FFRIエンジニアブログ

株式会社FFRIセキュリティのエンジニアが執筆する技術者向けブログです

セキュリティエンジニアを目指す人に知っておいてほしい組織

はじめに

研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。

【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。

中央省庁

内閣サイバーセキュリティセンター [公式サイト]

通称は「NISC (ニスク)」です。2015 年 1 月、内閣に「サイバーセキュリティ戦略本部」が設置されたのと同時に、内閣官房に設置されました。行政各部の情報システムに対するサイバーセキュリティの確保を担当しています。

国内のセキュリティ関連の情勢を知るためにまずチェックすべき組織です。

公表可能なFFRIセキュリティの関わりとしては、サプライチェーンリスク対応のための技術検証体制構築のための調査があります(令和 2 年度調査結果概要令和 3 年度調査結果概要)。

内閣府 [公式サイト]

国政上の重要な政策について企画立案する内閣官房を助け、内閣官房の方針の具体的な企画立案や総合調整等を行う機関です。

セキュリティ関連のプロジェクトとして、科学技術・イノベーション推進事務局が推進する「戦略的イノベーション創造プログラム (SIP:エスアイピー)」の「重要インフラ等におけるサイバーセキュリティの確保」や「IoT 社会に対応したサイバー・フィジカル・セキュリティ」があります。 また、「経済安全保障重要技術育成プログラム (K Program)」において、「サプライチェーンセキュリティに関する不正機能検証技術の確立(ファームウェア・ソフトウェア)」の研究開発を推進しています。

公表可能なFFRIセキュリティの関わりとしては、「重要インフラ等におけるサイバーセキュリティの確保」において、「耐タンパーモジュール及び仮想耐タンパーモジュールを活用した真正性・完全性確認機能に対する脅威(例 環境の脆弱性)検査技術」の研究開発(研究開発成果集) があります。

警察庁 [公式サイト]

言わずと知れた警察を運営する庁です。サイバーセキュリティ関連の事案を扱う部署として、令和 4 年に「サイバー警察局」が設置されました。流行していると思われるサイバー犯罪の注意喚起や、ランサムウェアやフィッシングといった個別の事案の対策や、被害にあった場合の専用窓口の案内等をしています。

デジタル庁 [公式サイト]

デジタル社会のインフラ構築を使命とする庁です。所管の法人として、マイナンバーカードの発行やシステムの整備を担当する「地方公共団体情報システム機構 (J-LIS:ジェイリス)」があります。

セキュリティ関連の政策としては、「政府情報システムの管理等に係るサイバーセキュリティについての基本的な方針である「情報システムの整備及び管理の基本的な方針」」の策定や、ゼロトラスト・アーキテクチャや日本版 CDM の常時リスク診断・対処 (CRSA)について検討する「次世代セキュリティアーキテクチャ検討会」を開催しています。

総務省 [公式サイト]

情報通信の政策を担う省です。サイバーセキュリティに関連する組織として、官民連携によるセキュリティ対策の推進、不足する人材の育成、研究開発の推進、国際連携の推進などを担当する「サイバーセキュリティ統括官」があります。

サイバーセキュリティ統括官の取り組みとして、「ICT サイバーセキュリティ総合対策 2022」を取りまとめた「サイバーセキュリティタスクフォース」や、一般利用者や企業の情報セキュリティ担当者等に向けセキュリティ対策の基礎を解説する「国民のためのサイバーセキュリティサイト」などがあります。サイバーセキュリティタスクフォースは、社長の鵜飼が参画しています。

公安調査庁 [公式サイト]

公共の安全の確保を図ることを任務とした庁で、サイバー攻撃を含む国内外の情勢を収集・分析し、政府機関に 提供しています。「サイバー空間における脅威の概況2023」という、サイバーパンフレットを公開しています。

経済産業省 [公式サイト]

通称は「経産省」、METI (メティ) とも呼ばれます。読んで字のごとく、経済と産業を担う省です。

経済活動とセキュリティは切っても切れない関係です。サイバーセキュリティ政策として、情報セキュリティ監査制度や IT セキュリティ評価・認証制度等の運用、後述する関連機関の IPA を通じた「サイバーセキュリティ経営ガイドライン」「EC サイト構築・運用セキュリティガイドライン」といったガイドラインの公開等、様々な政策を担当しています。

FFRIセキュリティは、2021 年に経済産業省から公開された「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」の「【別冊1】脅威分析及びセキュリティ検証の詳細解説書」作成に関わっています。

防衛省 [公式サイト]

日本の国防を担う省です。防衛省が公開した「令和 4 年版防衛白書」では、「サイバー領域での対応」として、自衛隊サイバー防衛隊の新編や、高度な知識を持つ人材の育成・確保を挙げています。関連する活動として、「サイバーディフェンス連携協議会 (CDC)」の設置、関連庁の防衛装備庁による「防衛産業サイバーセキュリティ基準」の整備等を行っています。 また、2021 年から「防衛省サイバーコンテスト」と称した、オンラインでの CTF を実施しています。

