サイバー安全保障の提言を読む(1)
<本記事について>
この記事は、
・企業でサイバーセキュリティの関連業務に従事する方
・インフラ企業に勤める方
・サイバーセキュリティに興味がある方
向けに、2024年11月に公表された、政府有識者会議の「サイバー安全保障分野での対応能力の向上に向けた提言」のポイントを読み解くものです。
こんばんは!
年末年始に、いくつか大きなサイバー攻撃があったと報道されていますね。
サイバー攻撃への対処は喫緊の課題であり、政府も検討を進めています。
内閣官房に設置された「サイバー安全保障分野での対応能力の向上に向けた有識者会議」が、昨年11月29日に、「サイバー安全保障分野での対応能力の向上に向けた提言」を公表しました。
この提言を踏まえて、政府は次期通常国会(2025年1月~6月頃)において、法案を提出し、国会審議を経て、具体的な施策を立法化するものと思われます。
仮に法律が今年の4月や5月に成立したとしても、それなりに準備期間が必要であるため、施行時期は成立から1年以上先だとは思います。
今日は、提言の中でポイントを絞って、その内容を読み解きたいと思います。
1 はじめに
この有識者会議の設立趣旨と提言までの検討プロセスが述べられています。設立趣旨は、次のとおりです。
「国家安全保障戦略」(令和4年12月16日閣議決定)に基づき、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるべく、当該分野における新たな取組の実現のために必要となる法制度の整備等について検討を行うため
確かに、「国家安全保障戦略」には以下の記載があり、今回の提言2(1)~2(4)の項目と対応していることがわかります。
今回の提言は、すでに2022年12月に決定していた国家安全保障戦略の方針を実現するためのものである、ということが理解できます。
ア サイバー安全保障分野での対応能力の向上
サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる。
(略)
そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の(ア)から(ウ)までを含む必要な措置の実現に向 け検討を進める。 (ア)重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、 支援等の取組を強化するなどの取組を進める。
(イ)国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。
(ウ)国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。
能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター(NISC)を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。
2(1)官民連携の強化
本項目では、サイバー攻撃の巧妙化・高度化に触れながら、サイバー攻撃時における官民連携強化の必要性とその具体的な施策のあり方が示されています。
まず特筆すべきは、産業界をサイバー安全保障の「顧客」として位置づけていることです。
確かに、これまでも、公務員は全体の奉仕者(=国民の奉仕者)ではあり、国民全体は「顧客」と言っても良いと思いますが、政府の中で産業界を「顧客」として位置付けるという意識は無かったように思います。
補助金などの形で、産業界を支援することはよくありますが、それはあくまでも政府から「支給」されるようなものであり、有識者会議とはいえ、ここまで明確に「顧客」という概念を打ち出したのは、これまでになかったことです。
それは、サイバー安全保障においては国の担う役割が大きく、産業界を「顧客」として位置付けて積極的な支援を行うことが、サイバー安全保障を充実させるために必要不可欠だと考えたということでしょう。
同時に、情報提供や助言が国の役割の一つとされているところ、上記の懸念に対応するためには、重要インフラ事業者等をはじめとする産業界をサイバー安全保障の「顧客(カスタマー)」としても位置づけることが重要となる。
そのうえで、官民連携強化の具体策として、以下を行うとされています。
①経営層が判断を下す際に必要な、攻撃の背景や目的なども共有されるべき。情報共有枠組みの設置や、クリアランス制度の活用等により、情報管理と共有を両立する仕組みを構築する
②ベンダが利用者とリスクコミュニケーションを行うべき旨を法的責務として位置づける
③経済安保推進法の基幹インフラ事業者によるインシデント報告を義務化するほか、その保有する重要機器の機種名等の届出を求める
④被害組織の負担軽減と政府の対応迅速化を図るため、報告先や様式の一元化、簡素化等を進める
①~④の番号は、筆者が付けました。以下、①~④を個別に見ていきます。
①情報共有の枠組みとクリアランス制度の活用
まず、情報共有枠組みの設置。これまでも、サイバーセキュリティ協議会という枠組みがありました。
これは、サイバーセキュリティ基本法に基づき設置されているもので、行政機関、重要社会基盤事業者、サイバー関連事業者等が参加し、対策情報等を迅速に共有するものです。提言においては、これを改組することも一つの例として挙げられています。
