資安廠商Palo Alto日本副董事長兼安全長William Saito也同時擔任日本內閣府與總理大臣安倍晉三特別顧問(位階類似副部長),他日前來臺分享日本政府國家安全戰略與資安最佳實務時指出,從2014年11月後,日本政府提升負責資安政策委員會層級,將原本由IT戰略總部管轄的資安政策會,提升為網路安全戰略總部並直屬內閣管轄,和其他IT戰略總部及國家安全諮詢委員會彼此協同作業。
除了組織層級提升外,日本政府更透過法律規定,鼓勵資安事件都要主動通報給國家網路安全資安事件應變處理與戰略中心(NISC),這樣的通報鼓勵,將近一年下來也已經看到成效。William Saito表示,日本政府也於今年10月針對每個國民發行社會保障卡,類似臺灣的身分證,避免國民社會保障卡的卡號外洩,而這也是未來日本政府努力的方向。
日本政府提升負責資安戰略組織的層級
William Saito表示,現在已經從以往的冷戰時代(Cold War),轉變成程式碼戰爭時代(Code War),因為不知道敵人是誰,可能是組織犯罪份子、恐怖分子或由國家主導的網路攻擊者等,但可以確定的是,所有網路攻擊都可能對實體設備包含物聯網裝置(IoT)帶來損害。
而隨著中國與美國日前也一起面對面針對網路安全議題共同坐下協商的同時,日本政府之前也已經意識到,沒有網路安全就沒有國家安全也沒有經濟安全。他說:「日本政府從組織調整開始做起,並透過立法方式,鼓勵政府和民間企業之間落實資安資訊分享。」
在2014年11月之後,William Saito表示,日本政府首先將原本負責資安議題、並隸屬於IT戰略總部下的「資安政策委員會」先做組織層級的提升,成為一個直屬內閣的資安專責單位「網路安全戰略總部」,和負責日本政府IT戰略的「IT戰略總部」及負責國家安全的「國家安全諮詢委員會」的位階是平行的,彼此是相互協同作業。
他進一步解釋日本網路安全戰略總部的組織架構,總幹事由內閣官房長官(類似行政院秘書長)擔任,副總幹事由國務大臣擔任,成員包括:公安委員會主席、總務大臣、外務大臣、經濟產業大臣和國防大臣。
主要法源依據來自於網路安全基本法(Basic Act on Cybersecurity),祕書處則由國家網路安全資安事件應變處理與戰略中心(NISC)負責,擔任祕書處秘書長一職則是助理內閣官房長官。
William Saito指出,很多國家包含之前的日本,都將網路安全放在IT相關部門的管轄之下,但隨著網路安全議題的複雜多變,國家對於如何因應網路安全相關事件,已經到了必須有一個專責機構的時候了,所以,才先進行相關組織的層級調整。
此外,日本政府也藉由制定網路安全基本法,要求日本各部會如果發生任何網路安全事件,都必須第一時間通報到國家網路安全資安事件應變處理與戰略中心(NISC),即便很多單位並不願意這類網路安全相關的資安事件家醜外揚,但隨著法規的執行,過去一年來也的確收到成效。
像是今年6月,日本年金機構因為員工誤開有毒的電子郵件,導致125萬筆國民的年金相關個人資訊外洩。William Saito表示,在這起事件中,發生第一時間是周四傍晚,年金機構在周五委由專業人士進行調查後,隔周周一上班時間,就已經將所有的資安事件來龍去脈,全數回報給NISC知情,這也顯示,政府部門對於資安事件通報的意願大幅增加。他認為,隨著通報資安事件越顯常態時,這類問題就會像是處理颱風事件時,不必因為擔心受到懲處而不願意面對與回報。
日本10月核發國民社會保障卡,卡號將成關鍵個資
由於日本在今年10月,將針對國民正式核發社會保障卡,整合健康保險證、護理保險證和年金手冊相關的功能在同一張IC卡上,日本國民只需要使用這張社會保障卡,就可以在自家電腦中查詢相關的年金和醫療費用等資訊。由於這是日本有史以來第一次提供全日本國民單一的證號,並整合個人相關資訊在內,William Saito坦言,確保相關證號不外洩,已經是日本政府的當務之急。
他表示,日本內閣也將和世界經濟論壇在今年11月7~8日,於日本沖繩舉行國際網路安全會議(International Cyber Security Conference),會中將確定未來日本相關的資安戰略走向。