[CODE BLUE 2017]国家のセキュリティとサイバーセキュリティをめぐる官民連携:その強みと課題 ステファーノ・メーレ – Stefano Mele -[レポート] #codeblue_jp #codeblue_jp_t1

2017.11.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2017に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

国家のセキュリティとサイバーセキュリティをめぐる官民連携:その強みと課題 - ステファーノ・メーレ - Stefano Mele -

レポート

  • ステファーノ・メーレ氏はイタリアのサイバー弁護士
  • ITやインターネットは社会のあらゆる側面を短時間で変えてしまった
  • サイバーの安全保障は政治/社会/経済/技術/産業/文化などの観点から最優先事項である
  • 殆どのサイバーは民間によって管理されていることから、官民連携は強く必要である

EUでの取り組み

  • 2013年2月に最初のサイバー戦略を採択した
  • 5つの戦略的優先事項が文書に記載されている
    • サイバーリジリエンシーの実現
    • サイバー犯罪の大幅な軽減のためのルール導入
    • 共通セキュリティと防衛政策に関するサイバー防衛政策の能力の開発
    • サイバーセキュリティのための産業と技術のリソースを開発する
    • EUのための一貫した国際的な
  • 2016年7月にはじめて官民連携を開発し、18億ユーロ投資するとした
  • 欧州サイバーセキュリティ機関(ECSO)等のプレイヤーもこの3倍投資する予定
  • 2018年5月までに対応する措置
    • サイバーセキュリティに関する国家戦略を採択
    • 情報交換を行うための強力グループの創設
    • CSIRTネットワークの構築
    • CSIRT等の指名義務
  • 新しいサイバー戦略は「レジリエンス、抑止、防衛:EUの強力なサイバーセキュリティを構築する」と題されている
  • EUは国際法、特に国連憲章がサイバー空間で適用される立場を強く主張している

イタリアの取り組み

  • 2013年以降首相令でガイドラインを定めて2017年に新首相令で再認識させた
  • 民間のステークホルダーにたいして法令11条で国家に協力する事を定めている
  • 6つのガイドラインのうち3つは民間セクターの関与を想定している
    • 官民連携を重視している
  • 11の運用ガイドラインでは2つが官民連携を明示的かつ具体的に扱っている
    • 対話の重要性やサイバーセキュリティの文化を広める内容

イギリスの取り組み

  • イギリスでも独自の戦略的アプローチを開発
  • 「英国のサイバーセキュリティ戦略(2016-2021)」によって最近更新され、目標が設定された
    • 防衛
      • 英国を進化するサイバー脅威から守る
      • 市民、企業、官庁には自分自身を守るための知識と能力がある
    • 抑止
      • サイバースペースで攻撃的な行動を取る手段を持つ
    • 開発
      • 世界をリードするサイバーセキュリティ産業を有する
  • 広範な行動計画の一環としてNCSCを作成したことは興味深い
    • 政府のサイバーセキュリティの統一されたアドバイス源
    • サイバー脅威に対する政府の行動の公的な側面

アメリカの取り組み

  • アメリカはサイバーセキュリティの分野だけで10件の戦略がある
  • 官民連携の主導的役割を積極的に強調している
  • オバマ大統領が2013年2月に公開したPPD
  • 3つの不可欠な戦略原則
    • 米国の重要インフラのセキュリティレベルの強化
    • サイバー情報の共有
    • インシデントに対する集約機能とデータ分析
  • サイバー脅威情報の量、適時性、質を向上させることを大統領令で言っている
  • NCCICを設立して情報交換のためのつながりを提供
  • アメリカではEUと戦略は違う
  • 組織構造の複雑さが高いため真の信頼関係を築く事は難しい

民間パートナーシップについて

  • 下記課題を解決する強みがある
    • 関与する誰もが課題を解決するための必要な情報を持ち合わせていない
    • 民間企業は公共部門との関係に実際に影響を及ぼす
    • 自主的に関連情報を得ることができない
  • パートナーシップの課題
    • 市民のプライバシーと市民権の保護
    • 民間企業の交渉力と政府の利権の両方を保護するための自由市場を歪曲するリスク
    • 特にEUでは中小企業が全体の99.8%を占めるため、ここにフォーカスする
    • 情報行為感のための中央参照システムの作成
    • 公的な情報の監査と管理のための内部手続
    • アクター間の信頼関係を強固にするために構造的複雑さを低くする
    • 異なる分野レベルでの相互情報交換を確実にするための手順策定
    • 短期、長期、長期結果の評価プロセス

効率的な官民パートナーシップに向けて

  • 参照機関を1つだけ用意する
  • トップレベルの政治的戦略的決定機関に密接に関連
  • できるだけ短時間で社内の代表者一人だけを指定
  • リスクにさらされている民間企業と産業部門で使用される技術情報は詳細に配布
  • 場当たり出来でない関係性を計画
  • 協定を規制する厳密な取り決め
  • 広範な統制
  • 教育や研究プロジェクトを開発

感想

各国がどのように取り組んでいるかを元にして、官民連携がいかに大切かを考えさせられました。

日本でも脆弱性情報をJPCERT/CCで提供したりする等の取り組みはありますが、もっと広い分野での情報提供を行える機関が必要だと感じました。