東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

6

サイバーセキュリティ戦略および関連法令 6-1. NISC:サイバーセキュリティ戦略

章の目的

第6章は、NISCによるサイバーセキュリティ戦略を通じて、DXとサイバーセキュリティの確保を同時に推進する重要性について理解することを目的とします。また、サイバーセキュリティに関連する法令として、個人情報保護法とGDPRについて説明します。

主な達成目標

  • 日本におけるサイバーセキュリティに関する方針や施策について理解すること
  • サイバーセキュリティに関する知識やスキルを身につける必要性について理解すること
  • 個人情報関連の法令を理解すること

6-1-1. サイバーセキュリティ戦略

サイバーセキュリティ戦略とは、国家レベルでサイバーセキュリティの確保に取組むための基本的な方針や目標を定めたものです。日本においては、内閣サイバーセキュリティセンター(NISC)が、サイバーセキュリティ戦略の策定や実施に関する総合調整役を担っています。現行のサイバーセキュリティ戦略は、2021年9月28日に閣議決定され、「今後3年間に執るべき諸施策の目標や実施方針を示す」ものとされています。この戦略に基づき、政府はサイバーセキュリティの確保に向けた取組みを進めています。

サイバーセキュリティ戦略の課題と方向性

図28.サイバーセキュリティ戦略の課題と方向性の概要
(出典)NISC「 サイバーセキュリティ戦略 Cybersecurity for All 誰も取り残さないサイバーセキュリティ」を基に作成

現在、あらゆる人々にとって、サイバーセキュリティの確保が必要とされる時代(Cybersecurity for All)となってきています。また今後、サイバー空間とは繋がりのなかった主体も含め、あらゆる主体がサイバー空間に参画することになります。そのため、デジタル化の進歩と共に「誰一人取り残さない」サイバーセキュリティの確保に向けた取組みを進める必要があります。この考え方のもと、本戦略では、「自由、公正、かつ安全なサイバー空間」を確保するため、3つの方向性に基づいて施策を推進する方針を示しています。

3つの政策目標として、「経済社会の活力の向上及び持続的発展」、「国民が安全で安心して暮らせるデジタル社会の実現」、「国際社会の平和・安定及び我が国の安全保障への寄与」が掲げられています。これらの目標を達成するために、それぞれの方向性に基づいた様々な施策が挙げられています。

経済社会の活力の向上及び持続的発展
方向性

デジタルトランスフォーメーション(DX)とサイバーセキュリティの同時推進

デジタル化の進展と併せて、サイバーセキュリティ確保に向けた取組を、あらゆる面で同時に推進

「経済社会の活力の向上及び持続的発展」のためには、「デジタルトランスフォーメーション(DX)とサイバーセキュリティの同時推進」が必要となります。

課題
  • DXの推進が必要とされている中、サイバーセキュリティに対する意識や、サイバー空間を構成する技術基盤やデータなどに対する信頼が醸成されなければ、積極的な参加・コミットメントを得られず、変革を伴わない表層的なデジタル化に留まるおそれがある
  • 業務、製品・サービスなどのデジタル化が進む中、サイバーセキュリティの確保は企業価値に直結する重要なものとなっており、製品の企画・設計の段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」が重要視されるなど、デジタル投資とセキュリティ対策を同時に進める必要がある
主な具体的施策

経営層の意識改革

デジタル経営に向けた行動指針の実践を通じ、サイバーセキュリティ経営のガイドラインに基づく取組みの可視化やインセンティブ付けを行い、更なる取組みを促進

地域・中小企業におけるDX with Cybersecurityの推進

中小企業が利用しやすい安価かつ効果的なセキュリティサービス・保険の普及など、中小企業のセキュリティ対策強化の推進

新たな価値創出を支えるサプライチェーンなどの信頼性確保に向けた基盤づくり

Society5.0に対応したフレームワークなども踏まえ、各種取組みを推進

  • サプライチェーン      :産業分野別及び産業横断的なガイドラインなどの策定や活用の促進
  • データ流通         :送信元のなりすましやデータ改ざんを防止する仕組みの整備
  • セキュリティ製品・サービス :第三者検証サービスの普及による信頼性確保の取組み
  • 先端技術          :情報収集・蓄積・分析・提供などの共通基盤構築

誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着

情報教育推進の中、「デジタル活用支援」と連携して各種取組みを推進

(出典)NISC「 サイバーセキュリティ戦略 Cybersecurity for All 誰も取り残さないサイバーセキュリティ」を基に作成

国民が安全で安心して暮らせるデジタル社会の実現
方向性

公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保

国は、様々な主体と連携しつつ、

  • 1.自助・共助による自律的なリスクマネジメントが講じられる環境づくりと、
  • 2.持ち得る手段の全てを活用した包括的なサイバー防御の展開などを通じて、サイバー空間全体を俯瞰した自助・共助・公助による多層的なサイバー防御体制を構築し、国全体のリスク低減、レジリエンス向上を図る。

「国民が安全で安心して暮らせるデジタル社会の実現」のためには、「公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保」が必要となります。

課題

サイバー空間の公共空間化、相互連関・連鎖の深化、サイバー攻撃の組織化・洗練化

主な具体的施策

(1)国民・社会を守るためのサイバーセキュリティ環境の提供

  • 1.安全・安心なサイバー空間の利用環境の構築
  • 2.新たなサイバーセキュリティの担い手との協調(クラウドサービスへの対応)
  • 3.サイバー犯罪への対策
  • 4.包括的なサイバー防御の展開
  • 5.サイバー空間の信頼性確保に向けた取組

(2)デジタル庁を司令塔とするデジタル改革と一体となったサイバーセキュリティの確保

(3)経済社会基盤を支える各主体における取組

  • 1.政府機関など:監査・CSIRT訓練・GSOCによる監視などを通じたセキュリティ水準の向上 クラウドサービスの利用拡大を見据えた政府統一基準群の改定
  • 2.重要インフラ:「重要インフラの情報セキュリティ対策に係る第4次行動計画」の改定 環境変化に対応した防護の強化や経営層のリーダーシップを推進
  • 3.大学・教育研究機関など:先端情報を保有する大学などへの対策強化支援など (リスクマネジメント・事案対応に関する研修・訓練や、サプライチェーンリスク対策)

(4)多様な主体による情報共有・連携と大規模サイバー攻撃事態などへの対処体制強化

(出典)NISC「 サイバーセキュリティ戦略 Cybersecurity for All 誰も取り残さないサイバーセキュリティ」を基に作成

国際社会の平和・安定及び我が国の安全保障への寄与
方向性

安全保障の観点からの取組強化

サイバー空間の安全・安定の確保のため、外交・安全保障上のサイバー分野の優先度をこれまで以上に⾼めるとともに、以下を⼀層強化する。

「国際社会の平和・安定及び我が国の安全保障への寄与」のためには、「安全保障の観点からの取組強化」が必要となります。

課題
  • 我が国をとりまく安全保障環境は厳しさを増し、サイバー空間は、地政学的緊張も反映した国家間の競争の場となっている。中国・ロシア・北朝鮮は、サイバー能力の構築・増強を行い、情報窃取などを企図したサイバー攻撃を行っているとみられている
  • 一方、同盟国・同志国においても、サイバー脅威に対応するため、サイバー軍や対処能力の強化が進められており、サイバー事案やサイバー空間に関する国際ルールなどをめぐる対立などに対して同盟国・同志国などが連携して対抗している
  • 加えて、安全保障の裾野が経済・技術分野にも一層拡大している中で、サイバー空間に関する技術基盤やデータをめぐる争いに対しても、同盟国・同志国が連携して対抗し、「自由、公正かつ安全なサイバー空間」を確保するため、我が国の基本的な理念に沿った国際ルールを形成していく必要がある
主な具体的施策

(1)⾃由・公正かつ安全なサイバー空間の確保

  • サイバー空間における法の支配の推進(我が国の安全保障に資するルール形成)
  • サイバー空間におけるルール形成(信頼性のある自由なデータ流通や5Gセキュリティなど)

