サイバー攻撃での過失割合に指針を NEW!

サイバー攻撃による損害は、自社だけでなく取引先にも広がり、賠償責任も過失割合の目安も不明確なことから、企業間に不必要な不安や恐怖を生じさせている。本稿では、この状況を打開するために、明確な指針に基づき、合理的な対策を相互に講じていれば損害を相互に負担するなどの「お互いさま精神」による協調的なアプローチを示した。対策への企業努力が正当に評価される安心感が提供され、強い志を持った企業が一丸となってサイバー攻撃という犯罪に立ち向かう機運の醸成が望まれる。そのような誠実な企業同士の信頼に基づいた強靭なビジネス関係の構築に有用と考えられるサイバー攻撃の過失割合の指針について論じる。

Download PDF

シリーズ日本のサイバーセキュリティ政策史第8回
重要インフラのサイバーセキュリティ
東京オリパラに向けた鉄道運輸セキュリティの現場 NEW!

サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第 8 回 は、2018 年6月〜2021 年6月に東日本旅客鉄道株式会社（JR東日本）で最高情報セキュリティ責任者（CISO）を務められた太田朝道氏をお迎えし、話をうかがいます。東京オリパラに向けて、国をあげてサイバーセキュリティ確保を図る中で、同社はどのようなリスクを想定し、どのような取り組みを行ったのか、またどのようなチャレンジを乗り越えたのか。世界有数の大規模鉄道事業者であり、幅広い事業を行う70社以上のグループ会社を束ねる本社の取り組みを明かしていただきます。

Download PDF

シリーズ日本のサイバーセキュリティ政策史第7回（前編）
「すべての人が「自分ごと」として向き合える行動計画を
～現場の声をすくい上げ、実効性を高める～」

サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第7回は、2011 年から2022年の間にのべ9年間NISC に在任された山内智生氏をお迎えし、政策立案・実施の現場の取組を明かしていただきます。3つの重要インフラ行動計画、サイバーセキュリティ基本法の改正、そしてサイバーセキュリティ戦略のとりまとめなどを主導する中、日本の経済社会のサイバーセキュリティ課題をどうとらえ、解決を図ったか。東京オリンピック・パラリンピック競技大会を平和に終えられた陰でいかなる対策が講じられていたのか、そのレガシーとは何か。
前編では第3次行動計画策定の背景や意図、意義をうかがいます。

Download PDF

シリーズ日本のサイバーセキュリティ政策史第7回（後編）
「すべての人が「自分ごと」として向き合える行動計画を
～TOKYO2020 のサイバーセキュリティ対策の舞台裏とレガシー～」

前編に続き山内智生総務省サイバーセキュリティ統括官(元内閣サイバーセキュリテイセンター副センター長）にお話をうかがいます。2020年東京オリンピック・パラリンピック競技大会（TOKYO2020）に向けた準備、開催期間中、そしてレガシーはいかなるものであったか。

Download PDF

「我が国のサイバー/情報セキュリティ政策の変遷（重要インフラ編）
～今後の重要インフラに係る
サイバーセキュリティ政策立案において考慮すべき観点～」

サイバーセキュリティ政策は、重要インフラなどに関し、サイバー安全保障分野の政策と関連性の高い部分もある。しかしサイバーセキュリティ政策を安全保障政策の観点を主として捉えることは必ずしも妥当ではなく、その逆も然りである。本稿では、重要インフラに関連するものを対象として、サイバーセキュリティ領域における政策の変遷を概観し、政策推進にあたって重視されたとする点を抽出するとともに、サイバーに関する安全保障政策との関係を整理する。その上で、重要インフラに関連するサイバーセキュリティ政策立案にあたって基本となる考え方は何か、それを前提としたときに今後のサイバーセキュリティ政策立案・実施にあたってサイバーに関する安全保障政策との関係で考慮すべき観点を示すことを目的とする。

Download PDF

「AIとセキュリティ」の論点とリスクシナリオの整理

本レポートでは、AIとセキュリティの関係性について、情報セキュリティリスク評価の方法論を用いて体系的に整理した。AIがもたらす新たな脅威や脆弱性を従来のセキュリティリスク分析の枠組みに組み込み、具体的なリスクシナリオと対策の方向性を示した。また、中長期の視点を踏まえつつAIとセキュリティの両分野が統合的に発展するための提言をまとめた。

