サイバーセキュリティ対策⑤:企業・団体等における対策強化
更新日:
今日は、「企業・団体等における対策強化」について書きます。
第1に、CPSFの具体化に向けた取組の加速です。
昨年4月に総理と官房長官に提出した自由民主党サイバーセキュリティ対策本部の『第1次提言』の中で、「サプライチェーン全体のサイバーセキュリティ対策に関するフレームワークの整備」を提言しました。
その後、経済産業省において検討が進められ、今年(2019年)4月に策定・公表されたのが、サプライチェーン全体のサイバーセキュリティ対策を強化する為の『サイバー・フィジカル・セキュリティ対策フレームワーク』(CPSF)です。
このCPSFを基盤に、産業特性や国際ハーモナイゼーションも踏まえた対策強化が必要です。
その為、製品・サービスに求められる安全性や産業分野ごとの特性を踏まえながら、「CPSFの産業界への実装」や「フィジカル空間とサイバー空間をつなぐ機器等に求められるセキュリティ要件の検討」など、CPSFの具体化に向けた取組を加速するべきです。
第2に、サプライチェーン全体を包含する「情報アクセス権限」と「セキュリティ対策基準」の設定です。
重要インフラや先端技術など国家の核心的利益に直結する情報については、政府、地方公共団体、企業、団体、教育・研究機関などの形態に拘らず、政府が定める「情報アクセス権限」と「セキュリティ対策基準」を付すことを検討するべきだと考えます。
ハイレベルのアクセス権限保持者については、民間セクターにおいても、『特定秘密保護法』や『日米相互防衛援助協定等に伴う秘密保護法』等に準ずる法整備を検討するべきです。
特に国益の機微に触れる情報については、アクセス権限保持者が現役か退役かに関わらず、有限で守秘義務を付すべきでしょう。
第3に、企業経営におけるサイバーセキュリティ対策の強化です。
「CISO(Chief Information Security Officer)の設置」「CSIRT(Computer Security Incident Response Team)の設置」「日本シーサート協議会等のコミュニティへの参加」等の具体的な対策を事業者に促す為に、政府は、『サイバーセキュリティ経営ガイドライン』の普及や必要に応じた見直し、そのプラクティス集の拡充等に取り組むべきです。
経営層に、サイバーセキュリティが内部統制システム上の重要なリスク項目である旨の認識を深めていただく為に、コーポレートガバナンスに関するガイドライン等に、サイバ
ーセキュリティ対策の必要性を明記するべきです。
中小企業も例外なくサイバー攻撃の脅威に晒されている実情が明らかになりつつあります。重要インフラ分野も含めサプライチェーン全体のセキュリティ対策の為には、中小企業対策の強化が必要です。
中小企業のセキュリティ対策の強化を進める為の税制や助成金などの支援策については昨年の『第1次提言』に記しましたが、今年度は、経済産業省が中心になって『中小企業の情報セキュリティ対策ガイドライン』や「Security Action」(中小企業自らがセキュリティ対策に取り組むことを自己宣言する制度)の普及促進を行うべき時期だと思います。
主に中小企業を対象に、「事後対策まで含めた現場支援体制の構築」「中小企業が使い易いセキュリティ製品の普及促進」などに取り組むことも必要です。
第4に、セキュリティ企業や研究機関で構成される団体の対策強化です。
人工知能学会が策定している『AI開発ガイドライン』のように、セキュリティ企業で
構成される団体については『適正なセキュリティ事業の在り方ガイドライン』、情報処理学会や電子情報通信学会については『適正なセキュリティ研究の在り方ガイドライン』など、各種ガイドラインの策定を義務付けるべきだと提言しました。
第5に、重要インフラ事業者等に対する「サイバーセキュリティ対策」の義務化です。
現在、電力分野及びガス分野では、『電気事業法』『ガス事業法』の省令でサイバーセキュリティ対策を義務付けています。
重要インフラ分野は合計14分野ですから、他の12分野の「重要インフラ事業者」についても、サイバーセキュリティ対策を関連法令における保安規制として位置付けるなど、制度的枠組みを整備するべきだと提言しました。
