[レポート]Closing Keynote:これからのサイバーセキュリティ戦略～能動的サイバー防御、人材育成など～ - CODE BLUE 2025 #codeblue_jp #codeblue2025

あしざわです。

本記事はCODE BLUE 2025で行われた以下のセッションのレポートです。

セッション情報

日本では、本年５月に「能動的サイバー防御」を導入するための法制度が成立、本年７月に設立に国家サイバー統括室が設置された。また現在、能動的サイバー防御の実施に向けた体制整備を進めるとともに、サイバーセキュリティ戦略の策定に取り組んでいる。人材育成をはじめとして、サイバーセキュリティを強化するための施策を推進し、これからの社会を支えていく基盤となるサイバー空間の安全をどう確保していくか、日本政府の政策動向を紹介する。

Speakers: Kazutaka Nakamizo（中溝 和孝）, 内閣官房 国家サイバー統括室 内閣審議官

レポート

概要

• これからのサイバーセキュリティ戦略、日本の対策についての話

現在の日本の見方

• サイバー攻撃が洗練、深刻化している
• 質的にも量的にも増えている
• 質的な変化
  • 公開サーバーに対する攻撃（Webサイトの改ざん）
  • ITシステムの侵害
  • 重要インフラシステムへの侵入
• 量的な変化
  • 攻撃トラフィックが年々増加している（NICTの情報）

直近のインシデント

• 2023年：名古屋港のランサムウェア被害
  • 貨物の搬入搬出の処理が停止
  • 物流企業の輸送に大きな影響
• 2024年末-2025年頭：航空会社や金融サービスへのDDoS攻撃
  • 重要システムのレジリエンスに対する懸念が増加
• その他、物流サービスや飲料メーカーへの攻撃があった
• 安全保障にも影響を与えている
• いち企業のみで対策するのは難しい

直近の事象を踏まえた取り組み

能動的サイバーセキュリティのための法整備

• 柱1：官民連携
  • 連携しないと洗練されたサイバー防御が不可能
• 柱2：通信情報の利用
  • インターネット上のトラフィックを政府が把握し、分析する
• 柱3：リモートアクセス&無害化
  • 大きなサイバー攻撃の予兆があった時、攻撃者のサーバーを無力化する
• これらの柱の関係性
  • これらの柱はバラバラではなく、一体として機能すべき
  • 脅威から守る、国民の安全を守るために実施する
  • 官民が協力するためのエコシステムを構築していく

整備された法律

官民連携

• 報告義務
  • 250ある基幹インフラ事業者に対する各社が保有しているITシステム
• 協議会の設置
  • 基幹インフラに限らずより広い団体が対象
  • 団体からの情報収集
  • 政府からも情報提供する

通信情報

• 悪意あるサイバー活動がどのように行われているか分析把握する
• 機械関連データ(メタデータ)の取得が主、内容の取得は目的ではない

リモートアクセス&無害化

• 攻撃元サーバーにアクセスする権限を警察・自衛隊に付与
  • 独立機関による事前の承認が必要、ガバナンス
  • 承認を待つ時間がないケースのために事後的の報告も認められている

政府全体の体制強化

内閣 → サイバーセキュリティ戦略本部

• これまで
  • 本部長：官房長官、副本部長：国務大臣
• これから(7月以降)
  • 本部長：総理大臣、本部員：全ての閣僚
  • 政府全体横断的にサイバーセキュリティを進めていく体制

NCO（国家サイバー統括室）

• 内閣サイバー官は国家安全保障局（NSS）の次長を兼務
• 専門家会議も設置されており、民間の専門家や学者の声も聞きながら政策を推進
• 役割
  • サイバーセキュリティ戦略本部の事務局
  • 各省庁の政策的な調整
  • セキュリティ基準の策定
  • 政府全体のインシデントに対処するCSIRT的な機能

能動的サイバーセキュリティ防御の実施

• 基本方針を年内に策定する予定
• 現在はパブリックコメントを募集中
• 紹介した法制度は順次施行される
  • 独立機関：来年春
  • 官民連携、リモートアクセス&無害化：来年秋
  • 通信情報利用：再来年秋

喫緊に取り組むべき事項

• 今年の5月に設定した
• 例
  • 重要インフラの新たな基準作り
  • PQC移行の準備
  • サイバーセキュリティ人材フレームワーク

新たなサイバーセキュリティ戦略の策定

• 年内の策定を目指す
• 法制度の成立も踏まえ、今後の中長期的な戦略を内外に示すためのもの

能動的サイバー防御の施行

重要インフラ事業者の基準の作成

• 新たに機能が追加された
• サイバーセキュリティ本部が策定

何のためにやるのか

• 基幹インフラ(250社)、重要インフラ(数千〜数万)
• はるかに多い
• 分野によっては事業者ごとの取り組みにばらつきがある
  • 15分野すべての事業者の取り組みの底上げをしていく
• 特にリスクが高い分野については、より高い基準のセキュリティを期待する
• 現在策定中の段階
  • 来年公表する予定で進めている

