NCO サイバーセキュリティ推進専門家会議 第３回会合 サイバーセキュリティ戦略（案） (2025.12.08)とレジリエンスについて

こんにちは、丸山満彦です。

 

NCOのサイバーセキュリティ推進専門家会議第３回会合でサイバーセキュリティ戦略（案）が確定したのだろうと思いますが、良い内容になっていると思います。

ブログにあげるのを忘れていました...

 

絵に描いた餅に終わらず、確実な実行が期待されてますよね...

米国の場合は、こういう戦略を書くとその後、実行に落とすための完了責任者と完了日の設定とロードマップが公表されてくるのですが、日本ではそのあたりは、ちょっと緩いですかね。。。

2003年の情報セキュリティ総合戦略では、「望ましい実現時期」を示したのですが、経産省だったので他省庁の所管についてはあまり大きなことは言えない（産業構造審議会の下であっても。。。）ということで、「望ましい」という表現だったのですが、総合戦略の議論で政府の「司令塔」が必要ということで内閣官房の組織として実現した「NCO」であれば、調整機能を活用し、もう少し踏み込んだロードマップを示せると思いますので、期待したいところです。

実行がともなっての戦略ですからね...期待しています...

 

それから、今更ですで申し訳ないことですが...

レジリエンスの概念については、もう少し精緻に用語を使ったほうが良かったかもですね...これは、パブリックコメント等を通じてNCOの事務局にいれておけばよかったです...（しまった...致命的ではないのですが、米国等の国際連携の際に今の考え方だと範囲が狭いので議論がずれるかもなので...）

 

レジリエンス (Resilience)、レジリエンシー(Resiliency)について、戦略（案）では、

18 インシデントが発生した際に、その影響を最小化し、早急に元の状態に戻す仕組みや能力、耐性のこと。

と説明されているのですが、

辞書的には近いのでよいのでが、ビジネス的？（少なくとも、NIST SP800-160 Vol.2や、ISO 22316:2017）では、もう少し意味が深いので、説明に書いていることはともかくとして、使う際には狭い意味にとどまらないようにするのがよいと思いました。

ポイントしては、

・「インシデント（突発的な）が発生した際」だけではなく「斬新的な変化」も対象

・「元の状態に戻す」というより、「変化した環境に応じてより適応する」

という考え方が含まれた用語としてつかわれるほうがよいと思います...

ポイントは「変化」への「対応」ではなく「適応」です。

Continuityではなく、Resilienceという言葉を使っている本質がここにあると思います...

 

以下は参考...

 

ISO 22316:2017のOrganizational Resilienceの定義と私の仮訳...

ISO 22316:2017 — Security and resilience — Organizational resilience — Principles and attributes	ISO 22316:2017 — セキュリティとレジリエンス — 組織のレジリエンス — 原則と属性
Organizational resilience is the ability of an organization to anticipate, prepare for, respond and adapt to incremental change and sudden disruptions in order to survive and prosper.	組織のレジリエンスとは、組織が漸進的な変化や突発的な混乱を予測し、準備し、対応し、適応する能力である。これにより組織は存続し、繁栄する。

予測、準備、対応、適応

 

NIST SP80016-Vol2のCyber Resiliencyの定義と私の仮訳...

NIST Special Publication 800-160, Volume 2 Revision 1 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach	NIST 特別刊行物800-160、第2巻改訂版1 サイバーレジリエンスなシステムの開発：システムセキュリティエンジニアリングアプローチ
Cyber Resiliency	サイバー・レジリエンス
The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources. Cyber resiliency is intended to enable mission or business objectives that depend on cyber resources to be achieved in a contested cyber environment.	サイバー・リソースを使用する、またはサイバー・リソースによって可能になるシステム上の不利な条件、ストレス、攻撃、または侵害を予測し、それに耐え、そこから回復し、それに適応する能力。サイバー・レジリエンスは、競合するサイバー環境において、サイバー・リソースに依存するミッションまたはビジネスの目標を達成できるようにすることを意図している。
Note: Cyber resiliency can be a property of a system, network, service, system-of-systems, mission or business function, organization, critical infrastructure sector or sub-sector, region, or nation.	注：サイバー・レジリエンスは、システム、ネットワーク、サービス、システム・オブ・システム、ミッションまたはビジネス機能、組織、重要インフラ部門またはサブ部門、地域、または国家の特性であり得る。

予測、耐え、回復、適応

 

サイバーレジリエンスの５つの特徴

1. ミッションまたは業務機能に焦点を当てる

組織のミッションや業務機能を支援する能力に焦点を当てる。

ミッションクリティカルなシステムやシステム構成要素を脅かす敵対的な存在がシステムやインフラに存在しても、組織が重要あるいは必須のミッションや業務機能を遂行する能力を最大化するためである。

2. 変化する環境を前提とする

脅威環境、運用環境、技術環境における継続的かつ断続的な変化を前提としている。

変化はリスクとリスク低減の機会を同時に提示する。

3. 高度な持続的脅威（APT）の影響に焦点を当てる

脅威がサイバー的か非サイバー的（例：物理的）かを問わない。

サイバーレジリエンス分析は、APTが対象システムに及ぼし得る影響、ひいてはミッションや業務機能、組織、外部ステークホルダーに与える影響に焦点を当てる。

4. 敵対者がシステムや組織を侵害または突破すると想定する

根本的な前提は、高度な敵対者を常にシステムから排除したり、迅速に検知・排除したりすることは不可能であるということ。

5. 敵対者がシステムや組織内に潜伏し続けると想定する

敵対者の存在が持続的かつ長期的な問題となり得ることを前提とする。

APTのステルス性により組織が脅威を根絶したことを確信することが困難である。

過去に有効だった対策が機能しなくなる可能性がある。

組織が脅威を根絶することに成功したとしても、再び侵入する可能性がある。

 

サイバーレジリエンスの4つの目標

1. 予測：Anticipate

敵対的状況に対する情報に基づく準備態勢を維持する

抑止、回避、予防は潜在的な脅威を予測する戦略である。その他の戦略には計画、準備、変形が含まれる

計画：利用可能な資源を識別し、脅威が現実化した場合にそれらを活用する計画を作成すること

準備： 利用可能な資源のセットを変更し、計画を実行すること

変形： 攻撃対象領域を変更するためにシステムを継続的に変更すること

2. 耐性：Withstand

逆境下でも必須の任務や機能を引き続き継続する

脅威が現実化した際に耐える戦略には、吸収、 逸脱、廃棄がある

吸収：特定のシステム要素群への一定レベルの損害を受け入れ、他のシステム要素やシステム全体への影響を軽減する措置を講じ、損害を自動的に修復すること

逸脱：脅威事象やその影響を、標的となったシステム要素や最初に影響を受けたシステム要素とは異なる要素やシステムへ転嫁すること

廃棄： 損傷の兆候に基づきシステム要素、あるいはシステム全体を除去し、それらの要素を置換するか、それらなしでもシステムやミッション、業務プロセスが稼働できるようにすること

3. 復旧：Recover

逆境時および逆境後に任務または業務機能を復旧させる。

復旧戦略には、復元、再構成、置換が含まれる。 検知は復旧戦略の選択を支援できる

復元：許容可能な既知の過去状態を再現すること

再構成： 重要機能と補助機能を許容レベルまで再現するか、既存システム資源を活用すること

置換： 損傷・疑わしい・選択されたシステム要素を新規要素と交換するか、既存要素を再利用して重要機能と補助機能を異なる方法で遂行すること

4. 適応：Adapt

技術的、運用上、または脅威環境における予測される変化に対応し、ミッションや業務機能、および／またはそれを支える能力を変更する

適応のための戦略には、修正、強化、再方向付けが含まれる。 これらの戦略は、再定義をもたらす可能性がある

修正：識別された脆弱性や弱点を補うために、コントロールを除去または新たに適用すること

強化： 攻撃対象領域を縮小または操作すること

再方向付け：将来の脅威、新興の脅威、潜在的な脅威に対して、コントロール、実践、能力を積極的に方向付けること

再定義： システムの要件、アーキテクチャ、設計、構成、調達プロセス、運用プロセスの変更

 

8つの目的

予防または回避	攻撃の実行成功や有害な状況の発生を未然に防ぐ
準備	予測される、または予期される困難に対処する現実的な行動方針を維持する
継続	逆境下において、必須の任務または業務機能の持続期間と実行可能性を最大化する
制約	困難による損害を制限する
復旧	災害発生後、可能な限り多くの任務または業務機能を復旧させる
理解	ミッションと業務の依存関係、および潜在的な悪影響に対するリソースの状態について、有用な表現を維持する
変革	ミッションや業務機能、およびそれを支えるプロセスを変更し、逆境に対処し、環境変化により効果的に対応できるようにする
再構築	アーキテクチャを変更し、困難に対処し、環境変化により効果的に対応する

 

---

というなが〜い前振りを読んだ上(^^)で、

 

● サイバーセキュリティ推進専門家会議

・2025.12.08 第３回会合（令和７年12月８日）

・・議事次第 

・・資料１　サイバーセキュリティ戦略（案）に関するパブリックコメント結果の概要 

・・資料２　サイバーセキュリティ戦略（案）に関するパブリックコメントの主な結果一覧

・・資料３　サイバーセキュリティ戦略（案）の概要

 

・・資料４　サイバーセキュリティ戦略（案） 

 

・・資料５　漆間委員提出資料 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.11.04 国家サイバー統括室 サイバーセキュリティ戦略（案）サイバーセキュリティ推進専門家会議第2回会合

・2025.09.22 NCO サイバーセキュリティ推進専門家会議

・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 （予算からみるとサイバーセキュリティは経済発展というよりも安全保障？）