時事評論

急起直追:日本的網安策略

19 七月 , 2016  

國立中正大學巨量資料科技研究中心諮詢委員   林穎佑博士

相對於新加坡,日本是傳統的資訊大國,早在1999年就開始研議網安政策,但其在具體作為上卻是相對落後。由於日本的法規傾向較為保守,加上資訊化的程度相當高,便成為黑產業與資訊犯罪的溫床。特別是日本的資安人員多以「被駭客攻擊」為恥,經常低調處理資安事件,也不與同業分享情報,以致成為駭客眼中的肥羊,更是殭屍網路的跳板。根據日本政府資料,2013年內部網路遭受駭客攻擊的次數是2011年的八倍,而且攻擊對象擴展到關鍵基礎設施等。2015年10月,日本將針對國民正式核發社會保障卡,整合健康保險證、護理保險證和年金手冊相關的功能在同一張IC卡上,這也代表日本必須更加重視網安議題以確保個資。

日本在2005 年設立國家資訊安全中心 (National Information Security Center, NISC)與資訊安全政策委員會 (Information SecurityPolicy Council, ISPC),負責統籌制定關鍵資訊基礎建設防護之相關政策。2014年前,日本的網安政策其實是相當混亂的,這也與其內閣自2006年到2013年前頻繁的替換首相有關,以致於在資安管理政策上一直有著許多漏洞,直到2014年5月根據國家資安策略(National Security Strategy)內容發佈「關鍵資訊基礎建設保護政策(The Basic Policy of CIIP)」,日本的資安策略才開始逐漸步上軌道。

2014年11月,日本提升資安政策委員會層級,將原本由IT戰略總部管轄的資安政策會,提升為網路安全戰略總部並直屬內閣管轄,和其他IT戰略總部及國家安全諮詢委員會彼此協同作業。除了組織層級提升外,日本政府更透過法律規定,鼓勵資安事件都要主動通報給國家網路安全資安事件應變處理與戰略中心(NISC),透過法規的力量強制推動民間資安。主要法源依據來自於網路安全基本法(Basic Act on Cybersecurity),秘書處則由國家網路安全資安事件應變處理與戰略中心(NISC)負責,也擔任了日本資安事件的回報中心一職。此外,該法也直接的探討物聯網安全政策以及日本的資安人才培育計畫。

在人才培育計畫中,日本透過經濟產業省推動資安政策、資安事件回報系統、資安人員技術認證、J-CRAT、政府與民間合作的CTF競賽。文部科學省作為資安人才的培育推廣單位,並從小就開始推動網路道德教育(資訊道德指導綱要),為國小與國中學生設計提升資安認知的活動,如行動裝置的使用規範、資安意識的培養。而總務省舉辦固定的資安演習來達到演練的目的。2016年3月31日在首相官邸召開的「網路安全戰略總部」會議中,正式決定了擔負網路安全對策中樞職能的人才培養計畫。主要內容是預計未來4年內培養近千名專家,已應對2020年東京奧運會和殘障奧運會可能發生的網路攻擊應對態勢。會議中再次強調為培育資安人才日本政府將從2017年度起對資安人員還給予收入上的優待。計劃還要求政府各部門制定培養專案,設立「網路安全與資訊化審議官」一職以統管人才培養等工作。並由日本企業(包括FUJITSU、KDDI)合力資助舉辦世界級的駭客比賽,希望扭轉與其他國家的資安落差,以刺激更多資安人才出現。

日本固然是傳統的資訊大國,但是在資安策略的規劃上仍有待加強,特別是其資訊環境的高度便利,也成為網路犯罪的溫床,但在現行的日本法規中,對於網路犯罪的定義與偵辦仍有一定的難度。對我國來說資訊化的程度亦相當高,但在面對高度變化性的科技犯罪時,執法單位以及法律的適用性上是否能跟上犯罪的腳步,或許會是最大的挑戰。

, , ,

By



Recommended