国連他 「国家サイバーセキュリティ戦略策定のためのガイド」第3版 (2025.12.18)
こんにちは、丸山満彦です。
国連、インターポール、FIRST、欧州評議会(Council of Europe)、NATO-CCDCOE、IMF、ITU、WEFにマイクロソフトやアクセンチュアといった民間企業が協力して、国家サイバーセキュリティ戦略策定のためのガイドの第3版を公表していますね...
日本も新しいサイバーセキュリティ戦略が昨日確定していますが、今後のサイバーセキュリティ戦略をつくるにあたり、参考なる部分もあると思います。
(国により状況は異なる(特に重点分野)し、過去の経緯も踏まえる必要があるので、これを写して作るというものではないのですが、抜け漏れチェックには使えるように思います)
ざっと見ると大きく抜けているところはないように思います...強いて言えば、以下の点はもう少し強調されてもよかったかもですね...
・子供からのサイバーセキュリティ教育の強化・充実((4)で触れられていますが...)
・サイバーセキュリティに対する予算配分についての戦略(各省庁が戦略を配慮して適切な予算をつけていて、NCOが全体予算を把握しているのは承知なのですが...)
後者は、政府が社会全体を対象としたサイバーセキュリティに関するリスクアセスメントをして、政策の優先順位をつけ、その政策にかかる予算概算を把握しないといけないので、難しい面があるのは承知です。。。
● National Cybersecurity Strategy
・2025.12.18 3rd Edition of the Guide for developing a National Cybersecurity Strategy
ウェブで見れるので便利です...
概要...
| PREFACE | 序文 |
| The Guide to Developing a National Cybersecurity Strategy is one of the most comprehensive overviews of what constitutes a successful cybersecurity strategy. It is the result of a unique, collaborative, and equitable multistakeholder effort. | 国家サイバーセキュリティ戦略策定ガイドは、成功するサイバーセキュリティ戦略の構成要素について最も包括的な概要の一つである。これは、ユニークで協力的かつ公平なマルチステークホルダーの取り組みの結果である。 |
| The Contributors came together with an appreciation of the need to strengthen cooperation and coordination across the international community on cyber capacity-building. The objective of this effort is to support national leaders and policymakers in the development of defensive and proactive responses to cybersecurity risks, in the form of a National Cybersecurity Strategy (NCS), and in thinking strategically about cybersecurity, cyber preparedness, response, and resilience, while building confidence and security in the use of digital technologies. | 寄稿者たちは、サイバー能力構築に関する国際社会全体の協力と調整を強化する必要性を認識して集まった。この取り組みの目的は、国家指導者や政策立案者が、国家サイバーセキュリティ戦略(NCS)という形でサイバーセキュリティリスクに対する防御的かつ積極的な対応策を策定し、サイバーセキュリティ、サイバー準備態勢、対応、レジリエンスについて戦略的に考えることを支援すると同時に、デジタル技術の利用における信頼と安全を構築することにある。 |
| The Guide was developed through an iterative approach that sought to reach agreement through consensusbuilding. It is based on existing authoritative resources and aims to facilitate their use by national stakeholders. Wherever possible, the relevant sources and tools used in developing each section of this Guide are listed in the Reference section (available on www.ncsguide.org) to encourage their broader use. | 本ガイドは合意形成を通じた合意達成を目指す反復的アプローチにより作成された。既存の権威ある資料に基づき、各国の関係者がそれらを活用することを促進することを目的とする。可能な限り、本ガイドの各章作成に用いた関連資料及びツールは参考文献セクション(www.ncsguide.org で閲覧可能)に記載し、それらの広範な利用を促す。 |
| Cybersecurity is a foundational element underpinning the achievement of socio-economic objectives of modern economies. The hope is that this third edition of the Guide to Developing a National Cybersecurity Strategy can continue to serve as a useful tool for all stakeholders involved in the development, implementation, and revision of this type of official document, including national leaders, policymakers, legislators, and regulators with cybersecurity responsibilities. In addition, it might have broader applicability, as the concepts introduced can be applied at the regional or municipal levels, and can also be adapted for industry or used for academic research. | サイバーセキュリティは、現代経済における社会経済目標の達成を支える基盤的要素である。 この『国家サイバーセキュリティ戦略策定ガイド』第3版が、国家指導者、政策立案者、立法者、サイバーセキュリティ責任を有する規制当局など、この種の公式文書の策定、実施、改訂に関わる全ての関係者にとって有用なツールであり続けることを期待する。さらに、ここで紹介される概念は地域レベルや自治体レベルでも適用可能であり、産業向けに適応させたり学術研究に活用したりすることもできるため、より広範な適用性が期待される。 |
