日本要用3大資安對策迎戰2020奧運會

去年夏天在里約舉辦的奧林匹克運動會剛結束，目光又聚焦到2020年的東京奧運上。而對網路犯罪者來說，夏季奧運的規模是其他活動都望塵莫及的，它將匯聚全球的運動狂熱者，更是每個國家都關注的運動盛事，也因此奧運輕易地成為網路犯罪份子的攻擊目標。

距離上次日本主辦奧運時隔56年，日本首相安倍晉三2015年在「網路安全戰略」草案制定之時就表示，政府在奧運上將全力阻止網路恐怖主義，以確保萬無一失。日本政府自從奧林匹克委員會宣布，由日本攬下2020年的主辦權後，也順勢推出一連串的資安策略，從政策面上直接重整網路安全的體質，更從3大方向著手進行防禦工作。

日本國家資訊安全中心（NISC）秘書長Mitsuaki ASHIDA日前來臺，在臺灣駭客年會上，發表日本因應2020年奧運的第一手資安策略。

他透露，日本在資安策略上，首重物聯網安全、保護關鍵資訊基礎建設以及人才培育，用3大策略力求穩健地執行奧運活動。

推動網路安全基本法，拉高資安層級與意識

日本自2005年即設有國家資訊安全中心（National Information Security Center，NISC）以及資訊安全政策委員會（Information Security Policy Council，ISPC），這兩者負制定資安相關的政策以及政府的年度資安規劃。兩者皆隸屬在IT戰略總部（IT Strategy Headquarter）之下。

不過，日本政府為了提升資安層級，在10年後，於2015年正式推動網路安全基本法（The Basic Act）。「網路安全基本法最主要的核心目標就是制定資安相關決策，指定由誰來負責，這些單位又要做哪些決策，將任務劃分清楚。」Mitsuaki ASHIDA說道，在網路安全基本法上路後，原本隸屬於IT戰略總部的NISC，改為直屬於內閣管轄，並將名稱增為：國家資安事件整備與戰略中心（National Center of Incident readiness and Strategy for Cybersecurity，縮寫同為NISC），成為一個獨立運作的內閣單位。

ISPC也轉成為網路安全戰略總部（Cybersecurity Strategy Headquarter），與IT戰略總部以及國家安全委員會（NSC）密切合作，並居中協調事務。總部的主掌人則是由內閣秘書長擔任。

除了組織上的調整，網路安全基本法也將網路安全戰略總部的權限大幅提升。在法案推動之前，所有網路資安的運行，要通過政府各單位的同意，並且採自律方式進行審核，無法準確落實。

現在則是強制各政府單位要向總部稟報資安相關問題，總部也會向各單位送出正式的資安建議。NISC則要協助各政府單位落實網路安全的審核，也要在發生重大資安事件時，第一時間介入調查，相較過去協助調查的角色，NISC權限可說提昇不少。

最重要的是，日本在網路資安策略的落實，有顯著的效益。過去資安策略只有綁定ISPC委員會成員，也無任何強制的執行力，但在網路安全基本法後，所有的網路資安策略是屬於內閣的命令，因此可以將權力拓展到各個政府單位。

2020年的網路安全戰略三對策：物聯網、關鍵基礎建設以及人才招募

在2015年5月揭示的日本網路安全戰略（Cybersecurity Strategy）草案中，強調要建立並發展一個公正、安全的網路空間，並且持續增強經濟與社會的活力，提供市民一個和平與安全的社會、維護國際和平等。其中也包含要求各單位協力，全力在2020年的東京奧運上展現成果。

而Mitsuaki ASHIDA強調，日本在2020年的奧運的資安建置上，有三大重點項目，分別是安全的物聯網（IoT）、保護關鍵資訊基礎建設（Critical Information Infrastructure Protection，CIIP）以及人才招募（Human Resource）。

他透露，現階段日本正在發展物聯網系統，在建置的過程必須考量安全性的問題。要促進物聯網安全，日本政府祭出多項規範與安全標準，包括要求廠商在研發物聯網功能時，要同等注重機密性、整合性、可用性以及安全性。也要求在資安事故發生時，有一套安全的備援措施，並且明訂事件發生後的責任歸屬。

與此同步進行的是調整公私部門的資安心態。Mitsuaki ASHIDA表示，要把資安是耗費「成本」的概念扭轉為是一種「投資」。並且要在高級管理階層散布資安管理的意識，鼓勵他們對市場公開他們的資安成果。更輔導公私部門之間的資安訊息分享。也藉此，建立起一個更優質、安全的商業環境。

第二個方向，則是要紮實地打下2020年奧運的資安防禦基礎，Mitsuaki ASHIDA表示，日本將2015年5月日本年金機構受到攻擊的事件視為一個警惕，並藉機進行資安教育。「去年年金機構遭駭，125萬的個人資料外洩，我們就藉此好好教育管理階層。」包括二方面的作法，分別是意外處理流程以及強化網路安全的系統。

在年金系統遭駭的事件中，政府發現處理程序不足夠面對這樣大規模的攻擊，而且資安系統無法即時的連網。為避免再度遭受類似的網路攻擊，政府特別強化事件處理流程以及風控能力。此外，在網路安全基本法中設下更高的網路安全的基本標準，讓各部門去遵循、優化自身系統。

而保護關鍵資訊基礎建設就是其中的重點環節，由NISC居中扮演公私部門統整的角色，「由NISC先定出13項優先鎖定的關鍵基礎建設。」Mitsuaki ASHIDA表示，在關鍵資訊基礎建設涉及5個公部門以及多個組織單位，維運人員必須共同合作，來維繫及保護基礎建設的安全，強化資訊的分享的能力，制定多元的資訊傳送格式，並且將事件依據嚴重程度進行分類。

此外，更要強化事件發生的反應速度（Incident Response，IR）、提高風險管理能力，這仰賴持續的訓練。最終就是要讓資訊基礎建設運行不墜，特別是2020年東京奧運勢必會面臨不少網路攻擊，日本希望可以即時處理並應對大型的網路攻擊事件。

最後一項關鍵項目，則是人才培育。2016年3月份，網路安全戰略總部基於日本復甦計畫以及網路安全戰略，制定了網路安全人才培育發展計畫，要在2017年3月有更詳盡的細節。主要是在政府、企業以及學界三者間培育並媒合資安人才。目標是建立起一個良善、人力供需平衡的生態圈。

除了改造管理階層人員的資安心態外，要設立一個人才與企業的中介層，中介者必須熟知網路安全領域以及市場，並且有能力將人才及企業媒合。

此外，更要從教育端著手，在明確知悉日本市場需要什麼類型的人才後，直接從大學教育的現場裡，建構網路安全教育的體系，來增強網路安全的知識能力。重點是，日本提倡實作能力，讓有興趣的人才可直接接觸網路安全攻擊，進而具備防禦的實戰經驗。

日本更打算在2017年3月設立資訊安全處理主管（Information Processing Security Assurance Assistance Officer），更發下豪語，要在2020年東京奧運前，培育出3萬名及格的網路安全人力。

「就像你在民間組織，上級主管說要拉高安全層級，下面的員工就會想盡辦法達標，現在日本就是由政府下達命令。」Mitsuaki ASHIDA表示，關鍵在於透過網路安全基本法的推動，將網路安全視為國家穩健發展的要項，也因此，才有辦法動員整個政府部門正視網路安全的議題，從而能夠將資安觀念落實到每個政府角落。

日本國家資訊安全中心秘書長Mitsuaki ASHIDA在臺灣駭客年會上，發表日本政府為了因應2020年的東京奧運，所做的一系列資安戰略。