サイバーセキュリティ基本法案とは
先日、2014年11月5日にサイバーセキュリティ基本法案が成立しました。法案は4章立てになっているので、今回は各章別に概要を見てみたいと思います。
第一章 総則
第二章 サイバーセキュリティ戦略
第三章 基本的施策
第四章 サイバーセキュリティ戦略本部
- 第一章
背景と定義、それから関係する組織の役割について示してあります。特に関連する団体として、国・地方自治体・インフラ事業者・インターネット関連事業者・研究機関・国民が言及されています。ビジネス的には前記4者の周辺で盛り上がると思われます。研究機関は、セキュリティ関連で国からの予算が期待できます。また国民に対する周知の必要性も増すとすれば、関連する広報活動も活発になりそうです。
- 第二章
「サイバーセキュリティ戦略を定めなければならない」と有ります。日本は2013年に一度サイバーセキュリティ戦略を策定していますが、より現在の状況に即した内容に進化するでしょう。
- 第三章
基本的施策を示してあり、具体的に何をするのかが書いてあります。11個の施策が書かれていますが、以下の通りにまとめてみました。
- 国、地方自治体、インフラにおけるサイバーセキュリティの確保
- 中小企業や教育機関への支援
- 犯罪対策
- 防衛力の強化
- 産業の振興
- 研究・教育の促進
- 国際協力
これだけ見てもサイバーセキュリティが関連する分野は多岐にわたる事が分かります。
- 第四章
内閣にサイバーセキュリティ戦略本部を内閣に設立するとあります。現在は内閣官房情報セキュリティセンター(NISC)がありますが、より機能が強化された組織になると思われます。
さて2020年には東京でオリンピックが予定されていますが、サイバー攻撃の危険性も指摘されています。そこで次回は2012年に行われたロンドンオリンピックでのケースを見てみたいと思います。
サイバーセキュリティーとロシア
ロシアと言えば、昔からウィルス検知ソフトでカスペルスキーが有名ですが創業は1997だそうです。
通称でRBNと呼ばれるロシアン・ビジネス・ネットワークはボットネットなどで有名な電子犯罪組織で、拠点はサンクトペテルブルグにあるそうです。
また首都であるモスクワには、政府との関係が疑われるAPT28と呼ばれる組織が存在する様子です。
米ホワイトハウスのネットワークにハッカーが侵入--ロシアを怪しむ声も - ZDNet Japan
先日、サイバーセキュリティー基本法案が成立したようなので、次回はその内容について簡単に見てみたいと思います。
東アジアのサイバーセキュリティー
今回は東アジアのサイバーセキュリティーについて簡単に見てみたいと思います。
まず始めに韓国ですが2013年にサイバー攻撃を受けました。攻撃の対象はテレビ局や銀行でATMやモバイル決済に影響がでました。
2013 South Korea cyberattack - Wikipedia, the free encyclopedia
次に中国ですが、情報を検閲するシステムを保有しており「金盾」という名前がつけられています。万里の長城の英語名からGreat Firewallとも言われているそうです。
またアメリカからサイバー攻撃部隊の存在についてのレポートが出ています。上海近郊にあるビルを拠点としているらしく、レポートの中には正確な場所まで記載されていました。
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
サイバー空間は宇宙空間のように新しい技術で開拓して行くフロンティア的な側面もあるため、国際的なルール作りも進んでいます。中国からはロシアと共同で国連にInternational Code of Conduct for Information Securityが提出されました。直訳すると
「情報セキュリティのための国際行動規範」となります。
https://www.ccdcoe.org/sites/default/files/documents/UN-110912-CodeOfConduct_0.pdf
次回は中国と同様にサイバー攻撃をしている集団についてレポートが出されたロシアについて見てみたいと思います。
サイバーセキュリティーで注目すべき国;エストニア
今回は世界の中でサイバーセキュリティーに力を入れている国を見てみたいと思います。
電子政府やベンチャー起業に関するニュースでたまに目にする「エストニア」ですが、国としてIT産業に力を入れています。国のサイズが小さく若い国なので思い切った行動が取れているように見えます。
