政府サイバーセキュリティ戦略本部は2015年8月20日の第4回会合で、「サイバーセキュリティ戦略(案)」を決定した。早ければ8月中にも閣議決定し、正式に確定させる。最初の戦略案は5月に示されていたが、その後、日本年金機構における個人情報流出事件が判明。事件の教訓を踏まえて一部を見直すことになった。
サイバーセキュリティ戦略は、2015年1月に全面施行されたサイバーセキュリティ基本法で、政府の基本的な計画として「定めなければならない」とされている。基本法に沿って策定作業が進み、5月25日の戦略本部第2回会合で案が示された(関連記事:政府が新たな「サイバーセキュリティ戦略」案を公表、6月下旬決定へ)。6月8日までパブリックコメントを募集し、同月中にも閣議決定する方針だった。
ところが、6月1日に日本年金機構でサイバー攻撃による個人情報流出が判明。パブリックコメントでも年金機構に関連する意見が3件あった。政府・与党内部でも戦略見直しを求める声が相次ぎ、策定作業に遅れが生じていた(関連記事:年金情報流出で揺らぐ政府サイバーセキュリティ戦略、省庁縦割り引きずる)。
見直しの大きなポイントが、サイバーセキュリティ戦略の司令塔を担う内閣サイバーセキュリティセンター(NISC)の機能強化である(図)。現在のNISCは、サイバー攻撃に関する監視・分析の対象を「行政各部(政府機関)の情報システム」としている。厚生労働省所管の特殊法人で、「行政各部」に含まれない日本年金機構は、NISCによる直接の監視・分析対象ではなく、サイバー攻撃被害拡大の遠因になった(関連記事:政府サイバー戦略に遅れ、年金情報流出を受けた監視体制見直し巡り)。
この教訓を踏まえて、見直し後の戦略案ではNISCによる監視対象の拡大を掲げ、「政府機関全体としてのサイバーセキュリティを強化するため、独立行政法人や、府省庁と一体となり公的業務を行う特殊法人等における対策の総合的な強化を図る」と明記した。
ただし、人事や予算などの面で一定の独立性を持つ独立行政法人・特殊法人に政府の監視を及ぼすには法改正が必要になるため、「所要の法改正について速やかに検討を行い、必要に応じて措置する」としている。
実際の監視は「政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)」が担う。監視対象を広げるには設備や人員の増強が必要になり、予算や専門人材の確保が戦略を実行するうえでの課題になる。