| NOTE TO READERS ON THE UPDATE | 読者への更新に関する注記 |
| Version 3 of the Guide to Developing a National Cybersecurity Strategy (NCS) updates, refines, and expands upon Version 2, which was published in 2021. Since then, the cybersecurity risk environment, technologies, and policy practices have continued to evolve and grow in complexity. This edition captures key developments in cybersecurity as well as emerging and disruptive technologies that governments should consider in their national strategic planning, while preserving compatibility with prior versions and the Guide’s process-pluscontent approach. | 『国家サイバーセキュリティ戦略(NCS)策定ガイド』第3版は、2021年に発行された第2版を更新・改良・拡充したものである。 その後もサイバーセキュリティのリスク環境、技術、政策実践は進化を続け、複雑さを増している。本版では、政府が国家戦略計画において考慮すべきサイバーセキュリティの主要な進展や新興・破壊的技術を取り込みつつ、旧版との互換性および本ガイドのプロセスと内容の両立というアプローチを維持している。 |
| This new Version focuses on practical recommendations and ease of use, and includes new material where practice has advanced. However, Version 3 remains fully compatible with Version 2 and preserves the Guide’s balance between process (Lifecycle) and content (Overarching Principles and Focus Areas). Countries that adopted earlier versions can use Version 3 to review and update their national cybersecurity strategies or make incremental improvements, particularly in financing, governance, requirements for critical infrastructure, critical information infrastructure, and essential services (CI/CII/ES), risk management, incident response, legislation, and international engagement. | この新版は実践的な提言と使いやすさに重点を置き、実践が進んだ分野では新たな内容を追加している。ただし、バージョン3はバージョン2との完全な互換性を維持し、プロセス(ライフサイクル)と内容(包括的原則と重点分野)のバランスをガイドとして保っている。 以前の版を採用した国々は、第3版を用いて国家サイバーセキュリティ戦略の見直し・更新、あるいは特に資金調達、ガバナンス、重要インフラ・重要情報インフラ・重要サービス(CI/CII/ES)の要件、リスクマネジメント、インシデント対応、立法、国際的関与といった分野における段階的な改善を行うことができる。 |
| Major updates and additions include: | 主な更新と追加内容は以下の通りである: |
| • Lifecycle financing and long-term sustainment: More detailed language emphasizes strategic resource planning and sustainable funding across the full NCS lifecycle (development, implementation, monitoring, review, and renewal). This includes alignment with national budget and public investment cycles, the use of dedicated funding lines, optimization of existing government resources, and external financing (e.g., multilateral development banks (MDBs), international financial institutions (IFIs), donors, technical assistance). Multi-year sustainment, attention to out-year costs and forward-looking budget projections, and fully funded initiatives are stressed. Resources should be defined in terms of money, people, and material. | • ライフサイクル資金調達と長期維持:より詳細な記述により、国家サイバーセキュリティ戦略(NCS)の全ライフサイクル(策定、実施、監視、見直し、更新)にわたる戦略的資源計画と持続可能な資金調達を強調している。 これには、国家予算および公共投資サイクルとの整合性、専用資金ラインの活用、既存政府資源の最適化、外部資金調達(例:多国間開発銀行(MDB)、国際金融機関(IFI)、ドナー、技術支援)が含まれる。 複数年にわたる維持、将来年度のコストへの配慮、先を見据えた予算予測、そして完全に資金が確保された取り組みが強調されている。資源は、資金、人材、物資の観点から定義されるべきだ。 |
