内閣委員会
⚠️ 発言のコピー・転載時は出典元URL(kokkai.ndl.go.jpおよびkokkai-data.com)を必ず残してください。改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
会
会議録情報#0
平成三十年十二月四日(火曜日)
午前十時開会
─────────────
委員の異動
十一月二十九日
辞任 補欠選任
大沼みずほ君 野上浩太郎君
石川 博崇君 西田 実仁君
牧山ひろえ君 白 眞勲君
古賀 之士君 榛葉賀津也君
十一月三十日
辞任 補欠選任
白 眞勲君 牧山ひろえ君
十二月三日
辞任 補欠選任
野上浩太郎君 藤末 健三君
十二月四日
辞任 補欠選任
西田 実仁君 熊野 正士君
─────────────
出席者は左のとおり。
委員長 石井 正弘君
理 事
藤川 政人君
和田 政宗君
竹内 真二君
矢田わか子君
委 員
有村 治子君
石井 準一君
岡田 広君
山東 昭子君
豊田 俊郎君
藤末 健三君
舞立 昇治君
三原じゅん子君
熊野 正士君
西田 実仁君
相原久美子君
牧山ひろえ君
榛葉賀津也君
田村 智子君
清水 貴之君
木戸口英司君
国務大臣
国務大臣 櫻田 義孝君
副大臣
内閣府副大臣 中根 一幸君
経済産業副大臣 磯崎 仁彦君
事務局側
常任委員会専門
員 藤田 昌三君
政府参考人
内閣官房内閣審
議官 山内 智生君
警察庁警備局長 村田 隆君
金融庁総合政策
局審議官 水口 純君
金融庁総合政策
局参事官 佐藤 則夫君
金融庁総合政策
局参事官 中村 修君
外務大臣官房参
事官 長岡 寛介君
文部科学大臣官
房サイバーセキ
ュリティ・政策
立案総括審議官 藤野 公之君
文部科学大臣官
房審議官 玉上 晃君
経済産業大臣官
房サイバーセキ
ュリティ・情報
化審議官 三角 育生君
防衛省防衛政策
局次長 石川 武君
防衛装備庁長官 深山 延暁君
─────────────
本日の会議に付した案件
○政府参考人の出席要求に関する件
○サイバーセキュリティ基本法の一部を改正する
法律案(第百九十六回国会内閣提出、第百九十
七回国会衆議院送付)
─────────────
この発言だけを見る →午前十時開会
─────────────
委員の異動
十一月二十九日
辞任 補欠選任
大沼みずほ君 野上浩太郎君
石川 博崇君 西田 実仁君
牧山ひろえ君 白 眞勲君
古賀 之士君 榛葉賀津也君
十一月三十日
辞任 補欠選任
白 眞勲君 牧山ひろえ君
十二月三日
辞任 補欠選任
野上浩太郎君 藤末 健三君
十二月四日
辞任 補欠選任
西田 実仁君 熊野 正士君
─────────────
出席者は左のとおり。
委員長 石井 正弘君
理 事
藤川 政人君
和田 政宗君
竹内 真二君
矢田わか子君
委 員
有村 治子君
石井 準一君
岡田 広君
山東 昭子君
豊田 俊郎君
藤末 健三君
舞立 昇治君
三原じゅん子君
熊野 正士君
西田 実仁君
相原久美子君
牧山ひろえ君
榛葉賀津也君
田村 智子君
清水 貴之君
木戸口英司君
国務大臣
国務大臣 櫻田 義孝君
副大臣
内閣府副大臣 中根 一幸君
経済産業副大臣 磯崎 仁彦君
事務局側
常任委員会専門
員 藤田 昌三君
政府参考人
内閣官房内閣審
議官 山内 智生君
警察庁警備局長 村田 隆君
金融庁総合政策
局審議官 水口 純君
金融庁総合政策
局参事官 佐藤 則夫君
金融庁総合政策
局参事官 中村 修君
外務大臣官房参
事官 長岡 寛介君
文部科学大臣官
房サイバーセキ
ュリティ・政策
立案総括審議官 藤野 公之君
文部科学大臣官
房審議官 玉上 晃君
経済産業大臣官
房サイバーセキ
ュリティ・情報
化審議官 三角 育生君
防衛省防衛政策
局次長 石川 武君
防衛装備庁長官 深山 延暁君
─────────────
本日の会議に付した案件
○政府参考人の出席要求に関する件
○サイバーセキュリティ基本法の一部を改正する
法律案(第百九十六回国会内閣提出、第百九十
七回国会衆議院送付)
─────────────
石
石井正弘#1
○委員長(石井正弘君) ただいまから内閣委員会を開会いたします。
委員の異動について御報告いたします。
昨日までに、石川博崇君、古賀之士君及び大沼みずほさんが委員を辞任され、その補欠として西田実仁君、榛葉賀津也君及び藤末健三君が選任されました。
─────────────
この発言だけを見る →委員の異動について御報告いたします。
昨日までに、石川博崇君、古賀之士君及び大沼みずほさんが委員を辞任され、その補欠として西田実仁君、榛葉賀津也君及び藤末健三君が選任されました。
─────────────
石
石井正弘#2
○委員長(石井正弘君) 政府参考人の出席要求に関する件についてお諮りいたします。
サイバーセキュリティ基本法の一部を改正する法律案の審査のため、本日の委員会に、理事会協議のとおり、内閣官房内閣審議官山内智生君外十名を政府参考人として出席を求め、その説明を聴取することに御異議ございませんか。
〔「異議なし」と呼ぶ者あり〕
この発言だけを見る →サイバーセキュリティ基本法の一部を改正する法律案の審査のため、本日の委員会に、理事会協議のとおり、内閣官房内閣審議官山内智生君外十名を政府参考人として出席を求め、その説明を聴取することに御異議ございませんか。
〔「異議なし」と呼ぶ者あり〕
石
石
石井正弘#4
○委員長(石井正弘君) サイバーセキュリティ基本法の一部を改正する法律案を議題といたします。
本案の趣旨説明は既に聴取しておりますので、これより質疑に入ります。
質疑のある方は順次御発言願います。
この発言だけを見る →本案の趣旨説明は既に聴取しておりますので、これより質疑に入ります。
質疑のある方は順次御発言願います。
藤
藤末健三#5
○藤末健三君 自民党・国民の声の藤末健三でございます。
このサイバーセキュリティ基本法は、平井卓也現IT担当大臣を中心に二〇一四年に超党派で作ったものでございます。私も、この法律の作成につきましては早期から関与させていただきまして、その後もサイバーセキュリティー政策のいろいろな動向を見させていただきましたので、今回は差し替えということで質問させていただきます。石井内閣委員長及び、あと委員会の委員の皆様には心から感謝を申し上げたいと思います。
まず、私は、民間におけるサイバーセキュリティーの対応の進化についてお話をさせていただきたいと思います。
平時におきまして、今回の法律、民間企業におけるサイバーセキュリティーリスクの対応を進化すると、進めるということで法律の改正を行うわけでございますが、平時においてこの民間企業におけるサイバーセキュリティーのリスクの情報開示、企業がどのようなサイバーセキュリティーの対応をしているかということを開示させる、これがこの社会全体でサイバーセキュリティーの対応を進める大きな効果があるんではないかと考えております。
アメリカにおきましては、既に上場企業についてサイバーセキュリティーリスクの開示義務が課せられておりまして、実際にあらゆる企業がサイバーセキュリティーにどう企業として対応するかというのを開示しているという状況でございますが、まだまだ我が国においては不十分な状況でございます。
是非とも、証券市場の上場企業に対しまして、民間企業によるサイバーセキュリティーのリスクの情報開示、これを義務化するなどの検討をやっていただきたいと思うんですが、金融庁はいかがでしょうか。お答えください。
この発言だけを見る →このサイバーセキュリティ基本法は、平井卓也現IT担当大臣を中心に二〇一四年に超党派で作ったものでございます。私も、この法律の作成につきましては早期から関与させていただきまして、その後もサイバーセキュリティー政策のいろいろな動向を見させていただきましたので、今回は差し替えということで質問させていただきます。石井内閣委員長及び、あと委員会の委員の皆様には心から感謝を申し上げたいと思います。
まず、私は、民間におけるサイバーセキュリティーの対応の進化についてお話をさせていただきたいと思います。
平時におきまして、今回の法律、民間企業におけるサイバーセキュリティーリスクの対応を進化すると、進めるということで法律の改正を行うわけでございますが、平時においてこの民間企業におけるサイバーセキュリティーのリスクの情報開示、企業がどのようなサイバーセキュリティーの対応をしているかということを開示させる、これがこの社会全体でサイバーセキュリティーの対応を進める大きな効果があるんではないかと考えております。
アメリカにおきましては、既に上場企業についてサイバーセキュリティーリスクの開示義務が課せられておりまして、実際にあらゆる企業がサイバーセキュリティーにどう企業として対応するかというのを開示しているという状況でございますが、まだまだ我が国においては不十分な状況でございます。
是非とも、証券市場の上場企業に対しまして、民間企業によるサイバーセキュリティーのリスクの情報開示、これを義務化するなどの検討をやっていただきたいと思うんですが、金融庁はいかがでしょうか。お答えください。
佐
佐藤則夫#6
○政府参考人(佐藤則夫君) お答え申し上げます。
先生御指摘のとおり、民間企業がサイバーセキュリティー対策を進めることは重要なことと認識をいたしております。
政府といたしましても、既に経済産業省、内閣官房におきまして企業のサイバーセキュリティー対策に関するガイドライン等が策定されておりまして、まず、政府全体としてその定着に向けて取組を進めていくことが必要と考えております。
その上で、より広く企業のサイバーセキュリティー対策を拡大するために、上場企業の情報開示の点に着目すべきとの御指摘につきまして、まず、投資家の視点を通じて上場企業の積極的な対策を促すためにはどのような開示が適切であるか、また、どのような情報開示であれば企業のサイバーセキュリティー対策の向上に有効となるのかといった観点から検討する必要があると考えております。
