュリティ対策の重要性について、経営層を含めた非技術者にも広くわかりやすく説明することが必要。

  • サイバーセキュリティ人材の待遇の改善、長期的なキャリアパスの提示、人材の重要性の周知、企業等の組織への当該分野人材採用のための支援策が必要

  • NISC等の政府機関との官民人材交流に関する枠組みを導入すべき。

  • 政府のサイバーセキュリティ業務にあたる人材の任期の長期化や勤務場所の集約を検討すべき。

9 中小企業の対策強化

  • 中小企業の強靱性を高めないと、社会全体の強靱性は高まらない。

  • 大企業だけが製造に関わっているのではなく、家庭用製品は厳しい価格競争にも晒されている。対策を企業だけに任せるのは難しく、メーカーをサポートするなどの対策が必要ではないか。

  • 中小企業の事業継続・セキュリティ対策の支援をお願いしたい。

  • 大企業が下請けとなる中小企業のセキュリティ対策を要請したり、逆に支援したりすることが競争法上の問題とならないか、整理することが必要。 

👥第2回会合意見

🪖サイバー攻撃が発生した場合の対応について

  • 国民生活や経済に対しどれだけ被害や影響が発生するかという指標を考え、攻撃対応方針を決める際の一助とする

  • 報告のフォーマット化とともに文言等の標準化を進め、攻撃の第一報、第二報がスピード感を重視した形で提供されることが重要

  • 攻撃発生時、重要インフラ事業者とのやり取りと同時に、関連する事業者や公衆に向けた情報発信も必要ではないか。

  • ソフトウェアベンダの安全な製品を開発する責務を明確化し、ゼロデイ攻撃に対する義務を規定すべき

  • ソフトウェアの安全性に関するテスト基準の設置や、ソフトウェアベンダに対するそうしたテストの推奨に取り組んではどうか。

👁️‍🗨️官民の普段からの対策強化に向けた体制・枠組みについて

  • 戦略本部の在り方を考えるにあたっては、実効性ある対応をさせる組織を考えるべき。例えば、基本的な方針や大きな枠組み決める本部と別に有識者が助言をする組織を設けることも考えられる。

  • 政府でサイバーセキュリティに携わる職員の任期の長期化や、関係省庁のサイバーセキュリティ部局が協働する勤務場所を設けるなどの環境整備を検討すべき

  • 制度をめぐる諸基準は、関係者が動かしやすいように常に見直し、修正することが重要。

  • 国と地方の関係の問題について、国・地方横断的な形で政府の司令塔が役割を果たせるようにすべき

🧑‍💼人材の育成・確保、中小企業の対策強化

  • 人材が育成されていることを対外的に示す手法が有効ではないか

  • 官民の普段からの対策強化には、現場の力の集結が大事であると同時に、それを引き出すマネジメント層による現場の支援や、現場でのコミュニケーションの重要性を理解してもうような政府取り組みが求められる

  • 中小企業が大企業に与える影響は大きい。他方で、中小企業独自での対応は難しく、国としてソフトウェアを中小企業に提供するという形が理想に近いのではないか。

🫠感想

  • 議事要旨を見ていたら、「官民連携」の会合なのに「通信の情報の利用」の内容を話し出す人もいた。(本記事内には載せてません)
    便宜的に3つの会合に分けているが、もともとサイバーセキュリティという同じ箱の中の話だし、他の会合にも参加している人もいるので、勢い余って話が別テーマに行ってしまったのだろう。

  • 「ソフトウェアベンダの安全な製品を開発する責務を明確化」等という話も出たが、「ゼロデイ攻撃に対応する法的義務を明示する」という意見らしい。ソフトウェアベンダのセキュリティ意識をもっと高めたい、といったところかな

  • 中小企業に国がセキュリティソフトを提供するという意見にはちょっとびっくりしたが、確かに、一定のレベルを担保するとなると、国が配る、というのもあながち悪くないのかもしれない。

    その場合、そのセキュリティソフトの管理サーバは国が管理すると面白いかも。インシデントがあれば国が気付けるので隠しようもないし、調査の協力もスムーズだ。
    欠点は、国側に人的リソースが大量に必要になる事と、管理サーバを乗っ取られると、参画している中小企業がごっそりやられる、という所か。

    また、ソフトウェアに限らず、例えばプロキシサーバーを提供してはどうか、という案も出ている。これも面白い。

 「官民連携」としての議論はある程度深まり、ぼんやりと全体像が見えてきたと思う。各方針の細部はこれから決まっていくと思われるが、そもそも有識者会議の中でどのレベルまで決めていくつもりなのかが気になる所。
 
 次は、「通信の情報の利用」の会合を見てみたい。

 

この記事が気に入ったらサポートをしてみませんか?