Loading...

Loading...

第一線で活躍する専門家との議論を通じ、サイバーセキュリティという社会課題に対する提言を行います。

政策提言

  • 「アフターコロナの時代における真のデジタル社会実現のために」


    提言1 :すべての市民がオンラインにアクセスできる環境を整備せよ
    提言2 :デジタル社会における本人認証スキームを確立せよ
    提言3 :デジタル社会システム全体の運用管理に十分な人員・予算を配分せよ
    提言4 :すべての市民が利用者教育を受ける権利を保証せよ
    提言5 :「えせデジタル社会」の罠に陥るな

    政策提言

JCICシンクタンクレポート

  • 日本のサイバーセキュリティ政策史 第6回
    「サイバーセキュリティ対策黎明期の重要インフラ防護」
    NEW!

    サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第6回は、内閣官房情報セキュリティセンター(NISC)発足時に重要インフラ防護担当参事官を務めた立石譲二氏をお迎えし、話をうかがいます。「日本は『恥の文化』で自らの恥を他者に共有しません。そして日本人は何かが起こらない限り、悲しいけれど、行動を起こせない国だということにも注意が必要です」——大規模サイバー障害事案とは無縁、セキュリティ意識の醸成される前の時代の日本の経済社会において政策立案に奔走する中で痛感した日本の課題とは。

    Download PDF

  • 日本のサイバーセキュリティ政策史 第5回
    結果を保証する「重要インフラのサイバーセキュリティに係る行動計画」
    NEW!

    サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第5回は、前内閣サイバーセキュリティセンター(NISC)重要インフラ担当内閣参事官の結城則尚氏をお迎えし、話をうかがいます。サイバーの問題が社会安全に直結し、脅威が巧妙化する時代、継続的サービスが求められる重要インフラのセキュリティに必要な取り組みとは。経営責任や障害対応体制の強化など、これまでにない訴求を盛り込む「重要インフラのサイバーセキュリティに係る行動計画」はどのような考えで策定されたのか——。

    Download PDF

  • 我が国のサイバー/情報セキュリティ政策の変遷:組織・戦略編

    JCICでは「日本のサイバーセキュリティ政策史」に関するオーラルヒストリーの連載を2022年7月より始めた。同年12月に閣議決定された国家安全保障戦略では、能動的サイバー防御の導入や、NISCを発展的改組しサイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置するなどの方針が示された。政策の検討に資するべく、連載の聞き手である東海大学三角育生教授が我が国のサイバー/情報セキュリティに関する戦略及びそれらの策定・推進組織と根拠を概観する。

    Download PDF

  • 日本のサイバーセキュリティ政策史 第4回
    情報セキュリティ政策の礎を固める~無謬主義を乗り越えて~

    サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第4回は、内閣官房情報セキュリティセンター(NISC)総括担当内閣参事官などを歴任した関啓一郎氏をお迎えし、話をうかがいます。「リスク前提社会」やセキュリティ・バイ・デザインのコンセプト、サプライチェーンのリスク対応、政府全体のセキュリティ防御を図るGSOC、日・ASEAN協力など、いまでは社会に定着した概念や取り組みが初めて政策メニューに上げられた時代。根底でどのような考えや議論があり、何を乗り越えたのか——。

    Download PDF

  • 企業が生成 AI の奔流を乗り越えるためのアジャイルリスク管理

    生成AIは大きな可能性のある技術で、そのポテンシャルが発揮されようとする時期にある。その強力さゆえ、積極的な利用や新サービスの情報、慎重論や予防的な規制について様々な視点からの議論が交わされている。各企業は「生成AIとどう向き合うか」という命題を突き付けられ、氾濫する情報の中でより良い方針を決定しなければならない。
    本稿は、急速に変化する対象のリスク管理に適したアジャイル・ガバナンスの考え方に基づき、企業リスクの視点から生成AIリスクの全体像を整理した上で適応的な管理を実践するための手法を論じる。想定読者には、主に企業のリスク責任者(CRO、全社リスク統括)やデジタルリスク責任者(CTO、CIO、CISOなど)を想定するが、生成AIの利用に関連する幅広い層にご活用いただきたい。
    本レポートの内容が、様々な企業が生成AIのリスクに向き合いながらも、そのポテンシャルを引き出す挑戦の一助となれば幸いである。

    Download PDF

  • サイバー攻撃の標的でもある中国

    中国のセキュリティ企業は、ほぼ毎年のレポートのなかで「中国は世界的にみて、最もAPT攻撃の被害を受け ている国だ」と主張している。
    本稿は、北米のセキュリティ企業によるレポートとは反対の中国の視点「APTグループによるサイバー攻撃の標的となる中国」に立ち、中国語で書かれたリソースを基に、同国が抱えている問題やサイバー空間の趨勢をより俯瞰した立場から読み解く。

