内閣サイバーセキュリティセンター(NISC)は2023年7月、サイバーセキュリティ戦略本部による第36回会合を開催し、2022年度の国内セキュリティ事情を踏まえた2023年度施策のまとめとなる「サイバーセキュリティ 2023」を公開しました。
NISCによると2022年度の国内は、ランサムウェアやEmotetを中心としたマルウェアが猛威を振るいました。各都道府県警から警察庁に上がったランサムウェア被害報告は右肩上がりとなっており、2022年度も前年度を大幅に上回る結果になっているとのこと。また、大企業と関連のある脆弱なセキュリティ基盤の中小企業を狙った「サプライチェーン攻撃」も顕著であり、一段と激しい攻撃に晒されているとの認識を明かしました。
今後推進する具体的な施策
NISCはこうした現状を踏まえて「経済社会の活力の向上及び持続的発展」、「国民が安心して暮らせるデジタル社会の実現」、「国際社会の平和・安定及び我が国の安全保障への寄与」をテーマとした合計6点の施策を特に強力に推進する考えです。
中小企業のサイバーセキュリティ対策
NISCは中小企業の現状について、サプライチェーンにおけるセキュリティホールとなりやすく、対策の必要性を十分に認識していない企業も多くあると言及。「サイバーセキュリティお助け隊サービス」など各種支援策を対策の浸透を図るとのことしています。なお、同政策は2022年に引き続いてのものとなります。
サプライチェーン・リスクを踏まえたソフトウェアセキュリティの高度化
通信システムへの攻撃が懸念される現状において、米国などで広まるソフトウェアのSBOM(Software Bill of Materials)導入を巡り国内においても脆弱性情報との紐づけ実証などを実施。代表的な通信システムを対象に SBOM を作成・評価するなど、通信分野でのSBOM導入に向けた取組を進めるとしています。
政府情報システムの防護のための一元的な取組
特筆すべきは日本政府と取引関係にある業務委託先に求めるセキュリティ強化で、DDoS攻撃やサプライチェーンの脆弱性を利用したサイバー攻撃のリスクに対して、最新の攻撃への対策を、セキュリティ改定を通して業務委託先にも求める考え。また、国内のセキュリティ情報収集・分析が大きく海外に依存していることから、国内独自の収集・分析体制の構築を喫緊の課題と位置付けました。
医療分野をはじめとする重要インフラ事業者等のサイバーセキュリティ強化
医療機関における自主的な対策の限界に触れています。
2022年度は複数の医療機関がランサムウェアに感染し、業務を停止せざるを得ない事態になるなど、深刻な被害が発生しました。NISCは官民連携に基づく重要インフラ防護の強化などを通して、リスク要因を許容範囲内に抑制するとともに、インフラサービス障害に備えた体制を整備すると発表しました。
友好国との連携によるセキュリティ情報の共有・連携体制の構築
5、6点目となる「インド太平洋地域における能力構築支援の推進」や「日米豪印上級サイバーグループ会合及びランサムウェア対策多国間会合の枠組みを通じた国際連携」は、友好国との連携によるセキュリティ情報の共有・連携体制の構築です。日本とASEANによるサイバーセキュリティ政策会議(AJCPM)の実施や日米豪印におけるソフトウェアセキュリティに関する4か国の共通原則の策定・実施などを目指すとのこと。国内外においてセキュリティ強化に努めサイバーリスクの低減を目指すとしています。
参照サイバーセキュリティ 2023(2022 年度年次報告・2023 年度年次計画)/内閣サイバーセキュリティセンター(NISC)