« 個人情報保護委員会 中小規模事業者(従業員数100名以下)における個人情報等の安全管理措置に関する実態調査 (2024.11.29) | Main | 欧州 EUROPOL 「SIRIUS EU電子証拠状況レポート 2024年」 (2024.11.28) »

2024.12.02

内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)

こんにちは、丸山満彦です。

内閣官房の「サイバー安全保障分野での対応能力の向上に向けた有識者会議」が、「サイバー安全保障分野での対応能力の向上に向けた提言」を取りまとめて、公表していますね...

 

内閣官房 - サイバー安全保障分野での対応能力の向上に向けた有識者会議

・2024.11.29 [PDF] サイバー安全保障分野での対応能力の向上に向けた提言

20241202-60207_20241202060201

・2024.11.29 [PDF] サイバー安全保障分野での対応能力の向上に向けた提言(概要)

20241202-60428

 

参考として、自民党の提言も...

自由民主党

・2024.09.11 【サイバー安保】速やかな法制化を 関係会議が提言申し入れ

・[PDF] サイバー安全保障政策の方向性に関する提言

20241202-60843

 


概要...

サイバー安全保障分野での対応能力の向上に向けた提言

サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるための新たな取組の実現のために必要となる法制度の整備等について4度の全体会議及び9度のテーマ別会合にて検討し、提言とりまとめ。

 

実現すべき具体的な方向性

() 官民連携の強化

  • 国家をも背景とした高度なサイバー攻撃への懸念の拡大、デジタルトランスフォーメーションの進展を踏まえる と、官のみ・民のみでのサイバーセキュリティ確保は困難。インフラ機能など社会全体の強靱性を高めるため、 産業界をサイバー安全保障政策の「顧客」としても位置づけ、政府が率先して情報提供し、官民双方向の 情報共有を促進すべき。
  • 高度な侵入・潜伏能力を備えた攻撃に対し事業者が具体的行動を取れるよう、専門的なアナリスト向けの 技術情報に加え、経営層が判断を下す際に必要な、攻撃の背景や目的なども共有されるべき。情報共有 枠組みの設置や、クリアランス制度の活用等により、情報管理と共有を両立する仕組みを構築すべき。
  • これらの取組を効果的に進めるため、システム開発等を担うベンダとの連携を深めるべき。脆弱性情報の提 供やサポート期限の明示など、ベンダが利用者とリスクコミュニケーションを行うべき旨を法的責務として位置 づけるべき。
  • 経済安保推進法の基幹インフラ事業者によるインシデント報告を義務化するほか、その保有する重要機器 の機種名等の届出を求め、攻撃関連情報の迅速な提供や、ベンダに対する必要な対応の要請ができる仕 組みを整えるべき。基幹インフラ事業者以外についても、インシデント報告を条件に情報共有枠組みへの参 画を認めるべき。被害組織の負担軽減と政府の対応迅速化を図るため、報告先や様式の一元化、簡素化 等を進めるべき。

 

() 通信情報の利用

  • 先進主要国は国家安保の観点からサイバー攻撃対策のため事前に対象を特定せず一定量の通信情報 を収集し、分析。我が国でも、重大なサイバー攻撃対策のため、一定の条件下での通信情報の利用を検討 すべき。
  • 国外が関係する通信は分析の必要が特に高い。まず、外外通信(国内を経由し伝送される国外から国 外への通信)は先進主要国と同等の方法の分析が必要。加えて、攻撃は国外からなされ、また、国内か ら攻撃元への通信が行われるといった状況を踏まえ、外内通信(国外から国内への通信)及び内外通信 (国内から国外への通信)についても、被害の未然防止のために必要な分析をできるようにしておくべき。
  • コミュニケーションの本質的内容に関わる情報は特に分析する必要があるとは言えない。機械的にデータを 選別し検索条件等で絞る等の工夫が必要。
  • 通信の秘密であっても法律により公共の福祉のために必要かつ合理的な制限を受ける。先進主要国を参考に明確で詳細なルールとなるよう考慮し、緻密な法制度を作るべき。その際、取得及び情報処理のプロセ スについて独立機関の監督が重要。
  • なお、通信当事者の有効な同意がある場合の通信情報の利用は、同意がない場合とは異なる内容の制 度により実施することも可能であると考えられる。その際、制度により、基幹インフラ事業者の協議の義務化 等で、必要に応じ、同意を促すことが考えられる。
  • 性質上非公開とすべき範囲はあるが適切な情報公開は行われるべき。公開困難な部分を独立機関の監 督で補うべき。