    Download PDF

  • 日本のサイバーセキュリティ政策史 第3回
    日本の情報セキュリティ対策黎明期の政策立案~NISC立ち上げに参画して~

    サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第3回は、内閣官房情報セキュリティセンター(NISC)発足時に基本戦略等の参事官を歴任した小林正彦氏をお迎えし、話をうかがいます。2005年、情報セキュリティへの理解が各国で高まる一方、日本では包括的な情報セキュリティ政策推進体制の整備が十分ではなかった時代に設立されたNISC。情報セキュリティ確保を目指す新たな組織はどのように誕生し、どのような理念で戦略やルールを策定したのか――。

    Download PDF

  • 日本のサイバーセキュリティ政策史第2回
    「激動の時代に危機管理体制を構築して」

    サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第2回は、「国民を守る情報セキュリティ戦略」を策定し、大規模サイバー攻撃事態等への初動体制構築、情報集約体制整備を進めた元内閣官房副長官補(安全保障・危機管理担当)、内閣官房情報セキュリティセンター(NISC)長の西川徹矢氏をお迎えし、話をうかがいます。政権交代、東日本大震災など歴史的な出来事や危機に直面する中でサイバーセキュリティ政策をどのように舵取りしたのか−−。

    Download PDF

  • 日本のサイバーセキュリティ政策史
    ~誰も取り残さない「サイバーセキュリティ戦略」実現に向けた政府の決意~

    サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。初回は、最新の「サイバーセキュリティ戦略」策定において中核を担ったNISC副センター長の吉川審議官をお迎えし、話をうかがいます。いまやあらゆる人がサイバー空間に参画する時代。戦略に込められた、サイバーセキュリティ確保のために推進する施策の内容・意図および根底にある理念、そして政府の決意とは。

    Download PDF

  • 社内のセキュリティリソースは「0.5%以上」を確保せよ

    このレポートでは、DX with Security先進企業のための戦略策定の推奨アプローチとして、以下の内容を提案するものである。
    ● サイバーリスク数値化モデルを用いリスクを可視化せよ
    ● DX with Security 戦略を策定せよ
     - ストーリーとして戦略を語るためのフレームワークを活用すべき
     - セキュリティ投資額は、連結売上高の「0.5%以上」を投資すべき
     - セキュリティ人材は、全従業員数の「0.5%以上」を確保すべき
    ● セキュリティ KPI を設定し、定期的にモニタリングせよ

    ・サイバーリスク指標モデル「想定損失額の目安」簡易シミュレーション(Excel)

    Download PDF

  • 攻めのプラス・セキュリティ人材でDX with Securityの実現を

    JCICから、新たな概念として提示した「プラス・セキュリティ人材」。今、その必要性が認知され、「プラス・セキュリティ」に向けた施策や政策が多くの場で議論され始めている。本レポートは、プラス・セキュリティ人材育成の必要性に加えて、セキュリティ人材可視化の推進を掘り下げ、その必要性を訴えるものである。安全・安心な社会の実現および、安全を考慮した攻めのIT投資となるDX with Securityを実現し、競争力の高い企業になるためには、従来の「規制や禁止」による守りの実現だけでなく、「加速の推進役」となる、新たな考え方である「攻めのセキュリティ」が必須となる。

    Download PDF

  • 2025年に向けた利便性とセキュリティのリバランス

    新型コロナウイルス感染症の拡大により、多くの企業や組織では、テレワークを想定していなかった部署にも在宅勤務を推し進めたことで、利便性とセキュリティリスクのバランスが崩れた。来たるべき非接触型社会に向けて、企業は現状の利便性とセキュリティのバランスを見直す必要がある。JCICが各企業の動向についてインタビューや文献調査を実施したところ、各社で利便性とセキュリティ・コントロール(管理)の考え方に大きな違いがあり、4つのタイプに分類できることがわかった。そこで、4つのタイプを整理した「利便性とセキュリティのバランスモデル」を新たに作成した。

    Download PDF

  • DX化を実現し、企業が生き残るためには ~キーは「攻めのプラス・セキュリティ人材」育成~

    当レポートは、DX時代と言われるデジタル前提社会において求められている「攻めのプラス・セキュリティ人材」の必要性と育成を訴えるものである。従来のセキュリティ人材に求められていた「守り」の姿勢から、DX時代と言われるデジタル前提社会においては、積極的な攻めの姿勢が新たなセキュリティ人材像として求められている。近い将来に起こるであろう攻めのプラス・セキュリティ人材不足を回避するため、企業の競争力強化のためにも、セキュリティ人材育成の必要性を理解いただき、今の時点から当レポートで訴えた内容を実行に移すことが急務である。

    Download PDF

  • サイバーセキュリティ情報公開のポイント ~経営者の取組み姿勢が重要~

    本レポートでは、企業の平時のセキュリティ対策の情報公開に焦点を当て、広く発信するメリットや今後の論点を提示する。情報発信する際は、サイバー攻撃のヒントになるような情報などは公開する必要はなく、経営者の取組み姿勢を広く発信すべきである。経営者は自ら率先して、株主・顧客・取引先などのステークホルダーに対して、セキュリティへの取組み姿勢や体制などを情報公開していく必要がある。