Download PDF

日本のサイバーセキュリティ政策史　第6回
「サイバーセキュリティ対策黎明期の重要インフラ防護」

サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第6回は、内閣官房情報セキュリティセンター(NISC)発足時に重要インフラ防護担当参事官を務めた立石譲二氏をお迎えし、話をうかがいます。「日本は『恥の文化』で自らの恥を他者に共有しません。そして日本人は何かが起こらない限り、悲しいけれど、行動を起こせない国だということにも注意が必要です」——大規模サイバー障害事案とは無縁、セキュリティ意識の醸成される前の時代の日本の経済社会において政策立案に奔走する中で痛感した日本の課題とは。

Download PDF

日本のサイバーセキュリティ政策史　第5回
結果を保証する「重要インフラのサイバーセキュリティに係る行動計画」

サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第5回は、前内閣サイバーセキュリティセンター（NISC）重要インフラ担当内閣参事官の結城則尚氏をお迎えし、話をうかがいます。サイバーの問題が社会安全に直結し、脅威が巧妙化する時代、継続的サービスが求められる重要インフラのセキュリティに必要な取り組みとは。経営責任や障害対応体制の強化など、これまでにない訴求を盛り込む「重要インフラのサイバーセキュリティに係る行動計画」はどのような考えで策定されたのか——。

Download PDF

我が国のサイバー/情報セキュリティ政策の変遷：組織・戦略編

JCICでは「日本のサイバーセキュリティ政策史」に関するオーラルヒストリーの連載を2022年7月より始めた。同年12月に閣議決定された国家安全保障戦略では、能動的サイバー防御の導入や、NISCを発展的改組しサイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置するなどの方針が示された。政策の検討に資するべく、連載の聞き手である東海大学三角育生教授が我が国のサイバー/情報セキュリティに関する戦略及びそれらの策定・推進組織と根拠を概観する。

Download PDF

日本のサイバーセキュリティ政策史　第4回
情報セキュリティ政策の礎を固める～無謬主義を乗り越えて～

サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第4回は、内閣官房情報セキュリティセンター（NISC）総括担当内閣参事官などを歴任した関啓一郎氏をお迎えし、話をうかがいます。「リスク前提社会」やセキュリティ・バイ・デザインのコンセプト、サプライチェーンのリスク対応、政府全体のセキュリティ防御を図るGSOC、日・ASEAN協力など、いまでは社会に定着した概念や取り組みが初めて政策メニューに上げられた時代。根底でどのような考えや議論があり、何を乗り越えたのか——。

Download PDF

企業が生成 AI の奔流を乗り越えるためのアジャイルリスク管理

生成AIは大きな可能性のある技術で、そのポテンシャルが発揮されようとする時期にある。その強力さゆえ、積極的な利用や新サービスの情報、慎重論や予防的な規制について様々な視点からの議論が交わされている。各企業は「生成AIとどう向き合うか」という命題を突き付けられ、氾濫する情報の中でより良い方針を決定しなければならない。
本稿は、急速に変化する対象のリスク管理に適したアジャイル・ガバナンスの考え方に基づき、企業リスクの視点から生成AIリスクの全体像を整理した上で適応的な管理を実践するための手法を論じる。想定読者には、主に企業のリスク責任者（CRO、全社リスク統括）やデジタルリスク責任者（CTO、CIO、CISOなど）を想定するが、生成AIの利用に関連する幅広い層にご活用いただきたい。
本レポートの内容が、様々な企業が生成AIのリスクに向き合いながらも、そのポテンシャルを引き出す挑戦の一助となれば幸いである。

Download PDF

サイバー攻撃の標的でもある中国

中国のセキュリティ企業は、ほぼ毎年のレポートのなかで「中国は世界的にみて、最もAPT攻撃の被害を受け ている国だ」と主張している。
本稿は、北米のセキュリティ企業によるレポートとは反対の中国の視点「APTグループによるサイバー攻撃の標的となる中国」に立ち、中国語で書かれたリソースを基に、同国が抱えている問題やサイバー空間の趨勢をより俯瞰した立場から読み解く。