いずれにしましても、このサイバーセキュリティーリスクを含めた上場企業の情報開示の在り方につきまして、取引所等とも協議しつつ、継続して検討してまいりたいと考えております。
この発言だけを見る →先生御指摘のとおり、民間企業がサイバーセキュリティー対策を進めることは重要なことと認識をいたしております。
政府といたしましても、既に経済産業省、内閣官房におきまして企業のサイバーセキュリティー対策に関するガイドライン等が策定されておりまして、まず、政府全体としてその定着に向けて取組を進めていくことが必要と考えております。
その上で、より広く企業のサイバーセキュリティー対策を拡大するために、上場企業の情報開示の点に着目すべきとの御指摘につきまして、まず、投資家の視点を通じて上場企業の積極的な対策を促すためにはどのような開示が適切であるか、また、どのような情報開示であれば企業のサイバーセキュリティー対策の向上に有効となるのかといった観点から検討する必要があると考えております。
いずれにしましても、このサイバーセキュリティーリスクを含めた上場企業の情報開示の在り方につきまして、取引所等とも協議しつつ、継続して検討してまいりたいと考えております。
藤
藤末健三#7
○藤末健三君 是非、金融庁は進めていただきたいと思います。
実際に総務省及び経済産業省の方で企業のサイバーセキュリティー対応の義務の議論は進めているという状況ですし、もう一つお願いしたいのは、省庁横断的なこの政策を進めるとともに、海外とのハーモニゼーション、そのコーディネーションを是非やっていただきたいと思います。実際にアメリカ企業のサイバーセキュリティーに対する情報の開示の項目と日本のメガバンクなんかの開示を見ますと、明らかに質が違う状況でございますので、日本の企業が国際的にサイバーセキュリティーに対応するということをより一層推進するためにも、この証券市場の上場企業のサイバーセキュリティー開示義務というのを進めていただくことをお願いしたいと思います。
同時に、このサイバーセキュリティ二〇一八というものをサイバーセキュリティ戦略本部を中心にまとめていただけたわけでございますけれども、是非、金融庁だけでなく、NISCがこのサイバーセキュリティーの情報開示を進めていただきたいと思います。
先ほど金融庁からも話がございましたけれども、経済産業省の方でも企業におけるサイバーセキュリティー対応の情報開示のガイドラインの議論を始めておりますし、総務省においてもサイバーセキュリティー対応の情報開示のガイドラインを作っているということでございまして、いろんな省庁が対応しなきゃいけないこのサイバーセキュリティーへの対応の情報開示、これを是非サイバーセキュリティー担当大臣に省庁をまたがったところを統合していただきたいと思いますが、その点につきまして櫻田大臣の見解をお聞かせください。お願いします。
この発言だけを見る →実際に総務省及び経済産業省の方で企業のサイバーセキュリティー対応の義務の議論は進めているという状況ですし、もう一つお願いしたいのは、省庁横断的なこの政策を進めるとともに、海外とのハーモニゼーション、そのコーディネーションを是非やっていただきたいと思います。実際にアメリカ企業のサイバーセキュリティーに対する情報の開示の項目と日本のメガバンクなんかの開示を見ますと、明らかに質が違う状況でございますので、日本の企業が国際的にサイバーセキュリティーに対応するということをより一層推進するためにも、この証券市場の上場企業のサイバーセキュリティー開示義務というのを進めていただくことをお願いしたいと思います。
同時に、このサイバーセキュリティ二〇一八というものをサイバーセキュリティ戦略本部を中心にまとめていただけたわけでございますけれども、是非、金融庁だけでなく、NISCがこのサイバーセキュリティーの情報開示を進めていただきたいと思います。
先ほど金融庁からも話がございましたけれども、経済産業省の方でも企業におけるサイバーセキュリティー対応の情報開示のガイドラインの議論を始めておりますし、総務省においてもサイバーセキュリティー対応の情報開示のガイドラインを作っているということでございまして、いろんな省庁が対応しなきゃいけないこのサイバーセキュリティーへの対応の情報開示、これを是非サイバーセキュリティー担当大臣に省庁をまたがったところを統合していただきたいと思いますが、その点につきまして櫻田大臣の見解をお聞かせください。お願いします。
櫻
櫻田義孝#8
○国務大臣(櫻田義孝君) サイバーセキュリティーに関する取組について、投資家を意識して企業が積極的に情報発信や開示を行うことは、経営層の認識の向上や具体的な対策の促進につながるものであり、重要であると認識をしているところでございます。
このため、政府におきましては、平成三十年七月に閣議決定した新たなサイバーセキュリティ戦略に基づき、ガイドラインの策定や対策事例の共有、見える化の促進といった取組を進めているところであります。
引き続き、私のリーダーシップの下、関係省庁の連携をより一層推進し、企業におけるサイバーセキュリティーへの認識の向上や組織の強化をしっかりと進めてまいります。
この発言だけを見る →このため、政府におきましては、平成三十年七月に閣議決定した新たなサイバーセキュリティ戦略に基づき、ガイドラインの策定や対策事例の共有、見える化の促進といった取組を進めているところであります。
引き続き、私のリーダーシップの下、関係省庁の連携をより一層推進し、企業におけるサイバーセキュリティーへの認識の向上や組織の強化をしっかりと進めてまいります。
藤
藤末健三#9
○藤末健三君 是非、櫻田大臣におかれましては大臣のイニシアティブを発揮していただきたいと思います。
私は、サイバーセキュリティーの議論は、もういろんな細かい専門的な議論がございますので、細かいところは多分私は官僚の皆様がやってくださると思います、正直申し上げて。ただ、問題は何かと申しますと、先ほど申し上げましたように、総務省でやり、経済産業省でやり、金融庁でやり、あとNISCでやり、いろんな役所がばらばらに今議論を始めていると。これをやっぱり統合するのが我々政治家であり、そして政治家として大臣として活動される方の役割だと思いますので、是非各省庁を統合していただくこと。
そして、もう一つお願いしたいのは、やはり今サイバーセキュリティーのこの体制、NISCにおかれましてはまだ二百人もメンバーがいないという状況でございまして、是非体制強化をさせていただきたいと思います。
二〇一四年にこのサイバーセキュリティ基本法を超党派で作るときに議論しましたのは、基本法を作るだけではなく、NISCというものを設置法でちゃんと組織を規定しましょうという議論をしたんですが、そこまで我々行き届くことはできませんでした。したがいまして、今のNISCという組織においてはサイバーセキュリティ基本法に基づく組織になっておりまして、まだまだその組織体制が十分に強化されている状況では私はないと思います。
是非、大臣におかれましては、NISCの体制強化及び法的位置付けの強化、そしてそれに基づきます関係省庁を統合していただく、先ほど総務省、経済産業省と申しましたけど、ほかにも防衛省でやり、そして警察も大きく関与する分野でございますので、是非、省庁を連携し、そして統合していくということを力強く進めていくことをお願いさせていただきたいと思います。
続きまして、民間分野におけますサイバーセキュリティーを進めるということにおきましては、ペネトレーションテストと言いまして、サイバーセキュリティーがきちんとできているかどうか。ホワイトハッカー、ブラックハッカーと言いますが、アメリカではレッドチーム、ブルーチームと言っていますけれども、実際にサイバーセキュリティーがきちんと機能しているかどうかを、自ら攻撃して、そして実際に守れるかどうかということをテストする、ペネトレーションというのは突破するという意味でございますが、そういうペネトレーションテストを義務付けるような動きが今出てきているわけでございます。実際にG20における議論、G7における議論におきましても、金融機関における攻撃テストを、ペネトレーションテストを行おうということが議論されているわけでございますが、是非、我が国においてもサイバー攻撃にどれだけ対応できるかというテストを行うようなこのペネトレーションテスト、進めていただきたいと思っています。
そのとき何が重要かと申しますと、我が国におきましてそのペネトレーションテストを行う者の具体的なガイドラインと申しますか基準、まだ経済産業省が作ってもらっているだけでございまして、そんなに深いレベルじゃないと私は思っています。
一方、私は八月にイギリスに行ってきたんですが、イギリスの方は金融機関用のペネトレーションテストを行う法人組織の基準を作っている。CRESTという基準でございますが、作っておりまして、それを満たした企業でなければ金融機関に対するそういうサイバーセキュリティーのテスト、ペネトレーションテストを行えないという基準まで作っているわけでございますが、是非とも、金融庁及び経済産業省、両方だと思いますけれど、そのペネトレーションテストにおける推進、そして資格の設定につきまして、どのようなお考えを持っているか教えていただけないでしょうか。お願いします。
この発言だけを見る →私は、サイバーセキュリティーの議論は、もういろんな細かい専門的な議論がございますので、細かいところは多分私は官僚の皆様がやってくださると思います、正直申し上げて。ただ、問題は何かと申しますと、先ほど申し上げましたように、総務省でやり、経済産業省でやり、金融庁でやり、あとNISCでやり、いろんな役所がばらばらに今議論を始めていると。これをやっぱり統合するのが我々政治家であり、そして政治家として大臣として活動される方の役割だと思いますので、是非各省庁を統合していただくこと。
