河西宏一
安全保障委員会
河西宏一の発言 (安全保障委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○河西委員 御答弁ありがとうございます。
旧基準では、水際対策、しっかり抑止をしていくということでありますが、新基準では、事案が起きた後の対処、安全保障でいえば対処力、そういったことにもきちっと対応を取っていくということでありまして、かなり対策の中身としてはジャンプアップをしていくというふうにも思っております。
実は、私自身も民間時代、ある法人の情報セキュリティー基準の策定ですとか、また、このセキュリティー対策は、重要なのは決まりだけではなくて、専門組織が不可欠になってまいります。その立ち上げに携わった経験があります。
当時のことも振り返りまして、新基準の手本となりました米国の171、拝見をいたしました。
例えば、インシデント対応には、これは和訳でありますけれども、準備、検知、分析、抑制、回復及びユーザー対応を含めて組織のシステムに運用状態のインシデント対応能力を確立をする、少し難しい表現でありますけれども、このようにあります。
加えまして、今長官がおっしゃった、起きた後、インシデントの追跡、また文書化をして、組織内外の指定された職員又は機関に報告をするということであります。やはり、こういった起きた後の対応をしていくためには、専門部署、これは必ず不可欠になってくるんだろうというふうに思います。
専門部署ということを考えますと、気になるのが、プライム企業はそれなりに多くの社員数がいますので、恐らく対応はできるんだろうというふうに思っております。ただ、ベンダー企業の、三次、四次とかその先に行きますと、中小企業の皆さんも多くいらっしゃいますので、人手に余力はございませんし、今、全産業、人材また人手不足、これは深刻な課題になっております。
さらに、加えまして、今後、新規参入ですね。今、スタートアップ企業の皆様の中でも、安全保障、しっかり防衛産業で頑張っていこう、あるいはデュアルユースで頑張っていこう、そういった高い意思を持たれている方も多くいらっしゃるというふうにも伺っております。ですので、新規参入となりますと、旧基準はもちろん、ISOすら対応していない中で、この新基準に今度は対応していく、こういった場合も発生をしてくるわけであります。
いずれにしましても、新たな附帯業務、附帯人材、そして附帯システムも発生をしてまいります。コストでいえば、イニシャルコストに加えて、ランニングコストが、もうずうっとかかってくるわけなんですね。
そこで、やはり気になるのは、財政措置だけで足りるんだろうかということであります。特に、防衛事業のみで成り立つ会社でない場合は、財政措置があったとしても、新基準で高度なセキュリティー対策が求められることを理由に、場合によっては防衛事業から撤退するベンダー、これはまあそうであってほしくないんですけれども、あるいは新規参入をためらうベンダーが出てくるのではないか、こういった可能性もあるんじゃないかということを、私も、直接現場に伺ったときに伺いました。
こういった御懸念につきまして、防衛省又は装備庁としてどのように認識し、また対応されていくのか、お伺いをしたいというふうに思っております。
旧基準では、水際対策、しっかり抑止をしていくということでありますが、新基準では、事案が起きた後の対処、安全保障でいえば対処力、そういったことにもきちっと対応を取っていくということでありまして、かなり対策の中身としてはジャンプアップをしていくというふうにも思っております。
実は、私自身も民間時代、ある法人の情報セキュリティー基準の策定ですとか、また、このセキュリティー対策は、重要なのは決まりだけではなくて、専門組織が不可欠になってまいります。その立ち上げに携わった経験があります。
当時のことも振り返りまして、新基準の手本となりました米国の171、拝見をいたしました。
例えば、インシデント対応には、これは和訳でありますけれども、準備、検知、分析、抑制、回復及びユーザー対応を含めて組織のシステムに運用状態のインシデント対応能力を確立をする、少し難しい表現でありますけれども、このようにあります。
加えまして、今長官がおっしゃった、起きた後、インシデントの追跡、また文書化をして、組織内外の指定された職員又は機関に報告をするということであります。やはり、こういった起きた後の対応をしていくためには、専門部署、これは必ず不可欠になってくるんだろうというふうに思います。
専門部署ということを考えますと、気になるのが、プライム企業はそれなりに多くの社員数がいますので、恐らく対応はできるんだろうというふうに思っております。ただ、ベンダー企業の、三次、四次とかその先に行きますと、中小企業の皆さんも多くいらっしゃいますので、人手に余力はございませんし、今、全産業、人材また人手不足、これは深刻な課題になっております。
さらに、加えまして、今後、新規参入ですね。今、スタートアップ企業の皆様の中でも、安全保障、しっかり防衛産業で頑張っていこう、あるいはデュアルユースで頑張っていこう、そういった高い意思を持たれている方も多くいらっしゃるというふうにも伺っております。ですので、新規参入となりますと、旧基準はもちろん、ISOすら対応していない中で、この新基準に今度は対応していく、こういった場合も発生をしてくるわけであります。
いずれにしましても、新たな附帯業務、附帯人材、そして附帯システムも発生をしてまいります。コストでいえば、イニシャルコストに加えて、ランニングコストが、もうずうっとかかってくるわけなんですね。
そこで、やはり気になるのは、財政措置だけで足りるんだろうかということであります。特に、防衛事業のみで成り立つ会社でない場合は、財政措置があったとしても、新基準で高度なセキュリティー対策が求められることを理由に、場合によっては防衛事業から撤退するベンダー、これはまあそうであってほしくないんですけれども、あるいは新規参入をためらうベンダーが出てくるのではないか、こういった可能性もあるんじゃないかということを、私も、直接現場に伺ったときに伺いました。
こういった御懸念につきまして、防衛省又は装備庁としてどのように認識し、また対応されていくのか、お伺いをしたいというふうに思っております。
発言情報
speech_id: 121103815X01020230421_026
発言者: 河西宏一
speaker_id: 20336
日付: 2023-04-21
院: 衆議院
会議名: 安全保障委員会