Download PDF

日本のサイバーセキュリティ政策史　第3回
日本の情報セキュリティ対策黎明期の政策立案～NISC立ち上げに参画して～

サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第3回は、内閣官房情報セキュリティセンター（NISC）発足時に基本戦略等の参事官を歴任した小林正彦氏をお迎えし、話をうかがいます。2005年、情報セキュリティへの理解が各国で高まる一方、日本では包括的な情報セキュリティ政策推進体制の整備が十分ではなかった時代に設立されたNISC。情報セキュリティ確保を目指す新たな組織はどのように誕生し、どのような理念で戦略やルールを策定したのか――。

Download PDF

日本のサイバーセキュリティ政策史第2回
「激動の時代に危機管理体制を構築して」

サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第2回は、「国民を守る情報セキュリティ戦略」を策定し、大規模サイバー攻撃事態等への初動体制構築、情報集約体制整備を進めた元内閣官房副長官補（安全保障・危機管理担当）、内閣官房情報セキュリティセンター（NISC）長の西川徹矢氏をお迎えし、話をうかがいます。政権交代、東日本大震災など歴史的な出来事や危機に直面する中でサイバーセキュリティ政策をどのように舵取りしたのか−−。

Download PDF

日本のサイバーセキュリティ政策史
～誰も取り残さない「サイバーセキュリティ戦略」実現に向けた政府の決意～

サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。初回は、最新の「サイバーセキュリティ戦略」策定において中核を担ったNISC副センター長の吉川審議官をお迎えし、話をうかがいます。いまやあらゆる人がサイバー空間に参画する時代。戦略に込められた、サイバーセキュリティ確保のために推進する施策の内容・意図および根底にある理念、そして政府の決意とは。

Download PDF

社内のセキュリティリソースは「0.5%以上」を確保せよ

このレポートでは、DX with Security先進企業のための戦略策定の推奨アプローチとして、以下の内容を提案するものである。
● サイバーリスク数値化モデルを用いリスクを可視化せよ
● DX with Security 戦略を策定せよ
　- ストーリーとして戦略を語るためのフレームワークを活用すべき
　- セキュリティ投資額は、連結売上高の「0.5%以上」を投資すべき
　- セキュリティ人材は、全従業員数の「0.5%以上」を確保すべき
● セキュリティ KPI を設定し、定期的にモニタリングせよ

・サイバーリスク指標モデル「想定損失額の目安」簡易シミュレーション（Excel）

Download PDF

攻めのプラス・セキュリティ人材でDX with Securityの実現を

JCICから、新たな概念として提示した「プラス・セキュリティ人材」。今、その必要性が認知され、「プラス・セキュリティ」に向けた施策や政策が多くの場で議論され始めている。本レポートは、プラス・セキュリティ人材育成の必要性に加えて、セキュリティ人材可視化の推進を掘り下げ、その必要性を訴えるものである。安全・安心な社会の実現および、安全を考慮した攻めのIT投資となるDX with Securityを実現し、競争力の高い企業になるためには、従来の「規制や禁止」による守りの実現だけでなく、「加速の推進役」となる、新たな考え方である「攻めのセキュリティ」が必須となる。

Download PDF

2025年に向けた利便性とセキュリティのリバランス

新型コロナウイルス感染症の拡大により、多くの企業や組織では、テレワークを想定していなかった部署にも在宅勤務を推し進めたことで、利便性とセキュリティリスクのバランスが崩れた。来たるべき非接触型社会に向けて、企業は現状の利便性とセキュリティのバランスを見直す必要がある。JCICが各企業の動向についてインタビューや文献調査を実施したところ、各社で利便性とセキュリティ・コントロール（管理）の考え方に大きな違いがあり、4つのタイプに分類できることがわかった。そこで、4つのタイプを整理した「利便性とセキュリティのバランスモデル」を新たに作成した。

Download PDF

DX化を実現し、企業が生き残るためには
～キーは「攻めのプラス・セキュリティ人材」育成～

当レポートは、DX時代と言われるデジタル前提社会において求められている「攻めのプラス・セキュリティ人材」の必要性と育成を訴えるものである。従来のセキュリティ人材に求められていた「守り」の姿勢から、DX時代と言われるデジタル前提社会においては、積極的な攻めの姿勢が新たなセキュリティ人材像として求められている。近い将来に起こるであろう攻めのプラス・セキュリティ人材不足を回避するため、企業の競争力強化のためにも、セキュリティ人材育成の必要性を理解いただき、今の時点から当レポートで訴えた内容を実行に移すことが急務である。

