よむ、つかう、まなぶ。
サイバーセキュリティ2024(2023年度年次報告・2023年度年次計画) (283 ページ)
出典
| 公開元URL | https://www.nisc.go.jp/council/cs/index.html#cs41 |
| 出典情報 | サイバーセキュリティ戦略本部(第41回 7/10)《内閣官房内閣サイバーセキュリティセンター》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
②重要インフラ事業者等に対して、セプターカウンシルへ ・重要インフラ事業者等その他関係主体間のリスクコミュニケーション及
び協議の機会の提供に取り組み、セプターカウンシルの活動を支援した
の参加や分野横断的演習等の活用を促し、リスクに関
ほか、リスクアセスメントを実施できていない重要インフラ事業者に訪
連する情報開示や、ステークホルダーとともに考える
問した際に、リスクアセスメントの必要性を解説することで実施を推進
営みの機会の提供。
した。
③東京大会の経験やノウハウについて、重要インフラ事
業者等に対する積極的な活用及びその具体的な手
法・手順について検討。
・東京大会で得られた知見に基づき重要インフラ事業者等に向けた「重要
インフラにおける機能保証の考え方に基づくリスクアセスメント手引
書」を 2018 年に策定・公表している。
④本施策における調査等の結果を重要インフラ事業者
等におけるリスクマネジメントの実施や安全基準等の
整備等に反映する参考資料として提供。
・重要インフラ事業者等その他関係主体間のリスクコミュニケーション及
び協議の機会の提供に取り組み、セプターカウンシルの活動を支援した
ほか、実習を通してリスクアセスメントを学習するセミナーを重要イン
フラ事業者に提供した。
⑤本施策における調査等の結果を本行動計画の他施策 ・重要インフラ事業者等におけるリスクアセスメントの実施や安全基準の
整備等に供するため、「重要インフラのサイバーセキュリティに係る安
に反映する参考資料として利活用。
全基準等策定指針」及び「重要インフラのサイバーセキュリティ部門に
おけるリスクマネジメント等手引書」を NISC のウェブサイトで公表し
ている。また、内閣官房が過去に実施した調査の結果を NISC のウェブサ
イトに引き続き掲載し、参考資料として提供している。
(5) 「防護基盤の強化」に関する事項
①障害対応体制の有効性の検証が可能な分野横断的
演習のシナリオ、実施方法、検証課題等を企画し、分
野横断的演習を実施。
・行動計画に基づき、関係主体の組織全体の障害対応体制が有効に機能し
ているかどうかを確認し、改善につなげることに重点をおきつつ、分野
横断的演習を実施した。2023 年度は、最新のサイバー情勢を踏まえ、イ
ンシデント対応における経営層の参画や取引先等を含むサプライチェ
ーンリスク対策を促す演習シナリオを用いて実施し、初参加となった警
察庁・防衛省を含めて過去最多の 6,574 名(819 組織)が参加した。
②職務・役職横断的な全社的に行う演習シナリオを企 ・複数の職務や役職を対象とし、全社的な演習実施にも対応したシナリオ
画。
を作成し、参加事業者等における重要インフラ防護の強化・充実に寄与
する演習を実施した。
③分野横断的演習の改善策の検討。
・全ての重要インフラ分野を対象としていることを考慮するとともに、最
新のサイバー情勢、攻撃トレンドを踏まえつつ演習の構成・内容につい
て検討した。
・参加者募集の段階より、意思決定のある経営層や関係する所属部署の参
画や行動計画等や規程・マニュアル等を確認し、自組織の課題・リスク
の状況を洗い出し、改善を行ったうえで演習に参加するよう訴求した。
・事前説明において、演習における事前準備・演習当日の行動・事後の改
善で留意すべき点等について、行動計画に記載されているセキュリティ
対策の PDCA サイクルに従って見直しを行うことを推奨した。また、自組
織の環境に即したシナリオを作成するとともに、プレイヤーの行動につ
いて指導・評価を行う「サブコントローラー」が果たすべき役割を整理
し、参加事業者等に分かりやすく提示した。
・演習当日の集合会場において演習参加者同士が有識者も交えて対面で意
見交換を行う座談会を実施するとともに、演習事後には意見交換会も実
施することにより、分野を超えた重要インフラ事業者等間の平時からの
情報共有体制の構築を促進した。
④重要インフラ事業者等による自主的な取組を促すた
め、分野横断的演習の一部を疑似的に体験できる演
習プログラム等を提供。
⑤分野横断的演習の機会を活用して、障害対応体制の
有効性の検証等を実施。
・演習参加のハードルが高いと感じている事業者向けの支援に資すること
を目的に、
「演習疑似体験プログラム」を作成し、提供した。
・演習において、重要インフラサービスの継続性が脅かされるようなケー
スを想定したシナリオを取り入れ、自組織の規程・マニュアル・BCP/ITBCP 等が有効に機能するか確認した。
⑥分野横断的演習で得られた重要インフラ防護に関する ・重要インフラ全体の防護能力の維持・向上に資するべく、分野横断的演
習の結果得られた知見・成果などを集約し、分野横断的演習の関係者
知見の普及・浸透。
に資料を共有した。
⑦他省庁や民間機関の重要インフラサービス障害対応 ・総務省において国立研究開発法人情報通信研究機構(NICT)を通じ実施
する実践的サイバー防御演習「CYDER」等の演習・訓練の情報を把握した。
の演習・訓練の情報を把握し、連携の在り方を検討。
・分野横断的演習の企画・実施に際しては、他の演習・訓練における目的・
特徴等を踏まえ、十分な効果が得られるよう差別化を図った。
⑧戦略マネジメント層の育成、部門間連携、産学官の連 ・サイバーセキュリティ人材の育成カリキュラム等による組織内の人材育
携等による人材育成等の推進。
成に係る取組等について、各関連施策を通じて普及啓発を行った。
⑨重要インフラ事業者等に対する「セキュリティ・バイ・デ
ザイン」の実装の推進。
・
「セキュリティ・バイ・デザイン」に関して先進的な取組を行う事業者に
対するヒアリング等により、良好事例の収集を行った。
別添5 - 12 -
び協議の機会の提供に取り組み、セプターカウンシルの活動を支援した
の参加や分野横断的演習等の活用を促し、リスクに関
ほか、リスクアセスメントを実施できていない重要インフラ事業者に訪
連する情報開示や、ステークホルダーとともに考える
問した際に、リスクアセスメントの必要性を解説することで実施を推進
営みの機会の提供。
した。
③東京大会の経験やノウハウについて、重要インフラ事
業者等に対する積極的な活用及びその具体的な手
法・手順について検討。
・東京大会で得られた知見に基づき重要インフラ事業者等に向けた「重要
インフラにおける機能保証の考え方に基づくリスクアセスメント手引
書」を 2018 年に策定・公表している。
④本施策における調査等の結果を重要インフラ事業者
等におけるリスクマネジメントの実施や安全基準等の
整備等に反映する参考資料として提供。
・重要インフラ事業者等その他関係主体間のリスクコミュニケーション及
び協議の機会の提供に取り組み、セプターカウンシルの活動を支援した
ほか、実習を通してリスクアセスメントを学習するセミナーを重要イン
フラ事業者に提供した。
⑤本施策における調査等の結果を本行動計画の他施策 ・重要インフラ事業者等におけるリスクアセスメントの実施や安全基準の
整備等に供するため、「重要インフラのサイバーセキュリティに係る安
に反映する参考資料として利活用。
全基準等策定指針」及び「重要インフラのサイバーセキュリティ部門に
おけるリスクマネジメント等手引書」を NISC のウェブサイトで公表し
ている。また、内閣官房が過去に実施した調査の結果を NISC のウェブサ
