省庁や独立行政法人の脆弱性、２４時間体制でチェック…内閣サイバーセキュリティセンター

　政府は７月から、内閣サイバーセキュリティセンター（ＮＩＳＣ）を通じ、各府省庁や独立行政法人などが活用するソフトウェアの弱点を常時点検する取り組みに乗り出す。弱点を速やかに検知する専用システムを導入し、対象機関に通知して必要な対策を促す。中国やロシアによる大規模なサイバー攻撃に対処する狙いがある。

　従来は、機器の弱点がメーカーから発表され次第、ＮＩＳＣが各機関にソフトウェアの更新などを促していた。今後は、ＮＩＳＣが新システムを活用し、２４時間体制で各機関のサーバーやメール、職員のパソコンなどを点検。更新されていないソフトウェアやセキュリティー機器、使用していない過去のホームページなどの弱点を探し出す。

　中央省庁に加え、宇宙航空研究開発機構（ ＪＡＸＡ （ジャクサ））や理化学研究所、日本年金機構などが点検の対象となる。弱点が見つかり、リスクがあるとの通知を受けた各機関は修正プログラムを適用するなどして、ＮＩＳＣに対応状況を報告する。

　政府は２０２２年１２月に改定した国家安全保障戦略に、「政府機関などの脅威対策やシステムの 脆弱 （ぜいじゃく）性を随時是正するための仕組みを構築する」と明記し、サイバー対策を強化する方針を示していた。ＮＩＳＣは今後、サイバー安全保障の司令塔を担う新組織へと発展的に改組される予定で、新システムの運用は将来的には新組織が担うことになる。

　近年、中国とロシアはサイバー犯罪組織を支援するなどして、各国に大規模なサイバー攻撃を仕掛けている。機器の弱点を突き、攻撃を仕掛ける手法が多い。ＪＡＸＡが昨年、サイバー攻撃を受けた問題でも、組織内ネットワークの弱点を突かれたとされる。新システム導入で、こうした攻撃への対応力強化につながると期待される。

　最近は機器のメーカーも把握していない未知の弱点を突くなど、攻撃手法の高度化が指摘される。政府は攻撃元のサーバーなどを無害化する「能動的サイバー防御」の導入に向けた検討も進めている。