Risks and Incidents

サイバー、フィジカル空間のインシデント、セキュリティ情報についてまとめています。その他、情報系の学習記録など。

サイバーセキュリティ戦略 1

 内閣サイバーセキュリティセンター(以下、NISC)は、去る9月28日に新たな「サイバーセキュリティ戦略」を公表した。

 

 前日の9月27日、サイバーセキュリティ戦略本部第31回会合において、「時期サイバーセキュリティ戦略(案)」が正式に決定されたためである*1。また併せて、サイバーセキュリティに関する情勢などをまとめた2020年年次報告及び同戦略に基づく2021年年次計画を合わせた「サイバーセキュリティ2021」についても決定されている。

 

 本戦略は、サイバーセキュリティ基本法(平成26年法律第104号)*2に基づいて策定されるものであり、基本法が制定されてから7年間で3回目の策定となる。

現在、社会のIT化・デジタル化の進展やサイバー攻撃の深刻化が進む一方で、新型コロナウイルス感染拡大により社会・経済活動が大きな影響を受ける等、日本は大きな変革の中にある。政府もデジタル庁を創設しデジタル経済の更なる発展を目指している。

 

 ここでは数回に分けて、本戦略策定の背景、仕組みと、戦略の内容、その意義について考察してみたい。

 

基本法とサイバーセキュリティの位置づけ

 本戦略について考察する前提として、まずは我が国のサイバーセキュリティ政策の枠組みを押さえる必要がある。その中核にあるのが、サイバーセキュリティ基本法である。

この法律の目的は、その名称が示す通り、サイバーセキュリティの基本的な政策を示すことにある。戦略の背景や意図するところを理解するためには、まず同法の基本的な考え方を踏まえる必要がある。

 同法第一条には次のように記されている。

 

 第一条(抜粋)

この法律の目的は(中略)我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めるとともに、サイバーセキュリティ戦略本部を設置すること等により、高度情報通信ネットワーク社会形成基本法(平成十二年法律第百四十四号)と相まって、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、もって経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現を図るとともに、国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することを目的とする。

 

 次に法律全体の構成に目を向けると、同法は、

 第一章 総則

 第二章 サイバーセキュリティ戦略

 第三章 基本的施策

 第四章 サイバーセキュリティ戦略本部

 第五章 罰則

との構成となっており、国の基本的施策の他、本記事のテーマであるサイバーセキュリティ戦略やNISCの設置根拠ともなっていることが明らかとなる。

 

 第一章 総則においては、上記に引用した同法の目的の他、「サイバーセキュリティ」の用語の定義、国としての基本理念、国や地方公共団体、事業者、教育機関など公的機関等の責務等がうたわれている。特に、サイバーセキュリティが「喫緊の課題」であるとの認識のもと、国や公的機関だけでなく、「国民一人一人」にまで努力を求める姿勢を打ち出している。

 

 第二章 サイバーセキュリティ戦略では、「政府は、サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るため、サイバーセキュリティに関する基本的な計画(以下「サイバーセキュリティ戦略」という。)を定めなければならない。」(同法第十二条)として、戦略の内容についても明示している。

具体的には、戦略は基本的な方針の他、サイバーセキュリティ確保のため国の行政機関や地方公共団体等公的機関が行うべき事項を定めている。

また、戦略は閣議決定を経て国会に報告されるとともに、インターネット等の手段で適切に公表されるべき旨も明記されている。

 

 第三章 基本的施策では、国の行政機関等、重要社会基盤事業者等が実施すべき具体的な施策の内容を明示する他、民間事業者及び教育研究機関等が自発的に取り組むべき事項についても付言している。その内容は、サイバーセキュリティを脅かすインシデントへの直接的な対応の他、産業など国際競争力の強化、雇用の確保や人材育成など平素からの多岐にわたる分野における取組を含んでいる。

また、上記のような官民の各セクターが相互に連携してサイバーセキュリティに関する施策に取り組むべき旨が明記されている。

 

 第四章 サイバーセキュリティ戦略本部では、「サイバーセキュリティに関する施策を総合的かつ効果的に推進する」(同法第二十五条)ために、ここではこのようには記載されていないが、所謂NISCを置くことが明記されている。

NISCの所掌事務(担当する役割)としては、サイバーセキュリティ戦略の案の策定、国の機関等のサイバーセキュリティ対策基準の作成、国の機関等のインシデント対応に関する施策の評価、インシデント発生時の国内外の関係者との連絡調整、などとされている。

またNISCについては、サイバーセキュリティが国の安全保障に重要であることに鑑み、「我が国の安全保障に係るサイバーセキュリティに関する重要事項について、国家安全保障会議との緊密な連携を図る」と明記している。
 

 以上が、少々長くなったものの、サイバーセキュリティ戦略の根拠となっているサイバーセキュリティ基本法の大枠である。

 

以下、次回以降(予定)

○ これまでの戦略策定の経緯

○ 戦略の内容

 ・ 概要と基本的な考え方

 ・ 情勢及び課題認識

 ・ 目的達成のための施策

 ・ 旧戦略との比較・相違点

○ 戦略の意義及び課題

 

 

連リンク

NISC サイバーセキュリティ戦略

https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021.pdf

NISC サイバーセキュリティ戦略本部第 31 回会合の開催について

https://www.nisc.go.jp/conference/cs/dai31/pdf/31cs_press.pdf

サイバーセキュリティ基本法(平成26年法律第104号)

https://elaws.e-gov.go.jp/document?lawid=426AC1000000104

 

*1:「サイバーセキュリティ戦略本部第31回会合の開催について」

https://www.nisc.go.jp/conference/cs/dai31/pdf/31cs_press.pdf 最終アクセス2021/10/5

 

*2:平成26年法令第104号 

https://elaws.e-gov.go.jp/document?lawid=426AC1000000104  最終アクセス2021/10/5