Japan

サイト内の現在位置を表示しています。

注目トレンド

政府が本腰入れる新サイバーセキュリティ戦略
その概要と注目すべきポイントとは

企業は本戦略の何に注目すべきなのか

これらの本戦略の施策の中で、企業はどこに注目すべきなのでしょうか。
まず意識すべきなのは、サイバー空間に関する認識を変える必要があるということです。
IoTによってあらゆるモノがインターネットに接続され、実空間とサイバー空間が高度に融合した社会、すなわち「連接融合情報社会」が到来しつつあるとの認識の下、セキュリティは「コスト」ではなく、安全な製品・サービスを創り、企業価値や国際競争力を高めるための「投資」である、という発想の転換が打ち出されています。
また「経済社会」の中で、「セキュリティマインドを持った企業経営の推進」を掲げて、民間企業における経営層の意識改革の必要性について述べている点も注目すべきポイントだといえます。
これまではセキュリティというと、情報システム部門の技術的な問題だと考えるのが一般的でした。しかし昨今の情報漏えいなどのセキュリティ事案(インシデント)では、技術的な対策だけでは対処が難しくなっています。インシデントが起こることを前提として、組織体制・プロセスの確立を行うとともに、守るべき情報を多層的に防御していく仕組みを導入するといったアプローチが不可欠なのです。
経営幹部がセキュリティの重要性を認識するべきだという声はこれまでにも上がっていましたが、本戦略ではこれをあらためて強調しています。経営者が全社的な課題だと認識しない限り、企業の体制づくりや意識改革は進まないと考えられるからです。
企業にセキュリティに関する最高責任者であるCISO(最高情報セキュリティ責任者)を置き、その機能を経営層の中に確実に位置づけるよう求め、インシデントを把握し、対応するCSIRT(Computer Security Incident Response Team:シーサート)を設置・運用することで、サイバーセキュリティ対策強化の取り組みも、大きく前進していくことが期待されます。
また、サイバーセキュリティ戦略本部の本部員であるNEC 代表取締役 執行役員社長の遠藤 信博は、第3回のサイバーセキュリティ戦略本部において、今後検討すべき事項として以下の項目を挙げています。

  • 企業・組織のガバナンス強化:CSIRT、多層防御の構築には専門的な人材が必要。外部への委託などを安心して行える認証制度などが有効である。
  • IoTの進展:データの有効活用を進める一方、暗号化などによりデータをしっかり守る対策が必要。
  • 人材育成:セキュリティ人材の絶対数が不足している。産業横断の検討会や総務省の実践的サイバー防御演習(CYDER)などをはじめとした、官民一体となった取り組みを進めていくことが重要。

なお本戦略の見直しにおいては、強化・前倒しされた施策があります(表1)。このような情報を知っておくことも、政府が何を重視しているかを理解する上で役に立つはずです。

図zoom拡大する
(図3)CSIRTの例
表1 本戦略の見直しで強化された施策
政府機関の対応能力の抜本的強化
  • 監査・監視対象を中央官庁から独立行政法人・特殊法人へ拡大
  • 攻撃リスクの低減にむけた政府機関などの対策方針を早急に策定
  • 重要情報を取り扱う情報システムをインターネットから分離することやインターネット接続口の早急な集約化
  • 政府機関の全面的なクラウド移行を見据えた対策の強化
マイナンバー制度の円滑な導入に向けた対策の強化
  • 特定個人情報保護委員会による監視・監督体制の整備(本年度中目途)
  • 総合行政ネットワーク(LGWAN)に集中監視機能を設置
  • 官民連携を実現する認証連携の取組方針を策定(本年度中目途)
民間企業におけるセキュリティ対策
  • 経営ガイドラインの策定(本年中目途)
  • 企業などに対する第三者評価制度の実施(来年度以降)
  • 重要インフラ事業者のセキュリティ強化策の具体的内容を決定(本年度中)
  • 重要インフラ事業者間の情報共有網の拡充
サイバーセキュリティの確保に向けた基盤強化
  • 政府系ファンドによるベンチャー企業などの育成
  • IoT 事業に関する総合的なセキュリティガイドラインを策定(本年度中)
  • 実践的な演習環境整備を含む、人材育成総合強化方針(仮称)を策定(本年度中)

コラム2

CSIRTはコンピュータセキュリティの消防団

CSIRTとは組織内で発生したコンピュータセキュリティ事故・事件を専門に扱うインシデント対応チームのことです。サイバー攻撃が巧妙化する現在、企業や組織は攻撃を受けることを前提に、「いかに被害を最小限に食い止めるか」を考えた対策を講じる必要があります。

CSIRTを中心として、問題発生時を想定したシミュレーションを行っておけば、実際に被害が発覚した場合も素早く、的確なアクションを起こすことができます。

CSIRTは、情報セキュリティ事故・事件発生時の対応はもとより、平時においては環境の監視・改善や、従業員への注意啓発、訓練を実施するため、その活動は消防署/消防団の活動に例えられます。

NECでも、2002年頃からNEC-CSIRTを運用しています。社内に潜む脆弱性情報の一元的な収集・管理を実施し、インシデントが起きた場合も理由を正確に分析して適切に対処しているほか、NECグループやお客様等で発生したインシデントの解析・対応支援のほか、NECグループが出荷している製品の脆弱性管理の中核も担っています。

また、NEC-CSIRTはさまざまな組織、団体に加盟しています。インシデント発生時の連携や被害を最小限とする体制の構築や、早期警戒情報の共有などの活動を行っています。

20年以上にわたる知見でお客様を支援する

このように、サイバーセキュリティに対して、企業には様々な取り組みが求められます。
NECではこれまで培ってきたノウハウや経験を「NEC Cyber Security Solutions」として、お客様に提供することで、サイバーセキュリティ対策の導入を支援しています。
その一例が、サイバーセキュリティ対策をワンストップで行う総合セキュリティ対策施設です。ここではNEC の情報・知見、人材、技術を集約しお客様サイトの運用・監視から、定期診断、緊急対応、改善支援といった強固なセキュリティサイクルを推進するサイバーセキュリティ総合支援サービスを提供しています。 さらにNEC-CSIRTで培ったノウハウと、独自のセキュリティインテリジェンスを組み合わせた新たなソリューションを開発し、セキュリティリスクを見える化、攻撃者のパターンを“先読み”することで、お客様に適した対処方法を導き出すプロアクティブサイバーセキュリティを実現する「NEC Cyber Security Platform」を発表いたしました。
今後も、先端技術を活用することでサイバーセキュリティへの対応力を高めていきます。具体的には、早くから着目してきたSDN(Software-Defined Networking)というネットワークの仮想化に関連した技術やビッグデータ解析を積極的に活用します。ファイル/データベース暗号化、秘匿計算技術など、各種のセキュリティ技術にさらなる磨きをかけ、お客様が安心して事業に邁進できる安心・安全な環境を実現するため、このような取り組みを今後も推進していきます。

前へ