    Download PDF

  • 損失額を減らすための「サイバーセキュリティのKPIモデル(試論)」

    本レポートでは、セキュリティ事故による損失額を軽減し、デジタル技術を活用したイノベーションを推進するための「サイバーセキュリティのKPIモデル」を紹介している。このモデルは、国内企業や海外企業がどのようなKPIを設定しているかについての調査をJCICが実施し、各社からヒアリングしたKPIを3段階の成熟度に割り振り(横軸)、5つの施策の種類(縦軸)で分類したものである。
    ・【別紙】サイバーセキュリティに関する KPI の例(PDF)

    Download PDF

  • セキュリティ人材不足の真実と今なすべき対策とは

    セキュリティ人材は、ITベンダー/セキュリティ関連企業に所属し、セキュリティを主たる業務とする「セキュリティ専門人材」と、本来の業務を担いながらITを利活用する中でセキュリティスキルも必要となる「プラス(+)・セキュリティ人材」に大別できる。当レポートは、人材が大きく不足しているのは、プラス・セキュリティ人材であることを示すと共に、今後取るべき対策について提言するものである。

    Download PDF

  • 取締役会で議論するためのサイバーリスクの数値化モデル

    情報流出等が発生した企業では、株価が平均10%下落し、純利益が平均21%減少していた。もはや、サイバーセキュリティはIT部門だけの問題ではなく、経営リスクである。取締役や経営者等が理解できる「サイバーリスクの数値化モデル」を用い、経営視点でサイバーリスクを把握できるようにする必要がある。
    ・サイバーリスク指標モデル「想定損失額の目安」簡易シミュレーション(Excel)

    Download PDF

  • 諸外国におけるサイバーセキュリティの情報共有に関する調査

    諸外国では、「サイバーセキュリティに関する法規制」を強化することにより官民の情報共有を促進し始めている。日本としては、これらの法規制によって諸外国のサイバーセキュリティ対策が実質的に強化されるのか、また官民の情報共有が徹底されるのかを見極める必要がある。

    Download PDF

JCICコメンタリー

  • 「デジタル中国」:情報化・デジタル化を軸に中国の安全保障観を理解する

    中国は、中国国内にあるデータの管理を一層強化する傾向にある。中国にとってデータは資源であり、国家として保護するべき対象であり、サイバー空間における主権、公共の利益や国家安全を保護するための国家政策の中心に据えられるべき重要事項なのである。
    本稿は、中国のデジタル・情報・サイバーセキュリティに関する政策を知り、現在の中国の動向や安全保障観を理解することで、中国を含む海外事業に携わる、あるいは中国の政策やサイバーセキュリティ事情に関心を有する読者に新たな知見がもたらされることを期待するものとなる。

    Download PDF

  • なぜ情報セキュリティがDX推進にあたり不可欠なのか

    本稿では、著者が経済産業省安全保障貿易審査課長時代、DXを進める際に情報セキュリティ対策が不可欠であると確信した事例を取り上げている。DXの企画立案段階から情報セキュリティ対策を、DXの具体的な実現方策の一部として検討を始めることにより、より効率的で効果的なものとすることができるようになる。こういったプラクティスが広く普及することが期待される。
    (東海大学情報通信学部/国立情報学研究所客員教授 三角育生)

    Download PDF

  • なぜ、金融機関はサイバーリスク管理に「KRI」を用いるのか

    JCICが国内の金融機関のセキュリティ責任者へのインタビューを行ったところ、「KRI」を用いてサイバーリスク管理を行っている事例が複数社ありました。これらの金融機関では、なぜサイバーリスク管理に「KRI」を用いているのでしょうか。本コラムでは、セキュリティ部門やリスク管理部門を想定読者とし、リスクをモニタリングする指標である KRI とは何か、どのような効果が期待できるかを説明し、日本企業への示唆を示します。
    ・【別紙】サイバーリスクのKRI例.pdf(PDF)

    Download PDF

  • 2019年の海外法制度の展望

    サイバーセキュリティ・個人情報保護に関する政策動向。今まで「JCIC海外ニュースクリップ」で配信した諸外国の法制度についてまとめ、今後の新しく制定される見込みの法制度について解説する。

    Column

JCICコラム

JCICイベントレポート

JCIC海外ニュースクリップ

JCICワーキンググループ

政策提言WG

国内・海外のサイバーセキュリティに関する官民連携・情報共有の政策を調査分析し、日本における課題を具体化し、解決策となる政策を提言する。

人材育成WG

公共機関や民間企業に求められるサイバーセキュリティ人材像を議論し、教育や啓発の施策を提言。サイバー人材育成施策の提言、サイバー人材の「見える化」・指数化に関する提言、教育カリキュラム標準の策定、キャリアパスの整備、評価制度の作成等を行う。