官民連携が必須｢日本のセキュリティ｣の現在地 セキュリティ投資の推進企業には減税措置など

――政府機関のサイバーセキュリティレベルは今、高いと言えるのでしょうか。

今ではNISCを軸に政府機関のセキュリティレベルも上がってきています。また、これまでは攻撃に耐えることが中心でしたが、最近は国家安全保障戦略のもとアクティブ・サイバー・ディフェンス（能動的サイバー防御）の検討や政府内の体制強化も進められています。

これは攻撃側に対する抑止力として機能していくと考えています。自衛隊のサイバー防衛隊の規模も国際的にみて劣後しており、大きく増強する必要があります。

――現在、企業のサイバーセキュリティに対するニーズはどれくらいありますか。

ニーズは急速に上がっているように見えます。これまではシステムを城壁として攻撃側が入ってこられないようにする境界防御の考え方が中心でしたが、最近ではクラウドが浸透してきたことで、城壁という考えがなくなってきています。これからはクラウドを前提とした対策や端末単位でのセキュリティ対策を行うニーズがますます高まるでしょう。

また、企業ではサプライチェーンセキュリティの観点で、点から面への対策も欠かせませんし、デジタル化すればするほど攻撃対象も増えます。対策の中身は変わらないものの、目配りする領域が加速度的に広がってきていることは把握しておく必要があります。

――デジタル庁では約5割を民間採用するなど官民連携がなされています。民間側から国に求めるべきことや、協力すべきことにはどのようなものがありますか。

かつて私がNISCにいたときも多くの民間出身者と働いていました。なぜならセキュリティ対策のスキルは民間側にあるからです。官民連携していくことで、政府のスキルアップを図らなければなりません。また、電力や通信など民間企業の情報システムの勘所は役所ではわかりませんので、重要インフラを防御する際にどこに気をつければいいのかといった情報も共有していく必要があるでしょう。

さらに官民連携では、重大インシデントが発生した際に、なるべく早く情報を共有することが欠かせません。そのためISAC（Information Sharing and Analysis Center）という仕組みがあり、金融ISACや電力ISACなど企業間での情報共有等の連携を行っています。シーサート（CSIRT: Computer Security Incident Response Team）という、セキュリティインシデントに対処するための組織を設置する企業も増加してきており、欧米を含めて相互連携を拡充しています。

セキュリティ投資を行っている企業には一定の減税措置を