報告書

平成 21 年度

経済的新興国（ BRICs ）における

情報セキュリティ政策の実施状況に関する調査

報告書

平成２２年３月

財団法人 未来工学研究所

目次

序章 調査研究の目的、内容、方法 ... 1

第１章 ブラジルの情報セキュリティ ... 3

１．１ 概況 ... 3

１．１．１ 概況... 3

１．１．２ 我が国の NISC に対応する機関 ... 4

１．２ 情報セキュリティ政策の整備状況 ... 4

１．２．１ 情報セキュリティに関する国家政策・基本政策 ... 4

１．２．２ 情報セキュリティの推進状況 ... 4

１．２．３ 情報セキュリティ政策の推進体制 ... 5

１．２．４ 情報セキュリティ政策推進のための法制度 ... 7

１．３ 情報セキュリティにおける連携体制 ... 8

１．３．１ 情報セキュリティ政策関連機関の連携状況 ... 8

１．３．２ 政府機関と民間企業との連携状況 ... 9

１．４ 重要インフラ防護のための取り組み ... 12

１．４．１ 重要インフラ保護、重要情報インフラ保護に対する取り組み状況 ... 12

１．４．２ 重要インフラ事業者に課さられる規制・適用 ... 13

１．４．３ 官民での情報共有体制および運用状況 ... 14

１．５ 課題 ... 14

第２章 ロシアの情報セキュリティ ... 15

２．１ 概況 ... 15

２．１．１ 概況... 15

２．１．２ 我が国の NISC に対応する機関 ... 17

２．２ 情報セキュリティ政策の整備状況 ... 18

２．２．１ 情報セキュリティに関する国家政策・基本政策 ... 18

２．２．２ 情報セキュリティ政策の推進体制 ... 21

２．２．３ 情報セキュリティの推進状況 ... 26

２．２．４ 情報セキュリティ政策推進のための法制度 ... 27

２．３ 情報セキュリティにおける連携体制 ... 34

２．３．１ 情報セキュリティ政策関連機関の連携状況 ... 34

２．３．２ 政府機関と民間企業との連携状況 ... 35

２．４ 重要インフラ防護のための取り組み ... 37

２．４．１ 重要インフラ保護に対する取り組み状況 ... 37

２．４．２ 重要インフラ事業者に課される規制・適用 ... 37

２．４．３ 官民での情報共有体制および運用状況 ... 38

２．５ 課題 ... 38

第３章 インドの情報セキュリティ ... 39

３．１ 概況 ... 39

３．１．１ 概況... 39

３．１．２ 我が国の NISC に対応する機関 ... 40

３．２ 情報セキュリティ政策の整備状況 ... 41

３．２．１ 情報セキュリティに関する国家政策・基本政策 ... 41

３．２．２ 情報セキュリティ政策の推進体制 ... 43

３．２．３情報セキュリティの推進状況 ... 47

３．２．４ 情報セキュリティ政策推進のための法制度 ... 48

３．３ 情報セキュリティにおける連携体制 ... 50

３．３．１ 情報セキュリティ政策関連機関の連携状況 ... 50

３．３．２ 政府機関と民間企業との連携状況 ... 54

３．４ 重要インフラ防護のための取り組み ... 55

３．４．１ 重要インフラ保護、重要情報インフラ保護に対する取り組み状況 ... 55

３．４．２ 重要インフラ事業者に課される規制・適用 ... 55

３．４．３ 官民での情報共有体制および運用状況 ... 56

３．５ 課題 ... 57

第４章 中国の情報セキュリティ ... 59

４．１ 概況 ... 59

４．１．１ 概況... 59

４．１．２ 我が国の NISC に対応する機関 ... 60

４．２ 情報セキュリティ政策の整備状況 ... 60

４．２．１ 情報セキュリティに関する国家政策・基本政策 ... 60

４．２．２ 情報セキュリティ政策の推進体制 ... 60

４．２．３ 情報セキュリティ政策の推進状況 ... 62

４．２．４ 情報セキュリティ政策推進のための法制度 ... 75