公的機関

独立行政法人 情報処理推進機構 (IPA) [公式サイト]

通称は「IPA (アイピーエー)」です。情報処理技術者試験の運用元としてご存知の方も多いのではないでしょうか。発見されたウイルスや脆弱性の報告先であるほか、経済産業省のセキュリティ政策に関わる制度の実際の運用やガイドラインの作成、重要なセキュリティ情報の公開など、様々な活動をしています。セキュリティエンジニアが日頃お世話になっている組織です。

国立研究開発法人 情報通信研究機構 (NICT) [公式サイト]

通称は「NICT (ニクトではなくエヌアイシーティー)」です。情報通信分野を専門とする公的研究機関です。ダークネットで観測された通信の分析をしてカッコよく可視化している NICTER や、人材育成のためのハッカソン「SecHack 365」は、NICT の「サイバーセキュリティ研究所」が運営しています。他にも、IoT 機器の大規模調査「NOTICE」や実践的サイバー防御演習「CYDER」など、様々な研究や活動をしています。 公表可能なFFRIセキュリティの関わりとしては、不正接続先の定点観測システムを共同で研究し、「サイバー攻撃解析共有プラットフォームを用いた悪性サイトの継続的観測」として発表した論文があります。通称「Stargazer」です。NICT の成果物は名前もカッコいいですね。

国立研究開発法人 産業技術総合研究所 (AIST) [公式サイト]

通称は「産総研 (さんそうけん)」または「AIST (アイスト)」です。ボーカロイドやロボットの研究でご存じの方もいるでしょうか。セキュリティ系の研究センター「サイバーフィジカルセキュリティ研究センター」を有し、暗号技術やハードウェアのセキュリティ技術の研究等に取り組んでいます。

国立研究開発法人 新エネルギー・産業技術総合開発機構 (NEDO) [公式サイト]

通称は「NEDO (ネド)」です。エネルギーや産業技術分野における、民間での研究開発やその成果の利用の促進を目的とした組織です。前述の、内閣府が主導する SIP の管理法人として、運営を支援しています。

セキュリティ関連団体

特定非営利活動法人 日本セキュリティ監査協会 (JASA) [公式サイト]

通称は「JASA (ジャサ)」です。経済産業省のサイバーセキュリティ政策の 1 つである、「情報セキュリティサービス審査登録制度」の審査機関です。情報セキュリティサービスを提供する組織から登録申請があった場合に、経済産業省が公表している「情報セキュリティサービス基準」に適合しているかを審査します。適合していると判断されると、「情報セキュリティサービス台帳」に登録されます。対象となる情報セキュリティサービスは以下の 5 つです。

  • 情報セキュリティ監査サービス
  • 脆弱性診断サービス
  • デジタルフォレンジックサービス
  • セキュリティ監査・運用サービス
  • 機器検証サービス

審査のほか、ガイドライン等の整備や、監査人の育成もしています。なお、FFRIセキュリティは、「脆弱性診断サービス」の情報セキュリティサービス台帳に登録されています。

一般社団法人 日本サイバー犯罪対策センター (JC3) [公式サイト]

通称は「JC3 (ジェイシースリー)」です。企業、学術機関、警察庁それぞれが持つ情報を共有し、日本のサイバー空間を守ることを目的とした組織です。脅威情報として、主にインターネットバンキングを狙った攻撃や、悪質なショッピングサイトに関する情報が公開されています。FFRIセキュリティは賛助会員として参加しています。

サプライチェーン・サイバーセキュリティ・コンソーシアム (SC3) [公式サイト]

通称は「SC3 (エスシースリー)」です。中小企業を含む、サプライチェーン全体でのサイバーセキュリティ対策の推進を目的とした組織で、社長の鵜飼が運営委員として参画しています。特定の課題について専門ワーキング・グループ (WG) を設置しており、サイバーセキュリティ関連情報を発信している攻撃動向分析・対策 WG は、「経営に役立つサイバーセキュリティコンテンツ」「サプライチェーンにおけるサイバーセキュリティ対策の強化について」などのコンテンツを非会員向けにも公開しています。

ちなみに、JC3、SC3 と「C3」が付いていますが、JC3 は英語の正式名称「Japan Cybercrime Control Center」の 3 つの C の、SC3 は英語の正式名称「Supply-Chain Cybersecurity Consortium」の 3 つの C の略で意味が異なります。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) [公式サイト]

通称は「JPCERT/CC (ジェイピーサートシーシー)」です。シーシーを忘れないようにしましょう。国内のコンピュータセキュリティインシデントの報告先であり、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行っています。重大な脆弱性や特定のマルウェアの拡大等の注意喚起や、セキュアコーディングの資料の公開等の啓発活動も行っています。

一般財団法人 日本情報経済社会推進協会 (JIPDEC) [公式サイト]