さらには、セキュリティ・クリアランス制度の活用も提言されています。
つまり、これまでの情報共有枠組みでは、共有できる情報が限られているため、セキュリティ・クリアランス制度などを活用して、身元のはっきりした信頼できる者たちだけで、より詳細な情報を共有して、より効果的なサイバー攻撃対処につなげていこうとするものだと理解しています。
したがって、関係する民間事業者においては、事業者として事業活動の内容や情報管理体制が評価されるだけではなく、その従業員(サイバー攻撃情報の共有を受ける担当者等)や経営層には、セキュリティ・クリアランス制度に基づき、本人やその家族等について、適正評価を受ける可能性があります。
セキュリティ・クリアランスとは?2024年通常国会で成立予定のセキュリティ・クリアランス法案の概要|松田綜合法律事務所(Matsuda&Partners)
事業者にとっては、対象従業員の選定・調整(犯歴・懲戒履歴等だけではなく、家族・同居人の情報も政府に提出して審査を受けることになります。)も必要になるので、準備を進めておくことが重要です。
こうした情報の多くは、広く一般に注意喚起されるべき性質のものである一方、政府のインテリジェンス情報や企業秘密に関わるものも存在することから、情報共有を行う場合には、TLP など情報共有ポリシーを設定することに加え、攻撃の背景や目的に関する情報などのうち、特に漏えいにより我が国の安全保障に支障を与えるおそれがある情報等を扱う場合にはセキュリティクリアランス制度を活用する等、適切な情報管理と情報共有を両立する仕組みを構築すべきである。具体的な仕組みとしては、現在のサイバーセキュリティ協議会を改組し、新たな情報共有枠組を設けることも考えられる。
②ベンダの責務
次に、ベンダの法的責務です。
サイバー安全保障は、機器の調達から消費者へのサービスの共有までというサプライチェーン全体で対処することが重要です(例えば、アメリカでは、ファーウェイ等の中国製品機器は、安全保障上の観点から販売が禁止されています)。
その観点から、海外ベンダを含めたベンダに対して、そのベンダの機器の利用者とコミュニケーションをとる責務を規定すべきだということです。
ここで注意が必要なのは、「義務」ではなく、「責務」だということです。
この両者は、法律においては明確に書き分けられ、前者が特定の行為を強制的に行う責任が発生するのに対して、後者は、あくまでも抽象的な心構えのようなもので、罰則もありません。
本社が日本にない海外ベンダも含めて、法律の規定を適用させるためには(そして、コミュニケーションが問題になるのは多くは国内ベンダではなく海外ベンダ)、「責務」とするしかなかったものと推測します。
「責務」でどこまで海外ベンダが対応してくれるかは今後も注視していかなければなりませんが、規定がないよりはよほど良いように思います。
このため、製品ベンダや関連サービス提供者による解消手段の開発・提供等と、利用者によ る適用をサイクルとして回し続ける必要があるところ、利用者が自らの利用するソフトウェア等のリスクを適切に理解しないまま使用し続けると、予期せず深刻な被害をもたらし得るものであることから、脆弱性情報の提供やサポート期限の明示など、製品ベンダ等が、利用者に対 し適切にリスクコミュニケーションを行うべき旨を法的責務として規定すべきである。その際、 政府によって、侵害有無の調査方法や緩和策など、製品ベンダ等が提供すべき情報を整理することも求められる。
③インシデント報告の義務化と機器名の届出
経済安全保障推進法では、いわゆる基幹インフラ事業者として、特定重要設備の導入や当該設備の保守管理を委託する場合は、届出を行い、政府の審査を受けなければならないとされています。
簡単に言うと、国民の生活に直結するインフラ事業者として指定された事業者は、そのサービスに不可欠な機器を導入する、または保守管理を委託するときは、変なモノが仕掛けられていないかどうか、変な事業者に委託していないか、審査を受けないといけないという制度です。
2024年10月17日現在、指定されている事業者は鉄道、ガス、情報通信、金融、放送等、15業種で、一覧はこちらのとおりです。
これらの基幹インフラ事業者に対して、さらに、サイバー攻撃によるインシデントが発生した場合に、報告を義務付けようとするのが今回の提言の内容です。
特に注意したいのは、インシデント発生からかなりの短時間で報告を求められる可能性があります。
というのも、「政府へのインシデント報告は速やかに行われることが重要」「所管省庁におけるセキュリティ担当者のリソースの不足からリアルタイム性が損なわれる可能性」「サイバー攻撃の有効な対処には、数分・数十分というタイムスケールでの迅速な情報収集・共有が必須」という記載が提言にあるためです。
これまでも個人情報保護法や電気通信事業法等の他法令において報告を義務付けている例はあります。
例えば、個人情報保護法においては、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会に、速やか(概ね3日~5日以内)に報告することとされています(参考:漏えい等報告・本人への通知の義務化について |個人情報保護委員会)。また、電気通信事業法においても、一定の基準を満たす重大事故について速やかに総務大臣に報告することが必要とされています(参考:総務省|安全・信頼性の向上|重大な事故の報告)。