Download PDF

サイバーセキュリティ情報公開のポイント ～経営者の取組み姿勢が重要～

本レポートでは、企業の平時のセキュリティ対策の情報公開に焦点を当て、広く発信するメリットや今後の論点を提示する。情報発信する際は、サイバー攻撃のヒントになるような情報などは公開する必要はなく、経営者の取組み姿勢を広く発信すべきである。経営者は自ら率先して、株主・顧客・取引先などのステークホルダーに対して、セキュリティへの取組み姿勢や体制などを情報公開していく必要がある。

Download PDF

損失額を減らすための「サイバーセキュリティのKPIモデル（試論）」

本レポートでは、セキュリティ事故による損失額を軽減し、デジタル技術を活用したイノベーションを推進するための「サイバーセキュリティのKPIモデル」を紹介している。このモデルは、国内企業や海外企業がどのようなKPIを設定しているかについての調査をJCICが実施し、各社からヒアリングしたKPIを3段階の成熟度に割り振り（横軸）、5つの施策の種類（縦軸）で分類したものである。
・【別紙】サイバーセキュリティに関する KPI の例（PDF）

Download PDF

セキュリティ人材不足の真実と今なすべき対策とは

セキュリティ人材は、ITベンダー/セキュリティ関連企業に所属し、セキュリティを主たる業務とする「セキュリティ専門人材」と、本来の業務を担いながらITを利活用する中でセキュリティスキルも必要となる「プラス（＋）・セキュリティ人材」に大別できる。当レポートは、人材が大きく不足しているのは、プラス・セキュリティ人材であることを示すと共に、今後取るべき対策について提言するものである。

Download PDF

取締役会で議論するためのサイバーリスクの数値化モデル

情報流出等が発生した企業では、株価が平均10%下落し、純利益が平均21%減少していた。もはや、サイバーセキュリティはIT部門だけの問題ではなく、経営リスクである。取締役や経営者等が理解できる「サイバーリスクの数値化モデル」を用い、経営視点でサイバーリスクを把握できるようにする必要がある。
・サイバーリスク指標モデル「想定損失額の目安」簡易シミュレーション（Excel）

Download PDF

諸外国におけるサイバーセキュリティの情報共有に関する調査

諸外国では、「サイバーセキュリティに関する法規制」を強化することにより官民の情報共有を促進し始めている。日本としては、これらの法規制によって諸外国のサイバーセキュリティ対策が実質的に強化されるのか、また官民の情報共有が徹底されるのかを見極める必要がある。

Download PDF

英国のサイバーエコシステム（英国視察報告）

2024年5月に英国のInnovate-UKから招待を受けて、日本の視察団の一員として英国の組織と議論を交わした。本コラムでは、英国のイノベーションの取り組みを説明し、政府としてスタートアップ企業への支援を行っている事例を紹介する。

Download PDF

「デジタル中国」：情報化・デジタル化を軸に中国の安全保障観を理解する

中国は、中国国内にあるデータの管理を一層強化する傾向にある。中国にとってデータは資源であり、国家として保護するべき対象であり、サイバー空間における主権、公共の利益や国家安全を保護するための国家政策の中心に据えられるべき重要事項なのである。
本稿は、中国のデジタル・情報・サイバーセキュリティに関する政策を知り、現在の中国の動向や安全保障観を理解することで、中国を含む海外事業に携わる、あるいは中国の政策やサイバーセキュリティ事情に関心を有する読者に新たな知見がもたらされることを期待するものとなる。

Download PDF

なぜ情報セキュリティがDX推進にあたり不可欠なのか

本稿では、著者が経済産業省安全保障貿易審査課長時代、DXを進める際に情報セキュリティ対策が不可欠であると確信した事例を取り上げている。DXの企画立案段階から情報セキュリティ対策を、DXの具体的な実現方策の一部として検討を始めることにより、より効率的で効果的なものとすることができるようになる。こういったプラクティスが広く普及することが期待される。
（東海大学情報通信学部／国立情報学研究所客員教授 三角育生）

Download PDF

なぜ、金融機関はサイバーリスク管理に「KRI」を用いるのか

JCICが国内の金融機関のセキュリティ責任者へのインタビューを行ったところ、「KRI」を用いてサイバーリスク管理を行っている事例が複数社ありました。これらの金融機関では、なぜサイバーリスク管理に「KRI」を用いているのでしょうか。本コラムでは、セキュリティ部門やリスク管理部門を想定読者とし、リスクをモニタリングする指標である KRI とは何か、どのような効果が期待できるかを説明し、日本企業への示唆を示します。
・【別紙】サイバーリスクのKRI例.pdf（PDF）

Download PDF

2019年の海外法制度の展望

サイバーセキュリティ・個人情報保護に関する政策動向。今まで「JCIC海外ニュースクリップ」で配信した諸外国の法制度についてまとめ、今後の新しく制定される見込みの法制度について解説する。

Column

【2024年度】海外サイバーセキュリティ・プライバシー政策動向の解説 NEW!

今回のコラムでは、2024年度（2024年4月～2025年3月）に配信した146件のJCIC海外ニュースのトレンドを分析し、2024年度の政策動向を占う重要な出来事の解説を行う。

Column

先の読めないトランプ政権の方向性を読む NEW!

外交・安全保障政策、日米関係、米国の政策分析などに関するエキスパートである渡辺恒雄JCIC客員上席研究員が、発足後３か月が過ぎ、先の読めないトランプ政権の理解のしかた、方向性について論じます。

Column

サイバー情報開示の義務化がもたらすメリットとは NEW!

米国証券取引委員会（SEC）は2023年12月から、年次報告書におけるサイバーリスク管理等の開示を義務付けた。日本でもサイバーセキュリティに関する有価証券報告書での情報開示が義務化されることで、株主保護を実現するだけでなく、経営層の意識を向上させることができるのではないか。その結果として、日本企業全体のサイバーセキュリティ成熟度の向上が期待できるはずだ。本コラムでは、上場企業のサイバーセキュリティに関する取組みを有価証券報告書に統一フォーマットで記載することで、株主に対し投資判断や議決権行使に有用な情報を提供する必要性について論じる。

Column

品質・安全・サイバーセキュリティ

企業全体でのサイバーセキュリティ意識を高めるため、これまで日本企業が全社に徹底していた事項である、品質や安全についての取り組みに学んではどうだろうか？ここでは企業の５Ｓ運動に倣い、サイバーセキュリティを従業員が自分事とする方法を考察した。

Column

サイバーセキュリティそのものがインフラになる時：
「ターゲットリッチ、リソースプア」、「サイバー貧困ライン」というキーワード

日々の暮らしがデジタルなしでは営めない時代において、サイバーセキュリティはもはやそれ自体がインフラである。UCバークレー校などが大統領選直前にトランプ・ハリス両陣営などに向けて発出した公開書簡をベースに「ターゲットリッチ、リソースプア」、「サイバー貧困ライン」というコンセプトを紹介し、国家安全保障中心の考え方だとこぼれ落ちかねない「小さくても重要な組織」への目配りの必要性を論じる。

Column

米大統領選挙にみる米国民の情報分断と民主主義への影響

外交・安全保障政策、日米関係、米国の政策分析でメディアでも引っ張りだこの専門家である渡辺恒雄JCIC客員上席研究員が、大統領選目前の今、米国社会の分断と民主主義について語ります。

Column

お盆休みに経済安保を身近に感じるお勧めの10冊

有事やグレーゾーン事態、国家レベルの相手による機密情報窃取や事業継続への危機など、民間人には自分事として捉えるための知識や疑似体験はあまりない。そこで、セキュリティ人材の皆さんに役に立つ、経済安保を身近に感じられる本を10冊選んでみた。

Column

【2023年度】海外サイバーセキュリティ・プライバシー政策動向の解説

今回のコラムでは、2023年度（2023年4月～2024年3月）に配信した168件のJCIC海外ニュースのトレンドを分析し、2024年度の政策動向を占う重要な出来事の解説を行う。

Column

セキュリティ・クリアランス制度は「まず隗より始めよ」

セキュリティ・クリアランス制度の議論が国会で進んでいる。重要情報の保護活用には必要な制度であるが、公務員は「特定秘密保護法」で、特定の民間人などはこの法案で適正評価の対象となるのだが、政務三役などは対象外になっている。各国の状況も含め、政治家自身の適正評価はどうあるべきか考察する。

Column

【2022年度下半期】海外サイバーセキュリティ・プライバシー政策動向の解説

今回のコラムでは、2022年度下半期（2022年10月～2023年3月）に配信した143件のJCIC海外ニュースのトレンドを分析し、2023年度の政策動向を占う重要な出来事の解説を行う。

