オルタナティブ・ブログ > 一般システムエンジニアの刻苦勉励 >
RSS
一般システムエンジニアの刻苦勉励

身の周りのおもしろおかしい事を探す日々。ITを中心に。

「国民を守る情報セキュリティ戦略」が発表されました

»

2010年5月11日に内閣官房情報セキュリティセンターより「国民を守る情報セキュリティ戦略」が発表されました。気になるので個人メモを作りました。私の会社の人などが関連している可能性もありますが、私個人は策定や検討などには全然関わっていないという前置きをした上でこちらにアップいたします。

国民を守る情報セキュリティ戦略(PDFファイルへのリンク)

(1)前提事項

『内閣官房情報セキュリティセンター(NISC)』
http://www.nisc.go.jp/index.html

2005年4月(小泉内閣時)、情報セキュリティ対策の中核組織の必要性を重視した政府は、我が国における情報セキュリティ政策の基本戦略を決定する「情報セキュリティ政策会議」と、その遂行機関である「内閣官房情報セキュリティセンター」とを設置しました。

主な仕事は

  1. 基本戦略
  2. 国際戦略
  3. 政府機関総合対策推進
  4. 重要インフラ対策
  5. 事案対処支援

nict_org

こちらの図ではセンター長は内閣官房副長官補(安全保障・危機管理担当)。

『内閣官房副長官補』
http://www.cas.go.jp/jp/gaiyou/jimu/fukutyoukanho.html

内閣官房副長官補(安全保障・危機管理担当)の下では、国の安全に関わる事項及び国民の生命、身体又は財産に重大な被害が生じ、又は生じるおそれがある緊急事態への対処に関連する重要施策などの企画及び立案並びに総合調整を行っています。

近年は、武力攻撃事態対処法、国民保護法など有事関連法制やテロ対策特措法などの重要施策の推進に中心的な役割を果たしています。

『情報セキュリティ政策会議』
http://www.kantei.go.jp/jp/singi/security/index.html

ITの進展と普及は、我が国の国民生活・社会経済活動を豊かにしてきました。いまやITは、行政、企業、そして個人などの利用主体を問わず、あらゆる分野に深く浸透し、社会基盤として欠かせないものとなってきています。一方、ITへの依存度が高まることは、障害や事故が発生した際に甚大な被害を招く危険性をはらんでいます。こうした状況への対処を含め、情報セキュリティ確保への取組みを強化していくことは、政府における喫緊の課題です。

情報セキュリティ政策会議は、「情報セキュリティ問題に取り組む政府の役割・機能の見直しに向けて」(2004年12月7日IT戦略本部決定)を受け、我が国の情報セキュリティ問題の根幹に関する事項を決定する会議として、IT戦略本部の下に設置し、活動を行っています。

(2)国民を守る情報セキュリティ戦略の内容

「国民を守る情報セキュリティ戦略」の「はじめに」

これまで、我が国の情報セキュリティ対策については、情報セキュリティ政策会議(議長:内閣官房長官)において決定された「第2次情報セキュリティ基本計画」(2009 年2 月3 日)に基づき、官民の各主体によって取組が推進されてきた。

『第2次情報セキュリティ基本計画』(2009年2月3日)
http://www.nisc.go.jp/active/kihon/pdf/bpc02_ts.pdf

他方で、「第2次情報セキュリティ基本計画」策定後、2009 年7 月に米韓における大規模サイバー攻撃事態が発生したほか、大規模な個人情報漏えい事案の発生も後を絶たない。特に、米韓における大規模サイバー攻撃事態は、経済活動や社会生活の多くの面において情報通信技術への依存が進む我が国にとって、情報セキュリティ上の脅威が安全保障・危機管理上の問題になり得ることを示す契機となった。

『米韓の政府系サイトなどにDDoS攻撃が発生 - ITmedia エンタープライズ』
http://www.itmedia.co.jp/enterprise/articles/0907/09/news014.html

『ネット経由の大規模攻撃に備える重要性――2009年7月のDDoS攻撃の舞台裏 (1/2) - ITmedia エンタープライズ』 ← akamai最強伝説
http://www.itmedia.co.jp/enterprise/articles/1003/07/news001.html

また、最近、情報セキュリティ上のリスクが多様化・高度化・複雑化しており、従来の取組では情報セキュリティの確保が困難な状況が発生している。更に、米国では、サイバーセキュリティ調整官を設置し国家的な取組を強化するなど、諸外国においても情報セキュリティに関し戦略的な取組が行われているところである。

