-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
日米豪印パートナーシップは、サイバーセキュリティでより深く
2022年5月、日米豪印首脳会合において「日米豪印サイバーセキュリティ・パートナーシップ」(以下、パートナーシップ)が立ち上がりました。これは、日本政府が提唱する「自由で開かれたインド太平洋(FOIP:Free and Open Indo-Pacific)の実現に向けた取り組み、およびクアッド(QUAD:Quadrilateral Security Dialogue)の一環であるといえます。FOIP実現のための三本柱として、以下の項目が掲げられています。
- 法の支配、航行の自由、自由貿易等の普及・定着
- 経済的繁栄の追求(連結性,EPA/FTAや投資協定を含む経済連携の強化)
- 平和と安定の確保(海上法執行能力の構築,人道支援・災害救援等)
パートナーシップでは、「日米豪印上級サイバーグループは、自由で、開かれ、かつ強靭なインド太平洋に関する日米豪印首脳のビジョンを実現するため、パートナー間のサイバーセキュリティ協力の指針となり、インド太平洋地域におけるサイバーセキュリティの向上を支援することを目的」としており、共同原則が公開されています。
また、日米豪印はパートナーとして、重要インフラのサイバーセキュリティ、サプライチェーンリスクのマネジメント、ソフトウェアセキュリティ及び人材育成発展を強化するために、協力することを追求するとしています。そのために、政府調達のみならず、より広範なソフトウェア開発エコシステムの中で、マネージド・サービスプロバイダー及び技術製品・サービスの全体にわたって、ベースラインの標準を継続して整合していく計画です。
この4カ国の中で、サイバーセキュリティが最も進んでいるのは米国と言えるでしょう。サイバーセキュリティに関する指針や規格を次々に立ち上げ、世界をリードしています。NISTのCSF(Cyber Security Framework)やSP 800-171、Mitre社のMITRE ATT&CKなどは日本にも浸透しつつあります。
一筋縄にはいかないインドのサイバーセキュリティ政策
インドもITに強い印象があります。インドはゼロを発見した国であることが有名であることからも、数字に強い国民性というイメージがあります。多くのIT先進企業があり、地理的にもインドに開発拠点を置くことで24時間体制の開発が可能になることから、グローバル企業も多く展開しています。
人口が増加していることもインドの特徴であり、日本経済研究センターは将来的に世界第3位の経済規模になると予測しています。地理的にも世界中のタンカーが行き来するインド洋に面しており、中国がこのルートを狙って「真珠の首飾り」と呼ばれる戦略を公表していますが、インドも対抗して「ダイヤのネックレス」構想を打ち出しています。
インドは核保有国であり、世界第2位の武器輸入国であることも特徴です。他国との紛争という視点でも、インドはカシミール問題で中国と、またパキスタンとも紛争が続いています。2019年9月には、報道では北朝鮮とされているハッカーがクダンクラム原子力発電所のネットワークに侵入し、技術関連の重要情報を盗み出していますし、2020年10月には報道で中国からとされるサイバー攻撃によって、ムンバイの都市部で大規模停電が発生しています。
サイバーセキュリティ政策では、最近は強力な制度を敷こうとして失敗していることも目立ちます。例えば、2022年6月に施行される予定だったインドのサイバーセキュリティ規則において、「データ漏えいの発覚後、6時間以内に政府に報告すること」など無理のある記述があるとして、インド・インターネットモバイル協会(IAMAI)が施行の一年間の延期を提案しています。
オーストラリアはサイバーセキュリティの「先進国」目指す
オーストラリアも、サイバーセキュリティにおいて先進国になろうとしています。2022年に改正予定の「オーストラリア重要インフラ保護法」では、サイバーセキュリティ義務、サイバーセキュリティインシデント対応計画、サイバーセキュリティ演習、脆弱性評価などが強化されています。広大な国土に都市が散在しているので、インフラのセキュリティ対策がより重要になっていると考えられます。
今回のパートナーシップ以外にも、フィジー、サモア、ソロモン諸島、トンガ、バヌアツといった太平洋諸国との間で、地域のサイバーセキュリティ能力とサイバー攻撃に対するレジリエンスを強化するための新たな協力体制を構築するなど、リーダーシップを取っています。
サイバー攻撃の状況は、オーストラリア・サイバーセキュリティセンター(ACSC)が発表した「Annual Cyber Threat Report 2020-21」によると、サイバーインシデント発生件数の増加や、ランサムウェアとビジネスメール詐欺(BEC)がサイバー脅威のトップであること、サプライチェーン攻撃や脆弱性攻撃など、日本とあまり変わらない状況となっています。
日本がパートナーシップを生かすためには
パートナーシップでは、今後サイバーセキュティに関連するサプライチェーンリスクの依存関係を評価するための枠組みの開発、標準、ベースライン、ガイドラインを制定していくと考えられます。特に、ベースラインとなるソフトウェアセキュリティの標準の決定は重要と言えます。
こうした枠組みによって、ソフトウェアセキュリティに関する市場の変化を促進すると書かれています。つまり、セキュリティ標準を満たす製品を提供するベンダーは、パートナーシップ4カ国で標準として販売される可能性があるのです。これはベンダーだけでなく、セキュリティ対策技術における国力の向上になると考えられます。
より詳しく知るにはこちら
SaaS型のセキュリティリスク評価システムを活用し、自社に関係するサプライヤー情報を共通のシステムに収集。サプライチェーン全体のセキュリティ対策状況を把握し、攻撃を受けやすい箇所を可視化、一元管理します。
なお、標準には、脆弱性管理の改善および最新のパッチ適用、ソフトウェア部品表(SBOM)の提供、多要素認証の使用、定期的なデータのバックアップ、データの暗号化およびセキュリティ管理システムの厳格な監査、ならびに監査人の技能および能力の検証のためのメカニズムが含まれるとしています。
日本の現状は、総務省の「令和4年版 情報通信白書」で指摘しているように、「我が国のサイバーセキュリティ製品・サービスは、海外製品や海外由来の情報に大きく依存しているため、実データを用いた研究開発ができず、国産のセキュリティ技術が作れず、国内のサイバー攻撃情報などの収集・分析などができないというデータ負けのスパイラルに陥っている」といえます。
同白書ではまた、国内情報セキュリティ製品のベンダー別シェアが、2019年、2020年ともに外資系シェア(シェア率2%以上)が高く、2020年は外資系が56%、国内企業が12%という状況となっています。
最近では、世界的に活躍する力を持つ国内セキュリティベンダーも増えてきました。さらにシェアを伸ばして、標準になっていくことが求められます。そのためには、サイバーセキュリティ技術はもとより、セキュリティリテラシーの向上が重要であると考えます。
より詳しく知るにはこちら
専門性の高い講師陣による実践的な情報セキュリティ教育プログラムを提供することにより人材育成に貢献します。プログラムは、対面型の「集合研修」とインターネット受講の「オンライン研修」の2種類があり、ご希望の企業様には、オーダーメイドトレーニングも行なっております。
サイバーセキュリティの知識をつけることで、セキュリティを自分ごとと考え、新たにスタートアップを立ち上げる人や、既存企業内で新たな視点をもって活躍する人が増えると考えられます。
これまで日本は、ISMS(情報セキュリティマネジメントシステム)が世界標準のISO 27001となり、また日本発の「IoTセキュリティガイドライン(総務省、経済産業省)」「つながる世界の開発指針(IPA)」に基づいたIoTシステムの安全安心を確保する国際規格が発行されるなど、実力も実績も持っています。
最近の動きでは、デジタル庁のオンラインシステム「e-Gov」や、企業のウェブサイトにおいて、大量のデータを送りつけてシステムをダウンさせるDDos攻撃と考えられるシステム障害が発生しています。親ロシア派のサイバー攻撃集団「キルネット」が犯行声明を出しており、2022年9月9日にデジタル相を務める河野太郎氏は、監視体制を強化することを表明しました。
内閣サイバーセキュリティセンター(NISC)、デジタル庁、警察庁のサイバーセキュリティ政策会議、経済産業省、総務省、外務省など、国の各機関にサイバーセキュリティ担当組織が設けられています。国の各機関と企業、さらに国際間も含めた連携を通じて、サイバーセキュリティへの取り組みを強化していきたいところです。
プロフィール
吉澤 亨史(ITジャーナリスト)
1996年にフリーランスライターとして独立。セキュリティ、エンタープライズITを中心に、ソフトウェア、PCなど幅広い分野で取材活動に従事する。雑誌やウェブメディアを中心に特集記事、ニュース、コラムなどを執筆している。
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR