3 経済産業省が行うガイドラインや基盤整備への施策
経済産業省(以下、経産省)では、表に示すような様々な施策を行っている。
図2は、「サイバー・フィジカル・セキュリティ対策フレームワーク」を軸とした各種の取り組みとの大まかな関係を示している。
表 経済産業省が行っているサイバーセキュリティに関する主な施策
出所 経済産業省、上村昌博氏(サイバーセキュリティ・情報化審議官)の講演資料をもとに編集部で作成
図2 サイバー・フィジカル・セキュリティ対策フレームワークを軸とした各種取り組みの大まかな関係
出所 経済産業省、上村昌博氏(サイバーセキュリティ・情報化審議官)の講演資料(参考資料集)より
セキュリティ対策全体の枠組み(フレームワーク)を提示し、これら全体の枠組みに沿って、対象者や具体的な対策となる実践的なガイドラインを整備している。例えば、「サイバーセキュリティ経営ガイドライン」や「産業分野別のガイドライン」(図2右)などである。
中小企業・サプライチェーン・地域における対策の普及には、「お助け隊サービス」「セキュリティアクション」「IT導入補助金」といった、より相対的に適切なコストで、中小企業が必要とするセキュリティサービス提供のための財政支援なども進めている。
事案対処防御に関する基盤整備については、JPCERT/CC注6あるいはIPA(情報処理推進機構)が情報共有や初動体制に対する支援を行っている。
人材育成としては、IPA/産業サイバーセキュリティセンター(ICSCoE)注7を設置したり(図3)、2022年末に公表した「デジタルスキル標準」などのコンテンツや、国家資格試験などのサービスも提供をしている。
その他、国際的な観点からもインド太平洋地域向けの日米EU産業制御システム(ICS)注8サイバーセキュリティ演習なども実施している。
図3 人材育成および活躍促進
出所 経済産業省、上村昌博氏(サイバーセキュリティ・情報化審議官)の講演資料(参考資料集)より
4 「 目的、対応策、管理」目線での検討が大事
「それぞれの事業・産業には、製品やサービスを提供する目的があります。それに支障を及ぼす1つのファクターとして“サイバーセキュリティ”があるとすれば、それに対してどの程度の対応策を行っていくのか、管理策として自社でどこまでのことができるのか。“目的、対応策、管理”をしっかりと説明できることが大切です。またセキュリティの専門家とも、この“目的、対応策、管理”目線で議論をし、対応を深めていく。さらに公的な立場が、企業に対してどういったサポートができるのかを考えるときにも、“目的、対応策、管理”目線での検討があることが極めて大事だと思っています。」上村氏は、産業サイバーセキュリティを自社で位置付けて検討していく「マネジメント」の重要性を説いた。
講演の最後に上村氏は、「ぜひ、事業継続(BCP)のための“産業サイバーセキュリティの確保”を、皆様とともに進めていきたいと思っております」と締めくくった。
▼ 注6
JPCERT/CC:Japan Computer Emergency Response Team / Coordination Center、日本コンピューターセキュリティインシデント対応チーム協議会。
▼ 注7
IPA/ 産業サイバーセキュリティセンター(ICSCoE):ICSCoEは、Industrial Cyber Security Center of Excellenceの略語。2017年4月に設置。制御系セキュリティに精通する講師を招き、「技術」「マネジメント」「ビジネス」分野を総合的に学ぶ「中核人材育成プログラム」などを実施(2022年7月開講の第6期には48名が参加)。
OT系とIT系の両方に対して最前線の能力をもった人材を育成するための1年間コースと短期コースがあり、最新で最先端のサイバーセキュリティ対応の情報提供と人材育成を進めている。
▼ 注8
ICS:Industrial Control System
