サイバーセキュリティについて

2023.12.23

サイバー攻撃は、年々、高度化、巧妙化してきています。

「企業には二種類しかない。サイバー攻撃を受けている企業とサイバー攻撃を受けているけれどそれに気がついていない企業の二種類だ」という言葉がますます真実味を帯びてきています。

かつてはインターネットやＧＰＳなど軍事分野での技術が民生分野に転用されて広く使われるようになりました。

しかし最近では、軍事と非軍事の境界が曖昧となり、サイバー、ＡＩ、量子など、特に民生分野における技術の急速な発展が、サイバーセキュリティや安全保障に大きく影響を与えるようになってきました。

そこで政府のサイバーセキュリティ戦略本部において、今年、政府機関や独立行政法人が遵守すべき情報セキュリティ基準である「政府統一基準群」を改定しました。

まず、サプライチェーンにおける対策の強化として、業務の委託先との契約に、委託期間を通じて情報へのアクセス制御やログの取得・監視などを含めることを求めています。

そしてサイバー攻撃を受けることを前提として、システムの監視や管理者権限の厳格な認証管理といった防御対策と復旧手順の整備やバックアップ要件の見直しなどの復旧対策を講ずることを求めています。

セキュリティ監査を行い、そこで明らかになった改善が必要な項目について、進捗状況を定期的に責任者に報告することとし、責任者は監査結果に基づく改善進捗を把握し、組織の統制を図ることとしています。

また、組織の中で優先順位を明確にして、基幹業務システムなど重要度の高いシステムについては、リアルタイムにログ分析を行う機能の導入などの高度な対策を求めています。

さらに金融、通信をはじめとする重要インフラ事業者についても、参考とすべき「安全基準等策定指針」を今年、改定し、サイバー対策の強化を求めています。

サイバー空間上の脅威が高まる中で、我が国のサイバーセキュリティの強化のためには各国と歩調を合わせることが必要です。

今年の10月には、ソフトウェア開発業者を対象に、14の国や地域のサイバーセキュリティ機関とともに、「セキュアバイデザイン」と「セキュアバイデフォルト」に関する提言を公表しました。

「セキュアバイデザイン」とは、悪意ある者が端末機器、データ、インフラに不正にアクセスできないように、設計・開発段階から、合理的に保護されている形で製品を作ることを意味します。

セキュアバイデザインの実現には、ソフトウェア作成業者が、セキュリティ対策を後から「追加」して実施するのではなく、製品設計や開発プロセスにあらかじめ組み込んでおくことが重要です。また、経営層はその重要性を認識しておく必要があります。

セキュアバイデザインの実現には、製品のセキュリティを経営の優先事項とする経営トップによる強いリーダーシップが不可欠で、顧客にとって見えにくい対策（例えば、脆弱性を取り除いたプログラミング言語への移行など）にも投資することが求められます。

魅力あるが攻撃を受ける面を増加させてしまう機能ではなく、顧客を守る機能、メカニズム、ツール実装を優先することが大切です。

「セキュアバイデフォルト」とは、製品が、追加費用なく、購入後すぐに、ユーザーを守ることができることを言います。

セキュアバイデフォルトの製品を使えば、ユーザーが使い始めたその瞬間から、最も普及した脅威や脆弱性から保護される状態になります。

セキュアバイデフォルトとは、「初期設定」を安全にすることです。

すべての新車にシートベルトが付いているように、セキュリティは贅沢なオプションではなく、全てのユーザーが追加的な支払いをすることなく使うことができる標準装備であることがセキュアバイデフォルトです。

衆議院議員河野太郎公式サイト