そして、もう一つお願いしたいのは、やはり今サイバーセキュリティーのこの体制、NISCにおかれましてはまだ二百人もメンバーがいないという状況でございまして、是非体制強化をさせていただきたいと思います。
二〇一四年にこのサイバーセキュリティ基本法を超党派で作るときに議論しましたのは、基本法を作るだけではなく、NISCというものを設置法でちゃんと組織を規定しましょうという議論をしたんですが、そこまで我々行き届くことはできませんでした。したがいまして、今のNISCという組織においてはサイバーセキュリティ基本法に基づく組織になっておりまして、まだまだその組織体制が十分に強化されている状況では私はないと思います。
是非、大臣におかれましては、NISCの体制強化及び法的位置付けの強化、そしてそれに基づきます関係省庁を統合していただく、先ほど総務省、経済産業省と申しましたけど、ほかにも防衛省でやり、そして警察も大きく関与する分野でございますので、是非、省庁を連携し、そして統合していくということを力強く進めていくことをお願いさせていただきたいと思います。
続きまして、民間分野におけますサイバーセキュリティーを進めるということにおきましては、ペネトレーションテストと言いまして、サイバーセキュリティーがきちんとできているかどうか。ホワイトハッカー、ブラックハッカーと言いますが、アメリカではレッドチーム、ブルーチームと言っていますけれども、実際にサイバーセキュリティーがきちんと機能しているかどうかを、自ら攻撃して、そして実際に守れるかどうかということをテストする、ペネトレーションというのは突破するという意味でございますが、そういうペネトレーションテストを義務付けるような動きが今出てきているわけでございます。実際にG20における議論、G7における議論におきましても、金融機関における攻撃テストを、ペネトレーションテストを行おうということが議論されているわけでございますが、是非、我が国においてもサイバー攻撃にどれだけ対応できるかというテストを行うようなこのペネトレーションテスト、進めていただきたいと思っています。
そのとき何が重要かと申しますと、我が国におきましてそのペネトレーションテストを行う者の具体的なガイドラインと申しますか基準、まだ経済産業省が作ってもらっているだけでございまして、そんなに深いレベルじゃないと私は思っています。
一方、私は八月にイギリスに行ってきたんですが、イギリスの方は金融機関用のペネトレーションテストを行う法人組織の基準を作っている。CRESTという基準でございますが、作っておりまして、それを満たした企業でなければ金融機関に対するそういうサイバーセキュリティーのテスト、ペネトレーションテストを行えないという基準まで作っているわけでございますが、是非とも、金融庁及び経済産業省、両方だと思いますけれど、そのペネトレーションテストにおける推進、そして資格の設定につきまして、どのようなお考えを持っているか教えていただけないでしょうか。お願いします。
三
三角育生#10
○政府参考人(三角育生君) お答え申し上げます。
委員御指摘のとおり、高い品質及び信頼のある侵入テスト、いわゆるペネトレーションテストの活用などは、サイバーセキュリティー対策といたしまして有効でございます。
このため、経済産業省では、平成三十年六月から、ペネトレーションテストを行う脆弱性診断などの情報セキュリティーサービスに関しまして、技術や品質に関する一定の基準を示し、サービス事業者が当該基準に適合しているか否かを専門機関が審査して、適合している者を台帳に登録する仕組みを運用中でございます。この台帳につきましては、結果をIPA、情報処理推進機構でございますが、公開し、ユーザーが利用できるようにしているところでございます。
この仕組みを通じまして情報セキュリティーサービスの品質及び信頼性の向上を図りまして、ユーザーが情報セキュリティーサービスを安心して活用できる環境を積極に醸成してまいりたいと考えております。
この発言だけを見る →委員御指摘のとおり、高い品質及び信頼のある侵入テスト、いわゆるペネトレーションテストの活用などは、サイバーセキュリティー対策といたしまして有効でございます。
このため、経済産業省では、平成三十年六月から、ペネトレーションテストを行う脆弱性診断などの情報セキュリティーサービスに関しまして、技術や品質に関する一定の基準を示し、サービス事業者が当該基準に適合しているか否かを専門機関が審査して、適合している者を台帳に登録する仕組みを運用中でございます。この台帳につきましては、結果をIPA、情報処理推進機構でございますが、公開し、ユーザーが利用できるようにしているところでございます。
この仕組みを通じまして情報セキュリティーサービスの品質及び信頼性の向上を図りまして、ユーザーが情報セキュリティーサービスを安心して活用できる環境を積極に醸成してまいりたいと考えております。
藤
藤末健三#11
○藤末健三君 経済産業省におかれましても一般的なサイバーセキュリティーの外部からの攻撃テストを行うような基準は作られているわけでございますが、私が知っている範囲だと、まだまだ国際的な標準からするとちょっと離れていると思いますので、是非、経済産業省におかれましては、より国際的に認められたもの、日本できちんと資格を取っていれば外国でも活動できるというようなレベルのものを作っていただきたいと思います。
そうしなければ何かと申しますと、今、先ほどCRESTという話を申し上げましたけれど、イギリスの資格を持った企業が日本に来て日本で実際に活動しているんですね。ほかにも、金融機関に対するペネトレーションテスト、脅威テストについてはイギリスの基準が出てきているわけでございますが、一方で、今、三角審議官がおっしゃったようなIPAなどが作っているような基準におきましても、まだまだ国際的には私は認められるレベルではないと思いますので、早めに新しい基準を作り、そして日本の企業が外国でも活動できるようなコーディネーションをやっていただきたいと思います。
特に、金融機関につきましては、先日、十月に行われましたG20におきまして、このサイバーセキュリティーのリスクに関するワーキンググループが開かれております。そのワーキンググループにおきましては、金融セクターにおけるサードパーティーのサイバーリスクマネジメントに関するG7の基礎要素ということと、あと、脅威ベースのペネトレーションテストに関するG7基礎的要素というのが公表されています。これは何かと申しますと、G7におきまして金融機関のサイバーセキュリティーの強化ということが国際的な方向性が定められたわけでございます。
一方で、先ほど申し上げましたように、イギリスにおきましては金融機関に対するそのようなサイバーセキュリティーの攻撃テスト、ペネトレーションテストを行う資格認証制度、CRESTというのができておりまして、是非とも金融庁におかれましては、このような金融機関、特に金融機関のサイバーセキュリティーは重要でございますので、イギリスなど外国と調和された国際的なスタンダードの資格制度をつくるべきだと思うんですが、いかがでしょうか。お答えください。
この発言だけを見る →そうしなければ何かと申しますと、今、先ほどCRESTという話を申し上げましたけれど、イギリスの資格を持った企業が日本に来て日本で実際に活動しているんですね。ほかにも、金融機関に対するペネトレーションテスト、脅威テストについてはイギリスの基準が出てきているわけでございますが、一方で、今、三角審議官がおっしゃったようなIPAなどが作っているような基準におきましても、まだまだ国際的には私は認められるレベルではないと思いますので、早めに新しい基準を作り、そして日本の企業が外国でも活動できるようなコーディネーションをやっていただきたいと思います。
特に、金融機関につきましては、先日、十月に行われましたG20におきまして、このサイバーセキュリティーのリスクに関するワーキンググループが開かれております。そのワーキンググループにおきましては、金融セクターにおけるサードパーティーのサイバーリスクマネジメントに関するG7の基礎要素ということと、あと、脅威ベースのペネトレーションテストに関するG7基礎的要素というのが公表されています。これは何かと申しますと、G7におきまして金融機関のサイバーセキュリティーの強化ということが国際的な方向性が定められたわけでございます。
一方で、先ほど申し上げましたように、イギリスにおきましては金融機関に対するそのようなサイバーセキュリティーの攻撃テスト、ペネトレーションテストを行う資格認証制度、CRESTというのができておりまして、是非とも金融庁におかれましては、このような金融機関、特に金融機関のサイバーセキュリティーは重要でございますので、イギリスなど外国と調和された国際的なスタンダードの資格制度をつくるべきだと思うんですが、いかがでしょうか。お答えください。
水
水口純#12
○政府参考人(水口純君) お答え申し上げます。
先生御指摘のとおり、高度なセキュリティー対策でございます脅威ベースのペネトレーションテストでございますけれども、大規模な金融機関のサイバーリスクというのを、対応能力をもう一段引き上げるのにふさわしいツールであるというふうに認識してございます。そのような認識の下で、これまで金融庁におきましては、大規模金融機関に対しましてこういう高度なテストの活用というのを慫慂しているところでございます。