一部の官僚からは「小規模な重要インフラ事業者も多いことから、義務付けは困難だ」という意見もいただきましたが、『サイバーセキュリティ基本法』は「重要インフラ事業者」を「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生じるものに関する事業を行なうも者」と定義しています。
私は、各重要インフラの所管官庁が、責任を持って省令改正を行うべきだと思います。
第6に、重要インフラ事業者等における「サイバーインシデント報告」の促進です。
サイバー攻撃による被害拡大防止の為には、迅速な情報共有と対処が必要です。
例えば、『電気通信事業法』第28条は、全ての電気通信事業者に対し、省令で定める一定の基準を超える規模の通信障害等を発生させた場合に、原因がサイバーインシデントによるものも含め、重大事故として、遅滞なく、総務大臣に報告しなければならない義務を課しています。
同法第188条により、報告しない場合又は虚偽報告の場合は、罰則の対象としています。
この『電気通信事業法』を参考にした各種『業法』の改正や『サイバーセキュリティ基本法』の改正も含め、他の重要インフラ事業者等においても、サイバーインシデントを、遅滞なく政府に報告する体制を構築するべきだと提言しました。
また、昨今は、IoT技術の進展により、所管官庁が複数に跨る技術を組み合わせた製品やサービスも増えており、報告先の官庁を一元化する為の検討も必要です。
第7に、「情報処理安全確保支援士」配置の促進です。
「情報処理安全確保支援士」は、サイバーセキュリティの確保を支援する為、セキュリティに係る最新の知識・技能を備えた専門人材の国家資格であり、2017年4月より登録を開始しました。
2019年4月1日時点での登録者数は、18330人です。『未来投資戦略2018』では、2020年までに、登録者数「3万人超を目指す」とされています。
特に「重要インフラ事業者」については、「情報処理安全確保支援士」の配置の義務化を検討するべきだと提言しました。
その他の分野の事業者については、今後、「情報処理安全確保支援士」の数の増加に応じて、配置の推進を検討していくこととしました。
そして、「情報処理安全確保支援士」の資格保持者に対しては、相応の処遇などキャリアアップへの道筋を描くこと、将来的には、企業が資格保持者の人数を公表することや、資本金に応じた資格保持者数の基準を設けることなどを検討するべきだと考えます。
ちなみに、電気通信業界の取組は進んでいます。
『電気通信事業法』第45条は、電気通信回線設備を設置する電気通信事業者に対し、事業用電気通信設備の工事・維持・運用に関する事項を監督させる為、「電気通信主任技術者」を選任しなければならない義務を課しています。
第8に、プロバイダの権限強化です。
ハニーポットなど、脆弱な状態のまま放置されたサーバが、サイバー攻撃を行っていることが明白な場合には、これまでも、現行法の「通信の秘密」の解釈を明確化することによって、各プロバイダにおける適切な対応が確保されてきました。
『電気通信事業法』第69条1項の「第52条第1項の総務省令で定める技術基準に適合していると認められた後でなければ、これを使用してはならない。」を根拠に、「サイバー攻撃を行っていることが明白な場合には、使用させないこと」を『約款』等で担保することによって、接続させることができなくなると考えられます。
『電気通信事業法』第69条2項により、電気通信事業者は、「端末設備に異常がある場合その他電気通信役務の円滑な提供に支障がある場合において必要と認めるとき」に、利用者に検査を受けることを求めることができますが、端末設備がサイバー攻撃を行っていることが明白な場合には実効的に検査ができるように、同法を適切に運用するべきです。
今後、新たなサイバー攻撃手法の出現に応じてプロバイダが適切に対処することができるよう、引き続き、解釈の明確化を図るなど、『電気通信事業法』を適切に運用するべきであることを提言しました。