 

() アクセス・無害化

  • サイバー攻撃の特徴(危険の認知の困難性、意図次第でいつでも攻撃可能、被害の瞬時拡散 性)を踏まえ、被害防止を目的としたアクセス・無害化を行う権限は、緊急性を意識し、事象や状況の変化 に応じて臨機応変かつ即時に対処可能な制度にすべき。こうした措置は、比例原則を遵守し、必要な範囲 で実施されるものとする必要。その際、執行のシステム等を含め、従前から機能してきた警察官職務執行法 を参考としつつ、その適正な実施を確保するための検討を行うべき。
  • 平時と有事の境がなく、事象の原因究明が困難な中で急激なエスカレートが想定されるサイバー攻撃の特性 から、武力攻撃事態に至らない段階から我が国を全方位でシームレスに守るための制度とすべき。
  • アクセス・無害化の措置の性格、既存の法執行システムとの接合性等を踏まえ、権限の執行主体は、警察 や防衛省・自衛隊とし、その能力等を十全に活用すべき。まずは警察が、公共の秩序維持の観点から特に 必要がある場合には自衛隊がこれに加わり、共同で実効的に措置を実施できるような制度とすべき。
  • 権限行使の対象は、国の安全や国民の生命・身体・財産に深く関わる国、重要インフラ、事態発生時等に 自衛隊等の活動が依存するインフラ等へのサイバー攻撃に重点を置く一方、必要性が認められる場合に適 切に権限行使できる仕組みとすべき。
  • 国際法との関係では、他国の主権侵害に当たる行為をあらかじめ確定しておくことは困難。他国の主権侵害 に当たる場合の違法性阻却事由としては、実務上は対抗措置法理より緊急状態法理の方が援用しやすい ものと考えられるが、国際法上許容される範囲内でアクセス・無害化が行われるような仕組みを検討すべき。

 

() 横断的課題

  • 脅威の深刻化に対し、普段から対策の強化・備えが重要であり、サイバーセキュリティ戦略本部の構成等 を見直すとともに、NISCの発展的改組に当たり政府の司令塔として強力な情報収集・分析、対処調整の 機能を有する組織とすべき。
  • 重要インフラのレジリエンス強化のため、行政が達成すべきと考えるセキュリティ水準を示し、常に見直しを図 る制度とするとともに、政府機関等についても国産技術を用いたセキュリティ対策を推進し、実効性を確保 する仕組みを設けるべき。
  • 政府主導でセキュリティ人材の定義の可視化を行い、関係省庁の人材の在り方の検討を含め、非技術者の 巻き込みや人材のインセンティブに資する人材育成・確保の各種方策を自ら実践しながら、官民の人材交流を強化すべき。
  • サプライチェーンを構成する中小企業等のセキュリティについて、意識啓発や支援拡充、対策水準等を検討す べき。

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.22 参議院常任委員会調査室・特別調査室 「能動的サイバー防御に係る制度構築の方向性と課題」

・2024.09.13 自民党 サイバー安全保障分野での対応能力向上に向けた提言 (2024.09.11)

・2024.08.29 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07)

・2024.07.13 防衛白書(2024年)

・2024.03.23 国立国会図書館 調査及び立法考査局 サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―

・2023.09.23 サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

・2023.07.28 防衛白書(2023年) (+ 能動的サイバー防衛...)

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2023.05.24 米国 国防総合大学 「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.08.23 米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