重要インフラの管轄省庁

• 5つの省庁
  • 金融サービス分野：金融庁
  • 通信分野、自治体：総務省
  • 医療：厚生労働省
  • 鉄道、航空、港湾：国土交通省
  • 電気、ガス、クレジットカード：経済産業省
• これらの省庁とNCOが連携していく

具体的な取り組み

• 情報連携
• 人材育成
• 啓発・意識向上
• 訓練
• 継続的な改善
  • 必要に応じて改善していく、PDCAを回していく
  • 重要インフラのセキュリティを評価していく

政府が所有する重要インフラのPQC

• 今年のうちにPQCの移行に向けた骨子を作っていく
• ロードマップの移行の期限を記述
  • 諸外国の期限は2035年
  • 期限は口にするのは簡単だが難しい
• クリプトインベントリの作成
  • システム内のどこで暗号化されているか把握
  • 一覧化する
• リスクの評価
  • 暗号を利用しているデータや業務を踏まえて評価
• 移行の優先順位づけ
• 移行計画の策定
• 丁寧に進めていく
• ハーベストナウ、デクリプトレイター攻撃を踏まえ、機微な情報については早めに対応
• 政府機関を対象に進めていく
• PQCへの移行は民間企業でも必要なこと

人材フレームワーク

• 需要は増えている、日本に限らず世界のトレンド
• サイバーセキュリティ人材の課題
  • 職種や役割は幅が広い、求められる知識やスキルも広い
  • スキル面でのミスマッチも起こりがち
• ミスマッチがないようにフレームワークを作ろうとしている
• 来年までに完成させたい
• フレームワークの内容
  • どのような役職があるのか、カテゴライズ
  • その役職にどのようなタスクが求められるのか明確化
• 期待される効果
  • 効率的な取り組みを可能に
  • キャリアパスの見える化
  • 人材が活躍しやすい環境に
• これらはまだまだ取り組みの一部

International Cybersecurity Challenge Tokyo(ICC Tokyo)

• グローバルなCTFイベントを開催
  • 8チームに分かれて競技
  • 日本のアニメキャラクターを使った可視化
  • チームごとにキャラクターを割り当て、優勢劣勢がわかるように表示
• 若い人がセキュリティを目指すきっかけになるような取り組み
  • 小学生、中学生、高校生を呼んで見学
  • ワークショップの実施

サイバーセキュリティ戦略

• 国の方向性を示していくもの

ビジョン

• 自由、公正かつ安全なサイバーセキュリティ空間を目指す

5つの基本原則

• 情報の自由な流通の確保
• 法の支配
• 開放性
• 自律性
• 多様な参加者の協力

国が果たすべき役割

• 国による管理ではなく、5つの原則を後押しするもの
• パブリックコメント中

取り組むべき柱

サイバー空間の脅威の高まり

• サイバー防御、抑止の強化：能動的サイバー防御の実現
  • 国が中心的な役割、官民連携、国際協力・連携の強化

社会全体のデジタル化の普及

• 社会全体のサイバーセキュリティレジリエンスの強化
  • 政府自身の強化
  • 重要インフラや自治体の強化
  • サプライチェーン全体の強化
    • →セキュアバイデザインの考えを踏まえながら

AIなどの技術のイノベーション

• 人材育成フレームワーク：手段の一つ
  • キャリアパスを可視化して、セキュリティ人材がより高度なスキルを得る
  • 新しい技術への対応によるセキュリティの強化

まとめ

• 国だけでは高まる脅威に対応できない
  • 民間やセキュリティ技術者と一緒にやりたい
• 政府はセキュリティに多く投資していく
  • 政府機関の強化だけでなく、民間の整備にも
• 人材フレームワーク
  • 育成だけでは足りない、セキュリティの理解や重要性を企業幹部に訴える
  • 各企業がセキュリティに取り組む環境を整備する
  • セキュリティに関わる皆さんが活躍できるようにする
• グローバルなサイバーセキュリティに取り組んでいく

感想

日本のサイバーセキュリティ戦略についてよくわかる、とても良い話が聞けました。

サイバーセキュリティへのさまざまな取り組みが国を挙げてのプロジェクトだとわかって、一国民として安心できました。