こういうテストを外部に委託する際の事業者の選定につきましては、金融機関に対して提供されるそのサービスの水準、若しくはリスク管理が適切に行えるかを評価するように求めてございまして、当庁としましても、金融機関のモニタリングの中で、金融機関がテストを委託している事業者の状況について把握、確認しているところでございます。
また、先生御指摘ございました脅威ベースのペネトレーションテストの実施者に関する英国の話でございますけれども、英国におきましては、信頼性の確保のため資格承認制度というのを設けていることは承知してございます。他方、その資格承認制度につきましては、制度の導入、資格審査などに当たりまして技術面、倫理面等の専門的な知見も必要でございまして、また、金融分野のみならず政府全体として検討していくことが必要とございますので、今後、関係省庁と連携して対応していきたいと考えてございます。
また、国際面におきましても、先生御指摘のありました、先般公表されましたいわゆる脅威ベースのペネトレーションテストに対するG7の基礎的要素というものを踏まえまして、金融分野におけるペネトレーションテストの更なる活用というのを慫慂していくとともに、国際的な議論に各国当局と協調してしっかりと対応していきたいというふうに考えてございます。
この発言だけを見る →先生御指摘のとおり、高度なセキュリティー対策でございます脅威ベースのペネトレーションテストでございますけれども、大規模な金融機関のサイバーリスクというのを、対応能力をもう一段引き上げるのにふさわしいツールであるというふうに認識してございます。そのような認識の下で、これまで金融庁におきましては、大規模金融機関に対しましてこういう高度なテストの活用というのを慫慂しているところでございます。
こういうテストを外部に委託する際の事業者の選定につきましては、金融機関に対して提供されるそのサービスの水準、若しくはリスク管理が適切に行えるかを評価するように求めてございまして、当庁としましても、金融機関のモニタリングの中で、金融機関がテストを委託している事業者の状況について把握、確認しているところでございます。
また、先生御指摘ございました脅威ベースのペネトレーションテストの実施者に関する英国の話でございますけれども、英国におきましては、信頼性の確保のため資格承認制度というのを設けていることは承知してございます。他方、その資格承認制度につきましては、制度の導入、資格審査などに当たりまして技術面、倫理面等の専門的な知見も必要でございまして、また、金融分野のみならず政府全体として検討していくことが必要とございますので、今後、関係省庁と連携して対応していきたいと考えてございます。
また、国際面におきましても、先生御指摘のありました、先般公表されましたいわゆる脅威ベースのペネトレーションテストに対するG7の基礎的要素というものを踏まえまして、金融分野におけるペネトレーションテストの更なる活用というのを慫慂していくとともに、国際的な議論に各国当局と協調してしっかりと対応していきたいというふうに考えてございます。
藤
藤末健三#13
○藤末健三君 恐らく金融庁の方ではもう把握されていると思うんですけれども、今、そのメガバンクなんかのペネトレーションテストって、外国の資格を持った、先ほど申し上げたイギリスの資格を持ったところがされているんですよね、正直申し上げて。じゃ、小さい銀行などがどうされているかというと、私が知っている一つの事例かもしれませんが、この人危ないんじゃないかという会社がペネトレーションテストを行っているわけですよ。
ですから、ペネトレーションテストは何かというと、サイバーセキュリティー、簡単に言うと、コンピューターを守るために相手に攻撃してもらって、そしてどれだけ守れるかってテストするわけじゃないですか。家で言うなら、泥棒が入らないように防犯装置を、良い泥棒さんに入ってもらって、どこに問題がないかというのをテストするわけでございますけれども、その資格がなければ何が起きるかというと、実際にペネトレーションを行ったその会社がもし悪いことをしようと思えば、もうどこに鍵が、穴空いているか分かっているわけじゃないですか。ですから、資格がなければそのペネトレーションテストを行う会社が悪いことをしようと思ったら幾らでもできるような状況になるという、それが現実でございますので、是非資格制度をきちんとつくっていただき、早くしなければ、多分外国企業に取られちゃうと思うんですよ、この分野が。
ですから、是非日本としての基準を作り、かつその基準は外国と同等以上であるということを是非やっていただきたいと思います。そうしなければ、海外の方がもう技術が進んでいますので、正直言ってサイバーセキュリティーの、本当に日本のビジネス、産業、サイバーセキュリティー産業が育たないと思いますので、是非金融庁はそういう国内におけるサイバーセキュリティーをちゃんとマネジメントする、そういう企業が育つような環境まで考えた上で活動していただきたいと思います。
先ほど申し上げましたように、続いて質問させていただきますが、サイバーセキュリティーの技術、私は実際にアメリカのサイバーセキュリティーの研究機関なども伺って、かつ、実はサイバーセキュリティ基本法を作ってから、イスラエルなどの企業が向こうから私の方に訪ねてくるような状況でございます。いろいろ調べておられるとは思うんですが、実際に彼らのいろんな技術をお聞きしますと、正直、我が国はもう大きく劣後しているという感じがしております。
実際に、アメリカもイスラエルも、話を聞きますと、軍のサイバーセキュリティー技術をそのまま転用している。イスラエルのそのサイバーセキュリティー関係の企業の経営者というのはほとんど軍出身でございまして、サイバーセキュリティー部隊の出身者が企業をつくり、そしてサービスをしているという状況でございまして、今我が国においてこのサイバーセキュリティーの技術は非常に、私はもうアメリカを一〇〇とすると日本一〇ぐらいじゃないかと思っておるわけでございますが、大きく遅れていると思います。
私は、政府の皆様にお聞きしたいのは何かと申しますと、国産技術を是非育成するという目標を作っていただきたいということであります。そして、同時に、我が国がつくったサイバーセキュリティーの技術であり、様々な資格制度、これを国際標準にしていく。我々が国際標準の技術を取っていくという意識を持ってやらなければ、なかなかこのサイバーセキュリティーのテクノロジーは他国に追い付けないというふうに考えております。
実際に、総務省の下にはNICTという研究機関があり、経済産業省の下には産総研、産業技術総合研究所、そして文科省の下にはJAXA、そして防衛省の下には防衛研究所というサイバーセキュリティーの研究を行っている機関は幾つかございますが、それが全てばらばらに管理されている、正直申し上げて。そういう中で技術が生成し、我が国としての、日本としての技術を進めるというのは難しいと考えますが、是非、内閣官房が、NISCが中心となってこういう国産技術の推進を進めていただきたいと思うんですが、山内審議官のお考えをお聞かせください。お願いします。
この発言だけを見る →ですから、ペネトレーションテストは何かというと、サイバーセキュリティー、簡単に言うと、コンピューターを守るために相手に攻撃してもらって、そしてどれだけ守れるかってテストするわけじゃないですか。家で言うなら、泥棒が入らないように防犯装置を、良い泥棒さんに入ってもらって、どこに問題がないかというのをテストするわけでございますけれども、その資格がなければ何が起きるかというと、実際にペネトレーションを行ったその会社がもし悪いことをしようと思えば、もうどこに鍵が、穴空いているか分かっているわけじゃないですか。ですから、資格がなければそのペネトレーションテストを行う会社が悪いことをしようと思ったら幾らでもできるような状況になるという、それが現実でございますので、是非資格制度をきちんとつくっていただき、早くしなければ、多分外国企業に取られちゃうと思うんですよ、この分野が。
ですから、是非日本としての基準を作り、かつその基準は外国と同等以上であるということを是非やっていただきたいと思います。そうしなければ、海外の方がもう技術が進んでいますので、正直言ってサイバーセキュリティーの、本当に日本のビジネス、産業、サイバーセキュリティー産業が育たないと思いますので、是非金融庁はそういう国内におけるサイバーセキュリティーをちゃんとマネジメントする、そういう企業が育つような環境まで考えた上で活動していただきたいと思います。
先ほど申し上げましたように、続いて質問させていただきますが、サイバーセキュリティーの技術、私は実際にアメリカのサイバーセキュリティーの研究機関なども伺って、かつ、実はサイバーセキュリティ基本法を作ってから、イスラエルなどの企業が向こうから私の方に訪ねてくるような状況でございます。いろいろ調べておられるとは思うんですが、実際に彼らのいろんな技術をお聞きしますと、正直、我が国はもう大きく劣後しているという感じがしております。
実際に、アメリカもイスラエルも、話を聞きますと、軍のサイバーセキュリティー技術をそのまま転用している。イスラエルのそのサイバーセキュリティー関係の企業の経営者というのはほとんど軍出身でございまして、サイバーセキュリティー部隊の出身者が企業をつくり、そしてサービスをしているという状況でございまして、今我が国においてこのサイバーセキュリティーの技術は非常に、私はもうアメリカを一〇〇とすると日本一〇ぐらいじゃないかと思っておるわけでございますが、大きく遅れていると思います。
私は、政府の皆様にお聞きしたいのは何かと申しますと、国産技術を是非育成するという目標を作っていただきたいということであります。そして、同時に、我が国がつくったサイバーセキュリティーの技術であり、様々な資格制度、これを国際標準にしていく。我々が国際標準の技術を取っていくという意識を持ってやらなければ、なかなかこのサイバーセキュリティーのテクノロジーは他国に追い付けないというふうに考えております。
