- 일본정부는 기업 등의 사이버 대책을 점검하는 정보보안 사업자의 신뢰성을 심사하는 새로운 제도를 검토. 중국을 비롯한 우려 국가로부터 부당한 영향을 받지 않았는지 심사하고, 안전성을 확인하여 정부 인증을 부여. 사업자를 통한 정보 유출 위험에 대응하겠다는 생각.
- 조만간 제도 설계 논의에 착수. 경제산업성의 ‘산업사이버보안연구회’ 산하에 작업부회(워킹그룹)를 구성해 검토 과제로 지정.
- 지난 5월에 상대방의 공격을 미연에 방지하는 ‘능동적 사이버 방어’ 도입을 위한 관련법이 통과. 국민 생활과 밀접한 중요 인프라 사업자에게 사이버 공격을 받았을 때의 피해 보고와 사용하는 IT 장비 등록도 의무화함.
- 법 시행에 따라 기업 등의 시스템 결함 및 취약점 점검, 사이버 대책의 조언 등 분야의 수요가 늘어날 전망. 공격을 받은 중요 인프라 관련 기업 자체뿐만 아니라 정보보안 사업자로부터의 유출 위험도 과제가 되고 있음.
- 새로운 심사 제도는 이들 사업자를 대상으로 할 방침. 신뢰성, 안전성을 인정받으면 정부가 해당 기업에 인증을 부여.
- 기업이 위탁할 때 판단 기준으로 삼을 수 있도록 하는 것. 정부 조달 입찰에서 인증받은 사업자만 대상으로 하는 운영안도 존재.
- 구체적인 심사 항목으로는 사업자가 거점을 둔 국가나 데이터를 보관하는 국가 등을 조사하는 것을 상정. 외국산 소프트웨어 사용 현황, 주주나 임원, 정보를 접하는 직원에 외국인이 있는지 여부도 확인할 전망.
- 현재도 독립행정법인 정보처리추진기구(IPA)의 ‘정보보안 서비스 심사 등록제도'가 존재. 모의 공격을 통해 시스템 침입이 가능한지 검증하는 등의 서비스가 경산성이 정한 요건에 부합하는지를 심사. 조건을 충족한 사업자 리스트를 참고하면 일정한 품질이 보장된 서비스를 찾을 수 있음.
- 다만 심사하는 것은 서비스의 품질이지 외국의 영향력 등 기업의 신뢰성을 확인하는 것은 아님. 사업자에 외국과 관계가 깊은 인물이 있으면 기업의 시스템 취약점 등이 파악될 위험이 존재. 해외에서 만든 프로그램을 통해 정보가 유출되는 경우도 생각할 수 있음.
- 자민당 경제안보추진본부의 고바야시 다카유키 본부장 등은 지난 6월 이시바 총리에게 “사업자 스스로 신뢰성을 확보할 필요가 있다”고 제안한 바 있음.