| • Monitoring, evaluation, and cyclical reviews: Governments are encouraged to incorporate SMART KPIs (Specific, Measurable, Achievable, Relevant, Time-related) into their strategies and action plans, establish clear governance of monitoring and evaluation, and define baseline metrics with scheduled reviews (e.g., mid-term check-ins, 3–5-year renewals) to ensure the strategy remains current with threats, technologies, and national priorities. | • モニタリング、評価、定期的な見直し:政府は、戦略と行動計画にSMART KPI(具体的、測定可能、達成可能、関連性、期限付き)を組み込み、モニタリングと評価の明確なガバナンスを確立し、定期的な見直し(例:中間チェック、3~5年ごとの更新)を伴うベースライン指標を定義し、戦略が脅威、技術、国家の優先事項に即した最新性を維持するよう求められる。 |
| • Technological foresight and adaptability (new principle): This principle underscores horizon scanning and policy agility to anticipate evolving digital risks and adapt to emerging technologies (artificial intelligence (AI), automation, quantum computing, Internet of Things (IoT), 5G/6G, distributed ledger technologies), with mechanisms to translate foresight into strategy and regulation. | • 技術的先見性と適応性(新たな原則):この原則は、進化するデジタルリスクを予測し、新興技術(人工知能(AI)、自動化、量子コンピューティング、モノのインターネット(IoT)、5G/6G、分散型台帳技術)に適応するための地平線スキャニングと政策の機敏性を強調する。先見性を戦略と規制に転換する仕組みも含まれる。 |
| • Governance and accountability: Guidance is strengthened on lead authority roles, whole-ofgovernment and whole-of-society coordination, stakeholder engagement, and advisory mechanisms. It emphasizes intra-governmental and cross-sector coordination, clear assignment of responsibilities and mandates, and integration of governance into action plans. | • ガバナンスと説明責任:主管機関の役割、政府全体・社会全体の調整、ステークホルダーの関与、諮問メカニズムに関する指針を強化する。政府内部およびセクター横断的な調整、責任と権限の明確な割り当て、行動計画へのガバナンス統合を強調する。 |
| • Critical infrastructure, critical information infrastructure, and essential services (CI/CII/ES): Expanded guidance addresses identification, designation, governance, and risk-based requirements for operators. It introduces outcome-focused baselines, tiered expectations, oversight mechanisms, and considerations for cross-border interdependencies and systemic cybersecurity risks (e.g., an incident involving a widely used software provider that leads to the disruption of thousands of its customers, or a failure of a critical financial institution that disrupts an entire financial system, causing broader economic impact). | • 重要インフラ、重要情報インフラ、および重要サービス(CI/CII/ES):拡大されたガイダンスは、識別、指定、ガバナンス、および事業者に対するリスクベースの要件に対処する。 成果重視の基準、段階的な期待値、監視メカニズム、国境を越えた相互依存性やシステム的なサイバーセキュリティリスク(例:広く利用されるソフトウェアプロバイダのインシデントが数千の顧客に混乱をもたらすケース、重要金融機関の障害が金融システム全体を混乱させ広範な経済的影響を及ぼすケース)への配慮が導入されている。 |
| • Risk management framework: The updated Guide stresses the importance of having a national approach to assessing and managing cybersecurity risk, including dynamic national and sectoral assessments; a continuously updated national risk register covering critical sectors, services, functions, operators, and assets; adoption of common methodologies aligned with international standards; and feedback loops linking risk insights to policy, investment, and crisis management. | • リスクマネジメント・フレームワーク:改訂版ガイドは、サイバーセキュリティリスクの評価・管理における国家的なアプローチの重要性を強調する。これには、動的な国家・セクター別アセスメント、重要セクター・サービス・機能・事業者・資産を網羅する継続的に更新される国家リスク登録簿、国際標準に沿った共通手法の採用、リスク知見を政策・投資・危機管理に結びつけるフィードバックループが含まれる。 |