実際に、総務省の下にはNICTという研究機関があり、経済産業省の下には産総研、産業技術総合研究所、そして文科省の下にはJAXA、そして防衛省の下には防衛研究所というサイバーセキュリティーの研究を行っている機関は幾つかございますが、それが全てばらばらに管理されている、正直申し上げて。そういう中で技術が生成し、我が国としての、日本としての技術を進めるというのは難しいと考えますが、是非、内閣官房が、NISCが中心となってこういう国産技術の推進を進めていただきたいと思うんですが、山内審議官のお考えをお聞かせください。お願いします。
山
山内智生#14
○政府参考人(山内智生君) お答え申し上げます。
今委員御指摘のとおり、我が国企業の国際競争力の強化、それから政府機関、重要インフラ等の重要なサービスを支えておりますセキュリティー技術が過度に海外に依存をするということが私どもとしてはやはり課題、もうこれを回避をしたいというふうに思ってございます。ですので、国産技術の育成を是非進めていきたいというように思っているところでございます。
今年の七月にできましたサイバーセキュリティ戦略に基づきまして、これは内閣府の方で進めておりますSIP、戦略的イノベーション創造プログラム、ここの中では、重要インフラ、それからIoTシステムを守るためのサイバーセキュリティ対策基盤の研究開発、それから日本発のサイバーセキュリティーサービスの創出、活用を推進するための有効性検証を行うための環境整備といったような取組を今委員御指摘のような関係機関により進めているところでございます。
それから、加えて、標準化に関しましては、暗号、それからセキュリティー製品といった関係の技術、それからその認証について、我が国の意見を反映されるように国際会合における働きかけを今進めているところでございます。
いずれにせよ、今後とも政府におきまして、特に今御指摘がありましたとおり私どもNISCが音頭を取りまして、委員御指摘のロードマップの作成、それから我が国の取組を加速をするための方策、これをそのサイバーセキュリティ戦略本部の下で、国内の産学官の研究開発に関する関係機関の知見、それから成果を結集して推進してまいりたいと存じます。
この発言だけを見る →今委員御指摘のとおり、我が国企業の国際競争力の強化、それから政府機関、重要インフラ等の重要なサービスを支えておりますセキュリティー技術が過度に海外に依存をするということが私どもとしてはやはり課題、もうこれを回避をしたいというふうに思ってございます。ですので、国産技術の育成を是非進めていきたいというように思っているところでございます。
今年の七月にできましたサイバーセキュリティ戦略に基づきまして、これは内閣府の方で進めておりますSIP、戦略的イノベーション創造プログラム、ここの中では、重要インフラ、それからIoTシステムを守るためのサイバーセキュリティ対策基盤の研究開発、それから日本発のサイバーセキュリティーサービスの創出、活用を推進するための有効性検証を行うための環境整備といったような取組を今委員御指摘のような関係機関により進めているところでございます。
それから、加えて、標準化に関しましては、暗号、それからセキュリティー製品といった関係の技術、それからその認証について、我が国の意見を反映されるように国際会合における働きかけを今進めているところでございます。
いずれにせよ、今後とも政府におきまして、特に今御指摘がありましたとおり私どもNISCが音頭を取りまして、委員御指摘のロードマップの作成、それから我が国の取組を加速をするための方策、これをそのサイバーセキュリティ戦略本部の下で、国内の産学官の研究開発に関する関係機関の知見、それから成果を結集して推進してまいりたいと存じます。
藤
藤末健三#15
○藤末健三君 是非、予算の強化等も含めてなんですが、お願いしたいと思います。
あと、審議官に申し上げたいんですけど、例えば、先ほどSIPの話をおっしゃっていましたけど、SIPとかは十億、二十億のオーダーじゃないですか。アメリカとかは、もう数百億のオーダーで研究しているわけですよ。ですから、本当に意思を持って追い付くためには、あらゆる研究機関の統合化とかもやっていただきたいと思うんですね。
実際に研究所の方とお話ししていますと、研究所の個人のレベルでいろんな研究機関が研究所の枠を超えて付き合っておられるのは話お聞きしているんですよ。それをやはりNISCなどが、やっぱり内閣官房が中心となって研究所のネットワークまでつくるぐらいのことをしなければなかなか追い付かないと私は思っております。
そこで、特に重要なのは防衛省の防衛関係のサイバーディフェンスではないかと思っておりまして、外国の話を聞いていますと、やはり防衛のこのサイバーセキュリティー技術がスピンオフして民間に流れて、それがビジネスになっているということでございます。
是非とも、防衛整備、例えばジェット戦闘機の技術を国産化するなどのいろんな議論がございますけれど、このサイバーディフェンスの技術も国産を進めるべきだと考えますが、いかがでしょうか。その際には、是非日米の協力などを進めていただきたいと考えますが、いかがでしょうか。お答えください。
この発言だけを見る →あと、審議官に申し上げたいんですけど、例えば、先ほどSIPの話をおっしゃっていましたけど、SIPとかは十億、二十億のオーダーじゃないですか。アメリカとかは、もう数百億のオーダーで研究しているわけですよ。ですから、本当に意思を持って追い付くためには、あらゆる研究機関の統合化とかもやっていただきたいと思うんですね。
実際に研究所の方とお話ししていますと、研究所の個人のレベルでいろんな研究機関が研究所の枠を超えて付き合っておられるのは話お聞きしているんですよ。それをやはりNISCなどが、やっぱり内閣官房が中心となって研究所のネットワークまでつくるぐらいのことをしなければなかなか追い付かないと私は思っております。
そこで、特に重要なのは防衛省の防衛関係のサイバーディフェンスではないかと思っておりまして、外国の話を聞いていますと、やはり防衛のこのサイバーセキュリティー技術がスピンオフして民間に流れて、それがビジネスになっているということでございます。
是非とも、防衛整備、例えばジェット戦闘機の技術を国産化するなどのいろんな議論がございますけれど、このサイバーディフェンスの技術も国産を進めるべきだと考えますが、いかがでしょうか。その際には、是非日米の協力などを進めていただきたいと考えますが、いかがでしょうか。お答えください。
深
深山延暁#16
○政府参考人(深山延暁君) 御指摘のとおり、防衛省におきましてもサイバーの分野というのは非常に重要な分野だと考えており、所要の体制整備を行ってきているところでございます。防衛装備庁においても、その一環として関連する技術研究を実施しております。
二例だけ申し上げますと、例えば、サイバー攻撃によって情報システムやネットワークの一部が損なわれた場合でも柔軟に対応して運用可能な状態に回復する技術の研究。また、自衛隊の情報システムがサイバー攻撃を受けた場合の一連の対処について隊員が演習を行うための模擬環境の構築に関する技術に関する研究。後段は、言わばその模擬の世界でサイバーに対抗する技術を我々も隊員がつくれるようなシステムをつくるというような研究でございます。こうしたものを実施しているところでございます。
そして、今後とも、他の研究機関等との連携を進めてまいりたいと考えています。この際には、米国を含む諸外国との協議や民間部門との協力を通じて、最新のリスクや対応策、技術動向等を把握するように努めてまいるのは当然のことかと考えております。
この発言だけを見る →二例だけ申し上げますと、例えば、サイバー攻撃によって情報システムやネットワークの一部が損なわれた場合でも柔軟に対応して運用可能な状態に回復する技術の研究。また、自衛隊の情報システムがサイバー攻撃を受けた場合の一連の対処について隊員が演習を行うための模擬環境の構築に関する技術に関する研究。後段は、言わばその模擬の世界でサイバーに対抗する技術を我々も隊員がつくれるようなシステムをつくるというような研究でございます。こうしたものを実施しているところでございます。
そして、今後とも、他の研究機関等との連携を進めてまいりたいと考えています。この際には、米国を含む諸外国との協議や民間部門との協力を通じて、最新のリスクや対応策、技術動向等を把握するように努めてまいるのは当然のことかと考えております。
藤
藤末健三#17
○藤末健三君 是非、サイバーディフェンスの議論を深めていただきたいと思います。
恐らく、皆様もサイバーディフェンスというと何か余り関係ないような感じで思われるかもしれませんけど、私は今、この紛争と申しますか、安全保障の状況は大きく変わっていると思いまして、航空機が出て空母がその戦闘の中心となったぐらいの大きな変化ではないかと思います。恐らく、これからあります紛争は、サイバー攻撃があった後にそれから実際の物理的な戦闘に入ると。実際に電力を落とし、交通機関を麻痺させた後にリアルな軍が侵攻するということでございますので。
私が懸念していますのは、例えば那覇空港でありますと、スクランブルを掛けるF15は那覇空港を飛び立ちますけれど、本当にその那覇空港、外からの攻撃で麻痺してしまえば実際に航空自衛隊の迎撃機も飛べない状況になりますし、恐らく陸上自衛隊の移動も、信号機が全部麻痺し真っ赤になれば移動すらできないという状況になると思いますので、是非とも広範囲のサイバーセキュリティーを是非防衛省で議論していただきたいと思います。
