「サイバーセキュリティ2021」を決定

内閣サイバーセキュリティセンターから、「サイバーセキュリティ戦略本部第31回会合」について、報道発表がありました。主な議事は、次期サイバーセキュリティ戦略についてです。
具体的には、サイバーセキュリティ基本法第12条に基づく「サイバーセキュリティ戦略」の策定に向けて、2020年代初めの今後3年間のサイバーセキュリティに係る諸施策の目標及び実施方針を示す同戦略案が決定されました。
また、サイバーセキュリティに関する情勢、各府省庁の関連施策の実施状況等をとりまとめた2020年度年次報告及び次期サイバーセキュリティ戦略に基づく2021年度年次計画として、「サイバーセキュリティ2021」が決定されました。

サイバーセキュリティ2021（2020年度年次報告・2021年度年次計画）は、次の2部構成となっています。

●1部　サイバーセキュリティに関する情勢
時代認識として示されているデジタル経済の浸透やデジタル改革の推進、新型コロナウイルス感染症の影響・経験及び東京大会に向けた取組の活用等について、内容の充実化を図り、また2020年度に発生したサイバーセキュリティインシデントについて総括

●2部　我が国のサイバーセキュリティ政策
1章で基本的な枠組み（サイバーセキュリティ基本法、サイバーセキュリティ戦略、サイバーセキュリティ政策の推進体制）を、2章で昨年度の取組実績・評価及び今年度の取組を、次期戦略の事項に沿って、一連の流れを示すように整理

■次期サイバーセキュリティ戦略の課題と方向性

■経済社会の活力の向上及び持続的発展

【課題認識と方向性】-デジタルトランスフォーメーションとサイバーセキュリティの同時推進-
●本年9月に「デジタル庁」が設置され、デジタル化が大きく推進される絶好の機会。
そのためにも、サイバー空間への信頼を醸成し、参加・コミットメントを得ることが重要。
●また、業務、製品・サービス等のデジタル化が進む中、サイバーセキュリティは企業価値に直結する営為に。
「セキュリティ・バイ・デザイン」の重要性は一層増し、デジタル投資とセキュリティ対策の一体性は高まる。
デジタル化の進展と併せて、サイバーセキュリティ確保に向けた取組を、あらゆる面で同時に推進。

【主な具体的施策】
①経営層の意識改革
→デジタル経営に向けた行動指針の実践を通じ、サイバーセキュリティ経営のガイドラインに基づく取組の可視化・インセンティブ付けを行い、更なる取組を促進。

②地域・中小企業におけるDX with Cybersecurityの推進
→地域のコミュニティの推進・発展、中小企業向けサービスの審査登録制度を通じ、デジタル化に当たって直面する知見や人材等の不足に対応。

③新たな価値創出を支えるサプライチェーン等の信頼性確保に向けた基盤づくり
→Society5.0に対応したフレームワーク等も踏まえ、各種取組を推進。
サプライチェーン：産業界主導のコンソーシアム
データ流通:データマネジメントの定義、「トラストサービス」によるデータ信頼性確保
セキュリティ製品・サービス：第三者検証サービスの普及
先端技術：情報収集・蓄積・分析・提供等の共通基盤構築

④誰も取り残さないデジタル／セキュリティ・リテラシーの向上と定着
→情報教育推進の中、「デジタル活用支援」と連携して、各種取組を推進。

■国民が安全で安心して暮らせるデジタル社会の実現

【課題認識と方向性】-公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心確保-
●サイバー空間の公共空間化、相互連関・連鎖の深化、サイバー攻撃の組織化・洗練化。
国は、様々な主体と連携しつつ、①自助・共助による自律的なリスクマネジメントが講じられる環境づくりと、②持ち得る手段の全てを活用した包括的なサイバー防御の展開等を通じて、サイバー空間全体を俯瞰した自助・共助・公助による多層的なサイバー防御体制を構築し、国全体のリスク低減、レジリエンス向上を図る。

【主な具体的施策】（１）国民・社会を守るためのサイバーセキュリティ環境の提供
①安全・安心なサイバー空間の利用環境の構築
●サプライチェーン管理のためのガイドライン策定や産業界主導の取組、IoT、5G等の新技術実装に伴う安全確保
●利用者保護の観点から安全かつ信頼性の高い通信ネットワークを確保するための方策の検討

②新たなサイバーセキュリティの担い手との協調（クラウドサービスへの対応）
●政府機関・重要インフラ事業者等向けにクラウド利用の際に考慮すべきセキュリティルール策定
●ISMAPの取組等の民間展開による一定のセキュリティが確保されたクラウド利用の促進
●信頼性が高く、オープンかつ使いやすい高品質クラウドの整備の推進

③サイバー犯罪への対策
●サイバー空間を悪用する犯罪者やトレーサビリティを阻害する犯罪インフラを提供する悪質な事業者等の摘発を推進し、実空間と変わらぬ安全・安心を確保
●警察におけるサイバー事案対処体制の強化

④包括的なサイバー防御の展開
●サイバー攻撃対処から再発防止等の政策措置までの総合的調整を担うナショナルサート機能の強化（対処官庁のリソース結集と連携強化、サイバーセキュリティ協議会等の関係機関との連携による官民連携・国際連携強化）
●包括的サイバー防御のための環境整備（脆弱性対策、技術検証、制御システムのインシデント原因究明機能の整備等）

⑤サイバー空間の信頼性確保に向けた取組
●個人情報や知的財産を保有する主体への支援
●経済安保の視点を踏まえたITシステム・サービスの信頼性確保（政府調達、重要なインフラ、国際海底ケーブル等）

【主な具体的施策】（２）デジタル庁を司令塔とするデジタル改革と一体となったサイバーセキュリティの確保
●デジタル庁が策定する国等の情報システム整備方針にサイバーセキュリティの基本的な方針も示し実装を推進。
●情報と発信者の真正性等を保障する制度を企画立案し、普及を促進。ISMAP制度を運用し、民間利用の推奨。

【主な具体的施策】（３）経済社会基盤を支える各主体における取組
①政府機関等
●政府統一基準群に基づく対策の推進や監査・CSIRT訓練・GSOCによる監視等を通じた政府機関全体としてのセキュリティ水準の向上。
●クラウドサービスの利用拡大を見据えた政府統一基準群の改定・運用やクラウド監視に対応したGSOC機能の強化。

②重要インフラ
●「重要インフラの情報セキュリティ対策に係る第４次行動計画」を改定し、環境変化に対応した防護の強化や経営層のリーダーシップを推進。
●地方公共団体情報システムの標準化や行政手続きのオンライン化等に対応したガイドラインの見直し等の諸制度整備。

③大学・教育研究機関等
●リスクマネジメント・事案対応に関する研修・訓練や、サプライチェーンリスク対策を含む、先端情報を保有する大学等への対策強化支援等。

【課題認識と方向性】（４）多様な主体による情報共有・連携と大規模サイバー攻撃事態等への対処体制強化
●東京大会での対処態勢や運用により得た知見やノウハウを広く全国の事業者等に対する支援として積極活用。
●平素から大規模サイバー攻撃事態等へのエスカレーションを念頭に、国が一丸となったシームレスな対処態勢を強化。