Column

サイバーセキュリティと情報セキュリティの狭間にて

サイバーセキュリティと情報セキュリティは何が違うのか。概ね同じと割り切って運用してもさほど問題はない。サイバーセキュリティ対策だといって情報セキュリティ対策をすることも、またその逆も許容の範囲だ。しかしながら言葉が違うのは違いがあるからで、この分野の関係者であれば、その違いは気になるところではないだろうか。本コラムでは、サイバーセキュリティ基本法における定義を俎上にあげて両者の関係についてかなり詳細な議論を展開する。その過程で、NISCの歴史、情報セキュリティ政策・サイバーセキュリティ政策の裏面史などにも触れている。

Column

【2022年度上半期】海外サイバーセキュリティ・プライバシー政策動向の解説

今回のコラムでは、2022年度上半期（2022年4月～2022年9月）に配信した137件のJCIC海外ニュースのトレンドを分析し、下半期の政策動向を占う重要な出来事の解説を行う。

Column

ハーバード大ベルファー・センターによる国別サイバー能力ランキングの正しい読み方

ハーバード大学ベルファー・センターがこの程発表した国別サイバー能力ランキングで、日本は2020年度の第9位から第16位に後退した。日本がこれをどう受け止めるべきかを読み解く。

Column

中小企業のサイバーセキュリティ対策　～切れ目ないサポート制度が必要～

大手企業は自社内のサイバーリスクに対処すると同時にサプライチェーン全体のサイバーリスクにも目を向ける必要がある。しかしサプライチェーンの構成員たる中小企業には、十分な資金投資をしてデジタルやセキュリティの専門組織と設備を整えることは難しい。本稿では、中小企業のサイバーセキュリティ対策を進めるための方策を議論する。

Column

サイバーセキュリティ対策、本番はこれからだ！
～「Resilienceの向上」を目指して～　

JCICでは、経営視点からのサイバーセキュリティ対策強化を訴え、経営者の役割、プラスセキュリティ人材を含めた人材育成・活用、サイバーセキュリティがビジネスに直結しているがゆえのDX with Securityなどを研究してきた。今年もこれらを継続研究するが、対策強化はこれからが本番を迎える。「Resilienceの向上」を強く求めて行きたい。

Column

【2021年度下半期】海外サイバーセキュリティ・プライバシー政策動向の解説

今回のコラムでは、2021年度下半期（2021年10月～2022年3月）に配信した139件のJCIC海外ニュースのトレンドを分析し、今後の政策動向を占う重要な出来事の解説を行う。

Column

社会を揺るがす重大サイバー事案：社長はどう語り、政治家は何を問うのか

サイバー攻撃を受けて社会に大きな影響が出た場合、その総括の場で、経営トップは何をどう語り、政治家は何を経営トップに問うのか。2021年5月に米ランサムウェア攻撃を受け、米国東海岸の燃料不足や価格の急騰など社会に大きな影響を及ぼしたコロニアル・パイプライン社。発生から1ヵ月後にCEOが出席した米上院議会のヒアリングでのコミュニケーションを事例に、経営トップと政治家のあるべき姿について検討する。

Column

【2021年度上半期】海外サイバーセキュリティ・プライバシー政策動向の解説

今回のコラムでは、2021年度上半期（2021年4月～2021年9月）に配信した142件のJCIC海外ニュースのトレンドを分析し、下半期の政策動向を占う重要な出来事の解説を行う。

Column

国家のトップが語るサイバーセキュリティ　①米国　
～重要インフラ攻撃がバイデン大統領の本気スイッチを入れた～

解決すべき課題に関し、トップの姿勢が方向性に大きく影響するのは企業でも国家でも同様だ。サイバーセキュリティを各国の指導者がどう考えているかを、そのメッセージから探る。第1弾は米国。2021年1月の就任から現在までのバイデン大統領のメッセージから、サイバーセキュリティをどうとらえているかを検討する。

Column

なぜ今「DX with Security」を語るのか

DX推進には多くの課題が想定されるが、そのなかでも最大のものは「Cybersecurity対策」である。DX化を進めれば事業の多くがICT基盤に拠ることになり、ICTの障害やそれへの攻撃は事業継続に支障をきたすことになる。ICT製品には設計初期段階からセキュリティを考慮するという「Security by Design」が求められているが、事業そのものにも「DX with Security」が求められようになっている。

