サイバーセキュリティーについて考えるブログ

調べた情報や考えを書き記しておく場所。

サイバーセキュリティ基本法案とは

日本

先日、2014年11月5日にサイバーセキュリティ基本法案が成立しました。法案は4章立てになっているので、今回は各章別に概要を見てみたいと思います。

 

 第一章 総則

 第二章 サイバーセキュリティ戦略

 第三章 基本的施策

 第四章 サイバーセキュリティ戦略本部

 

  • 第一章

背景と定義、それから関係する組織の役割について示してあります。特に関連する団体として、国・地方自治体・インフラ事業者・インターネット関連事業者・研究機関・国民が言及されています。ビジネス的には前記4者の周辺で盛り上がると思われます。研究機関は、セキュリティ関連で国からの予算が期待できます。また国民に対する周知の必要性も増すとすれば、関連する広報活動も活発になりそうです。

 

  • 第二章

「サイバーセキュリティ戦略を定めなければならない」と有ります。日本は2013年に一度サイバーセキュリティ戦略を策定していますが、より現在の状況に即した内容に進化するでしょう。

 

  • 第三章

基本的施策を示してあり、具体的に何をするのかが書いてあります。11個の施策が書かれていますが、以下の通りにまとめてみました。

  1. 国、地方自治体、インフラにおけるサイバーセキュリティの確保
  2. 中小企業や教育機関への支援
  3. 犯罪対策
  4. 防衛力の強化
  5. 産業の振興
  6. 研究・教育の促進
  7. 国際協力

これだけ見てもサイバーセキュリティが関連する分野は多岐にわたる事が分かります。

 

  • 第四章

内閣にサイバーセキュリティ戦略本部を内閣に設立するとあります。現在は内閣官房情報セキュリティセンター(NISC)がありますが、より機能が強化された組織になると思われます。 

 

 さて2020年には東京でオリンピックが予定されていますが、サイバー攻撃の危険性も指摘されています。そこで次回は2012年に行われたロンドンオリンピックでのケースを見てみたいと思います。

 

http://www.flickr.com/photos/49503002894@N01/23390123

photo by Kris Krug

サイバーセキュリティーとロシア

世界

ロシアと言えば、昔からウィルス検知ソフトでカスペルスキーが有名ですが創業は1997だそうです。

会社情報 | カスペルスキー

 

通称でRBNと呼ばれるロシアン・ビジネス・ネットワークはボットネットなどで有名な電子犯罪組織で、拠点はサンクトペテルブルグにあるそうです。

ロシアン・ビジネス・ネットワーク - Wikipedia

 

また首都であるモスクワには、政府との関係が疑われるAPT28と呼ばれる組織が存在する様子です。

米ホワイトハウスのネットワークにハッカーが侵入--ロシアを怪しむ声も - ZDNet Japan

 

先日、サイバーセキュリティー基本法案が成立したようなので、次回はその内容について簡単に見てみたいと思います。

 

http://www.flickr.com/photos/39684088@N00/8345137730

photo by Jared Cherup

東アジアのサイバーセキュリティー

世界

今回は東アジアのサイバーセキュリティーについて簡単に見てみたいと思います。

 

まず始めに韓国ですが2013年にサイバー攻撃を受けました。攻撃の対象はテレビ局や銀行でATMやモバイル決済に影響がでました。

2013 South Korea cyberattack - Wikipedia, the free encyclopedia

 

次に中国ですが、情報を検閲するシステムを保有しており「金盾」という名前がつけられています。万里の長城の英語名からGreat Firewallとも言われているそうです。

金盾 - Wikipedia

 

またアメリカからサイバー攻撃部隊の存在についてのレポートが出ています。上海近郊にあるビルを拠点としているらしく、レポートの中には正確な場所まで記載されていました。

http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf

 

サイバー空間は宇宙空間のように新しい技術で開拓して行くフロンティア的な側面もあるため、国際的なルール作りも進んでいます。中国からはロシアと共同で国連にInternational Code of Conduct for Information Securityが提出されました。直訳すると

「情報セキュリティのための国際行動規範」となります。

https://www.ccdcoe.org/sites/default/files/documents/UN-110912-CodeOfConduct_0.pdf

 

次回は中国と同様にサイバー攻撃をしている集団についてレポートが出されたロシアについて見てみたいと思います。 

 

http://www.flickr.com/photos/22490717@N02/2213566122

photo by archer10 (Dennis) ON IPAD

サイバーセキュリティーで注目すべき国;エストニア

世界

今回は世界の中でサイバーセキュリティーに力を入れている国を見てみたいと思います。

 

電子政府やベンチャー起業に関するニュースでたまに目にする「エストニア」ですが、国としてIT産業に力を入れています。国のサイズが小さく若い国なので思い切った行動が取れているように見えます。

 

電子政府のサービスとしてICカード付きのカードで様々な事が出来ますが、今では起業の手続きも簡単に出来るようになりました。これを受けてエストニアに住んでいなくても電子市民として起業ができるような仕組みを準備しています。

朝日新聞グローブ (GLOBE)|Media Watch メディア最前線

COMING SOON: Become Estonia’s e-resident! - e-Estonia

 

