2021-07-28 第204回国会 衆議院 内閣委員会 第34号
NISCでは、十四業種の重要インフラを中心に十分な対策を現在講じていることと存じますが、五輪開幕前後のサイバー攻撃の状況並びにセキュリティー体制、また五輪が閉幕した後もその体制を維持すべきと考えますが、その点についてお尋ねをいたします。
NISCでは、十四業種の重要インフラを中心に十分な対策を現在講じていることと存じますが、五輪開幕前後のサイバー攻撃の状況並びにセキュリティー体制、また五輪が閉幕した後もその体制を維持すべきと考えますが、その点についてお尋ねをいたします。
NISCにおいては、重要インフラ業種十四業種というのを定めて対策を講じてきているところでございます。 しかしながら、サイバー攻撃は著しく巧妙化しておりまして、サプライチェーンの脆弱なところから侵入して多くの企業を巻き込んだ被害を引き起こし、経済社会全体に影響を与えかねない、若しくは与えているという状況になってきているわけでございます。
そのため、総務省において検討を行いまして、提供する情報の充実や機能の重複排除等の観点から、当該プラットフォームについては昨年度末をもって運用を終了するとともに、令和三年度、本年度からは、NISCが運営する自治体を含む組織等がサイバーセキュリティーに関する脅威情報等を共有できるシステムであるJISPと言われるシステムに移行をいたしております。
現在のところ、公的機関においてはNISCが機能しているというふうにお聞きしておりますが、民間においては、中小企業を中心にシステムのやはり脆弱性指摘され続けておりまして、IPAによる中小企業の支援策も講じられているが十分ではないという認識です。この辺り、どのように人材確保をしていくのかも含めてお願いします。
特に、防衛省が苦労なすっているのは、当然安全保障の問題に直結するわけで、そういう意味で人材確保が非常に難しいことは間違いないんですが、NISCであるとかIPAであるとか、我々、それぞれセキュリティーに対して責任を持たなきゃいけないということでございますので、連携しながら、そして各国の機関とも調整しながら、そのセキュリティー人材を確保して有効に活用する方向を考えていかなければならないと考えています。
セールスフォース・ドットコムのクラウドサービス事案につきましては、本年一月二十九日にNISCから重要インフラ事業者等に対して注意喚起が発出されたことを受け、総務省としても、同日付けで地方公共団体情報システム機構を通じて地方公共団体に対して周知を行いました。
○国務大臣(平井卓也君) 今のNISCとデジタル庁の役割の整理ということがやっぱり重要だと思います。 昨年のデジタル社会の実現に向けた改革の基本方針において、具体的には、NISCが政府統一基準群を策定し、デジタル庁は、当該基準群を活用して、情報システムに関する整備方針においてサイバーセキュリティーについての基本的な方針を示して、その実装を推進すると。
そのために、デジタル庁としては、NISCとも連携して、情報システムに関する整備方針においてサイバーセキュリティーを含めた基本的な方針を示し、その実装を進めると。そして、デジタル庁にセキュリティーの専門チームを置いて、デジタル庁が整備、運用するシステムを中心に検証、監査をすることとしています。
大臣、これからデジタルガバメントということ、これからって、今もですけれども、その上で、先ほどNISCとの連携と、あるいは役割分担という答弁もありましたけれども、改めてこの教訓として今回の実態、どのように捉えておられますでしょうか。
その中でもこのセキュリティーというのはやっぱり非常に重要だと思っていて、デジタル庁は、NISCと連携しまして、情報システムに関する整備方針においてサイバーセキュリティーについての基本的な方針を示して、優秀なエンジニア人材等も採用してその実装を進めると。そして、デジタル庁にセキュリティーの専門チームを置いて検証、監査を実施するということにしています。
システムの開発段階からもう想定されるリスクがあって、それによって止まったりとか、そもそも、このままじゃ情報が漏えいしてしまうような仕組みを健康保険証とそれからマイナンバーカードの方は抱えていたということでありまして、多分、そのまま運用したら、その後、NISCさんは出てこられたんだろうと思いますけれども、データが漏れたということで、インシデントで。
デジタル庁におきましては、NISCとも緊密に連携をいたしまして、情報システムに関する整備方針においてサイバーセキュリティーを含めた基本方針というものを示すこととしております。
各国のインテリジェンス機関と情報を共有し、NSS、NISC、個人情報保護委員会、総務省、経済産業省等の関係機関が連携して、技術検証、情報収集、調査等を立入検査も含め行う仕組みをつくると明記させていただいております。是非進めていただきたいと思います。
ここのところでデジタル庁が、今回、共同システムについてデジタル庁が設計、開発まで見るということでもありますので、強化されるんだろうなというふうな思いはあるんですが、過去、例の年金、日本年金機構の百万件の流出問題を考えたときに、重々御承知のことと思いますが、NISCだけでは、原因究明のその調査の対象に中央省庁しかたしか入っていなくて、調査対象になっていなかったので、厚労省に対する注意喚起だけで終わってしまったというのが
続いて、NISCについてお聞きをしていきます。セキュリティー対策とNISCの役割ということであります。 当然、サイバーセキュリティー対策を含むセキュリティーの対策、最大の課題であるというふうに思っております。これからやっぱり省庁横断で、しかも全国的な情報ネットワークを構築していくというわけであります。
