(和)サイバーセキュリティに関する能力向上プロジェクト
(英)Project on Capacity Building for Cyber Security in Vietnam
ベトナム社会主義共和国
2019年3月8日
ハノイ市、情報通信省
2019年6月26日から2021年11月25日
(和)情報通信省 情報セキュリティ局
(英)Ministry of Information Communication (MIC), Authority of Information Security(AIS)
サイバーセキュリティのリスクは急速に甚大化し、グローバルレベルのものとなっている。多くの国において、国家や重要インフラ(交通、エネルギー、医療、ファイナンス等)に対する「サイバー攻撃」が現実のものとなり、サイバーセキュリティの確保は、特にサイバー攻撃に対する十分な予防策がとられてこなかった途上国において国家的課題となっている。
ベトナム社会主義共和国においては、2014年からインシデントの数が急激に増加し、特に外部からの侵入やDoS/DDoS攻撃、APT攻撃(Advanced Persistent Threats)が増加している。また、政府機関や組織の情報システムには多くの脆弱性があり、サイバーセキュリティのリスクが大きいことが明らかになってきている。さらに、マルウェア感染の状況、特に悪意のあるソフトウェアの脅威は、年々増加し、特に、ソーシャルネットワークを介した被害が増大している。オンラインフィッシングも依然として蔓延しており、多くのユーザーが情報セキュリティへの過信と不注意から、経済的損失を被っている。個人情報漏洩も著しく、銀行・金融・電子商取引において、ユーザーに経済的損失をもたらしたインシデント数は増加している。
ベトナムでは、IT技術開発や利活用において政府、組織、個人が有する権利と責務を規定する「国家IT法」、及び、インターネット上の情報セキュリティ確保のための政令や省令が2007年に制定された。2010年には情報セキュリティに関する刑法が改正され、DDoS攻撃、ウイルスの意図的拡散、オンライン詐欺等の具体的な内容と罰則が規定され、国家として情報セキュリティ対策に注力している。サイバーセキュリティに係る国家戦略・計画も制定されており、2010年の「首相決定第63号」、および2016年の「首相決定第898号」では、ベトナム政府として2020年までに達成するサイバーセキュリティの諸目標、計画、組織体制などが規定されている。また2015年の「首相決定第893号」では、2020年までのサイバーセキュリティの伝達・普及・促進に関する目標や広報活動が規定されている。
AISは啓発活動、インシデント対応、サイバー攻撃防御などの運用を一定程度行うことができているが、今後もサイバー攻撃が増加することが予想される中で、政府のネットワーク監視、サイバー攻撃防御、インシデント対応機能の強化のためにはセキュリティ技術者のさらなる能力強化が重要な課題となっている。本事業は、ベトナム国において、サイバーセキュリティに関する品質管理・事前対応・事後対応能力強化にかかる支援を行うことにより、AISのサイバーセキュリティ対応能力の向上を図るものである。
ベトナム政府のサイバー攻撃耐性が向上する。
AISのサイバーセキュリティ能力が強化される。
1. セキュリティ品質管理能力が強化される。
2. 事後対応型サービス能力が強化される。
3. 事前対応型サービス能力が強化される。
1-1. SecBoKのフレームワークに定義された役割(ロール)のうち必要とされるものを明らかにする。
1-2. SecBoKのフレームワークに基づき、それぞれの職員のCDPを策定する。
1-3. SecBoKのフレームワークに定義された役割(ロール)のうち優先度の高いもの(例:CISO/最高情報セキュリティ責任者、コマンダー)の研修コースを計画する。
1-4. 研修を実施する。
1-5. CDPをレビューする(例:6ヶ月毎)。
1-6. 政策策定者に対する研修を計画・実施する。
1-7. 啓発教材を開発、ローカライズする。
2-1. SecBoKのフレームワークに定義された役割(ロール)のうち優先度の高いもの(例:インシデントマネジャー、インシデントハンドラー、トリアージ)の研修コースを計画する。
2-2. 研修を実施する。
2-3. CDPをレビューする(例:6ヶ月毎)。
2-4. 事後対応基幹設備(例:DDoS攻撃緩和)が拡張される。
3-1. SecBoKのフレームワークに定義された役割(ロール)のうち優先度の高いもの(例:リサーチャー、ソリューションアナリスト、脆弱性診断士、情報セキュリティ監査人)の研修コースを計画する。
3-2. 研修を実施する。
3-3. CDPをレビューする(例:6ヶ月毎)。
3-4. 事前対応基幹設備(例:ネットワーク監視)が拡張される。
1. 専門家(チーフアドバイザー、サイバーセキュリティ/業務調整、サイバーセキュリティ/キャリア開発計画)
2. 研修(現地研修、本邦研修)
3. 機材(サーバー、ネットワーク装置等、ソフトウェア等)
4. 調査団派遣
1. カウンターパート
2. 執務環境等