自民党提言 有識者提言の概要
サイバー安全保障政策の方向性に関する提言 サイバー安全保障分野での対応能力の向上に向けた提言 
国家安全保障戦略(令和4年12月16日国家安全保障会議決定・閣議決定)において、「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する」と明記されている。そのためのサイバー安全保障分野での対応能力向上に関する政策については、政府は、以下の方向性を踏まえ、関連法律案を確実に次期臨時国会に提出することが可能となるよう検討を加速すべき旨、提言する。なお、より広範なサイバー安全保障分野の施策に関しては、本提言内容を超えた様々な課題があることから、今後引き続き検討を続け、多様な状況に対応していくとの覚悟をもって我が国のサイバー安全保障に万全を期すことを求める。 サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるための新たな取組の実現のために必要となる法制度の整備等について4度の全体会議及び9度のテーマ別会合にて検討し、提言とりまとめ。
  実現すべき具体的な方向性
1. 官民連携について (1) 官民連携の強化
① 高度な侵入・潜伏能力を備えたサイバー攻撃から、我が国のインフラ機能と安全保障を確保するため、政府が率先し被害防止に必要な情報を提供すべき。 ● 国家をも背景とした高度なサイバー攻撃への懸念の拡大、デジタルトランスフォーメーションの進展を踏まえる と、官のみ・民のみでのサイバーセキュリティ確保は困難。インフラ機能など社会全体の強靱性を高めるため、 産業界をサイバー安全保障政策の「顧客」としても位置づけ、政府が率先して情報提供し、官民双方向の 情報共有を促進すべき。
② このため、セキュリティクリアランス制度を活用し、政府と基幹インフラ事業者等による新たな情報共有枠組みを創設すべき。 ● 高度な侵入・潜伏能力を備えた攻撃に対し事業者が具体的行動を取れるよう、専門的なアナリスト向けの 技術情報に加え、経営層が判断を下す際に必要な、攻撃の背景や目的なども共有されるべき。情報共有 枠組みの設置や、クリアランス制度の活用等により、情報管理と共有を両立する仕組みを構築すべき。
③ 基幹インフラ事業者がサイバー攻撃を受けた場合、政府に報告することを義務づけるほか、機微技術保有者など、基幹インフラ事業者以外の者についても、必要に応じ新たな青報共有枠組みへの参加を得て、同様の報告を求めるべき。 ● これらの取組を効果的に進めるため、システム開発等を担うベンダとの連携を深めるべき。脆弱性情報の提 供やサポート期限の明示など、ベンダが利用者とリスクコミュニケーションを行うべき旨を法的責務として位置 づけるべき。
④ 基幹インフラ事業者のうち、特に重要な者については、政府とのリアルタイムでの情報連携を図るため、攻撃可能性を示す予兆情報を認知した場合、政府に報告することを義務づけるべき。 ● 経済安保推進法の基幹インフラ事業者によるインシデント報告を義務化するほか、その保有する重要機器 の機種名等の届出を求め、攻撃関連情報の迅速な提供や、ベンダに対する必要な対応の要請ができる仕 組みを整えるべき。基幹インフラ事業者以外についても、インシデント報告を条件に情報共有枠組みへの参 画を認めるべき。被害組織の負担軽減と政府の対応迅速化を図るため、報告先や様式の一元化、簡素化 等を進めるべき。
⑤ 政府の対応迅速化と被害組織の負担軽減のため、政府の報告窓口のワンストップ化(共有先の一元化や様式の統一化)、簡素化を進めるべき。  
⑥ 基幹インフラ事業者に対し、自らの情報システムの重要なデジタル機器・サービス等を特定し、政府に登録する義務を課すとともに、政府は、当該機器等の性や悪用情報を基幹インフラ事業者に迅速に提供すべき。  
⑦ デジタル機器・サービスのベンダに対して、施弱性対応に関する務を規定するとともに、頭性への対応要請を行う権限を政府に付与するなど、弱性対策を抜本的に強化すべき。  
2.通信情報の利用について (2) 通信情報の利用 
① 外国政府主体が関与する高度かつ重大なサイバー攻撃に対処するには、欧米主要国のように、平素から、政府が通信情報を収集・分析することが必要。 ● 先進主要国は国家安保の観点からサイバー攻撃対策のため事前に対象を特定せず一定量の通信情報 を収集し、分析。我が国でも、重大なサイバー攻撃対策のため、一定の条件下での通信情報の利用を検討 すべき。