『米政府、セキュリティ調整官に元MSのシュミット氏を任命 - ITmedia エンタープライズ』
http://www.itmedia.co.jp/enterprise/articles/0912/24/news029.html

こうした情報セキュリティを巡る環境の変化に的確に対応するため、「第2次情報セキュリティ基本計画」に基づく官民の各主体による取組を継続しつつ、新たな環境変化に対応した政府の取組を進める必要がある。特に、国民の日常生活に関わりの深い社会経済活動を支える重要インフラ防護の強化等により、情報通信技術の利用に係るリスク(ITリスク)を克服する。また、安全保障・危機管理の観点から速やかに実施すべき取組について、これを強力に推進することとする。

『重要インフラ対策チーム』
http://www.nisc.go.jp/active/infra/index.html

重要インフラ対策チームの概要

「重要インフラ対策チーム」は、我が国の国民生活と社会経済活動が大きく依存する重要インフラの情報セキュリティ対策を推進するため、関係省庁及び重要インフラ事業者等と緊密な連携を保ちつつ、「重要インフラの情報セキュリティ対策に係る第2次行動計画」PDF(平成21年2月3日情報セキュリティ政策会議決定)に基づき、各種施策を進めています。

重要インフラとは電力、ガス、水道、鉄道、金融などいかにも重要っぽいもの。それぞれの事業者は業界でセプター(CEPTOAR:Capability for Engineering of Protection, Technical Operation, Analysis and Response)を形成する。これは各重要インフラ分野におけるIT障害に関して、情報共有体制を強化するための「情報共有・分析機能」のこと。セプター同士の元締としてセプターカウンシルがおり、その事務局にはNISCが、オブザーバーには関連官庁や業界団体が参画している。

「はじめに」に戻って

本戦略は、「第2次情報セキュリティ基本計画」を包含する、今後4 年間(2010 年度から2013 年度)を対象とした包括的な戦略であり、本戦略に基づき、毎年度の年度計画である「セキュア・ジャパン20XX」を推進する。また、本戦略の評価を定期的に行い、必要に応じて本戦略の取組内容の見直しを行う。

『セキュア・ジャパン2009~すべての主体に事故前提の自覚を~』
http://www.nisc.go.jp/active/kihon/pdf/sjf_2009.pdf

とのことでした。「はじめに」だけでどっさりですね。

(以下、抜粋しています)

Ⅱ.基本的な考え方

(1)基本方針

① サイバー攻撃事態の発生を念頭に置いた政策の強化及び対処体制の整備

② 新たな環境変化に対応した情報セキュリティ政策の確立

③ 受動的な情報セキュリティ対策から能動的な情報セキュリティ対策へ

(2)背景

① 大規模なサイバー攻撃事案等の脅威の増大

ボット感染PCからのDDoS攻撃、ガンブラー、情報漏えいなど

② 新たな環境変化

(ⅰ)社会経済活動の情報通信技術への依存度の増大

(社会経済活動との関係)

  • 我が国が有する課題の解決に情報通信技術を活用していくためには、利用環境を安全・安心な形で構築することが不可欠となっている。
  • 経済活動のグローバル化が進む中で、グローバルな企業活動や生産・品質管理(サプライチェーンマネジメント)を推進していくためには、海外の情報セキュリティレベルを向上させていくことが重要となっている。
  • 知的財産がインターネットを通じて流通する現在、「知識情報社会」を支える情報通信技術基盤の安全・安心が確保され、情報資産が適切に保護されていく必要がある。

(国民・利用者保護)

  • 情報通信技術の利用者としての国民の権利・利益を保護する視点を重視し、国民の情報資産の保護や情報セキュリティの確保等に取り組んでいく必要がある。
  • ITリスクを認識する国民が主体的に情報セキュリティ対策に取り組むことができる環境を醸成することが重要である。
  • 現状では、情報セキュリティの確保に関して、約8割の国民が不安感を持っており、情報通信技術の活用を促進するためには、その早期解消が課題となっている。

(ⅱ)新たな技術革新への対応

  • クラウドコンピューティング技術の発達
  • IPv6等新たなインターネット技術
  • 情報家電
  • 携帯端末
  • 電子タグの普及
  • 暗号の危殆化にもつながるコンピュータの演算能力向上等