| • Incident response and resilience: This version expands guidance on the role of national response teams (Computer Emergency Response Teams (CERTs), Computer Security Incident Response Teams (CSIRTs), Computer Incident Response Teams (CIRTs)) with sectoral counterparts, Security Operations Centers (SOCs), and Product Security Incident Response Teams (PSIRTs) in national cybersecurity architectures. It also reinforces contingency planning, information-sharing mechanisms (including ISACs/ISAOs), national and international exercises, and severity/impact assessments. | • インシデント対応とレジリエンス:今回の改訂版では、国家サイバーセキュリティアーキテクチャにおける国家対応チーム(コンピュータ緊急対応チーム(CERT)、コンピュータセキュリティ・インシデント対応チーム(CSIRT)、コンピュータインシデント対応チーム(CIRT))と、セクター別対応チーム、セキュリティ・オペレーションセンター(SOC)、製品セキュリティインシデントレスポンスチーム(PSIRT)の役割に関するガイダンスを拡充している。 また、緊急時対応計画、情報共有メカニズム(ISAC/ISAOを含む)、国内外の演習、深刻度・影響度アセスメントの重要性を強調している。 |
| • Capability, capacity, and awareness: Deeper guidance is provided on national cybersecurity workforce frameworks, education-to-workforce pathways (from early education to advanced programs and apprenticeships), and inclusive strategies to attract and retain talent, including women and underrepresented groups. The Guide also highlights executive and operational training, certification, dedicated career pipelines, and coordinated national awareness campaigns tailored to diverse audiences. | • 能力・体制・意識:国家サイバーセキュリティ人材枠組み、教育から職場への移行経路(初等教育から高度プログラム・見習い制度まで)、女性や少数派を含む人材の確保・定着に向けた包括的戦略について、より詳細な指針を示す。本ガイドは、幹部・実務者向け訓練、資格認定、専門キャリアパス、多様な対象層に合わせた全国的な啓発キャンペーンの重要性も強調する。 |
| • Legislation and regulation: The updated Guide presents a holistic approach by mapping policy goals to legal and regulatory instruments. It clarifies mandates and oversight, embeds safeguards in cybercrime and electronic-evidence provisions, and emphasizes proportionality, human rights, due process, and data protection. It also supports legal harmonization and cross-border cooperation. | • 立法と規制:改訂版ガイドは政策目標を法的・規制的手段に結びつける包括的アプローチを提示する。権限と監督を明確化し、サイバー犯罪及び電子証拠規定に保護措置を組み込み、比例性、人権、適正手続き、データ保護を強調する。法的調和と越境協力も支援する。 |
| • International cooperation: This version strengthens links between domestic priorities and foreign policy. It encourages participation in international law and norms processes, confidence-building measures (CBMs), and standards bodies; promotes practical cooperation through formal and informal networks (including CERT/CSIRT/CIRT communities, law enforcement channels, and multistakeholder platforms); and expands on capacity-building for cyber diplomacy and international engagement. | • 国際協力:本版は国内優先事項と外交政策の連携を強化する。国際法・規範策定プロセス、信頼醸成措置(CBM)、標準団体への参加を促進し、公式・非公式ネットワーク(CERT/CSIRT/CIRTコミュニティ、法執行機関ルート、マルチステークホルダープラットフォームを含む)を通じた実務協力を推進する。サイバー外交と国際関与のための能力構築を拡充する。 |
| • Reference section (available at www.ncsguide.org): This version of the Guide will provide a dynamic Reference Section on its website, enabling simplified access and maintenance to keep references up to date. | • 参考資料セクション(www.ncsguide.org で閲覧可能):本ガイドのウェブサイトには動的な参考資料セクションを設置し、参照情報の最新化に向けた簡便なアクセスと保守を可能とする。 |
| This updated Guide is designed as a practical reference for national leaders, policymakers, regulators, industry representatives, civil society, and other parties involved in the development of an NCS. Recognizing the importance of multistakeholder engagement, the Guide’s emphasis on government entities in some sections seeks to highlight where a government entity’s leadership is pivotal to the sustainability of the process. It aims to help countries develop, implement, and sustain an effective NCS in alignment with evolving risks, emerging technologies, and international good practices. | この改訂版ガイドは、国家指導者、政策立案者、規制当局、業界代表者、市民社会、その他NCS構築に関わる関係者向けの実践的参考資料として作成された。 マルチステークホルダーの関与の重要性を認識しつつ、本ガイドの一部で政府事業体に重点を置くのは、プロセスの持続可能性において政府事業体のリーダーシップが極めて重要となる点を強調するためである。本ガイドは、各国が進化するリスク、新興技術、国際的な優良事例に沿って、効果的な国家サイバーセキュリティ戦略(NCS)を策定、実施、維持することを支援することを目的とする。 |
| 1. Document Overview | 1. 文書の概要 |
| The purpose of this document is to guide national leaders and policymakers in the development, implementation, and revision of a National Cybersecurity Strategy (NSC), and in thinking strategically about cybersecurity, cyber preparedness, and resilience. | 本文書の目的は、国家指導者や政策立案者が国家サイバーセキュリティ戦略(NCS)を策定・実施・改訂する際の指針となり、サイバーセキュリティ、サイバー準備態勢、レジリエンスについて戦略的に考えることを支援することである。 |
| Jump to Section | セクションへ移動 |
| 2. Introduction | 2. 序論 |
| Since their emergence, information and communication technologies (ICTs) and digital services have evolved to become the backbone of modern business, critical services and infrastructure, social networks, and the global economy as a whole. | 情報通信技術(ICT)とデジタルサービスは、登場以来、現代のビジネス、重要サービス・インフラ、ソーシャルネットワーク、そして世界経済全体の基盤へと進化してきた。 |
| Jump to Section | セクションへ移動 |
| 3. Lifecycle | 3. ライフサイクル |
| This Section provides an overview of the phases in the development of a National Cybersecurity Strategy | 本セクションでは、国家サイバーセキュリティ戦略策定の段階について概説する。 |
| Jump to Section | セクションへ移動 |
| 4. Overarching Principles | 4. 包括的原則 |
| This section presents ten cross-cutting principles, which, when taken together, can help in the development of a forward-looking and holistic National Cybersecurity Strategy. | 本セクションでは、10の横断的原則を提示する。これらを総合的に考慮することで、先見性のある包括的な国家サイバーセキュリティ戦略の策定に資する。 |
| Jump to Section | セクションへジャンプ |
| 5. National Cybersecurity Strategy Good Practice | 5. 国家サイバーセキュリティ戦略の優良事例 |
| Cybersecurity affects many areas of socio-economic development and is influenced by several factors within the national context. Therefore, this section introduces a set of good-practice elements that can make the Strategy comprehensive and effective, while allowing for tailoring to the national context. | サイバーセキュリティは社会経済発展の多くの分野に影響を与え、国家の文脈における複数の要因の影響を受ける。したがって、本セクションでは、国家の文脈に合わせた調整を可能にしつつ、戦略を包括的かつ効果的にする一連の優良実践要素を紹介する。 |
| Jump to Section | セクションへジャンプ |
| 6. Reference Materials | 6. 参考資料 |
| To prepare this Guide, we reviewed existing guides, frameworks, and good practices from around the world. This process allowed us to identify a wide range of resources that can support countries in designing, implementing, and sustaining their national cybersecurity strategies. | 本ガイド作成にあたり、我々は世界各国の既存ガイド、枠組み、優良実践を精査した。このプロセスにより、各国が国家サイバーセキュリティ戦略の設計、実施、維持を支援できる多様なリソースを識別できた。 |
| Jump to Section | セクションへ移動 |
| 7. Acronyms | 7. 略語 |
| Jump to Section | セクションへ移動 |
・[PDF]
目次...
