サイバー攻撃報告義務付け!さてどうする?
政府、情報セキュリティ政策会議にて、政府の設備調達契約時、情報安全対策を要件とする決定を行った。契約では、情報漏れ(及びそのリスクを認識した場合)の報告を義務付ける。
産業界も価値の連鎖。政府の契約条件は、政府と直接契約していなくても多くの企業は同等以上の体制を整備することが求められることになるだろう。
.*.
産業界はリスクまで報告するとなるとキリが無いから基準作りを明確にするように主張するだろうとするのは、ややピンボケだ。
政府が問題とする視点は;
先ず、情報漏えい。そこで問題となるのは、情報漏えいの有無を把握できる仕組みがあるのか。一切のアクセス監視、リアルタイムのログ解析。
次は、特記的なサイバー攻撃。特定の組織・団体、新しい手口、ターゲット情報。これらは、日本国を守るために必要な重要情報あり、タイムリーに報告されることが必要。攻撃を解析する技術が必要である。エリア・時間・メディアにまたがる超分散?会席が必要。しかもリアルタイム。自己学習型のセキュリティ監視サーバーを設置するのが安直か?
.*.