(ⅲ)グローバル化等
個人情報保護や情報セキュリティに関する各国間の法制度等の相違が、情報が国境を越えて自由に流通する際の課題として顕在化しつつある。

(3)重点的な取組

① ITリスクを克服し、安全・安心な国民生活を実現

特に、国民の日常生活に関わりの深い社会経済活動を支える重要インフラ防護の強化等により、ITリスクを克服し、安全・安心な国民生活を実現する。

大規模なサイバー攻撃等の脅威の増大等を踏まえ、近年、サイバー空間が我が国の安全保障・危機管理上重要な活動空間となっていることから、サイバー空間の安全保障や危機管理を高める政策を強力に推進する。

② サイバー空間の安全保障・危機管理に係る政策の強化と社会経済活動の基盤としての情報通信技術政策との連携

③ 安全保障・危機管理及び経済の観点に、国民・利用者保護の観点を加えた3 軸構造の総合的な政策の確立。特に、国民・利用者の視点を重視した情報セキュリティ政策を推進

④ 経済成長戦略に寄与する情報セキュリティ政策の確立

⑤ 国際連携の強化

Ⅲ.実現すべき成果目標

○ 2020 年までに、インターネットや情報システム等の情報通信技術を利用者が活用するにあたっての脆弱性を克服し、すべての国民が情報通信技術を安心して利用できる環境(高品質、高信頼性、安全・安心を兼ね備えた環境)を整備し、世界最先端の「情報セキュリティ先進国」を実現する。

○ 今後4 年間は、「第2 次情報セキュリティ基本計画(2009 年度-2011 年度)」に規定された施策の推進に加え、以下に述べる具体的な取組を重点的に推進し、情報セキュリティに対する国民の不安を解消する。

ということで以下に具体的な取り組みが続くのですが、個人的に気になった部分だけ抜きます。

1 大規模サイバー攻撃事態への対処態勢の整備等

  • 2009 年7 月に米韓において発生したような大規模なサイバー攻撃事態が、今後我が国においても発生する可能性がある
  • 大規模サイバー攻撃事態……国民の生命、身体、財産又は国土に重大な被害が生じ、又は生じるおそれのあるサイバー攻撃
  • 大規模サイバー攻撃事態の発生時における対処態勢の整備、及び「重要インフラの情報セキュリティ対策に係る第2次行動計画」等に基づく官民情報共有体制を活用した平素からの情報収集・共有体制の強化を図る。
  • 取組の推進に当たっては、未然防止等の観点から平素からの取組を行う部局と、大規模サイバー攻撃事態発生時の対処を行う部局との十分な連携を図り、総合的な対処に努める。

国民保護という非常に大切な取り組みがあります。リアルな戦争で「有事」となった場合、普通に考えれば我々がお空を見上げて「飛行機が来たぞー」とやることはありえません。サイバー攻撃、サイバー戦争では国境も何もなくいきなり我々の生活圏が攻撃されるわけですので、官民連携というのは非常に重要になるかと思います。攻撃を検地する場面では通信事業者の果たす役割というのも重要になりそうです。電力等の重要インフラの事業者は攻撃されやすいという点においては重要なポジションですが、何も重要インフラでなくとも日本を代表するような立派な企業や、2chやニコニコ動画や”はてな”やITmediaなど多くの人が見る情報サイトであっても攻撃を受けているところを目にすれば精神的に凹むことでしょう。

『内閣官房 国民保護ポータルサイト』
http://www.kokuminhogo.go.jp/

(1)対処態勢の整備

・ 大規模サイバー攻撃事態における政府の初動対処態勢の整備

「緊急事態に対する政府の初動対処体制について(平成15年11月21日閣議決定)」等に基づき、大規模サイバー攻撃事態が発生した際に政府及び関係機関が迅速かつ適切な初動対処をとるための態勢を整備する。

併せて、大規模サイバー攻撃事態が発生した際の初動対処に係る訓練を実施する。

・ 官民連携の推進

大規模サイバー攻撃事態における対処においては、重要インフラ事業者等からの協力が不可欠であることにかんがみ、官民が緊密に連携できるよう、重要インフラ事業者等の理解と協力の促進に努める。