そういう中で、国産の技術について一番私は重要だと思いますのは、コンピューターのオペレーションシステム、基本ソフトウエアであります。
今、ほとんどの計算機がリナックスやウィンドウズ、あと、スマホにおいてはiOSとかいう外国製のOSでございますけれど、このオペレーションシステムに脆弱性があれば、そこを狙って攻撃されればもう守るすべがないという状況でございまして、例えばアメリカですと、COTSというOSサーバーの機能を向上させようという議論も行っているわけでございますが、是非、国家プロジェクトとして日本独自の基本ソフトウエア、オペレーションシステムを技術的に保有していくということが我が国のサイバーセキュリティーの技術的な確保上非常に大きいと考えますが、経済産業省だと思いますが、お答えいただきたいと思います、お考えを。
この発言だけを見る →恐らく、皆様もサイバーディフェンスというと何か余り関係ないような感じで思われるかもしれませんけど、私は今、この紛争と申しますか、安全保障の状況は大きく変わっていると思いまして、航空機が出て空母がその戦闘の中心となったぐらいの大きな変化ではないかと思います。恐らく、これからあります紛争は、サイバー攻撃があった後にそれから実際の物理的な戦闘に入ると。実際に電力を落とし、交通機関を麻痺させた後にリアルな軍が侵攻するということでございますので。
私が懸念していますのは、例えば那覇空港でありますと、スクランブルを掛けるF15は那覇空港を飛び立ちますけれど、本当にその那覇空港、外からの攻撃で麻痺してしまえば実際に航空自衛隊の迎撃機も飛べない状況になりますし、恐らく陸上自衛隊の移動も、信号機が全部麻痺し真っ赤になれば移動すらできないという状況になると思いますので、是非とも広範囲のサイバーセキュリティーを是非防衛省で議論していただきたいと思います。
そういう中で、国産の技術について一番私は重要だと思いますのは、コンピューターのオペレーションシステム、基本ソフトウエアであります。
今、ほとんどの計算機がリナックスやウィンドウズ、あと、スマホにおいてはiOSとかいう外国製のOSでございますけれど、このオペレーションシステムに脆弱性があれば、そこを狙って攻撃されればもう守るすべがないという状況でございまして、例えばアメリカですと、COTSというOSサーバーの機能を向上させようという議論も行っているわけでございますが、是非、国家プロジェクトとして日本独自の基本ソフトウエア、オペレーションシステムを技術的に保有していくということが我が国のサイバーセキュリティーの技術的な確保上非常に大きいと考えますが、経済産業省だと思いますが、お答えいただきたいと思います、お考えを。
三
三角育生#18
○政府参考人(三角育生君) お答えを申し上げます。
サイバーセキュリティーを確保する上では、委員御指摘のOSも含めましてソフトウエア全体、さらにはハードウエアも含めたシステム全体で脆弱性対策を講じまして信頼性を確保していくことが必要でございます。
このため、内閣府の戦略的イノベーション創造プログラム、システムの脆弱性を検証する基盤構築事業、高度なIoT社会の実現に向けた技術開発などを通じまして、サイバーセキュリティー関連の技術の開発及び社会実装に向けた取組を進めていくこととしております。こうした取組を通じまして、OSも含めシステム全体のサイバーセキュリティーの技術開発などを包括的に進めていきたいと考えております。
この発言だけを見る →サイバーセキュリティーを確保する上では、委員御指摘のOSも含めましてソフトウエア全体、さらにはハードウエアも含めたシステム全体で脆弱性対策を講じまして信頼性を確保していくことが必要でございます。
このため、内閣府の戦略的イノベーション創造プログラム、システムの脆弱性を検証する基盤構築事業、高度なIoT社会の実現に向けた技術開発などを通じまして、サイバーセキュリティー関連の技術の開発及び社会実装に向けた取組を進めていくこととしております。こうした取組を通じまして、OSも含めシステム全体のサイバーセキュリティーの技術開発などを包括的に進めていきたいと考えております。
藤
藤末健三#19
○藤末健三君 是非、経済産業省プラスNISCにおかれましては、やっぱり日本の研究開発、サイバーセキュリティーの研究開発予算は恐らく十分の一ぐらいだと思います、アメリカなどの。ですから、何でもやりましょうという話じゃなくて、ピンポイントでやっていただきたいというのがまず一つあります、戦略性を持って。と同時に、いろんな研究機関が今ばらばらですので、各省庁、その統合というのを是非意識的に行ってください。これ、お願いでございます。技術的なものをどこか一部でもいいから我が国の技術を組み込む、世界標準に、それが我が国のサイバーセキュリティーの安全保障につながると思いますので、是非お願いしたいと思います。
また、これはちょっと最後の質問になりますけれど、国の行政機関のサイバーセキュリティーの研修の強化を行っていただきたいと思います。
既にNISCを中心に行っていただいているわけでございますが、この間、日経新聞にも載りましたけれど、大学に対するハッキングが行われているという状況でございまして、私が知る範囲ですと、大学は独自にサイバーセキュリティー対策を行っていると。私が見ている範囲ですと、もうほとんど防御になっていないと思います、大学は、正直申し上げて。
実際に研修をされているとお聞きしましたけれど、一日一万とか二万の研修、恐らくワープロ研修とほぼ同じレベルだという状況でございまして、是非NISCが中心に行政府のサイバーセキュリティー強化の研修をやっていただきたいと考えますが、いかがでしょうか。お願いします。
この発言だけを見る →また、これはちょっと最後の質問になりますけれど、国の行政機関のサイバーセキュリティーの研修の強化を行っていただきたいと思います。
既にNISCを中心に行っていただいているわけでございますが、この間、日経新聞にも載りましたけれど、大学に対するハッキングが行われているという状況でございまして、私が知る範囲ですと、大学は独自にサイバーセキュリティー対策を行っていると。私が見ている範囲ですと、もうほとんど防御になっていないと思います、大学は、正直申し上げて。
実際に研修をされているとお聞きしましたけれど、一日一万とか二万の研修、恐らくワープロ研修とほぼ同じレベルだという状況でございまして、是非NISCが中心に行政府のサイバーセキュリティー強化の研修をやっていただきたいと考えますが、いかがでしょうか。お願いします。
山
山内智生#20
○政府参考人(山内智生君) 国の行政機関等におけるサイバーセキュリティーの対策の強化を図るためには、職員に対して研修を行いまして、その知見、スキルを向上させるということが非常に重要だというふうに思ってございます。
政府の中では、総務省が行います国の行政機関の職員向け情報システム統一研修、それから私どもNISCが持っております、CYMATと言いますが、情報セキュリティーの緊急支援チーム、それから各府省におけるインシデントの対応の要員がおります、CSIRTの要員の研修の訓練、それから、これに加えまして、一般職員に対しても情報リテラシーの向上に関する研修というのを行いまして、政府全体の人材育成を取り組んでおります。
政府といたしましては、これらの研修を着実に実施、強化をいたしまして、サイバーセキュリティー対策の強化を図ってまいりたいと思っております。
この発言だけを見る →政府の中では、総務省が行います国の行政機関の職員向け情報システム統一研修、それから私どもNISCが持っております、CYMATと言いますが、情報セキュリティーの緊急支援チーム、それから各府省におけるインシデントの対応の要員がおります、CSIRTの要員の研修の訓練、それから、これに加えまして、一般職員に対しても情報リテラシーの向上に関する研修というのを行いまして、政府全体の人材育成を取り組んでおります。
政府といたしましては、これらの研修を着実に実施、強化をいたしまして、サイバーセキュリティー対策の強化を図ってまいりたいと思っております。
藤
藤末健三#21
○藤末健三君 NISCにおかれましては、職員の研修も必要だと思いますけど、やはりサイバー攻撃が起きたときに、被害があったときにどういう対応をするかというトップの研修も非常に重要だと思いますので、是非そちらの強化もお願いしたいと思います。
ちょうど私の質問時間も来ましたので、最後でございますけれど、このサイバーセキュリティ基本法の改正、私はまだまだ道の途中だと思います。まだまだやるべきことが大量にある。そういう中で、今回着実に一歩を踏み出したというふうには評価できますけれど、是非、政府の皆様、あと櫻田大臣中心となりまして、やはりあらゆる省庁が関係しておりますので、その省庁を統合するようなものを是非つくっていただきたいと思います。
また、そのNISCの体制もまだまだ私には不十分だと思っておりまして、是非、設置法を作るなど、やはりNISCの職員の方々が安定して定員を確保し、そして予算を確保する体制をつくっていただくことをお願いしまして、私の質問を終わらさせていただきます。
どうも皆様、ありがとうございました。
この発言だけを見る →ちょうど私の質問時間も来ましたので、最後でございますけれど、このサイバーセキュリティ基本法の改正、私はまだまだ道の途中だと思います。まだまだやるべきことが大量にある。そういう中で、今回着実に一歩を踏み出したというふうには評価できますけれど、是非、政府の皆様、あと櫻田大臣中心となりまして、やはりあらゆる省庁が関係しておりますので、その省庁を統合するようなものを是非つくっていただきたいと思います。