今回の提言にある、サイバー安全保障に関するインシデント報告については、これ以上の迅速性で報告しなければならないことが予想されます。
これに対応するためには、対象事業者は、④の一元化・簡素化とともに、報告対象となるインシデントを明確にすることを政府に求めていくべきだと思います。
そして、義務内容に応じて、社内の体制整備を進めていくことが必要です。
なお、基幹インフラ事業者以外の事業者も、この報告を行えば、①の情報共有枠組みに参加できる制度も提言されています。
したがって、基幹インフラ事業者以外の事業者であっても、自社のサイバーセキュリティ体制の強化の必要性を感じ、より情報を獲得したい場合は、このインシデント報告を行うことが有効になり得ます。
重要インフラのデジタル依存度が増していることを踏まえ、継続的なサービス提供のため、重要インフラ事業者等の中でも、サイバー攻撃が発生した場合において、国家及び国民の安全を損なう事態が生じるおそれがある基幹インフラ事業者に対して、インシデント報告を義務化し、情報共有を促進すべきである。また、その中でもデジタルインフラと電力は、特に重要なインフラとして、より緊密な情報連携を行うことが考えられる。 基幹インフラ事業者に該当しない事業者についても、重要インフラ事業者については、従来どおり、重要インフラ行動計画に基づく情報集約を行うほか、その他の機微技術を保有する者等についても、国内外での情報窃取事案や、サプライチェーンにおける重要性等に鑑みれば、インシデント発生時の報告を条件に②の情報共有枠組への参画を認めるなど、情報を共有する仕組みを設けるべきである。
サイバー攻撃被害拡大の防止の観点からは、政府へのインシデント報告は速やかに行われることが重要であり、事業者に負担をかけずに効率的に情報収集し、フィードバックするという仕組みが重要である。これまで所管省庁へ行われてきているものの、所管省庁におけるセキュリティ担当者のリソースの不足からリアルタイム性が損なわれる可能性がある。(略)また、サイバー攻撃の有効な対処には、数分・数十分というタイムスケールでの迅速な情報収集・共有が必須であり、インシデント報告において自動化技術を活用する事を検討していくべきである。
また、重要機器の機種名等の届出を求めるとされています。
これは、政府が、ゼロデイ攻撃などに関して得た情報を、当該機器を使用する基幹インフラ事業者に提供することや当該機器のベンダに対して必要な対応を要請するためのようです。
これまで、経済安全保障推進法においては届出を提出し審査を受けたとしても、積極的なメリットはありませんでしたが、今般のサイバー安全保障に基づく届出については、ゼロデイ攻撃等の非公開情報を得ることができ、事業者にとっても大きなメリットがあるようです。
ゼロデイ脆弱性については、利用者自身による発見・対応は困難である一方、パッチの開発・ 公表までに一定期間を要することから、経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(「経済安全保障推進法」)の特定社会基盤事業者(以下「基幹インフラ事 業者」という。)については、インターネットとの接点となるVPN装置など、その保有する特定重要設備に関連する一定の機器について、機種名等の届出を求めた上で、当該機器に関するゼロデイ攻撃を含めた攻撃関連情報の迅速な提供や、製品ベンダ等に対する必要な対応の要請ができる仕組みを整えるべきである。また、ゼロデイ攻撃を早期に認識するためのハニーポット などの観測基盤の強化も必要となる。
④報告先や様式の一元化、簡素化等
前述のとおり、電気通信事業法等の各業法や個人情報保護法に基づき、インシデントが発生した場合は、政府に報告する仕組みがすでにあります。それらの重複を無くし、フォーマットを統一していくこと等で、(基幹インフラ)事業者と所管省庁の負担を軽減し、必要な情報を迅速に共有しようということです。
これは、前述の産業界を「顧客」と位置づける精神が活かされているものと思います。
どのような手順・フォーマットでインシデントを報告することになるのか、注視していく必要があります。
サイバー攻撃被害拡大の防止の観点からは、政府へのインシデント報告は速やかに行われることが重要であり、事業者に負担をかけずに効率的に情報収集し、フィードバックするという仕組みが重要である。これまで所管省庁へ行われてきているものの、所管省庁におけるセキュリティ担当者のリソースの不足からリアルタイム性が損なわれる可能性がある。そこで、被害組織の負担軽減と政府の対応迅速化を図るため、インシデント報告先の一元化や報告様式の統一化、速報の簡素化、報告基準・内容の明確化を進めるべきである。
長くなってしまったので、今日はここまでにして、以下の項目は次回以降の投稿に持ち越したいと思います。
最後までお読みいただき、ありがとうございました!!
もしよろしければ、「スキ」を押していただく、SNSでシェアいただくなどしていただけますと大変嬉しいです。どうぞよろしくお願いいたします!!