続いて吉川氏は、我が国のサイバーセキュリティ政策全般を解説した。
2001年のIT基本法(高度情報通信ネットワーク社会形成基本法)施行を受け、IT戦略の一部としてサイバーセキュリティを進めていくとの政府の方針が決まったという。組織としては、内閣官房に情報セキュリティ対策推進室が設置された。さらに、2005年の基本戦略策定で、大きな体系ができたとのことだ。
その後、サイバーセキュリティ政策はIT政策の中ではなく、独立して実施すべきとの議論が起こり、2014年にはサイバーセキュリティ基本法が作られた。
2015年にはサイバーセキュリティ戦略本部を設置、独立した政策・組織・体制で進めることとなり、大きなインシデントなどを受けた法改正もあった。
前述のサイバーセキュリティ戦略本部は、官房長官を本部長とし、警察庁、デジタル庁、総務省、外務省、経済産業省、防衛省の6省庁の大臣・長官が参画し、民間からの人材も参加しているという。
同本部がサイバーセキュリティ政策の方向性を決める司令塔として機能しており、吉川氏が所属するNISCは、その戦略本部の事務局に当たる。大きな方向性の策定や、各省庁が統一的な対応をするための総合調整が主な役割であり、具体的な政策は閣僚本部員である6省庁が行っているとのこと。
サイバーセキュリティ戦略は3年ごとに改定
また同本部では3年に1回、サイバーセキュリティ戦略を策定している。直近では、2021年に改定した。最新の戦略では、ニューノーマルとデジタル化という時代を背景にしているという。
デジタル経済の浸透について吉川氏は「国民の生命・財産に関する情報をこれまで以上にサイバー空間に委ねることを意味します」と見る。サイバー攻撃の優位性が増すため、脅威も増していくと吉川氏は危惧する。
新型コロナによるテレワークの普及も、サイバーセキュリティに影響すると吉川氏は指摘する。利用者の増加により、リテラシーの差異や人材の不足などが攻撃者に狙われ弱点になりえるため、そうした観点からの対応が必要性だと吉川氏は語った。
吉川氏はさらに、国際的なリスクもあるという。「サイバー空間をめぐる情勢は、有事とは言えないまでも、もはや純然たる平時とも言えない様相です」との指摘だ。
このような状況の中で、サイバーセキュリティの確保はあらゆる主体が自らの問題にすべきであり、「Cybersecurity for All」をキャッチフレーズとして取り組みを進めるのが、現在のサイバーセキュリティ戦略だと吉川氏は説く。
その方針の下に、以下の3つを政策の柱とする。
・DXとサイバーセキュリティの同時推進
・安全保障の観点からの取り組み強化
・公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保
「目指すところは、『自由、公正かつ安全なサイバー空間』の確保です」(吉川氏)。
DXとサイバーセキュリティの同時推進は、「サイバーセキュリティ自身を進めることが、経済・社会の活力の向上になるという観点」だと吉川氏は語る。
デジタル化の進展に合わせ、サイバーセキュリティは企業価値に直結していくため、政府ではその確保に向けた取り組みを多方面で同時に推進するとのことだ。
具体的には、1)経営層の意識改革、2)地域や中小企業における「DX with Cybersecurity」の推進、3)新たな価値創出を支えるサプライチェーンなどの信頼性確保に向けた基盤作り、4)高齢者なども含む情報教育を推進し、誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着を目指すことの4点となる。
2本目の柱である国民が安心で安全して暮らせるデジタル社会の実現では、吉川氏は基盤として国民生活をしっかり守ることがまず肝要だと説く。
基本的には自助・共助が基本になり、そのための基盤作りに加えて、サイバー空間全体を俯瞰した公助を加えたサイバー防御を、国がしっかりやっていく必要があるという。
そのためには、クラウド・サービスの進展など新たな分野への対応、2)サイバー犯罪への対策、3)サイバー攻撃に関する総合的調整を担うナショナル・サート機能の強化、4)サイバー空間の信頼性確保に向けた取り組みの4点を挙げる。
安全保障の観点からの取り組みに関して、吉川氏は「具体的な国名を出してサイバー脅威と示した点が新たな取り組みであり、その上での対応が大事です」と指摘する。
「外交安全保障上のサイバー分野の優先度を、これまで以上に高めることをしっかり打ち出していくのが、今回の戦略での大きな柱の1つでした」(吉川氏)。
具体的な施策としては、国連なども使った規範の議論・普及・実践を進めると共に、我が国の防御力・抑止力・状況把握力の強化を進めるという。その前提として、サイバー空間の状況把握力の強化が重要だと吉川氏は説く。
国際協力・連携では、ASEANを含め対応を進めてきたが、さらにインド太平洋地域も含めた形で対応していくとのことだ。
吉川氏は、これらを支える横断的政策もあると説明する。研究開発、人材育成、全員参加による協働の3点だ。
研究開発は、サイバーセキュリティの地力を固めるための重要な取り組みだという。国際競争力強化のための産学官エコシステム構築や、サプライチェーン・リスクへの対応に向けた国内産業の育成、例えばAI(人工知能)による防御や量子通信・暗号など中期的なトレンドを視野に入れた対応があるとのことだ。
人材育成は、人材確保と育成活用支援の双方を含む。
「全ての企業人・組織人が、サイバーセキュリティに対する知識を自身の業務に合わせて持つことが必要です」(吉川氏)。
全員参加による協働には、民間だけでなく政府機関自身の取り組み強化も含んでいる。
吉川氏はサイバーセキュリティ戦略の説明を、「今後3年間の我が国のサイバースペース政策の基本的な方針ですので、それをご理解いただきながら対応を進めていただければと思います」と結んだ。