  |
はてなキーワード: NISCとは
先日、日本のサイバーセキュリティの司令塔である内閣サイバーセキュリティセンター(NISC=ニスク)の関係者に話を聞いたところ、「各省庁の調達時に、ある特定メーカーを名指しして排除はしていない」と言うのだ。さらに2020年12月に平井卓也デジタル改革担当相(当時)も記者会見で「我が国のこの申し合わせでは、特定の事業者とか機器を名指しで排除するような記載はしていません」と発言している。
「機会均等という観点で、調達にも特定の企業を排除するということはしないのが防衛省。さらに備品などもなるべく安く購入できるならそちらを選ぶこともあり、セキュリティがトッププライオリティになっていない現実がある」
さる自衛隊関係者も最近、「これだけ(スパイ疑惑が)言われているのに、職員に中国系のメーカーのノートパソコンが配られて唖然とした」と嘆いていた。
ロシアの例をとってもそうじゃん
https://togetter.com/li/1714221
高木浩光氏による「デジタル庁によるnote発信における問題点の指摘」が話題になっているが、この焦点となっている
「政府機関等の情報セキュリティ対策のための統一基準群」(通称:統一基準群)について、誤解を前提としたブコメがあまりに多いので簡単に概要説明。
あくまで「統一基準群って何?」という大前提についての話で、高木氏の指摘内容自体は説明しない。
●原本はここ
https://www.nisc.go.jp/active/general/kijun30.html
現在令和3年度版策定中なのでこれが現行。全文が公開されている。
「群」と言われている通り、規範-指針-基準及び基準策定ガイドライン、という階層構造の文書群。
専門家でなくても判るよう噛み砕いた文章にはなっているが、規定である以上正確性を担保した文章で、読み飛ばせないゆえに、全体理解には相当負荷のかかる文書群ではある。
但し無論根拠法は存在する。法律(サイバーセキュリティ基本法)において「国の行政機関等はサイバーセキュリティに関する対策の基準を作成しなければならない」と定められていて、「だったら個別に各機関で作るより統一基準を作ろう」という事で、内閣サイバーセキュリティ センター(NISC)が作成しているのがこの文書群。
中央省庁全てと国立行政法人の大半はこのセキュリティ基準を採用していて、ITシステムの導入/運用にあたっては、この基準を守らなければならないというルール。
なお法令ではない以上、破っても罰則があるわけではない。(法律上の義務も「基準の策定」であって「基準の遵守」ではない)
統一基準群は「基準策定ガイドライン」という文書が含まれているとおり、わりと大枠の基準。それなりの自由度が設定されていて、「これをベースラインとして現実的な対策/実要件はこの基準の範囲内で、各省庁(独法)で細部を定めてね」という主旨。
今回の件は(デジタル庁独自基準がどうなっていようと/例え実際のセキュリティ上の問題が無かろうとも)、そもそもこのベースラインの内容に反しているからダメなんじゃね?というのが高木氏の指摘。
膨大な文書であり、かつ行政文書にしてはしばしば改定される(セキュリティ対策なので当然の話)ので内容をきっちり把握している省庁の担当者は正直あまり多くない印象。
IT専門の部署でない部局が行うITシステムの調達では「セキュリティについては統一基準群に則ること」と仕様書に1行記載してすませる(=設計内容丸投げ)ケースも多い。
統一基準群に基づき独自の具体的基準をきっちり策定し、基準を順守した設計となっているか目を光らせている省庁部局となると非常に限られる。(もちろん厳しい所は厳しい)
セキュリティ基準の必要性は当然なのだが、ITシステムにおいて、何も言われなくても仕様書の一行に対し数百項目の対策リストを出してくるような、統一基準群と標準ガイドライン群(注)に代表される中央省庁独自規則に精通した技術者を抱える特定ベンダに(入札自体はオープンで公平であっても)発注が集中してしまう実状を生んでいる一因でもある。
近年は統一基準群も標準ガイドライン群も「クラウド・バイ・デフォルト」を原則として、外部SaaS等の利用を積極的に推奨する方向の規定にしているのだが、そもそも統一基準群を把握している担当者が少ない現状では、方針がそうなっていてもなかなか浸透しないのが実態かと思われる。
把握できてない以上意図してなくても本件のようなやらかしを踏み抜く可能性がつきまとうわけで(SaaS事業者は統一基準群を守れているか、なんて回答してくれない)、そこを恐れる実務者の気持ちは分からないでもない。
(注) 標準ガイドライン群
正式名称「デジタル・ガバメント推進標準ガイドライン」。セキュリティ面以外のIT利活用の指針文書群。こちらも膨大な文書群で、中央省庁のIT関連ルールにおいて把握が大変な点で統一基準群と双璧。
『ラブライブ!サンシャイン!!』とのタイアップについて
https://www.nisc.go.jp/security-site/month/lovelive.html
内閣サイバーセキュリティセンター(NISC)と『ラブライブ!サンシャイン!!』がタイアップ!