② こうした取組を導入するためには、憲法第21条の「通信の秘密」との関係を整理する必要があるが、「通信の秘密」との関係では、重大なサイバー攻撃への対処という公共の福祉の観点から、必要小限の通情報の利用が可能。また、通信情報の利用について通信利用者の同意がある場合も利用が可能。 ● 国外が関係する通信は分析の必要が特に高い。まず、①外外通信(国内を経由し伝送される国外から国 外への通信)は先進主要国と同等の方法の分析が必要。加えて、 ②攻撃は国外からなされ、また、国内か ら攻撃元への通信が行われるといった状況を踏まえ、外内通信(国外から国内への通信)及び内外通信 (国内から国外への通信)についても、被害の未然防止のために必要な分析をできるようにしておくべき。
③ 以上を踏まえ、通信情報の利用に関する制度は、欧米主要国を参考に、サイバー攻撃防止の実効性を踏まえつつ、国民の権利との関係が整理されたものにすべき。 ● コミュニケーションの本質的内容に関わる情報は特に分析する必要があるとは言えない。機械的にデータを 選別し検索条件等で絞る等の工夫が必要。
④ 具体的には、サイバー攻撃の分析に必要不可欠な外国関連の通信については、サイバー攻撃対処のための通信情報の利用の対象とすべき。また、関連通信の収集・分析に当たっては、コンピュータのフィルタリング機能を活用することにより、不必要な情報が迅速に廃棄される一方、必要な攻撃関連情報が抽出され、分析の対象となるよう確保すべき。 ● 通信の秘密であっても法律により公共の福祉のために必要かつ合理的な制限を受ける。先進主要国を参考に明確で詳細なルールとなるよう考慮し、緻密な法制度を作るべき。その際、取得及び情報処理のプロセスについて独立機関の監督が重要。
⑤ 他方、メール・添付ファイルの件名・本文に通常のメッセージとして書かれるようなコミュニケーションの本質的な内容は、サイバー攻撃対処のために分析する必要はないことから、分析対象から除外すべき。 ● なお、通信当事者の有効な同意がある場合の通信情報の利用は、同意がない場合とは異なる内容の制 度により実施することも可能であると考えられる。その際、制度により、基幹インフラ事業者の協議の義務化 等で、必要に応じ、同意を促すことが考えられる。
⑥ 通信情報の利用には、電気通信事業者の協力が不可欠。通信情報の利用は国の責任であることを明確にした上で、必要な法的根拠を整備すべき。 ● 性質上非公開とすべき範囲はあるが適切な情報公開は行われるべき。公開困難な部分を独立機関の監督で補うべき。
⑦ 国民からの理解を得るに当たり、通信情報の利用の詳細を公開することは攻撃者に政府の「手の内」を明かす行為になり不適切であることから、政府内に高度な独立性や専門生が確保された監替機関を設置すべき。  
⑧ 必要な秘密保持を確保しつつも、通信情報分析の結果をできる限り国民や企業に共有し、国全体のサイバー防御能力向上とサイバー防への理解の促進を実現すべき。  
⑨ 法制度のほか、取得した通信情報を十分活用できるよう、施設・設備の充実や分析官のレベルアップを通じ、分析能力を向上させていくべき。  
3. アクセス・無害化措置について (3) アクセス・無害化
① ひとたび攻撃が行われれば被害が瞬時かつ広範に拡散するサイバー攻撃の特性を踏まえれば、重大なサイバー攻撃の未然防止や被害拡大防止の視点が極めて重要。 ● サイバー攻撃の特徴(①危険の認知の困難性、②意図次第でいつでも攻撃可能、③被害の瞬時拡散 性)を踏まえ、被害防止を目的としたアクセス・無害化を行う権限は、緊急性を意識し、事象や状況の変化 に応じて臨機応変かつ即時に対処可能な制度にすべき。こうした措置は、比例原則を遵守し、必要な範囲 で実施されるものとする必要。その際、執行のシステム等を含め、従前から機能してきた警察官職務執行法 を参考としつつ、その適正な実施を確保するための検討を行うべき。
② このため、被害が発生してから令状を取って捜査を行う事手続では対処できず、被害発生のおそれを認知し次第、被害防止の措置がとれるように権限を整備すべき。状況に応じた措置を即時的に実施する、いわばサイバー版の警察官職務執行法のようなものをすべき。 ● 平時と有事の境がなく、事象の原因究明が困難な中で急激なエスカレートが想定されるサイバー攻撃の特性 から、武力攻撃事態に至らない段階から我が国を全方位でシームレスに守るための制度とすべき。
③重大なサイバー攻撃に対処するため、我が国の持てる能力を最大限活用することが重要であり、内閣官房を可令塔として機能させつつ、能力を有する防衛省・自衛隊及び警察をアクセス・無害化措置の実施主体とすべき。 ● アクセス・無害化の措置の性格、既存の法執行システムとの接合性等を踏まえ、権限の執行主体は、警察 や防衛省・自衛隊とし、その能力等を十全に活用すべき。まずは警察が、公共の秩序維持の観点から特に 必要がある場合には自衛隊がこれに加わり、共同で実効的に措置を実施できるような制度とすべき。