イトに引き続き掲載し、参考資料として提供している。
(5) 「防護基盤の強化」に関する事項
①障害対応体制の有効性の検証が可能な分野横断的
演習のシナリオ、実施方法、検証課題等を企画し、分
野横断的演習を実施。
・行動計画に基づき、関係主体の組織全体の障害対応体制が有効に機能し
ているかどうかを確認し、改善につなげることに重点をおきつつ、分野
横断的演習を実施した。2023 年度は、最新のサイバー情勢を踏まえ、イ
ンシデント対応における経営層の参画や取引先等を含むサプライチェ
ーンリスク対策を促す演習シナリオを用いて実施し、初参加となった警
察庁・防衛省を含めて過去最多の 6,574 名(819 組織)が参加した。
②職務・役職横断的な全社的に行う演習シナリオを企 ・複数の職務や役職を対象とし、全社的な演習実施にも対応したシナリオ
画。
を作成し、参加事業者等における重要インフラ防護の強化・充実に寄与
する演習を実施した。
③分野横断的演習の改善策の検討。
・全ての重要インフラ分野を対象としていることを考慮するとともに、最
新のサイバー情勢、攻撃トレンドを踏まえつつ演習の構成・内容につい
て検討した。
・参加者募集の段階より、意思決定のある経営層や関係する所属部署の参
画や行動計画等や規程・マニュアル等を確認し、自組織の課題・リスク
の状況を洗い出し、改善を行ったうえで演習に参加するよう訴求した。
・事前説明において、演習における事前準備・演習当日の行動・事後の改
善で留意すべき点等について、行動計画に記載されているセキュリティ
対策の PDCA サイクルに従って見直しを行うことを推奨した。また、自組
織の環境に即したシナリオを作成するとともに、プレイヤーの行動につ
いて指導・評価を行う「サブコントローラー」が果たすべき役割を整理
し、参加事業者等に分かりやすく提示した。
・演習当日の集合会場において演習参加者同士が有識者も交えて対面で意
見交換を行う座談会を実施するとともに、演習事後には意見交換会も実
施することにより、分野を超えた重要インフラ事業者等間の平時からの
情報共有体制の構築を促進した。
④重要インフラ事業者等による自主的な取組を促すた
め、分野横断的演習の一部を疑似的に体験できる演
習プログラム等を提供。
⑤分野横断的演習の機会を活用して、障害対応体制の
有効性の検証等を実施。
・演習参加のハードルが高いと感じている事業者向けの支援に資すること
を目的に、
「演習疑似体験プログラム」を作成し、提供した。
・演習において、重要インフラサービスの継続性が脅かされるようなケー
スを想定したシナリオを取り入れ、自組織の規程・マニュアル・BCP/ITBCP 等が有効に機能するか確認した。
⑥分野横断的演習で得られた重要インフラ防護に関する ・重要インフラ全体の防護能力の維持・向上に資するべく、分野横断的演
習の結果得られた知見・成果などを集約し、分野横断的演習の関係者
知見の普及・浸透。
に資料を共有した。
⑦他省庁や民間機関の重要インフラサービス障害対応 ・総務省において国立研究開発法人情報通信研究機構(NICT)を通じ実施
する実践的サイバー防御演習「CYDER」等の演習・訓練の情報を把握した。
の演習・訓練の情報を把握し、連携の在り方を検討。
・分野横断的演習の企画・実施に際しては、他の演習・訓練における目的・
特徴等を踏まえ、十分な効果が得られるよう差別化を図った。
⑧戦略マネジメント層の育成、部門間連携、産学官の連 ・サイバーセキュリティ人材の育成カリキュラム等による組織内の人材育
携等による人材育成等の推進。
成に係る取組等について、各関連施策を通じて普及啓発を行った。
⑨重要インフラ事業者等に対する「セキュリティ・バイ・デ
ザイン」の実装の推進。
・
「セキュリティ・バイ・デザイン」に関して先進的な取組を行う事業者に
対するヒアリング等により、良好事例の収集を行った。
別添5 - 12 -