略称は「JIPDEC (ジップデック)」です。プライバシーマーク制度の運用や、ISMS・ITSMS の普及活動をしています。

特定非営利活動法人 日本ネットワークセキュリティ協会 (JNSA) [公式サイト]

通称は「JNSA (ジェイエヌエスエー)」です。セキュリティベンダーの業界団体であり、セキュリティ全般に関わる企業の情報共有や啓発活動を行っています。セキュリティコンテスト「SECCON」や女性セキュリティエンジニアの集い「CTF for Girls」の事務局でもあります。FFRIセキュリティも会員になっており、理事 (丸山 yarai サービス本部副本部長) や幹事 (前田社長室長) を務めています。 情報セキュリティ教育事業者連絡会 (ISEPA)日本セキュリティオペレーション事業者協議会 (ISOG-J) など、さまざまな部会があり、精力的に活動しています。

一般社団法人 日本シーサート協議会 (NCA) [公式サイト]

通称は「NCA (エヌシーエー)」です。国内の様々な組織の CSIRT が加盟しており、情報共有やワーキンググループの活動が活発に行われています。なお、CSIRT はセキュリティインシデントに対応する組織のことで、「シーサート」と呼びます。これから企業や組織で CSIRT を構築する人向けに、CSIRT 構築ガイドを公開しています。FFRIセキュリティも加盟しています。ちなみにロゴはシーサーです。

一般社団法人 日本ネットワークインフォメーションセンター (JPNIC) [公式サイト]

通称は「JPNIC (ジェイピーニック)」です。IP アドレスを管理する国内唯一の組織であり、セキュリティとは直接関係はありませんが、毎年刊行される、インターネットの各種統計をまとめた「インターネット白書」は必読です。

海外機関

アメリカ

国立標準技術研究所 (NIST) [公式サイト]

通称は「NIST (ニスト)」です。米国の技術標準などを策定・研究している組織で、サイバーセキュリティ担当部署は「情報技術研究所 (ITL)」の「CSD (Computer Security Division)」です。セキュリティ関連のレポート「SP 800 シリーズ」や「FIPS」を公開しており、日本の各種ガイドラインも、こちらを参考に作られているものが多いです。

国家安全保障局 (NSA) [公式サイト]

通称は「NSA (エヌエスエー)」です。アメリカ国防総省の情報機関で、通信情報の収集・分類、暗号技術全般を取り扱っています。DES、AES、SHA-1、SELinux などの開発に関与しています。

国土安全保障省 (DHS) [公式サイト]

通称は「DHS (ディーエイチエス)」です。サイバーセキュリティを含む、あらゆる脅威から国土の安全を守るための省です。2001 年 9 月のアメリカ同時多発テロを受けて設置されました。後述するサイバーセキュリティ・社会基盤安全保障庁は、DHS の下位組織です。

サイバーセキュリティ・社会基盤安全保障庁 (CISA) [公式サイト]

通称は「CISA (シサ)」です。DHS の情報分析および社会基盤 (インフラ) の保護を担当する部署であり、政府の全てのレベルを横断したサイバーセキュリティの改善を使命としています。近年大きな問題となっている、サプライチェーンリスクの管理について研究するタスクフォース「INFORMATION AND COMMUNICATIONS TECHNOLOGY SUPPLY CHAIN RISK MANAGEMENT TASK FORCE (ICT-SCRM)」を設立しました。

【2023/06/30 追記】シーザ、シーサと呼ぶ人もいます。なお、公式 Youtube で読み方の動画が公開されています。

その他

欧州サイバーセキュリティ庁 (ENISA) [公式サイト]

通称は「ENISA (エニーサ)」です。欧州連合内におけるネットワークとサイバーセキュリティの改善を目的とした、欧州連合の専門機関です。EU 域内の個人データ保護を規定する法である「EU 一般データ保護規則 (GDPR)」のガイドライン「Handbook on Security of Personal Data Processing」を発行しています。

(英国)国家サイバーセキュリティセンター (NCSC) [公式サイト]

通称は「NCSC (エヌシーエスシー)」です。英国のサイバーセキュリティを担当する組織で、セキュリティインシデントの報告窓口や、企業のセキュリティ対策を審査する「Cyber Essentials」制度の運用をしています。また、クラウドやサプライチェーンのセキュリティに関するガイダンスなどを公開しています。

【2023/06/30 追記】米国にかつて設置されていた National Computer Security Center、また現行アメリカ合衆国国家情報長官室に設置されている National Counterintelligence and Security Center も、NCSC と略称されます。

おわりに

セキュリティエンジニアを目指す人に知っておいてほしい組織をまとめました。存在は知っていても、意外と読み方を知らない組織もあったのではないでしょうか。 なお、ここで挙げた国内の組織から公開されているセキュリティ関連の文書について、「2022年に公開されたセキュリティ関連文書まとめ」にまとめてありますので、こちらもぜひご一読ください。

エンジニア募集

FFRIセキュリティではサイバーセキュリティに関する興味関心を持つエンジニアを募集しています。 採用に関しては採用ページをご覧ください。