電子政府のサービスとしてICカード付きのカードで様々な事が出来ますが、今では起業の手続きも簡単に出来るようになりました。これを受けてエストニアに住んでいなくても電子市民として起業ができるような仕組みを準備しています。
朝日新聞グローブ (GLOBE)|Media Watch メディア最前線
COMING SOON: Become Estonia’s e-resident! - e-Estonia
国の仕組みをIT化しているので、それらを守る必要性も他の国に比べて高まっています。2007年には国内の問題から組織的なサイバー攻撃を受け、政府のWebサイトや銀行、新聞社などが被害を受けました。
2007 cyberattacks on Estonia - Wikipedia, the free encyclopedia
翌年の2008年にはNATOから認定を受けたサイバーセキュリティーの研究機関を立ち上げています。学会やトレーニングイベントの開催をしながら、どう国際法をサイバースペースへ適用するか考えたタリンマニュアルを発行しました。
日本も来年度からマイナンバーの通知が始まるので、これまで以上の対策が必要になりそうですね。
今回はヨーロッパでしたが、次回は日本に近いアジアの様子を見てみたいと思います。
サイバーセキュリティーのフレームワーク
今回はサイバーセキュリティーを考える時の枠組みについて見てみたいと思います。一口にサイバーセキュリティー対策と言っても様々な仕事があり、それらを実際に行う作業別に分けた物になります。分析から予防、そして実際に攻撃を受けた場合の対処という順番でリスクを管理しています。
元の出所は米国の国立標準技術研究所(NIST)ですが、日本のIPA(情報処理推進機構)が翻訳版を出しています。
セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構
(↑一番下の[その他のNIST文書]です)
[出典:重要インフラのサイバーセキュリティを向上させるためのフレームワーク]
例をあげて少し細かく見てみます。例えばDEの「検知」で「セキュリティの継続なモニタリング」とあります。この中にはさらに細かいサブカテゴリーが存在します。その中の一つ「DE.CM-4: 悪質なコードを検出できる。」を見てみると、関連項目は以下の通りになります。
- CCS CSC 5
- COBIT 5 DSS05.01
- ISA 62443-2-1:2009 4.3.4.3.8
- ISA 62443-3-3:2013 SR 3.2
- ISO/IEC 27001:2013 A.12.2.1
- NIST SP 800-53 Rev. 4 SI-3
この中で「ISO27001」とは、ISMSと言われているごく一般的な情報セキュリティの規格です。つまりサイバーセキュリティー対策と言っても、一部はこれまで行ってきた情報管理の延長線上にある物と言えるかと思います。
次回は日本以外の国がどのように対処しようとしているのか見てみたいと思います。特にサイバー攻撃の標的となった国は対策が進んでいるように見えます。
サイバーセキュリティー関連の企業や団体、大学など
サイバーセキュリティー基本法案
今回はサイバーセキュリティー基本法案について見てみたいと思います。
2014年の6月に提出された法案ですが、今年の通常国会の期間中には成立せず閉会審査となりました。セキュリティーバブルに言及する記事があったり、日経新聞には「異例」と書かれています。
セキュリティーバブル、到来か――「守り」へ投資、価値見極め(サーチライト) | SECURITY SHOW
中身についても見てみます。国や人によって「サイバーセキュリティー」の定義は変わりますが法案の中ではしっかりと定義がしてあります。
この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。
短くすると、電磁的方式の情報が、漏洩や改ざんをされないような措置が講じられていて維持管理されていることがサイバーセキュリティーの定義とされています。
素直に読むと国内に存在するシステムを守る風に読めますが、サイバー空間は関係者が国、民間企業、団体、個人と様々かつ事象が簡単に国境を超えるため基本法とは言えども深読みすることが可能になってしまいます。例えば世界にはサイバー空間での攻撃に対して言及している国も存在したり、自国の防衛についてはサイバーディフェンスという言葉を使って表現している場合もあります。
次回は企業が発行しているレポートを通して、それらの役割について見てみたいと思います。