また、そのNISCの体制もまだまだ私には不十分だと思っておりまして、是非、設置法を作るなど、やはりNISCの職員の方々が安定して定員を確保し、そして予算を確保する体制をつくっていただくことをお願いしまして、私の質問を終わらさせていただきます。
どうも皆様、ありがとうございました。
竹
竹内真二#22
○竹内真二君 公明党の竹内真二です。本日は質問の機会をいただき、感謝申し上げます。
本日は、サイバーセキュリティ基本法改正案について質問をさせていただきます。
最初に、サイバー攻撃に対処する際の情報共有の在り方についてお聞きしたいと思っております。
コンピューターやスマートフォンを不正かつ有害に動作させるために作られたソフトやコードなどは総称してマルウエアと呼ばれております。悪意のあるという意味のマリシャスとソフトウエアを組み合わせた造語ということですが、そのマルウエアの一種にランサムウエアというコンピューターウイルスがあります。こちらは身の代金という意味のランサムとソフトウエアを組み合わせて作られた造語ですけれども、このウイルスに感染すると、パソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンであれば操作が不能と、ロックされた状態になってしまうというふうに聞いております。また、感染した端末の中のファイルが暗号化されるのみではなく、その端末とつながっている別のハードディスクまで暗号化される場合もあると、そして、その制限を解除するために身の代金を要求する画面を表示させるというウイルスであります。
昨年五月には、ワナクライ、これは泣きたくなるという意味だそうですけれども、このワナクライですけれども、ランサムウエアによるサイバー攻撃によって世界百五十か国で三十万件以上ともされる被害が生じました。日本国内でも大変ニュースになりましたけれども、自治体、鉄道、病院などといった重要な機関で感染被害が確認をされたところであります。
また、本年一月には、仮想通貨の取引所が狙われまして、仮想通貨NEMが不正に外部に送信をされて約五百八十億円相当が流出するという事件が発生するなど、サイバー空間における脅威というものは近年ますます我が国でも高まってきているわけであります。
そうした中で、政府が今回提出したサイバーセキュリティ基本法の改正案では、サイバーセキュリティ戦略本部長等がサイバーセキュリティ協議会を創設して、国民の多様な主体が相互に連携し、必要な情報共有を図ることとしております。
サイバー攻撃への対応というのは各事業者や業界等で様々取り組まれているとは思いますが、サイバーセキュリティー対策として情報共有を行う必要性や有効性について政府としてどのように認識をされているのか、見解を伺いたいと思います。
この発言だけを見る →本日は、サイバーセキュリティ基本法改正案について質問をさせていただきます。
最初に、サイバー攻撃に対処する際の情報共有の在り方についてお聞きしたいと思っております。
コンピューターやスマートフォンを不正かつ有害に動作させるために作られたソフトやコードなどは総称してマルウエアと呼ばれております。悪意のあるという意味のマリシャスとソフトウエアを組み合わせた造語ということですが、そのマルウエアの一種にランサムウエアというコンピューターウイルスがあります。こちらは身の代金という意味のランサムとソフトウエアを組み合わせて作られた造語ですけれども、このウイルスに感染すると、パソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンであれば操作が不能と、ロックされた状態になってしまうというふうに聞いております。また、感染した端末の中のファイルが暗号化されるのみではなく、その端末とつながっている別のハードディスクまで暗号化される場合もあると、そして、その制限を解除するために身の代金を要求する画面を表示させるというウイルスであります。
昨年五月には、ワナクライ、これは泣きたくなるという意味だそうですけれども、このワナクライですけれども、ランサムウエアによるサイバー攻撃によって世界百五十か国で三十万件以上ともされる被害が生じました。日本国内でも大変ニュースになりましたけれども、自治体、鉄道、病院などといった重要な機関で感染被害が確認をされたところであります。
また、本年一月には、仮想通貨の取引所が狙われまして、仮想通貨NEMが不正に外部に送信をされて約五百八十億円相当が流出するという事件が発生するなど、サイバー空間における脅威というものは近年ますます我が国でも高まってきているわけであります。
そうした中で、政府が今回提出したサイバーセキュリティ基本法の改正案では、サイバーセキュリティ戦略本部長等がサイバーセキュリティ協議会を創設して、国民の多様な主体が相互に連携し、必要な情報共有を図ることとしております。
サイバー攻撃への対応というのは各事業者や業界等で様々取り組まれているとは思いますが、サイバーセキュリティー対策として情報共有を行う必要性や有効性について政府としてどのように認識をされているのか、見解を伺いたいと思います。
山
山内智生#23
○政府参考人(山内智生君) お答え申し上げます。
今委員の方から御案内がございましたとおり、例えばワナクライの場合ですと百五十か国に対して攻撃が行われたと。これは取りも直さず、インターネットを通じまして非常にたくさんの端末に対して同時にこのマルウエアが配布をされたということを意味しております。したがいまして、近年、複雑化、巧妙化をするサイバー攻撃に対して単独の組織だけで対策を講じるというのは限界がございます。したがって、効果的な対策を講じるためにも、複数の組織が連携をして情報共有を行う必要性が生じております。
今回、法律案にございますサイバーセキュリティ協議会でございますが、どこか業界の中だけでもなく、それからある個人、それから企業だけでもなく、多様な主体が連携をいたしまして、サイバー攻撃に関する攻撃の手口、それから被害の状況のこういう情報を迅速に共有することによりまして、同様の手口によるサイバー攻撃の被害の拡大を防ぐことができるというふうに考えてございます。したがって、サイバー攻撃への有効な対策として極めて重要であるというふうに考えているところでございます。
また、我が国は、再来年、二〇二〇年の東京大会を控えております。オリンピック・パラリンピック大会のような大規模なイベントに関しましては、サイバー攻撃の標的になる傾向がございます。こうしたイベントの開催に万全を期すためにも、早急に本法案を成立させることが不可欠であると考えております。
この発言だけを見る →今委員の方から御案内がございましたとおり、例えばワナクライの場合ですと百五十か国に対して攻撃が行われたと。これは取りも直さず、インターネットを通じまして非常にたくさんの端末に対して同時にこのマルウエアが配布をされたということを意味しております。したがいまして、近年、複雑化、巧妙化をするサイバー攻撃に対して単独の組織だけで対策を講じるというのは限界がございます。したがって、効果的な対策を講じるためにも、複数の組織が連携をして情報共有を行う必要性が生じております。
今回、法律案にございますサイバーセキュリティ協議会でございますが、どこか業界の中だけでもなく、それからある個人、それから企業だけでもなく、多様な主体が連携をいたしまして、サイバー攻撃に関する攻撃の手口、それから被害の状況のこういう情報を迅速に共有することによりまして、同様の手口によるサイバー攻撃の被害の拡大を防ぐことができるというふうに考えてございます。したがって、サイバー攻撃への有効な対策として極めて重要であるというふうに考えているところでございます。
また、我が国は、再来年、二〇二〇年の東京大会を控えております。オリンピック・パラリンピック大会のような大規模なイベントに関しましては、サイバー攻撃の標的になる傾向がございます。こうしたイベントの開催に万全を期すためにも、早急に本法案を成立させることが不可欠であると考えております。
竹
竹内真二#24
○竹内真二君 ありがとうございます。
そこで、今回の改正案では、第十七条第二項に、この創設される協議会の構成員として、国の関係行政機関の長を始め、地方公共団体、重要インフラ事業者、サイバー関連事業者やその組織する団体等が規定をされているところです。
情報共有を行うに当たっては、迅速性を確保しつつ必要な情報が行き渡ることが重要でありますけれども、地方公共団体や重要インフラ事業者というものは相当数に上ると思います。
今回のこの改正案に基づき創設される協議会について、構成員として参加する事業者、団体等について今どのように想定をされているのか、また、この協議会の規模、体制等についてはどのように考えられているのか、お聞きしたいと思います。
この発言だけを見る →そこで、今回の改正案では、第十七条第二項に、この創設される協議会の構成員として、国の関係行政機関の長を始め、地方公共団体、重要インフラ事業者、サイバー関連事業者やその組織する団体等が規定をされているところです。
情報共有を行うに当たっては、迅速性を確保しつつ必要な情報が行き渡ることが重要でありますけれども、地方公共団体や重要インフラ事業者というものは相当数に上ると思います。
今回のこの改正案に基づき創設される協議会について、構成員として参加する事業者、団体等について今どのように想定をされているのか、また、この協議会の規模、体制等についてはどのように考えられているのか、お聞きしたいと思います。
山
山内智生#25
○政府参考人(山内智生君) お答え申し上げます。
協議会の構成員に関しましては、今委員の方から御指摘がございました法案の第十七条のところにございますが、国の関係行政機関の長、地方公共団体、重要インフラ事業者、サイバー関連事業者、教育研究機関等を念頭に置いております。