④ 武力攻撃に至らない状況を念頭に置き、警察は平素から、自衛隊は公共の秩序維持の観点から必要に応じ、的確に措置を実施できるよう制度を構築すべき。 ● 権限行使の対象は、国の安全や国民の生命・身体・財産に深く関わる国、重要インフラ、事態発生時等に 自衛隊等の活動が依存するインフラ等へのサイバー攻撃に重点を置く一方、必要性が認められる場合に適 切に権限行使できる仕組みとすべき。
⑤ 外国政府主体が関与する高度かつ重大なサイバー攻撃に有効に対処するため、有事へのエスカレーションも念頭に置きつつ、平素から、柔軟かつシームレスに対応できるよう、「事態認定方式」ではない新たな自衛隊の行動類型を整備すべき。 ● 国際法との関係では、他国の主権侵害に当たる行為をあらかじめ確定しておくことは困難。他国の主権侵害 に当たる場合の違法性阻却事由としては、実務上は対抗措置法理より緊急状態法理の方が援用しやすい ものと考えられるが、国際法上許容される範囲内でアクセス・無害化が行われるような仕組みを検討すべき。
⑥ 我が国のサイバー対処能力は有限であることを踏まえ、防護対象としては、通信・電力などのインフラを始め、国民の生命・安全に関わる基幹インフラを重視すべき。  
⑦ 我が国の講じる措置が国際法に違反することはあってはならない。アクセス・無害化に当たっては、国際法との整合が図られるよう運用すべき。  
⑧ 措置整備に当たっては国民の理解が得られることが重要。運用の実効性に配意しつつ、措置の適正性を確保し得る制度を構築すべき。  
⑨ 運用の実効性確保のため、措置の実施に関しては、攻撃者側に我が方の動きが悟られ攻撃者側が秘匿等の対策を行うなど、相手方を利することがないよう、我が方の活動に係る情報の公表には特段の留意を図るべき。  
⑩ 措置に当たっては、攻撃者側を常に意識し、その意図等の見積もりが不可欠。サイバーに限られない幅広いインテリジェンスの活用と深い分析能力を獲得すべき。  
⑪ 措置の成功には高度人材によるプロフェッショナルな仕事が不可欠であり、人材育成についても特段の配慮を行うべき。  
4.横断的課題 (4) 横断的課題 
① サイバーセキュリティ戦略本部の機能強化を図るべき(民間有識者参画の場と分離し、全大臣を構成員とし、各省に対する強力な権限を付与すべき)。 ● 脅威の深刻化に対し、普段から対策の強化・備えが重要であり、サイバーセキュリティ戦略本部の構成等 を見直すとともに、NISCの発展的改組に当たり政府の司令塔として強力な情報収集・分析、対処調整の 機能を有する組織とすべき。
② 「欧米主要国と同等以上の能力」を獲得すべく、「司令塔」組織への権限付与、サイバー女全保障政策・運用(特にアクセス・無害化)を担当する大臣の設置の制度的担保、分折等へのAIの積極的活用を含め、政府全体の予算・体制・能力を抜本的に強化すべき。 ● 重要インフラのレジリエンス強化のため、行政が達成すべきと考えるセキュリティ水準を示し、常に見直しを図 る制度とするとともに、政府機関等についても国産技術を用いたセキュリティ対策を推進し、実効性を確保 する仕組みを設けるべき。
③ グローバルなサイバー空間は有志国と連携して安全に保つことが重要。我が国の関係機関がそれぞれのカウンターパートと密接に連携する中で、必要な措置が講じられるべき。 ● 政府主導でセキュリティ人材の定義の可視化を行い、関係省庁の人材の在り方の検討を含め、非技術者の 巻き込みや人材のインセンティブに資する人材育成・確保の各種方策を自ら実践しながら、官民の人材交流を強化すべき。
④ サイバーセキュリティ人材の育成・確保を図るため、求められる知識や技術を明確化するとともに、キャリアパスの明示などにより、魅力あるキャリアとすべき。同時に、官民の人材交流を進めるべき。また、人材育成や対処能力向上に資するメカニズム(エコシステム)を構築するため、同盟国・同志国も含めた国際的な官民枠組みへの参画等に積極的に取り組むととともに、国内外の図上や実議形式の演習の実施や参加をすべき。 ●サプライチェーンを構成する中小企業等のセキュリティについて、意識啓発や支援拡充、対策水準等を検討すべき。

|

« 個人情報保護委員会 中小規模事業者(従業員数100名以下)における個人情報等の安全管理措置に関する実態調査 (2024.11.29) | Main | 欧州 EUROPOL 「SIRIUS EU電子証拠状況レポート 2024年」 (2024.11.28) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 個人情報保護委員会 中小規模事業者(従業員数100名以下)における個人情報等の安全管理措置に関する実態調査 (2024.11.29) | Main | 欧州 EUROPOL 「SIRIUS EU電子証拠状況レポート 2024年」 (2024.11.28) »