(2)我が国の防御⼒・抑⽌⼒・状況把握⼒の強化

  • サイバー攻撃に対する防御力の向上(防衛省・自衛隊におけるサイバー防衛能力の抜本的強化、先端技術・防衛産業などのセキュリティ確保のための官民連携・情報共有など)
  • サイバー攻撃に対する抑止力の向上(サイバー空間の利用を妨げる能力の活用、外交的手段・刑事訴追などを含めた対応の活用、日米同盟の維持・強化)
  • サイバー空間の状況把握力の強化(サイバー攻撃の更なる実態解明の推進)

(3)国際協⼒・連携

  • 知見の共有・政策調整(国際連携の重層的な枠組みの強化)
  • サイバー事案などに係る国際連携の強化(国際サイバー演習の主導などによる国際的なプレゼンスの向上)
  • 能力構築支援(産学官連携や外交・安全保障を含めたASEANを含むインド太平洋地域における取組み強化)

(出典)NISC「 サイバーセキュリティ戦略 Cybersecurity for All 誰も取り残さないサイバーセキュリティ」を基に作成

横断的施策

3つの政策目標を達成するためには、サイバーセキュリティ戦略の3つの方向性を意識し、その基盤として、横断的・中長期的な視点で、研究開発や人材育成、普及啓発に取り組んでいくことが重要です。

サイバーセキュリティ戦略の3つの方向性

(出典)NISC「 サイバーセキュリティ戦略 Cybersecurity for All 誰も取り残さないサイバーセキュリティ」を基に作成

ONE POINT

サイバーセキュリティ基本法

サイバーセキュリティ基本法は、サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念や国の責務などを定めています。また、サイバーセキュリティ戦略の策定およびその他サイバーセキュリティに関する施策の基本となる事項を規定します。

サイバーセキュリティ2023

NISCは、サイバーセキュリティ戦略に基づく今年度の2022年度年次報告・2023年度年次計画を整理した「サイバーセキュリティ2023」を策定しています。サイバーセキュリティ戦略に基づく施策を的確に実施するため、各年度の施策の進捗状況を検証し、次年度の計画に反映することとしています。
2023年度の「サイバー空間を巡る状況変化と情勢、及び政策課題」と「今後の取組の方向性(今年度特に強力に取り組む施策について)」は以下の通りです。

サイバー空間を巡る状況変化と情勢、及び政策課題

昨今の状況変化

  • サイバー空間への依存度の高まり/情報システムの利⽤拡⼤/サプライチェーンの多様化・複雑化の進展/⽣成AIなどの新たな技術普及
  • 新たな技術・サービスの普及に伴うサイバー攻撃を受けるシステム側の侵入口(セキュリティホール)増加
  • サイバー攻撃手法の変化(深刻化・巧妙化)/サイバー攻撃による重要インフラの機能停止や破壊、他国の選挙への干渉、身代金の要求、機微情報の窃取

サイバー空間の現下の情勢 ~サイバー攻撃の深刻化・巧妙化~

ランサムウェアが依然とした脅威、不正プログラムEmotetが活動と停止の繰り返し/暗号資産交換業者もサイバー攻撃の対象

昨今の状況変化を踏まえた政策課題

  • 政府による「国家安全保障戦略」の策定:サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保
  • 実効的なサイバーセキュリティ対策を実現するための課題:①各主体による対策の強化・対処能⼒の向上/②政府による⽀援などの充実・強化/③国際連携・協⼒の強化が政策課題に
今後の取組の方向性(今年度特に強力に取り組む施策について)

1. 経済社会の活⼒の向上及び持続的発展 〜DXの推進に向けたリスク対策の強化〜

  • これまでICTの利活⽤に必ずしも積極的ではなかった地域・中⼩企業における対策の促進
  • サプライチェーンリスクの増⼤を踏まえたソフトウェアセキュリティの⾼度化に関する取組強化

2. 国⺠が安⼼して暮らせるデジタル社会の実現 〜政府機関や重要インフラのレジリエンスの向上〜

  • サイバー空間における脅威動向の把握・対処や分析能力の向上を通じた政府情報システムのレジリエンス向上
  • 重要インフラ分野において、組織全体でのサイバーセキュリティ対応の促進・インシデント発生時の初動対応支援等を進めている医療分野など

3. 国際社会の平和・安定及び我が国の安全保障への寄与 〜同盟国・同志国との国際連携・協⼒の推進〜

  • 同盟国・同志国とのサイバー協議や対話の実施
  • ⽇⽶豪印における協⼒、ランサムウェア対策を推進するための同志国間の協⼒枠組みの推進

サイバーセキュリティ2023のポイント
(出典)NISC「サイバーセキュリティ2023の概要」を基に作成

「今後の取組の方向性(今年度特に強力に取り組む施策について)」に記載がある「 1. 経済社会の活⼒の向上及び持続的発展〜DXの推進に向けたリスク対策の強化〜」の中で、中小企業に主に関連する内容を説明します。

[1] 中⼩企業のサイバーセキュリティ対策促進

1.背景及び課題

  • サプライチェーンの中で⽐較的弱い中⼩企業へのサイバー攻撃を経由して、発注元の⼤企業も被害を受けている実態への取組強化が必要である。
  • 他⽅で、そのリスクを⾃分事として認識していない、あるいは、何をしてよいか分からない状況にある中⼩企業や、対策費⽤や⼈材の確保に課題を感じている中⼩企業も多数存在する。
  • 中⼩企業の経営者の意識改⾰や中⼩企業が使いやすいセキュリティサービスの普及促進・運⽤改善、⼤企業が取引先の中⼩企業に対してセキュリティ対策の⽀援・要請を⾏う際の関係法令の適⽤関係にかかる懸念の払拭を更に進めていくことが必要である。

2.取組の概要

①⼿法

  • 「サイバーセキュリティお助け隊サービス」につき、サービス基準の改定による同サービスの拡充等を通じて、中⼩企業側の様々なニーズに応え、個々の中⼩企業の要望に応じたサイバーセキュリティ対策の⽀援を実現する。
  • こうした取組を、サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)とも連携して実施し、中⼩企業への対策の浸透を図る。

②取組によって期待される成果・効果

  • お助け隊サービスの普及を通じて、中⼩企業のセキュリティが向上するとともに、中⼩企業におけるサイバー攻撃被害の実態について、サービス提供事業者を通じて把握することが可能になる。あわせて、関係機関への通報や共有が促進されることも期待される。
  • サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)との連携により、産業界全体のサイバーセキュリティ強化が期待される。
[2] サプライチェーンリスクを踏まえたソフトウェアセキュリティの⾼度化に関する取組

1.背景及び課題

  • サイバー空間とフィジカル空間が密接に関係していく世界にあって、サイバー攻撃のリスクも増⼤する中、これに対応するための考え⽅を整理したフレームワークを整備しているところであり、この社会実装を進めることでセキュリティ対策のレベルを向上させることが必要である。
  • 特に、ソフトウェアを構成する部品情報を管理し、脆弱性管理等に活⽤可能なSBOM導⼊の重要性に対する認識が⽶国を中⼼に広まっていることから、こうした動きに対応しつつ、SBOMが有するメリットを⽣かしていくための仕組み作りや様々な分野への普及が重要である。
  • 通信システムのソフトウェアでのOSSの普及拡⼤に伴って多発するサイバー攻撃への対処のため、通信分野におけるSBOM導⼊が急務である。

2.取組の概要

①⼿法

  • 脆弱性管理の効率化等を図るため、脆弱性情報とSBOMの紐付けを機械的に⾏う⼿法の実証など、2022年度までの取組を深化する。
  • 代表的な通信システムを対象にSBOMを作成・評価するなど、通信分野でのSBOM導⼊に向けた取組を進める。

②取組によって期待される成果・効果

  • SBOMに関する知⾒の整理、契約モデル等のツールの整備等を通じた、安⼼してソフトウェア活⽤を⾏うことができる環境の構築、ひいてはあらゆる産業で⽣産性の向上や新たなサービスの創出といった付加価値の増⼤が⾒込まれる。
  • 通信分野でのSBOM導⼊により、OSS等のソフトウェア部品の脆弱性が確認された際の対応の迅速化等が期待される。

サイバーセキュリティ2023のポイント
(出典)NISC「サイバーセキュリティ2023の概要」を基に作成