それから、御質問の規模に関しましてでございますが、地方公共団体、例えば千七百強に及びます。それから、重要インフラ事業者、これも相当数に上るところでございますが、こういう方々は既存の情報共有の枠組みの中に参加をしていらっしゃる方もいらっしゃいます。また、これらの方々を取りまとめている業界団体の方々がいらっしゃいますので、このような業界団体の方に御協力いただくことができれば、構成員の数はそれほど大きくない形で効率的に運営をすることが可能であるというふうに想定をしているところでございます。
また、体制に関しましては、私ども内閣サイバーセキュリティセンターが事務局を担う予定でございます。法案成立後に正式に検討をする予定でございますが、現時点では、サイバーセキュリティーに関する専門機関であります一般社団法人JPCERTコーディネーションセンター、ここに対して事務の委託をいたしまして、共に事務局を担っていただく予定でございます。
この発言だけを見る →協議会の構成員に関しましては、今委員の方から御指摘がございました法案の第十七条のところにございますが、国の関係行政機関の長、地方公共団体、重要インフラ事業者、サイバー関連事業者、教育研究機関等を念頭に置いております。
それから、御質問の規模に関しましてでございますが、地方公共団体、例えば千七百強に及びます。それから、重要インフラ事業者、これも相当数に上るところでございますが、こういう方々は既存の情報共有の枠組みの中に参加をしていらっしゃる方もいらっしゃいます。また、これらの方々を取りまとめている業界団体の方々がいらっしゃいますので、このような業界団体の方に御協力いただくことができれば、構成員の数はそれほど大きくない形で効率的に運営をすることが可能であるというふうに想定をしているところでございます。
また、体制に関しましては、私ども内閣サイバーセキュリティセンターが事務局を担う予定でございます。法案成立後に正式に検討をする予定でございますが、現時点では、サイバーセキュリティーに関する専門機関であります一般社団法人JPCERTコーディネーションセンター、ここに対して事務の委託をいたしまして、共に事務局を担っていただく予定でございます。
竹
竹内真二#26
○竹内真二君 そうすると、協議会の構成員のうち重要インフラ事業者についてお聞きしたいんですけれども、この重要インフラ事業者については、これまでの情報通信、金融、鉄道など十三の分野が指定されていましたけれども、本年七月から新たに空港が追加をされて、現在十四分野であると聞いております。
しかし、この指定されている十四分野の中に自動車業界というのが入っていないんですね。現在実験、開発が進められている自動運転車がハッキングをされた場合、遠隔操作によってハンドルが奪われたりブレーキを利かなくされるというふうに自動運転車が不正に操作されて、場合によっては人命に関わるような重大な事故の発生や、若しくはテロ等にも使われる、そういう懸念もあるところです。これはもうハリウッドのアクション映画の中の話ということではなくて、現実にこういう変化が起きているときには起こり得ることではないかと思います。
また、政府が掲げる成長戦略では二〇二〇年をめどに地域限定型の無人自動運転移動サービスを開始することなどを今目指すとしているところですので、この自動運転というものがやはり普及すれば自動運転に係るシステムのサイバーセキュリティー対策の重要性が非常に高まると思いますけれども、今後この重要インフラ分野に自動車を指定する可能性があるのかどうか、政府の見解を伺いたいと思います。
この発言だけを見る →しかし、この指定されている十四分野の中に自動車業界というのが入っていないんですね。現在実験、開発が進められている自動運転車がハッキングをされた場合、遠隔操作によってハンドルが奪われたりブレーキを利かなくされるというふうに自動運転車が不正に操作されて、場合によっては人命に関わるような重大な事故の発生や、若しくはテロ等にも使われる、そういう懸念もあるところです。これはもうハリウッドのアクション映画の中の話ということではなくて、現実にこういう変化が起きているときには起こり得ることではないかと思います。
また、政府が掲げる成長戦略では二〇二〇年をめどに地域限定型の無人自動運転移動サービスを開始することなどを今目指すとしているところですので、この自動運転というものがやはり普及すれば自動運転に係るシステムのサイバーセキュリティー対策の重要性が非常に高まると思いますけれども、今後この重要インフラ分野に自動車を指定する可能性があるのかどうか、政府の見解を伺いたいと思います。
山
山内智生#27
○政府参考人(山内智生君) お答え申し上げます。
重要インフラは、他に代替することが著しく困難なサービスを提供する事業として、サイバーセキュリティ戦略本部で指定しているものでございます。この重要インフラの分野の範囲の見直しに関しましては、今までもそうでございますが、今委員御指摘がありましたとおり、今回空港を追加をしてございますが、社会環境の変化に柔軟に対応しながら継続的に取り組むこととしてございます。
御指摘の自動運転車、自動運転車に係る事業の取扱い、これが御質問の御趣旨かと思いますが、自動運転に係る国際基準に関しましては現在国際的な議論が進行中だというふうに私ども聞いてございます。このような議論を勘案をいたしまして、関係省庁と連携を取りつつ、この指定に関する対応について検討してまいりたいと考えております。
この発言だけを見る →重要インフラは、他に代替することが著しく困難なサービスを提供する事業として、サイバーセキュリティ戦略本部で指定しているものでございます。この重要インフラの分野の範囲の見直しに関しましては、今までもそうでございますが、今委員御指摘がありましたとおり、今回空港を追加をしてございますが、社会環境の変化に柔軟に対応しながら継続的に取り組むこととしてございます。
御指摘の自動運転車、自動運転車に係る事業の取扱い、これが御質問の御趣旨かと思いますが、自動運転に係る国際基準に関しましては現在国際的な議論が進行中だというふうに私ども聞いてございます。このような議論を勘案をいたしまして、関係省庁と連携を取りつつ、この指定に関する対応について検討してまいりたいと考えております。
竹
竹内真二#28
○竹内真二君 これから検討していただくということですので、是非しっかりと自動車という分野も入れていただきたいというふうに私は思いますけれども、是非よろしくお願いいたします。
それで、自動運転を例に挙げて質問を今いたしましたけれども、この自動車の分野に限らず、今後の技術革新によって、国民の暮らしに密接に関係する重要インフラ分野というのはこれからも変化をしていくと思うんですけれども、引き続きこの重要インフラ分野の見直しというものをどのように行っていくお考えなのか。
また、重要インフラ事業者に限らず、その他の協議会の構成員についても適宜見直しを行う必要があるというふうに思いますけれども、この構成員の見直しについても政府の見解をお伺いしたいと思います。
この発言だけを見る →それで、自動運転を例に挙げて質問を今いたしましたけれども、この自動車の分野に限らず、今後の技術革新によって、国民の暮らしに密接に関係する重要インフラ分野というのはこれからも変化をしていくと思うんですけれども、引き続きこの重要インフラ分野の見直しというものをどのように行っていくお考えなのか。
また、重要インフラ事業者に限らず、その他の協議会の構成員についても適宜見直しを行う必要があるというふうに思いますけれども、この構成員の見直しについても政府の見解をお伺いしたいと思います。
山
山内智生#29
○政府参考人(山内智生君) お答え申し上げます。
先ほども申し上げたところでございますが、この重要インフラの分野の見直しに関しましては、委員御指摘のとおり、社会環境が変わってまいりますこの変化に柔軟に対応しながら、継続的に取り組むことにしてございます。当初、今のサイバーセキュリティ戦略本部ができる前、重要インフラは十分野でございました。三分野を追加をし、今年一分野を追加して、現在十四分野でございます。このような形で柔軟に対応していくということでございます。
それから、協議会の構成員でございますが、情報共有をより実効的なものにするために、随時積極的な情報共有に協力をいただける方、こういう方に御参加いただくことが不可欠であるというふうに考えてございます。協議会は、重要インフラ事業者からサイバー関連事業者等に限らず、協議会にとって必要と認められる方を構成員として適宜追加をできる仕組みにしてございます。実効的な情報共有によってサイバー攻撃による被害を防ぐ観点から、随時、効果的な方々を含めながら構成員の見直しを行ってまいります。
この発言だけを見る →先ほども申し上げたところでございますが、この重要インフラの分野の見直しに関しましては、委員御指摘のとおり、社会環境が変わってまいりますこの変化に柔軟に対応しながら、継続的に取り組むことにしてございます。当初、今のサイバーセキュリティ戦略本部ができる前、重要インフラは十分野でございました。三分野を追加をし、今年一分野を追加して、現在十四分野でございます。このような形で柔軟に対応していくということでございます。
それから、協議会の構成員でございますが、情報共有をより実効的なものにするために、随時積極的な情報共有に協力をいただける方、こういう方に御参加いただくことが不可欠であるというふうに考えてございます。協議会は、重要インフラ事業者からサイバー関連事業者等に限らず、協議会にとって必要と認められる方を構成員として適宜追加をできる仕組みにしてございます。実効的な情報共有によってサイバー攻撃による被害を防ぐ観点から、随時、効果的な方々を含めながら構成員の見直しを行ってまいります。