「NISC」と「インターネットの安全・安心ハンドブック」をご紹介
現代社会において、インターネットは私たちの生活に欠かせない存在となっています。しかし、その利便性の裏には、サイバー攻撃や情報漏洩といったリスクが潜んでいます。こうした脅威から私たちを守るために、日本政府はさまざまな施策を講じており、その中心的な役割を担っているのが内閣サイバーセキュリティセンター(NISC)です。本コラムでは、NISCの設立背景や役割について紹介するとともに、NISCが提供する「インターネットの安全・安心ハンドブック」を取り上げます。
目次
NISCとは
設立背景と概要
ITの急速な発展と普及に伴い、情報セキュリティの確保が国家的な課題となる中、内閣サイバーセキュリティセンター(NISC)は段階的な発展を遂げてきました。
2000年1月末、中央省庁のWeb ページが外部からの不正アクセスにより次々に改ざんされるという事態が発生し、大々的に報道されました。この事件の影響もあり、2000年2月、内閣官房に「情報セキュリティ対策推進室」が設置されました。その後、2005年にはIT戦略本部の決定に基づき、情報セキュリティ対策推進室を強化・発展させ、「内閣情報セキュリティセンター」が設置されました。
2014年11月にはサイバーセキュリティ基本法が成立し、2015年1月、同法に基づいて内閣に「サイバーセキュリティ戦略本部」が設置されると同時に、その事務局として「内閣情報セキュリティセンター」が現在の「内閣サイバーセキュリティセンター(NISC)」※に改組されました。
2022年12月に決定された国家安全保障戦略においては、サイバー攻撃を未然に防ぐ能動的サイバー防御などの取組みを実現・促進するために、NISCを発展的に改組し、サイバー安全保障分野の政策を一元的に調整する新たな組織を設置する方針が示されており、これに先立ち2024年7月などに体制を強化しつつあります。
※NISC:National center of Incident readiness and Strategy for Cybersecurity
参考:NISC「組織の沿革」、
JPCERT/CC「インターネットセキュリティの歴史 第5回 「中央省庁 Web ページ改ざん事件」」、
内閣官房サイバー安全保障体制整備準備室「サイバー安全保障分野での対応能⼒の向上に向けた有識者会議 これまでの議論の整理 概要」、
時事通信「サイバー防御導入へ体制拡充=政府、秋の法案提出にらみ」
日本政府におけるサイバーセキュリティ施策の推進体制
日本政府では各省庁がサイバーセキュリティに関するさまざまなガイドラインを出すなどしていますが、政府内での役割分担はどのようになっているのでしょうか。
サイバーセキュリティ基本法に基づき、政府は、サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るため、サイバーセキュリティに関する基本的な計画である「サイバーセキュリティ戦略」を定めています。この戦略の案の作成等を行っているのがサイバーセキュリティ戦略本部であり、NISCはこの事務局として、各省のサイバーセキュリティ施策の統一性保持のために全体の調整を行っています。
各省庁はサイバーセキュリティ戦略を指針として、所掌に基づくサイバーセキュリティ施策を実施しています。また、重要インフラを所管する省庁は、サイバーセキュリティ戦略を受けてサイバーセキュリティ戦略本部で決定される「重要インフラのサイバーセキュリティに係る行動計画」をもとに、所管する重要インフラ事業におけるサイバーセキュリティの確保のための施策を実施しています。
参考:e-GOV「サイバーセキュリティ基本法 令和4年6月17日 施行 」
参考:NISC「サイバーセキュリティ政策の推進体制」および
JNSA 全国サイバーセキュリティセミナー2024 経済産業省「産業分野におけるサイバーセキュリティ政策」を元に当社にて作成
※図中にはサイバーセキュリティ戦略本部 閣僚本部員6省庁および重要インフラ所管省庁のみ掲載しています。
NISCの組織構成
NISCは、内閣官房の一部として設置されており、その組織には多様なバックグラウンドを持つ職員が集結しています。例えば、サイバーセキュリティに関する諸外国の政策、情勢、技術動向等の分析に従事する「上席サイバーセキュリティ分析官」や、行政各部の情報システムに対する不正な活動の監視及び分析などに関わる「サイバーセキュリティ運用専門官」など、専門性の高いポストが置かれています。このように、政策や法律面だけでなく、技術的な観点からもサイバーセキュリティにアプローチできる体制が整えられています。
2024年10月1日現在の組織体制(センター長以下)としては、以下の図のとおり5つのユニットで構成されており、サイバーセキュリティ政策に関する全体の統一性・一体性をもたせるための調整を行いつつ、「自由、公正かつ安全なサイバー空間」の創出に向け、官民一体となって様々な活動に取り組んでいます。
出典:NISC「NISCの組織体制」(2024年10月1日時点)
総括・戦略ユニット
NISCの所掌業務に関する全体の統一性・一体性を持たせるための調整のほか、サイバーセキュリティ戦略の立案・調整等を行っています。
制度・監督ユニット
情報セキュリティ対策を推進するための統一的な基準の策定、運用及び監査を行っています。
国際ユニット
サイバーセキュリティ政策に関する国際連携の窓口機能を担っています。
対処・外部連携ユニット
