日本自2014年通過《網路安全基本法》後,賦予主管機關制定國家網路安全戰略之權責。因應國情與其他需求,日本戰略之目標以確保「自由、公正且安全之網路空間」為原則。自2015年公布第1期以來,每3年公布1次,於2018年與2021年陸續公布第2、3期。
日本自2014年通過《網路安全基本法》後,賦予主管機關制定國家網路安全戰略之權責。因應國情與其他需求,日本戰略之目標以確保「自由、公正且安全之網路空間」為原則。自2015年公布第1期以來,每3年公布1次,於2018年與2021年陸續公布第2、3期。
目前有效之2021年國家網路安全戰略,除延續確保「自由、公正且安全之網路空間」的基本原則外,亦在前2期(2015年與2018年)基礎上,規劃3大目標,包含:1.提高經濟社會活力與持續性發展,2.形塑國民安心舒適生活之數位社會,以及3.為國際社會之和平穩定與日本安全保障做出貢獻。
日本2023年網路安全戰略執行重點
有鑑於網際網路與其他科技應用,對網路安全帶來的威脅,已非以往透過單一防護之方式即可解決。
在此認知下,日本2021年戰略尚新增「Cybersecurity for All」之目標,除結合3大目標規劃相關配套外,為強化橫向聯繫與其他考量,還增加包含:1.研究開發、2.確保人才的培育與活躍,以及3.全員參與與普及啟發之措施,俾利落實。
除此之外,日本國家網路安全戰略由內閣之網路安全戰略本部制定;但該本部屬任務型編組之會議性質,約每季開會1次,故實際執行係由其他主務省或廳負責。
以2023年為例,日本網路安全戰略本部於7月召開第36次會議,會後公告5份文件,包含年度工作報告與次年度計畫、政府機關(構)網路安全統一規範與基準,及關鍵基礎設施網路安全標準制定指引等。
其中,攸關國家網路安全戰略之執行重點以《網路安全2023》為主。此文件除說明前一年度日本政府在網路安全相關舉措外,也說明2021年戰略之落實情形,以及本(2023)年度執行規劃重點;故文件內包含2022年度報告、2023年年度計畫,及各機關分工等具體內容。
為落實2021年戰略之後續執行,除持續強調前述3大目標,在《網路安全2023》內,規劃6項工作項目供本年推動,包含:強化中小企業網路安全防護、加強電信產業供應鏈之安全性、增進政府資通系統之防護能力、提升關鍵基礎設施之網路安全防護能力、深化印太地區夥伴國家之網路安全知識與能量;及藉由日本-美國-澳洲-印度之四方安全對話,以及防制勒索軟體之多邊會議架構進行合作,並分由經濟產業省、總務省、數位廳及外務省等負責執行。
又如《政府機關(構)網路安全統一規範》,共計3章24條條文,及1附則。此一規範重點計有:目的與適用對象(第1章第1至2條),如對象包含中央政府、獨立行政法人及指定之法人;政府機關(構)資訊安全對策之基本方針(第2章第3至14條),如要求建立管理制度、資產管理及風險評鑑與對策;政府機關(構)應採取之資訊安全基本措施(第3章第15至24條),如進行資訊評等、落實資訊生命週期管理等內容。 至於同次會議公告之《政府機關(構)網路安全統一基準》類似指引性質,提供具體內容,如機密性、完整性、可用性事例或其他控制措施之建議,予各機關參考。
從戰略執行重點外,還可以看到甚麼?
上開2023年7月會議內,除網路安全戰略之執行重點、或政府機關適用之《政府機關(構)網路安全統一規範》等文件外,值得產業注意的,應屬《關鍵基礎設施網路安全標準制定指引》。
其實日本政府為了強化關鍵基礎設施(CI)之防護,早已針對是類對象與其服務提供者(CIP),公布多次行動計畫。如為辦理2020年東京奧運,確保相關設施之安全性,於2017年公布關鍵基礎設施網路安全對策第4次行動計畫。其重點以確保關鍵基礎設施之功能不中斷,故要求CIP重視風險管理,並依相關安全防護標準落實執行。且除資訊(IT)安全,亦應強化工業控制系統(ICS或OT安全),及進行情資分享,以發揮聯防能量。
而經檢視2023年《關鍵基礎設施網路安全標準制定指引》之內容,則包含:制定目的、規範對象範圍,以及建議採取之控制措施,例如:建議強化關鍵基礎設施(CI)資安治理、訂定網路安全政策,以及加強內外部溝通機制;並建議應重視風險管理,如進行風險評估並搭配相應之管理作為。
小結
隨著網路科技影響人民生活日益,特別是5G與其他關鍵基礎設施還涉及供應鏈安全等,因此各國對於關鍵基礎設施之安全議題皆十分重視。如歐盟於2019年10月發布5G網路安全工具箱報告,用以協助評估供應鏈之風險。
且為了解各國實況,於2020年1月發布第1次進度報告,包含5G相關之網路安全風險評估與各國管制措施;並於2023年6月發表第2次進度報告。
在2023年之第2次進度報告,除更新自2020年迄今各國管制進度外,也建議各會員國在5G基礎設施上,應全面了解供應商資訊;在評估供應商風險時,應考量該工具箱提供之客觀標準;及對高風險之供應商,應立即施加限制以降低風險等。
對照歐盟與日本於本(2023)年陸續就關鍵基礎設施之安全,不斷強調風險管理與因應措施之重要性。此趨勢不僅在關鍵基礎設施,在人工智慧(AI)相關規範內也有類似發展。因惟有網路科技或ICT相關之產品或服務,具有一定之安全性,或落實其風險管理,始能降低科技可能帶來的影響或風險,也才有辦法建立人們對相關應用之信任。
<本文作者:陳宏志近年來專注在資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權領域,規劃區塊鏈或相關應用。>