https://www.lovelive-anime.jp/uranohoshi/news.php?id=7339
税金が動くので何らかの公表があるはず。ここで官報の落札結果を見てみよう。
インターネット版官報 令和3年1月21日 政府調達(第13号) 落札者の公示
https://kanpou.npb.go.jp/20210121/20210121c00013/20210121c000130102f.html
"〇支出負担行為担当官 会計担当内閣参事官 齊藤 馨 (東京都千代田区永田町1ー6ー1)
◎調達機関番号 005 ◎所在地番号 13 ①73 ②2021年「サイバーセキュリティ月間」に係るイベントの企画・運営等を中心とした普及啓発に関する業務 一式 ③購入等 ④一般 ⑤2.11.13
⑥株式会社サンライズ(東京都杉並区上井草2ー44ー10)⑦29,700,000円 ⑧2. 9.17 ⑪総合評価"
「政府公認!!」とか鼻息荒くしてるオタクとか「今なら鬼滅だろ」とか願望語るオタクもいるけど、内閣府に選択権ないじゃん…
神奈川県警がまたやらかしてバズってるが、いくら警察を批判したり皮肉ったりしても警察組織には響かない。
なぜなら、批判や皮肉を無視しても、炎上したとしても、警察官やその上長の雇用が失われたり給料が減ることはないからだ。
今の警察官は仕事に対するモチベーションがある層は(組織の圧力に負けて)ほぼ消え去っており、日々ストレスなく過ごしていくのが最優先という人がスタンダードとなっている。この傾向は若年層の警察官ほど強い。
そうなっている原因は、なんと最近の婚活事情にあったりする。警察官は婚活で大人気であるが、その警察官ゲットに成功した女性が、その夫になった人に職務上の冒険を望まないからだ。嫁ブロックだ。
なので、いま警察をまともに出来る手段はない。解体したほうがマシである。
ネズミ捕りや事故処理などの自動車関連は、国交省でいいだろう。もしくはトヨタや日産ホンダなどの自動車メーカーに委託するか。
サイバー犯罪絡みは複数の省庁が凌ぎを削っているが、NISCを抱えている総務省が一番の適任か。
脱税とかのマネー犯罪絡みは財務省と金融庁の2か所が考えられる。
性犯罪は発生場所で管轄を分ける。例えば電車の痴漢については、鉄道会社に捜査権を委譲するのが良い。
残るのは殺人や暴行などの身体的犯罪への対処だが、この捜査権だけは警察庁に残し、あとの犯罪は他省庁に移管するか、民間委託するのが最適解と思われる
政府ドメインリスト https://cio.go.jp/domains にあるドメインを対象に、その下のページが何回はてなブックマークされたかのランキング。
このランキングの効用 - 政府サイトのどこを見れば面白いのかがわかるかも