○国務大臣(平井卓也君) このNISCができたときのサイバーセキュリティ基本法、法的根拠を与える法律もこれ議員立法だったんですね。そのときのことも思い出して考えますと、NISCはNISCとしてのやっぱりミッションがあるなというふうに考えています。
平時にどう取り組むか、有事になったらどうするか、そしてそのために国民保護をどうするか、それぞれNISC、事態室、防衛省の取組をお伺いいたします。
○赤池誠章君 日頃から、NISC、そして有事になったときの政府全体での危機管理、そして防衛省・自衛隊は自衛隊という形の中で、当然、国民の保護ということがどうなっているのか気になるところであります。国民の保護の状況について、内閣官房からお聞かせ願いたいと思います。
ハイブリッド戦を含むサイバー攻撃への対処に当たっては、内閣サイバーセキュリティセンター、NISCと緊密に連携する必要があります。 電磁波は、指揮通信、警戒監視、情報収集、ミサイルの精密誘導等に利用され、近年では電磁波の利用への妨害手段などが増える中、電磁波領域における優越を確保するため、各種システム開発、導入を進める必要があります。
○足立委員 あと、内閣官房のNISCにもお越しをいただいています。 報道で拝見しているだけですが、加藤官房長官が先月二十九日の記者会見で、各省庁が機密性を有する情報をやり取りすることを一時停止するという報道があります。逆に言うと、機密性を有する情報を内閣官房なり内閣でLINEを使ってやり取りしていたなんということがあるんでしょうか。私はないと思うんですが、いかがでしょうか。
○平井国務大臣 金融機関のセキュリティーに関しては、まず一義的には金融庁そしてFISC、そしてその上にNISCというような形で見る。今朝も何か情報漏えいの新聞報道がありました。それぞれの所管官庁がまずはセキュリティーに関して大変厳しく見ていくということは、当然そうだと思います。
政府と自治体のLINEの利用状況の調査を行っていると思うんですけれども、その調査の状況はどうか、NISC及び総務省の方からお答えください。
そこで、行政機関の保有する個人情報保護については、内閣官房のサイバーセキュリティセンター、NISCが政府統一基準を作っているそうです、こういうふうにしてねと。その統一基準に、外国企業への委託、サーバーが外国にあること等についての基準というものがありますでしょうか。
○川内委員 各省ごとに基準を作ってねということなんですけれども、各省ごとの状況というのはNISCの方で把握していらっしゃるんでしょうか。
アメリカから言われていることもそうだし、NISCが言っていることも、まあまあ、ぼやかしているんですよね、多分わざとぼやかしていると思うんですが、これは多分、今回、LINEにかかわらずいろいろな日本の企業に関連をしてくることだと思いますが、平井大臣、今の議論を聞いて御所感があればお願いします。
サイバーセキュリティーの観点から、NISC、お願いします。
そこでまた、NISCに伺いたいと思いますが、今回、LINE社は、正当な業務として、ちょっとごめんなさい、LINE社というのは外します。正当な業務として、中国の委託先、一〇〇%子会社でもいいでしょう、そういう委託先から日本国内のサーバーへアクセスして業務を行うことはセキュリティー上の問題はあるのかどうか、伺います。
今後につきましては、まず、地方公共団体の利用実態を把握しながら、NISC等関係省庁とも連携しながら、適切に対応してまいりたいと考えております。
このような、広くサイバー空間に係る安全性、信頼性の確保、これは先ほど答弁がございましたが、この観点の取組につきましては、NISCは関係省庁と緊密に連携を図りながらデジタル化の中で進めていきたいというふうに思っております。 それからもう一つ、地方公共団体の情報セキュリティー対策でございます。
その上で伺いたいのが、情報セキュリティーという大きな概念についての確保については、NISCが中心と考えているんですね。NISCは、政府機関等の対策基準策定のためのガイドラインを規定されておられます。
早速質問に入りたいと思いますが、まず、NISCにお伺いします。 ISMAPの評価、登録を受けるために、クラウドサービスプロバイダーはサーバーを国内に置く必要がありますでしょうか、伺います。
その整備方針をつくるに当たっては、NISCとも連携をしながら、NISCで定めたもろもろのルールをそこに取り込むような形で統一的に進めてまいりたいと考えてございます。
なお、その旨を直ちに内閣サイバーセキュリティセンター、NISCへ連絡をし、外部との接続を切断するとともに、その事実を速やかに公表したところでございます。 現在、外部からの不正侵入の経路を詳細に把握するためのログ解析などを実施しているところでございます。
他方で、セキュリティー対策の手法は、NISCにおける監視とか対策といった活動を通じて毎年のように変わっていくものであって、情報システムの整備も最新のセキュリティー対策と連動させなければならないと考えています。
今般、防衛省が指定した秘密等の情報を取り扱う防衛関連企業に対する一連の不正アクセス事案が生起したことを踏まえまして、再発防止策の一環として、防衛関連企業から秘密等の情報に係る不正アクセス事案が報告された場合における防衛省内及び内閣官房のNISCを含む関係省庁等との間の速報体制等をより万全なものとするためのルールの改正を行ったところでございます。