平成30年度サイバーセキュリティ予算から考える、リスク認識の“温度差”

9月20日、NISC（内閣サイバーセキュリティセンター）から、政府の平成30年度予算概算要求額のうち、サイバーセキュリティに関するものを纏めた資料が発表されました。

予算の多寡は、その分野に政府がどれだけ注目しているか、が炙り出されます。今回はこの資料について触れて行きたいと思います。

サイバーセキュリティ関連予算は増額の一途

サイバーセキュリティ関連予算は増額の一途を辿っています。

当初予算はここ3年間、前年比1.5倍、1.2倍、1.2倍となっています。しかも、例年のように不足して補正予算が付いていますので、さらに増えることでしょう。サイバーセキュリティへの重要視の表れです。

とはいえ、今年度予算は約600億円と、ちょうど衆院選挙とほぼ同額。解散を踏みとどまって、もう少し対策費を増額して欲しいくらいですが…と言っても仕方ないので、ここで注目される予算を見ていきます。

さて、まず目を引くのは、NISCの予算です。

今年度23.9億円から倍以上の48.9億円に増額。その大きな部分を担うのは、やはり東京オリンピック・パラリンピック対策です。17.3億円と総額の35％を占めます。

他にIoT機器が乗っ取られ攻撃の踏み台にされる、ボットへの対策が新たに予算計上されました。その他の省庁監査、情報分析、有事の対策、外国との協力等、全ての案件について増額されています。注目度、のみならず「危機感」の表れでしょう。

サイバーセキュリティ対策への社会的な認識は遅れています。どんどんスピードアップしなければなりません。

ここでの注目はデジタルフォレンジック（電磁記録調査）への予算です。

今年度の1.5億円からなんと4.5倍の6.7億円。現代の犯罪捜査には必須だという認識が広まったお陰ですね。パソコン遠隔操作事件での誤認逮捕の頃と比べると隔世の感があります。

ここでは、IPA（独立行政法人情報処理推進機構）予算ですね。今年度の57.1億円から73.9億円と今回も増額されています。社会インフラへの攻撃分析・対策等も担当するようです。

経済産業省管轄では、これからもIPAがサイバーセキュリティ対策の中心となるようですね。今後ともIPAの発信する情報はしっかりと確認しておく必要がありそうです。

ちょっとここは気になるところです。新たに「移動系システムを標的としたサイバー攻撃対処のための演習環境整備に関する研究」に45.4億円が計上されたのですが、資料のイメージ図を見てみると、無線通信の防護なんですよね。「え？今まで個別予算ついてなかったの？」とびっくりしました。

作戦遂行において、情報通信の安全確保は最優先事項の一つでしょう。情報が漏れたり情報が伝わらなかったりしたら、部隊の生死に関わります。

緊張が高まった今だからこそ危機感を持って、もっと人も予算も付けた方がいいんじゃないかと個人的には考えてしまいます。

サイバーセキュリティに対して意識の高いと思われる金融ですが、実は予算は少ない。6千万円。余所と桁が違います。

これは業界自体の意識が高く、政府の協力を待つまでもなく自分たちで対策を進めているからですね。金融機関自ら費用を負担してセキュリティ事故の大規模演習も開催しています。社会インフラを担う各分野でも見習って欲しいところです。

逆に少々不安を感じてしまうのが、国土交通省関連予算です。金額も1.1億円と少ないのですが、その用途が微妙です。

用途は二つあります。CSIRTの支援・演習や標的型メール訓練と、全ての省庁が当然にやらなければならない事項が一つ。もう一つは、国土交通省配下の重要インフラのISAC（情報共有分析センター）の創設に“向けた検討”を“支援する”という内容です。

…これではいったいいつ交通ISACができるのか。。。

ちなみに金融ISACは3年前に発足していますし、本場アメリカのISACは1999年、もう前世紀からありました。金融分野ですら国際的に見ると10年以上遅れているのです。

道路監視カメラやドライブレコーダー等、多くのIoT機器に関連するはずの国土交通省ですが、このような予算構成で大丈夫なのでしょうか。踏み台にされているであろう各地のライブカメラ。自動走行システムに対しての攻撃。既にそこにあるリスク。事態を正確に把握して補正予算がつくことを切に願います。

今回の概算要求額を見て感じるのは、依然として存在する各省庁の“温度差”です。

危機意識の高い省庁もあれば、リスクをあまり認識していない省庁もある。NISCがもっと強いリーダーシップを発揮して、対応が遅れている省庁を指導していく必要があるのかも知れません。特に重要な社会インフラに係わる部分では、事故が起こってからでは遅いのです。