サイバーセキュリティ基本法とNISCの役割について――NISC 副センター長 谷脇康彦氏

　日本スマートフォンセキュリティ協会（JSSEC）主催の「スマートフォンセキュリティ・シンポジウム2015」の特別講演は、内閣審議官で内閣サイバーセキュリティセンター（NISC） 副センター長を務める谷脇康彦氏が登壇した。

　谷脇氏は、前半部分で日本をとりまくサイバーセキュリティの現状や政府の取り組みなどを俯瞰し、後半部分で2020年の東京オリンピックへの施策、サイバーセキュリティ基本法（2015年1月9日完全施行）の理念とそこでのNISCの位置づけ、重大インシデントへの対応プロセスについて語った。

●世界の動向と日本のサイバーセキュリティ政策
　講演の前半では、世界ではサイバーセキュリティと重要インフラのセキュリティ問題が新しいリスクとして急浮上していることが、国内では国家安全保障戦略（2013年閣議決定）で同様な問題への対策が盛り込まれていることなどが紹介された。また、国連では、国連憲章をサイバー空間まで適用できるかどうかの議論もなされており、各国が持つ自衛権の行使もサイバー空間に広げられるという認識が広がりつつあることを示す。

　このようなグローバルな脅威認識に対して、日本では「情報セキュリティ政策会議」の中でサイバーセキュリティ戦略が策定され、顕在化する脅威への対策が明記されている。防御力については標的型攻撃への備え、対策ガイダンスの整備、人材育成などが明文化され取り組みが始まっている。サイバーセキュリティ戦略の中では、NISCが各省庁を統合的に管理する機能が明記され、省庁を超えた統一基準を策定し、運用をチェックし、省庁のサーバーが侵入されたり情報漏えいが起きたりした場合のインシデント対応の指揮もとるとしている。

●具体的施策とNISCの役割
　標的型攻撃では、やり取り型や水飲み場攻撃など高度なものが増え、省庁においてはサプライチェーンからの感染にも注意を促している。これは、二次、三次と下請け先を巻き込んだ攻撃が確認されているからだという。省庁以外も、原子力や宇宙関係の事業を扱う独立行政法人についてもNISCは同じレベルで監視を行う。

　重要インフラセキュリティについては、行動計画（現在は第3次）としてまとめられている。対象分野を従来のエネルギーや交通などに加え、化学、クレジットカード、石油の3分野に広げ、ガイドライン、手引書の整備、そして分野横断のサイバー演習（CIIREX）を実施している。

　人材育成については、技術者やトップガン級ハッカーの育成などが考えられる。CTFのようなハッカーコンテストやIT技術者のセキュリティ教育などの施策がとられている。谷脇氏は、そのような人材を採用し生かすためには、経営層への教育や意識改革も欠かせないとした。経営層のセキュリティやその人材に関する認識は低いと言わざるを得ないからだろう。例として、欧米会計基準では、有価証券報告書にセキュリティリスクに対する評価や分析が求められることを挙げ、国内企業も経営や市場に対する責任と戦略としての活用を促した。

●東京オリンピックは英国政府と情報・知見共有
　2020年の東京オリンピックについては、大会運営やセキュリティ対策を主に2012年のロンドン大会を参考にしているという。ロンドン大会では大会期間中の2週間で2億回以上のサイバー攻撃を観測し、全体では23億件のセキュリティイベントが発生したという。DDoS攻撃に至っては1秒間に11,000件の攻撃を観測・防御した。また、電力インフラへの攻撃情報事前に把握し、予備の電源設備を含めたバックアップ態勢をとりながら実際の攻撃を抑えることができた。

　これら英国からの情報や知見を、両国の政府間協定により日本にも移転することになっている。サイバーセキュリティについては、すでにセキュリティ幹事会という分科会をオリンピック・パラリンピック閣僚会議の下に組織したという。セキュリティ幹事会には、テロ対策ワーキングチーム、サイバーセキュリティワーキングチーム（座長：谷脇氏）が発足している。

●基本法施行：NISCは省庁セキュリティを統括
　サイバーセキュリティ基本法がこの1月に完全施行となった。谷脇氏によれば、この法律を考えるとき、IT基本法の枠組みで考えるという意見もあったが、IT基本法は民間活力を促すため民間主導の理念を持つ。しかし、サイバーセキュリティ基本法は、政府や省庁のセキュリティを規定するため、国が主導すべきだとして新法での対応となったという。

　IT基本法では、はじめて法律に「インターネット」という言葉が定義されたが、サイバーセキュリティ基本法では「サイバーセキュリティ」という言葉が定義され、裸で使われた法律だ（谷脇氏）。

　サイバーセキュリティ基本法の施行に伴って、情報政策セキュリティ会議は「サイバーセキュリティ政策本部」という名称に変わった。政策本部では、NISCが各省庁のセキュリティ監査を実施する権限と責任を負うことになっている。政府のセキュリティ基準を一定の水準に保つため、各省庁はNISCに報告義務が課せられる。NISCは報告に対してチェックを行い改善などを勧告できる立場にもなる。ただし、問題が国家安全保障にかかわるような事案になった場合、国家安全保障会議（NSC：日本版NSCとも）と連携する。

　これまで、省庁のサーバーが不正アクセスを受けた、ホームページが改ざんされた、などのインシデントが発生した場合、対応や対策は各省庁ごとに行われたいた。しかし、今後はこれらのインシデント対応、調査もNISCが主導して行うことになる。以前から指摘されていたことだが、これまで不正アクセスが発覚しても、省庁ごとにまかされ対応・対策がバラバラであり、ひどい場合は被害情報の隠ぺいととられかねない対応さえあった。

　なお、NISCの正式名称は「内閣官房内閣サイバーセキュリティセンター」だが、略称は旧名称である「内閣官房情報セキュリティセンター」が元になっている。新組織が名称変更になったが、略称はNISCにこだわって変更しなかったそうだ。

●2015年の新戦略は6月にも決定したい
　次に谷脇氏は、2015年のサイバーセキュリティ戦略本部の主なスケジュールについて説明した。2月の第1回の会合は9日すでに開催されている。このあと4月をめどに「新・サイバーセキュリティ戦略（案）」を作成し公開するとしている。この案は、IT総合戦略本部およびNSCの意見も参考に素案が作成され、パブリックコメントを募る予定だ。5月にパブリックコメントを募集し6月には新戦略案を閣議決定させる段取りだ。

　2月9日の第1回の会合では、「重大事象施策評価規則」が決定されており、その概要も紹介された。重大事象施策とは、行政事務に支障がでるようなサイバーインシデントや国民生活や経済に重大な影響を与えるようなサイバーインシデント、さらに行政機関のサーバーが踏み台攻撃に利用された場合などに対する施策のことだ。

　規則の概要は、インシデントの認知・把握からその対策、原因調査、改善、防止対策といったPDCAを回すセキュリティマネジメントとなっている。そのほかには、省庁システムのペネトレーションテストなど予防対策なども行うとしている。

●米国ではインテリジェンス情報の共有が進む
　最後に、日本のサイバーセキュリティ戦略本部の動きに関連した米国の動向について解説した。

　重大事象施策評価規則に対応する動きは、米国のほうが少し先行しており、2014年に合衆国国土安全保障省（DHS）の下にNCCIC（国家サイバーセキュリティ・通信統合センターを設立し、法的権限を付与した。またサイバー脅威に関する情報を官民で共有する機能も持たせた。谷脇氏は現在のNISCはこの組織に近い位置づけだと説明した。

　また、米国でも1月に入り、オバマ大統領の演説の中でDHSに対して官民の情報共有を促進する立法提案が行われている。これはインテリジェンスを含むサイバー空間の脅威情報を広く共有する役目を意味するが、これを受けて、米国では国家情報長官（DNI）の下にCTIIC（Cyber Threat Information and Integration Center）を設置するべく準備を進めている。設立当初は50名ほどの組織になるだろうとのことだ。谷脇氏は、日本でいうならISAC（Information Sharing and Analysis Center）に相当する組織だとした。

《中尾 真二》