各国のサイバーセキュリティレベルを測定する尺度とは

この記事をシェア

サイバー攻撃に国境はない。しかし現実世界には、はっきりとした国境がある。そのためセキュリティ対策も国家単位で実施されているのが現状だ。結果として、各国がどれほどのセキュリティ水準に達しているのかは、なかなか比較しにくい。はたして、何らかの共通の尺度はあるのだろうか。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

各国のサイバーセキュリティレベルを測定する尺度とは

国家のサイバーセキュリティについて議論する際には、さまざまな側面を検討する必要がある。例えば、その国で大規模なセキュリティ障害が起こった場合の対応能力、その地域の法制度、重要インフラの保護、他国との連携力、そして人々の間に浸透しているセキュリティ文化などを考える必要がある。

これは非常に複雑な問題であるが、ここではスケールの大きな取り組みについて議論する。ITの脅威と攻撃の数、頻度、そしてその影響が増大している現在、何らかの取り組みは必要不可欠だ。しかし、注視すべき活動を見極めること、そして、サイバーセキュリティ水準の向上・改善を目指す国の評価基準を決めることは、とても難しい。このような状況の中、どこから着手していくのがいいのだろうか。

GCAという基準

国際電気通信連合(ITU、国連の専門機関の一つで電波の国際規格の策定などを実施)が始めた取り組みの一つに「GCA」(Global Cybersecurity Agenda)というものがある。これは、情報セキュリティ分野における信頼と安全を強化することを目的とした国際的連携の枠組みである。

このGCAとは、実際の作業領域としても知られる5つの戦略的な柱の上に構築されている。この5つの戦略的な柱とは、「法的施策」「技術面・手続き面での施策」「組織構造」「キャパシティー構築」そして「国際連携」を指す。そして、これらを基にして、「GCI」(Global Cybersecurity Index)が作られている。GCIは、サイバーセキュリティの課題に対して各国がどれぐらい本気に取り組んでいるかを測定・評価することを目的としている。

GCIの初版は2013年に構築されたが、その後も継続的に更新され続けている。これにより、ITU加盟国のセキュリティに関連する様子を見極めようとしている。このインデックスの目的は、下記の要素を測定することにある。

  • 各国のサイバーセキュリティの整備体制の種類、水準、成熟度合い
  • 全世界規模での、全ての国のサイバーセキュリティの整備状況
  • 各地域における、サイバーセキュリティの整備状況
  • 各国のサイバーセキュリティへの取り組みの関与状況

GCIの守備範囲は広い。GCIは評価基準として機能することを目指しており、これにより、各国はサイバーセキュリティ分野における「危険領域」を特定できるようになる。同時にGCIは、各国が自身のGCI格付けや評価を改善しようとする際にある種のインセンティブ(動機付け)として機能する。また、このことは、各国のサイバーセキュリティ水準を連鎖的に向上させる効果がある。

サイバーセキュリティ水準はどのようにして決定されるのか

GCIは、24項目にわたるアンケートの結果に基づいて、以下の5つの分野に分けられている。

第1の分野では、調査書の回答国の法制度に関して質問している。例えば、不正アクセス、情報システムの悪用、通信傍受に関する法律が存在するか否かなどが問われている。

第2の分野では、技術的対策の有無について質問している。例えば、その国の事情に沿って設立されたCIRT、CSIRT、もしくはCERT(いずれも、Computer Security Incident Response Teamの略号)の有無などが聞かれている。

第3の分野は、組織体制面での施策に関するものであり、例えば、国家サイバーセキュリティ戦略の有無、サイバーセキュリティに関する国家機関の有無、もしくはサイバーセキュリティの成熟の度合いを測る指標の有無などが問われている。

第4の分野では、能力開発(キャパシティー・ビルディング)を評価しており、主に、標準化の観点から評価される。すなわち、サイバーセキュリティの規格策定を行うとともに実際にも適用されているかどうか、また、セキュリティ関連の研究開発への投資や、一般大衆のサイバーセキュリティ意識を高める広報活動を実施しているか否かなどが問われている。

最後の分野は、他国との連携施策に関する規定を評価する。例えば、2国間、多国間、もしくは国際的な協定などである。これは、国境を越え、かつ新たな技術を駆使する犯罪を調査する際に必要不可欠なものである。

サイバーセキュリティを評価可能にする指標化システムを持つことのメリット

こうして集められた情報から、GCIは各国がどのようにサイバーセキュリティ対策を実践していこうとしているのかを分析する。また同時にGCIにより、ある国でのサイバーセキュリティの実践事例が示されることになるため、それらは評価基準として利用される、もしくは別の国においてサイバーセキュリティを実施する際の出発点となる。

各国がこの情報を入手できることにより、各国は自国の状況に応じて必要な側面を適用・採用していくことができ、よりよいサイバーセキュリティ対策を実践・展開していくことができるのだ。これは全て国内に限ったものではなく、情報交換と連携を進めることにより、全世界的規模にて実現可能なものである。

こうした取り組みは間違いなく、関係各国のセキュリティ状況の理解の促進、サイバーセキュリティ文化の発展に寄与している。そして、情報その他の資産に対する保護は、全世界規模で、より一層、強化・改善されていくのである。

この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!