政府関係機関の情報セキュリティの監視やインシデント発生時の対処、官民連携枠組み等を通じた情報収集、情報提供、支援等を行っています。
サイバー対処・情報ユニット
日本に関連するサイバー攻撃事案に係る情報の収集・分析、サイバー情報の共有、事案への対処調整等を行っています。
インターネットの安全・安心ハンドブック
概要
NISCは、サイバーセキュリティに関する普及啓発活動の一環として、「インターネットの安全・安心ハンドブック」を公開しています。同ハンドブックは、身近な具体例も取り上げつつ、サイバーセキュリティに関する基本的な知識を紹介しており、誰もが最低限実施しておくべき基本的なサイバーセキュリティ対策などを学ぶことができます。学校の授業や中小組織における普及啓発の教材として使いやすいように、多様な形で活用可能なライセンスが設定されています。
2024年10月現在、サイバー空間の最新動向や今特に気を付けるべきポイント等を踏まえて改訂されたVer 5.00(2023年1月31日改訂)が公開されています。また、ハンドブック全体では200ページを超えることもあり、学校の授業、家庭、中小組織での活用を想定し、ハンドブックから対象読者層別に必要な内容を抜粋した「一般利用者向け抜粋版」と「中小組織向け抜粋版」も合わせて公開されています。
中小組織向け抜粋版の概要
「インターネットの安全・安心ハンドブック 中小組織向け抜粋版 Ver 5.00」は、約60ページの内容にまとめられており、以下のような項目が記載されています。
- 1 最低限実施すべきサイバーセキュリティ対策を理解しよう
- 2 パスワードを守ろう、パスワードで守ろう
- 3 社内・社外のセキュリティを向上しよう
- 4 災害時の会社のために事業継続計画(BCP)を作ろう
- 5 テレワークとアウトソーシングをうまく利用しよう
- 6 ファイルの共有設定や情報の公開範囲を見直そう
- 7 企業が気を付けたいサイバー攻撃を知り、情報収集に心掛けよう
- 8 企業が気を付けたい乗っ取りのリスクを理解しよう
- 9 企業が気を付けたいサイバー攻撃の具体例を知ろう
- 10 取引先の監督を徹底しよう
以下では、「1 最低限実施すべきサイバーセキュリティ対策」で挙げられている9つのポイントから一部を抜粋してご紹介します。
OSやソフトウェアは常に最新の状態にしておこう
サイバー攻撃からPCを守る第一歩は、PCのOS(Windowsなど)やインストールしているソフトウェアの各種アップデート(バージョンアップ)を適切に行い、セキュリティを最新に保つことです。一方で、第一歩と言いながらも、各PCのセキュリティを最新に保つには意外に労力がかかります。多くの中小企業でありがちな「ひとり情シス」が社内IT全体を支える状況では、社内全体のPCのOSやその他のソフトウェアのバージョンを最新に保つことが中々に大変です。
そんな時は 「ALSOK IT資産管理」がお役に立てるかもしれません。以下のコラムでは、セキュリティパッチ管理等を含むIT資産管理について解説していますので、ぜひご参照ください。
ALSOKの関連商品
パスワードは長く複雑にして、他と使い回さないようにしよう
安全なパスワードは、サイバーセキュリティの基本であり、同ハンドブック内の「2 パスワードを守ろう、パスワードで守ろう」の中でも触れられています。ハンドブック内では、ログイン用パスワードとして「英大文字小文字+数字+記号で10桁以上」を推奨していますが、サービスや機器ごとに長いパスワード覚えておくというのは、なかなか難しいものです。パスワード管理ソフトなどを利用するのが理想ですが、最初の一歩として、長くて複雑で覚えやすいパスワードの作り方を以下のコラムで紹介していますので、ぜひご参照ください。
大切な情報は失う前にバックアップ (複製)しよう
各種サイバー攻撃や、PCの故障などからいち早く復旧して事業を継続するには、システムやデータのバックアップが不可欠です。特に近年は感染するとファイルを暗号化して利用できなくして身代金を要求するランサムウェアの流行により、バックアップの重要性が格段に上がっています。データのバックアップは、こうした脅威への有効な対策となりますが、最新のランサムウェアは接続された外付けストレージまで暗号化してしまうため、バックアップの取り方にも工夫が必要です。「3-2-1ルール」に従い、3つ以上のバックアップを2種類以上の媒体で保持し、1つは遠隔地に保管することが推奨されています。
大切なデータに限っても「3-2-1ルール」に従いバックアップするのは、なかなかに大変なため、その頻度はある程度限られたものになりがちです。24時間365日のAIによる監視と情報警備監視センターによるサポートを備えたALSOK EDRサービスは、PCに専用のソフトウェアをインストールすることで、ランサムウェア等の脅威を検知すると自動で対処し、万が一脅威によって削除や暗号化されたファイルがあった場合にもロールバック機能により自動で復元することができます。バックアップの補完としてもぜひご検討ください。
ALSOKの関連商品
まとめ
本コラムでは、NISCの概要と、同センターが公開している「インターネットの安全・安心ハンドブック」の内容をご紹介しました。サイバー空間の脅威は日々変化していきますが、同ハンドブックを参考に、OSの更新やパスワード管理、バックアップ、社内教育など、基本的な事項から着実に実施していくことで、着実にセキュリティレベルを高めていくことができます。まずは自社の現状に合わせて、できることから始めてみてはいかがでしょうか。