・ サイバー攻撃に対する防衛分野での体制の強化

諸外国において戦力強化が必要とされる分野としてサイバー空間が取り上げられていること等を踏まえ、防衛分野におけるサイバー攻撃対処能力の強化を図る。

・ サイバー犯罪の取締り

デジタルフォレンジックの活用や国際的な捜査機関協力の推進を通じ、サイバー犯罪の取締りを推進する。

・ サイバー攻撃への対処に係る国際連携の強化
サイバー攻撃等に係る情報交換、国際会議等への積極的な参加を通じ、国際連携の強化を図る。

(2)平素からの情報収集・共有体制の構築・強化

・ 対処に資する情報の収集・分析・共有体制の強化

内閣官房と各省庁との間において、サイバー攻撃事態への対処に資する情報の収集・分析・共有体制を強化する。

・ サイバー攻撃等に関する諸外国等との情報共有体制の構築・強化

諸外国の関係機関・国際組織と内閣官房及び関係省庁との間において、サイバー攻撃事態への対処に資する情報の共有体制の構築・強化を図る。

 

日本の自衛隊というのは非常に微妙な立場であったわけですが、それは民間人の言い争いと銃やミサイルの撃ち合いが大きく異なるからです。しかしITの世界は違います。国家に訓練されたサイバーテロリストも、東欧のスクリプトキディも、攻撃の手法に違いはありません。(もちろんリアルの戦争の端緒としてのサイバー攻撃を考えれば、爆弾などリアルな手段との合わせ技的なサイバー攻撃になるかもしれませんが)

今の日本では国民保護の訓練などをやるにしても防護服を着るなどものものしく、あまり好ましく受け止められているように思いません。しかしサイバー攻撃については国家としての防衛行動が民間のセキュリティ維持活動と変りなく、官民連携しての訓練がやりやすいということが言えるかと思います。

また、日本では武器輸出に規制がありますがファイヤーウォールを作って輸出することは基本的には問題ありません。(もちろんリアル武器との兼ね合いで暗号等については外為法規制を考慮する必要はありますが)

すなわち官がシナリオを作ってサイバー世界の防衛訓練をやることはリアル世界の防衛訓練よりもやりやすいと言えます。一般の人の目に見えづらいですので反発も小さいです。リアルな訓練は民間企業にとってあまりプラスになる要素が思い当たりませんが、(避難訓練の錬度アップ?)サイバー攻撃訓練に参加することは民間企業にとってセキュリティの向上につながるでしょう。

それに伴い民間側で何か防衛のためのツールが発展してきた場合、軍と民とで違いのないサイバー攻撃の世界ではセキュリティ製品として輸出が可能になるという点は意味が大きいと思います。デュアルユース品が輸出規制でもめることはありますが、当面のところセキュリティ製品が問題になることはないでしょう。(たとえそれが日本に仇なす国家で防衛に使われたとしても。)

クラウドコンピューティングのデータセンターをどこに置くかという視点からすると、ハリネズミのような「情報セキュリティ先進国」になれば運用を任せようという事業者も増えると思われます。アメリカのような国を考えてみるとテロリストに狙われるリスクが高そうに思いますが、日本では(世界でどう思われているかよく存じませんが)少なくとも自分から攻撃はしませんと宣言しているということもあって攻撃を受けるリスクはあまり高くない……んでしょうかね。なんかちょっと前に飛翔体が上空を通過していたような記憶もありますが。がんばればスイスに世界中から資産が集まっているのと同様に、データの集まる国になれるかもしれません。

日本では政府がリアル防衛力を強化することには予算や内外からの視線という面で限度があります。一方、民間人ががんばって防衛を助けるというアメリカやスイスやイスラエルみたいな方式は日本の文化や制度を考えると現実味が薄いです。それがサイバーの世界になるとどうでしょうか。日本の企業のセキュリティ担当者が集まって日々研鑽し、日本が世界一のセキュリティ国家になっても誰も文句は言わないでしょう。官がお金出して訓練をやらせたら怒る人はいるかもしれませんが、「サイバー攻撃」がちょこちょこ起きている以上、民間主導でサイバーテロ防衛演習をやることは必要性を理解してもらいやすいものと思います。仮想敵国を置いた「サイバー戦争」だとまずいかもしれませんが。あと反政府勢力が弱体化を狙って何か阻害活動を行う可能性も無くはないですが。

(リアルは無理でもサイバーの世界くらい)自分たちの身を自分たちで守る、今回の「国民を守る情報セキュリティ戦略」はそのための第一歩なのかもしれません。

山口 陽平 2010/05/14 00:03:14 Comment(0)