ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2018/02/28 掲載

日本政府のサイバーセキュリティ戦略まとめ、東京五輪までにどう変わるのか?

連載:グローバルセキュリティ潮流底流

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
2020年夏季東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2018年は、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいる最中です。今後の日本政府のサイバーセキュリティ戦略について解説します。
執筆:パロアルトネットワークス 松原 実穗子
photo
東京五輪に向け日本政府はサイバーセキュリティ政策の見直しを続けている
(© littlewolf1989 – Fotolia)
<目次>
  1. 政府が促す経営層のサイバーセキュリティへの積極関与
  2. 脅威の共有を促進する橋渡し人材の重要性
  3. 重要インフラの情報セキュリティ対策
  4. 2018年に公開される次期サイバーセキュリティ戦略
  5. まとめ

政府が促す経営層のサイバーセキュリティへの積極関与

 2020年の東京五輪まで残り2年を切った中、日本政府はサイバーセキュリティ政策の見直しを続けています。2017年には、4月中旬に「重要インフラの情報セキュリティ対策に係る第4次行動計画」および「サイバーセキュリティ人材育成プログラム」、そして7月に「サイバーセキュリティ研究開発戦略」と、3つの国家サイバーセキュリティ戦略が政府により発表されました。そして2018年、約3年ぶりの更新となる次期サイバーセキュリティ戦略についての検討が進んでいます。

 今回は「重要インフラの情報セキュリティ対策に係る第4次行動計画」および「サイバーセキュリティ人材育成プログラム」にみる日本政府の戦略の変遷と、今後の戦略策定への展望について解説します。

 2017年の2つのセキュリティ戦略は、2014年5月に初めて公開された「重要インフラの情報セキュリティ対策に係る第3次行動計画」と「新・情報セキュリティ人材育成プログラム」と比較すると、大きな違いが2つあります。

 第一に、どちらの戦略もサイバーセキュリティを経営における不可欠な要素として認識しており、経営層がサイバーセキュリティに積極的に関与し、サイバーリスク管理するよう促している点です。これは、2015年12月の「サイバーセキュリティ経営ガイドライン」(2017年11月改訂) にて、最初に示された原則に沿ったものです。

 2017年の「重要インフラの情報セキュリティ対策に係る第4次行動計画」では、重要インフラ企業の経営層はリスクアセスメントとリスクマネジメントを経営戦略に組み込み、情報セキュリティへの関与を高める必要がある旨強調されています。

 「サイバーセキュリティ人材育成プログラム」も同様であり、サイバーセキュリティは企業価値や国際競争力を高めるものであると指摘されています。さらに、サイバーセキュリティをやむを得ない「コストセンター(直接利益を創出しないもの)」ではなく、機会がもたらされる「ビジネスエネーブラー(ビジネス推進のカギ)」として扱うよう企業に求めています。

 サイバーセキュリティ経営ガイドラインは、経営幹部の関与を促しサイバーセキュリティ対策を強化するという、日本のサイバーセキュリティ政策と戦略において重要な役割を果たしています。

 「サイバーセキュリティ人材育成プログラム」では、日本の経営層は米国や欧州に比べてサイバーセキュリティの課題認識が低いという調査結果が指摘されています。独立行政法人 情報処理推進機構 (IPA) が2017年に実施した日米欧の企業へのアンケート調査によると、セキュリティ対策を推進する上での課題として、「経営層のリスク感度が低い」 の割合が日本では30.9%、米国では27.1%、欧州では 20.7%という差がありました。

 また、同プログラムでは、サイバーセキュリティはイノベーションを実現するためのものであり、経営層の認識の欠如がイノベーションへの挑戦機会の逸失につながるとも指摘されています。

 経営戦略として、また東京五輪の成功のためにサイバーセキュリティを迅速に進めていくには、従来のボトムアップ式アプローチではなく、トップダウンで組織全体、国全体のサイバーセキュリティに対する意識を改革し、サイバー脅威の状況やベストプラクティスを共有することで、サイバー攻撃を予防していくことが重要です。

脅威の共有を促進する橋渡し人材の重要性

 大きな違いの2つ目は、2017年のどちらの戦略も、セクター間の協力と情報共有の必要性を強調している点です。「重要インフラの情報セキュリティ対策に係る第4次行動計画」では、重要インフラ分野の企業への情報通信技術 (IT) と運用技術 (OT) の横断的な組織整備や人材育成の見直しを推奨しています。

 サイバーセキュリティチームを含むIT部門は、情報セキュリティの三要素であるCIA (機密性、完全性、可用性) において可用性よりも機密性を優先させる傾向にあるのに対して、プラントや工場で働くOTチームは可用性と安全性を優先し、運用やサービスの円滑な実行を優先します。

 例えば、OTチームはセキュリティパッチ適用によって運用に支障が生じる場合、運用の方を重視しがちです。しかし、ITチーム側はITのセキュリティが最優先となるため、ここでプライオリティに齟齬が生じます。

 サイバー攻撃による重要インフラ運用への妨害を防ぐにはIT部門とOT部門の協力が不可欠ですが、文化や優先順位の著しい相違は、両者間のコミュニケーションを困難にします。また、OT部門がサイバーセキュリティの重要性を認識していたとしても、資金投入の予算が十分になかったり、予算がIT部門によって管理されていたりすることがよくあります。

 そのためITとOTを橋渡しするチーム作りを行い、予算、文化、構造的な協力を奨励することが必要です。

【次ページ】日本が各種ガイドラインを世界規模で発信する理由

関連コンテンツ

PDCAではなく「OODA」が必要、サイバー攻撃に即時対応するための5要件とは

「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント

ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か?
関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample