Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日本のサイバー能力は落第点

英国のシンクタンクIISSの出した主要15カ国のサイバー能力の実力評価に関する記事が出ていました。

www.sankei.com

英国のシンクタンク、国際戦略研究所(IISS)は28日、サイバー、デジタル分野の総合的な実力で日本が主要国に見劣りし、最下位の3番手グループに位置すると発表した。特にサイバー防衛の分野で遅れているためと説明している。

日米欧の主要国に加え中国や東南アジアなどの計15カ国のデジタル経済や安全保障の能力を分析した報告書で明らかにした。IISSによると、米国がトップの評価だった。2番手グループに中国、ロシア、イスラエル、英国、フランスなどが入った。一方、日本はイランやインド、インドネシア北朝鮮などと同じ3番手グループで「いくつかの分野で重大な脆弱(ぜいじゃく)性が見られる」という。

日本政府のサイバー防衛や諜報能力はあまり優れていないとした上で「強化策も限定的だ」と指摘。関連産業には一定の競争力があるものの「企業間でサイバー攻撃に対する情報を共有する意思が欠けている」と改善点を挙げた。

産経新聞記事より引用)

 

元ソース(IISS)

 

キタきつねの所感

IISSの2年にも及ぶ調査結果では、日本のサイバー能力はTier3(一番下)に分類されていました。インド、インドネシア、イラン、マレーシア、北朝鮮ベトナムと同じランクです。Tier3は7段階中の3段階目という評価ですので、(先進国としては)落第点と考えた方が良いのかと思います。

 

産経新聞の記事でも簡単に触れられていますが、日本に対する評価がどういったものであったのか、IISSのサイトで元レポートに書かれていたので、こちらを参考まで添付します。

※余談ですが、セキュリティ担当の方は(時間と余裕があれば)なるべくオリジナルソースを見る事を強くお勧めします。

 

日本
日本は1980年代初頭以来、情報通信技術の商用アプリケーションの世界的リーダーの1つですが、サイバースペースのセキュリティ面に対処する準備ができていることは、はるかに最近の現象です。その最初の成熟したサイバーセキュリティ戦略は2013年に発行され、狭い技術的な種類の古典的な情報セキュリティの修辞原則に焦点を当てたいくつかの初期のポリシーに基づいています。日本は現在、サイバースペースガバナンスに対するアプローチが十分に発達していますが、これは、特に民間部門による情報共有の観点から、米国や英国などの国よりも緩い一連の取り決めを構成しています。サイバースペースにおける日本の防御は特に強力ではなく多くの企業がそれらを強化するためのコストを負担することを望んでいません。国のレジリエンス計画はかなり制限されていますが、これは2020年のオリンピックおよびパラリンピック競技大会(COVID-19のために延期された)に向けて強化されました。日本は、いくつかの専用サイバーユニットの創設を含め、軍隊にささやかな組織変更を加えたものの、サイバースペースに関する公式の軍事サイバー戦略や公式の軍事ドクトリンをまだ持っていません。国の強制力の使用に対する憲法上および政治上の制約のため、その攻撃的なサイバー機能は未発達のままです。2020年までに、米国とオーストラリアに一部促されて、日本は中国と北朝鮮に対する懸念の高まりにより、より強固なサイバー姿勢に移行しました。

(IISS - Cyber Capabilities and National Power: A Net Assessmentから引用)※機械翻訳

 

厳しい事がかなり書かれていますが、日本の現状を的確に表している指摘だと思います。

サイバーセキュリティ経営ガイドライン、重要インフラの情報セキュリティに係る行動計画を始めとする、ガイダンスや行動計画等はしっかりしているものの、民間企業がサイバー(ランサム)攻撃を受けても”報告しない”事も多々あり、その脆弱点などの情報は「ほぼ開示されない」。CSIRTやISACの中で情報連携がされている”はず”ではありますが、その情報が効果的に活用されているとは、あまり思えず、結果として大手企業も含めたインシデント発表が続いている。

そして、DX化には経営陣が予算を投資する中で、一心同体でもあるべきセキュリティ強化の予算は現状維持・・・中小企業などで1人情シスが解消される見込みも無い。

 

米国の様に、サイバー攻撃を受けたら戦争行為と見なし、反撃も辞さないといった攻撃的なサイバー機能は日本では憲法などの縛りを考えると(まだまだ)難しいかと思いますが、指摘されている内容のままでは、日本がTier4以下に落ちていく未来しか思い描けません。

 

日本のサイバー能力に対する分析内容の詳細は、10ページ(英語)に渡って書かれていますので、こちらを見ると、海外から日本がどう見えているのかを把握する一助になるかと思います。

※英語だと厳しいという方は、Google翻訳した資料(7.日本.pdf)を置いておきますので参考まで。

 

この詳細分析の中で日本政府や企業に参考になると思うのが、以下の辺りです。

サイバーセキュリティと回復力

デジタルとサイバーテクノロジーは日本の中心です経済と社会、そしてデジタルの全体的な程度接続性は、国のインフラは非常に妥協しているでしょう。特に国家のサイバーレジリエンスがまだ残っているので、発達段階で

サイバーにおけるレジリエンスのレベルを上げるための日本の努力-スペースは主にセキュリティ上の懸念によって推進されました予定されている2020年東京オリンピックを取り巻くパラリンピック。その点でのガイド文書重要インフラストラクチャのサイバーセキュリティポリシーでした

2018年4月に採択された保護後押しにおける官民パートナーシップの重要性回復力と損傷から重大な状態への迅速な回復サイバー攻撃によって引き起こされるインフラストラクチャ。これは驚くべきことではありません-日本のICT資産の90%は民間部門にあるためです。

(中略)

民間セ​​クターでは、改善の大きな障害、サイバーレジリエンスとは、企業間の意欲の欠如ですサイバーインシデントに関する情報を共有する必要があります。この部分的には文化的および構造的要因の結果です。これらサイバーセキュリティに関する一般的な知識の欠如を含む上級ビジネスリーダー間の問題、過度の依存サイバーセキュリティを確立するための政府規制当局要件と日本の伝統的な商慣行それは企業間のコラボレーションを妨げます。によると政府の統計によれば、日本企業はサイバーセキュリティを企業政府に統合するのが遅い

 

9月1日に発足するデジタル庁の課題になる部分も多そうですが、政府機関のみならず、民間のレジリエンス(回復力)や、情報共有(報告)の課題は、以前から繰り返し言われているものではありますが、良く言えば「潜在力がある」悪く言えば「落第点」の状態をいつまでも維持する必要は無いのかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

合格発表のイラスト「不合格になった学生」

 

更新履歴

  • 2021年6月29日 AM(予約投稿)