次期サイバーセキュリティ戦略(案)のパブコメ始まる

セキュリティの社員教育

お疲れ様です。

7/12から「次期サイバーセキュリティ戦略(案)」へのパブコメがひっそりとはじまっています。

この記事では、その「次期サイバーセキュリティ戦略(案)」について、これまでの戦略と何が変わっているのか?という観点で整理しています。

次期サイバーセキュリティ戦略には何が書いてあるのか?

現在の「サイバーセキュリティ戦略」は2018年7月にだされています。今回、パブコメを募集しているのは、この後継となる「次期サイバーセキュリティ戦略」についてです。

サイバーセキュリティ戦略は、2015年、2018年と3年に1度作成、閣議決定されており、その後3年間のサイバーセキュリティに関する施策の基本的な方針を示すものとなっています。

2018年7月27日に閣議決定されている現行の「サイバーセキュリティ戦略の概要」は、以下のとおり

cs-senryaku2018-shousaigaiyou.pdf (nisc.go.jp)

この時の主なテーマは、以下のとおり

・Society5.0

・人口知能(AI)、IoT、Fintech、ロボティックス、3Dプリンター、AR/VR

では、今回パブコメを募集している次期サイバーセキュリティ戦略には、何が書かれているのでしょうか?

次期サイバーセキュリティ戦略の本文は、40ページに及ぶ大作となっているためなかなか全てを読むのは難しいでしょう。

※次期サイバーセキュリティ戦略(案)本文は、shiryou01-2.pdf (nisc.go.jp)で参照できる。

その場合は、まず「次期サイバーセキュリティ戦略(案)」の概要をというドキュメントを確認するのがお勧めです。

これは、いわば次期サイバーセキュリティ戦略を説明するための資料(PowerPoint風)となっており、名前のとおり次期サイバーセキュリティ戦略の概要をまとめたものとなっています。

※「次期サイバーセキュリティ戦略(案)」の概要は、shiryou01-1.pdf (nisc.go.jp)で参照できる。

この資料、よく整理されているのですが、パッと見ると同じような言葉が多くでてくるので、全体像を掴むのが難しいものとなっています。

そこで、読み方としては、最初にp.9の「次期サイバーセキュリティ戦略(案)の構成」のページを確認してください。

p.9の構成を最初に見ておくと、概要資料の各ページの位置づけが分かるので内容の理解が容易になります。

では、早速p.9をよく見てみましょう。

次期サイバーセキュリティ戦略の内容は、「中期的」と「戦略期間」の二つに大きく分かれているのが分かります。

「中期的」な内容は、当然であるが、前回の戦略の内容を踏襲したものとなっています。そのため、今回の次期サイバーセキュリティ戦略の骨子は、必然的に「戦略期間(2021年~2024年)」の内容となります。具体的に見てみると戦略期間中の「目的達成のための施策」には、3つの方向性が示されています。

(1)デジタル改革を踏まえたデジタルトランスフォーメーションとサイバーセキュリティの同時推進

(2)公共空間化と相互連携・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保

(3)安全保障の観点からの取組強化

そして、概要資料のp.1には、この3つの観点が「Cybersecurity for All~誰も取り残さないサイバーセキュリティ~」そのものであり、これにより「自由、公正かつ安全なサイバー空間」の確保を実現するということが示されているのです。

概要資料p.9に戻り、3つの方向性の下を見ると、3つの枠があります。

この3つの枠には、「企業」「国民」「諸外国」の3つの主体に向けたそれぞれの取組がかかれています。

そして、この3つの枠について、

概要資料p.2で「経済社会の活力の向上及び持続的発展」

概要資料p.3とp.4で「国民が安全で安心して暮らせるデジタル社会の実現」

概要資料p.5で「国際社会の平和・安全及び我が国の安全保障への寄与」

として書かれているといった構成になっています。

概要資料p.9の下から2つ目には、「横断的施策」として、上記の3つの主体に対しての施策を実施するため横断的に取り組む必要がある事項が挙げられています。

・研究開発の推進

・人材の確保・育成・活躍促進

・全員参加による協働・普及啓発

これらは、概要資料p.7に書かれています。

最後に概要資料p.9の一番下には、推進体制について記載があり、その具体的内容が概要資料p.8に書かれています。

なお、概要資料p.10は、上記をさらに要約した図がありますが、概要資料p.1の内容との違いが今一分かりません。個人的には概要資料p.10は不要だったのではないかと考えます。

現行のサイバーセキュリティ戦略との比較

次期サイバーセキュリティ戦略を語るためには、現行の戦略との違いを見て、何が変わっているかを確認する必要があります。

上記の概要資料p.9にあたる資料を前回のものと比較してみましょう。

2018年7月に閣議決定された現行のサイバーセキュリティ戦略の概要説明資料は、以下から参照できます。

19shiryou01.pdf (nisc.go.jp)

の資料1-1を確認してください。

残念ながら、今回の次期サイバーセキュリティ戦略の骨子は、驚く程に前回のものと変わっていなことが分かります。少し、順番や言い回しが変わっているだけで、内容は驚く程に同じです。

次期サイバーセキュリティ戦略での少し変わった点

上記のとおり、今回の次期サイバーセキュリティ戦略は、現行のサイバーセキュリティ戦略の焼き直しに近いものとなっていますが、セキュリティ教育について、細かいが踏み込んだ記載がみられます。

概要資料のp.7にある「人材の確保、育成、活躍促進」の個所を見てみましょう。

(1)DX with Cybersecurityの推進

ここでは、「プラス・セキュリティ」知識を補充できる環境整備について、触れられています。

本文では、より具体的にユーザー企業のDX推進部署の人材にセキュリティ教育を促していくことが記載されています。

また、人材流動に関しても触れられ、副業・兼業等の制度整備によりセキュリティ人材の流動化を促していくことまで言及されています。

(2)巧妙化・複雑化する脅威への対処

人材育成プログラムについては、現行の取組を踏襲していますが、資格制度活用に向けた取組が加速しそうです。

(3)政府機関における取組

デジタル庁の発足に合わせ、政府でもセキュリティ人材の採用が活発化しそうです。

セキュリティ人材育成に関しては、前向きな記載が多く、我ら情報処理安全確保士にとっては、追い風が吹いている状況ではないかと思います。

政府の動向を踏まえ、より組織や国へセキュリティ面での貢献を図っていきたいところです。

 

まとめ

上記のとおり、次期サイバーセキュリティ戦略は、大枠では現行のサイバーセキュリティ戦略の焼き直しとなっています。

そのため、大きな驚きはないが、言い換えれば、現行のサイバーセキュリティ戦略は、今後3年間でも通用する良くできた内容であったとも言えます。

また、前章で記載したとおり、セキュリティ教育に関しては、多少、踏み込んだ記載があり、セキュリティ教育に対する国の本気度が垣間見える点は、グッドポイントではないでしょうか。

 

コメント