| 1 DOCUMENT OVERVIEW | 1 文書の概要 |
| 1.1 PURPOSE | 1.1 目的 |
| 1.2 SCOPE | 1.2 適用範囲 |
| 1.3 OVERALL STRUCTURE AND USAGE OF THE GUIDE | 1.3 本ガイドの全体構成と活用方法 |
| 1.4 TARGET AUDIENCE | 1.4 対象読者 |
| 2 INTRODUCTION | 2 序論 |
| 2.1 WHAT IS CYBERSECURITY | 2.1 サイバーセキュリティとは何か |
| 2.2 BENEFITS OF A NATIONAL CYBERSECURITY STRATEGY AND STRATEGY DEVELOPMENT PROCESS | 2.2 国家サイバーセキュリティ戦略とその策定プロセスの利点 |
| 3 LIFECYCLE OF A NATIONAL CYBERSECURITY STRATEGY | 3 国家サイバーセキュリティ戦略のライフサイクル |
| 3.1 PHASE I – INITIATION | 3.1 フェーズI – 開始 |
| 3.2 PHASE II – STOCKTAKING AND ANALYSIS | 3.2 フェーズ II – 現状把握と分析 |
| 3.3 PHASE III – SUSTAINABLE FUNDING AND RESOURCE PLANNING | 3.3 フェーズ III – 持続可能な資金調達と資源計画 |
| 3.4 PHASE IV – PRODUCTION OF THE NATIONAL CYBERSECURITY STRATEGY | 3.4 フェーズ IV – 国家サイバーセキュリティ戦略の策定 |
| 3.5 PHASE V – IMPLEMENTATION | 3.5 フェーズV – 実施 |
| 3.6 PHASE VI – MONITORING AND EVALUATION | 3.6 フェーズVI – モニタリングと評価 |
| 4 – OVERARCHING PRINCIPLES | 4 包括的原則 |
| 4.1 VISION | 4.1 ビジョン |
| 4.2 COMPREHENSIVE APPROACH AND TAILORED PRIORITIES | 4.2 包括的アプローチと国別優先事項 |
| 4.3 INCLUSIVENESS | 4.3 包括性 |
| 4.4 ECONOMIC AND SOCIAL PROSPERITY | 4.4 経済的・社会的繁栄 |
| 4.5 FUNDAMENTAL HUMAN RIGHTS | 4.5 基本的人権 |
| 4.6 RISK MANAGEMENT AND RESILIENCE | 4.6 リスクマネジメントとレジリエンス |
| 4.7 APPROPRIATE SET OF POLICY INSTRUMENTS | 4.7 適切な政策手段の組み合わせ |
| 4.8 CLEAR LEADERSHIP, ROLES, AND RESOURCE ALLOCATION | 4.8 明確なリーダーシップ、役割分担、資源配分 |
| 4.9 TRUST ENVIRONMENT | 4.9 信頼環境 |
| 4.10 TECHNOLOGICAL FORESIGHT AND ADAPTABILITY | 4.10 技術的先見性と適応性 |
| 5 NATIONAL CYBERSECURITY STRATEGY GOOD PRACTICE | 5 国家サイバーセキュリティ戦略の優良実践 |
| 5.1 FOCUS AREA 1 – GOVERNANCE | 5.1 重点分野 1 – ガバナンス |
| 5.2 FOCUS AREA 2 – CRITICAL INFRASTRUCTURE, CRITICAL INFORMATION INFRASTRUCTURE, AND ESSENTIAL SERVICES | 5.2 重点分野 2 – 重要インフラ、重要情報インフラ、および重要サービス |
| 5.3 FOCUS AREA 3 – RISK MANAGEMENT IN NATIONAL CYBERSECURITY | 5.3 重点分野3 – 国家サイバーセキュリティにおけるリスクマネジメント |
| 5.4 FOCUS AREA 4 – INCIDENT RESPONSE | 5.4 重点分野 4 – インシデント対応 |
| 5.5 FOCUS AREA 5 – CAPABILITY AND CAPACITY-BUILDING, AND AWARENESS RAISING | 5.5 重点分野 5 – 能力・体制構築と意識向上 |
| 5.6 FOCUS AREA 6 – LEGISLATION AND REGULATION | 5.6 重点分野 6 – 立法と規制 |
| 5.7 FOCUS AREA 7 – INTERNATIONAL COOPERATION | 5.7 重点分野 7 – 国際協力 |
| 6 REFERENCE MATERIALS | 6 参考資料 |
| 7 ACRONYMS | 7 略語 |
● まるちゃんの情報セキュリティ気まぐれ日記
第2版の時
・2022.02.22 NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)
日本のほぼ決まった国家サイバーセキュリティ戦略
・2025.12.24 閣議決定 サイバーセキュリティ戦略
・2025.12.21 NCO サイバーセキュリティ推進専門家会議 第3回会合 サイバーセキュリティ戦略(案) (2025.12.08)とレジリエンスについて
・2025.11.04 国家サイバー統括室 サイバーセキュリティ戦略(案)サイバーセキュリティ推進専門家会議第2回会合
・2025.09.22 NCO サイバーセキュリティ推進専門家会議
2021の時...
・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答
・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)
Comments