Column

2020年中国のインターネット発展状況インフォグラフィクス

JCICでは、中国における昨今のインターネット空間における発展状況や動向への理解を深めることを目的として、中国国務院（CAC）の直轄機関である「中国インターネット・ネットワーク・インフォメーション・センター（CNNIC）」により作成された報告書と、2001年に設立された「中国CSIRT」により作成された報告書である以下2点のうち、特に日系企業の関心が高いと思われる情報を本資料に抜粋して紹介します。
・「第47回中国インターネット発展状況報告書」（CNNIC作成）
・「2020年上半期サイバーセキュリティ分析報告書」（中国CERT作成）

Column

海外サイバーセキュリティ・プライバシー政策動向の解説

今回のコラムでは、2020年度（2020年4月～2021年3月）に配信した184件のJCIC海外ニュースの傾向を分類し、今後の動向に影響を与えうる記事を解説します。

Column

中国 《個人情報保護法（草案）》パブコメ開始　内容からみる日本企業への影響

中国では初めての包括的な個人情報保護法（草案）が審議され、大きな注目を浴びています。本コラムでは、草案の中から日系企業の関心が高いと思われる内容をご紹介します。

Column

新型コロナウイルスに学ぶサイバーセキュリティ対策

新型コロナウイルスの猛威が長引いており、世界各国に大きな影響を与えている。このような状況の中、サイバーセキュリティに携わる者として大いに参考になると感じた点をお伝えする。

Column

情報セキュリティ／サイバーセキュリティに関する情報開示では何が求められているのか

本稿では、企業におけるサイバーセキュリティ対策状況の可視化を求める国内の議論を振り返り、情報を開示する/あるいは開示を求める際の考え方を整理した。

Column

OECDのサイバーセキュリティ政策

本稿は近年のOECDのサイバーセキュリティのとらえ方、取り組み等を見ていくものである。

Column

5Gのサイバーリスク

本コラムは、次世代通信技術（5G）を巡る米中対立やサイバーリスクについて取り上げる。

Column

医療機関のデジタル活用とサイバーセキュリティ

本コラムは、医療機関のデジタル活用とサイバーセキュリティについて取り上げる。

Column

新型コロナ：データ・プライバシーに関する各国及び国際機関の論点整理

蔓延する新型コロナウイルス感染症の対応に各国が追われている。人と人との接触により患者が増えていく中、患者の行動、他人との接触状況などの情報を収集することが感染拡大の回避につながるが、他方でこれは、個人のプライバシーの侵害にもなり得る。英語情報が入手出来る国・機関の最新関連情報を主としてまとめる。

Column

米国におけるサイバーセキュリティ情報共有の現状

本コラムでは、情報提供者保護を法的に担保する「米国サイバーセキュリティ情報共有法」を解説するとともに、日本の情報共有を促進するための検討事項をまとめた。

Column

サプライチェーンのサイバーリスクに関するガイドライン

本稿では、サプライチェーン管理におけるサイバーセキュリティリスクをどのようにITガバナンスに組み入れるかを考える材料として、IT管理に関するガイドラインや認証規格のうち代表的なものをまとめた。

Column

重要インフラ保護について

重要インフラの保護・防護を考える材料として、操業妨害に対する処罰規定を取り上げる。

Column

韓国のサイバーセキュリティ政策の現状

地政学的に見ても隣国の政策や動向を理解することは、日本政府や民間企業の責任者が今後のサイバーセキュリティを考えるうえで、非常に有益になる。このコラムでは、韓国のサイバーセキュリティの現状について、紹介する。

Column

リスクマネジメントへの投資

サイバーセキュリティ人材が不足しているという話をいろいろなところで聞くが、人材に限らず日本企業が十分なサイバーリスクに対する投資をしているかというところまで戻らないと、本当の解決には結びつかない。今回のコラムではリスクマネジメントへの投資について考察する。

Column

「マイナー競技強化」から「メジャー競技強化」への転換

サイバーセキュリティは一昔前では「マイナー競技」であったが、最近は「メジャー競技」になってきており、人材育成についても従来の方法から転換する時期に来ている。スポーツのメジャー競技化に例えて人材育成について考察する。

Column

リスクマネジメントのパラドックス

リスクマネジメントとは、やればやるほど新しいリスクや対応の不備が見える。サイバーセキュリティにおけるリスクマネジメントのパラドックスについて解説する。

Column