国の仕組みをIT化しているので、それらを守る必要性も他の国に比べて高まっています。2007年には国内の問題から組織的なサイバー攻撃を受け、政府のWebサイトや銀行、新聞社などが被害を受けました。

2007 cyberattacks on Estonia - Wikipedia, the free encyclopedia

 

翌年の2008年にはNATOから認定を受けたサイバーセキュリティーの研究機関を立ち上げています。学会やトレーニングイベントの開催をしながら、どう国際法をサイバースペースへ適用するか考えたタリンマニュアルを発行しました。 

CCDCOE

 

日本も来年度からマイナンバーの通知が始まるので、これまで以上の対策が必要になりそうですね。

社会保障・税番号制度

 

今回はヨーロッパでしたが、次回は日本に近いアジアの様子を見てみたいと思います。

 

http://www.flickr.com/photos/52219029@N04/7874707058

photo by TausP.

サイバーセキュリティーのフレームワーク

全般

今回はサイバーセキュリティーを考える時の枠組みについて見てみたいと思います。一口にサイバーセキュリティー対策と言っても様々な仕事があり、それらを実際に行う作業別に分けた物になります。分析から予防、そして実際に攻撃を受けた場合の対処という順番でリスクを管理しています。

 

元の出所は米国の国立標準技術研究所(NIST)ですが、日本のIPA(情報処理推進機構)が翻訳版を出しています。

Cybersecurity Framework

セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構

(↑一番下の[その他のNIST文書]です)

 

f:id:syee:20141013165557p:plain

[出典:重要インフラのサイバーセキュリティを向上させるためのフレームワーク] 

 

例をあげて少し細かく見てみます。例えばDEの「検知」で「セキュリティの継続なモニタリング」とあります。この中にはさらに細かいサブカテゴリーが存在します。その中の一つ「DE.CM-4: 悪質なコードを検出できる。」を見てみると、関連項目は以下の通りになります。

  • CCS CSC 5
  • COBIT 5 DSS05.01
  • ISA 62443-2-1:2009 4.3.4.3.8
  • ISA 62443-3-3:2013 SR 3.2
  • ISO/IEC 27001:2013 A.12.2.1
  • NIST SP 800-53 Rev. 4 SI-3

この中で「ISO27001」とは、ISMSと言われているごく一般的な情報セキュリティの規格です。つまりサイバーセキュリティー対策と言っても、一部はこれまで行ってきた情報管理の延長線上にある物と言えるかと思います。

 

次回は日本以外の国がどのように対処しようとしているのか見てみたいと思います。特にサイバー攻撃の標的となった国は対策が進んでいるように見えます。

 

http://www.flickr.com/photos/62941576@N00/2279257180

photo by satosphere

サイバーセキュリティー関連の企業や団体、大学など

日本
今回はサイバーセキュリティーに関係する企業や団体について見てみたいと思います。サイバーセキュリティー関連のビジネスを展開している企業は多数有り、関係する団体も多いので今回はその一部となります。
 
 
一般的にはウィルス対策ソフトとして名前が知られているマカフィーですが、興味深いレポートを出しています。発行が2012年と少し古いですが、世界レベルでの問題点にも広く言及していて参考になります。
 
老舗のノートンも関係しています。米国から中国のサイバー攻撃集団について指摘した件で日本のノートンのレポートが引用されています。
 
 
国のサイバーセキュリティー戦略に提出された意見のリストや、情報セキュリティー政策会議の構成員名簿なども参考になります。
 
 
NECはサイバーディフェンス研究所を買収してニュースになりましたが、他にも提携先が有るようです。
 
 
次回はサイバーセキュリティーに関連する内容の分類方法について見てみたいと思います。企業や団体の業務範囲や強みを分析するのに使えるかと思います。
 

サイバーセキュリティー基本法案

日本

今回はサイバーセキュリティー基本法案について見てみたいと思います。

 

2014年の6月に提出された法案ですが、今年の通常国会の期間中には成立せず閉会審査となりました。セキュリティーバブルに言及する記事があったり、日経新聞には「異例」と書かれています。

 

セキュリティーバブル、到来か――「守り」へ投資、価値見極め(サーチライト) | SECURITY SHOW

サイバーセキュリティ法案、異例の継続審議に :日本経済新聞

 

中身についても見てみます。国や人によって「サイバーセキュリティー」の定義は変わりますが法案の中ではしっかりと定義がしてあります。

この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。

●サイバーセキュリティ基本法案

 

短くすると、電磁的方式の情報が、漏洩や改ざんをされないような措置が講じられていて維持管理されていることがサイバーセキュリティーの定義とされています。

素直に読むと国内に存在するシステムを守る風に読めますが、サイバー空間は関係者が国、民間企業、団体、個人と様々かつ事象が簡単に国境を超えるため基本法とは言えども深読みすることが可能になってしまいます。例えば世界にはサイバー空間での攻撃に対して言及している国も存在したり、自国の防衛についてはサイバーディフェンスという言葉を使って表現している場合もあります。

 

次回は企業が発行しているレポートを通して、それらの役割について見てみたいと思います。

 

http://www.flickr.com/photos/27624680@N02/7827785878

photo by jenni from the block