４．３ 情報セキュリティにおける連携体制 ... 75

４．３．１ 情報セキュリティ政策関連機関の連携状況 ... 75

４．３．２ 政府機関と民間企業との連携状況 ... 77

４．４ 重要インフラ防護のための取り組み ... 78

４．４．１ 重要インフラ保護、重要情報インフラ保護に対する取り組み状況 ... 78

４．４．２ 重要インフラ事業者に課される規制・適用 ... 82

４．４．３ 官民での情報共有体制および運用状況 ... 83

４．５ 課題 ... 83

第５章 経済的新興国（BRICs）の情報セキュリティの状況の総括および情報セキュリティにか

かわる米国等との関係など ... 84

参考資料編 ... 86

＜資料-1＞ブラジル サイバー犯罪法案英訳 ... 86

＜資料-2＞ロシア 情報セキュリティドクトリン 英訳版 ... 94

＜資料-3＞インド IT 法（AMENDMENT）2008 ... 128

＜資料-4＞中国 情報セキュリティに係る関係法・政策文書 ... 148

現地調査編 ... 156

＜資料-1＞インド インド研究者の問題認識について... 156

＜資料-2＞中国 中国の政策形成に影響ある情報セキュリティ研究者の最近の動向に関する

見解 ... 159

序章 調査研究の目的、内容、方法

１．調査目的

第二次情報セキュリティ基本計画（平成21年2月3日 情報セキュリティ政策会議決定）の

「情報セキュリティ分野における国際協調・貢献」の取組みを推進するために、経済的発展 が著しいブラジル、ロシア、インドおよび中国（所謂BRICs）を対象とした情報セキュリテ ィ政策とその実態に関する調査を行なう。当該諸国の取る政策や施策推進体制を把握するこ とは、国際協調の場において適切な情報交換を促進すること。また、詳細なファクター（技 術開発動向、重要インフラ防護、 SCADA等）において相手国の実態を把握することは、適切 な貢献活動について議論できることなどが期待される。そのため本調査においては、NISC が当該諸国との国際協調・貢献活動について検討に資することを目的とする。

２．調査内容

１）情報セキュリティ政策の整備状況に関する調査

①情報セキュリティ政策の推進体制と法制度

国家情報セキュリティ戦略や政策の推進方法および実施体制、法律やガイドライン、規 制等の整備主体および整備状況

②政府機関の情報セキュリティ対策の推進状況

国家情報セキュリティ戦略（National Security Strategy）の設定状況、政府機関のSOC

（Security Operation Center）の整備状況

２）情報セキュリティにおける連携体制に関する調査

①情報セキュリティ政策関連機関の連携状況

有事・平時の運用体制と指揮命令系統（民間企業、政府機関、研究機関、 CERT を含む）、

事案対処の枠組み、DDoS 攻撃発生時の対処タイムライン等

②情報セキュリティにおける政府機関と民間企業との連携状況

政府機関と民間機関の連携体制、産官学共同プロジェクト（DNSSEC やIPv6、 SecureOS 等）、

情報セキュリティ対策におけるマーケットメカニズムの導入、普及啓発の取り組み状況、

調達制度の活用

３）重要インフラ防護のための取り組み調査

①重要インフラ保護、重要情報インフラ保護に対する取り組み状況

重要インフラ事業者に課される規制や適用されるガイドライン、官民での情報共有体制

とその運用状況（CEPTOAR、ISAC 等）、コントロール制御システム・SCADA システム

等

３．調査方法

文献調査を中心として基礎的な情報の収集、整理を行った。また、中国・インド・ロシア は当研究所職員がヒアリング等の現地調査を行った。

調査研究担当者

稗田浩雄 技術国際関係研究センター 理事・センター長 加納明弘 技術国際関係研究センター 研究参与

光盛史郎 同上 主任研究員

高田浩司 同上 主任研究員

笠井 靖 同上 主任研究員

小泉 悠 同上 研究員

第１章 ブラジルの情報セキュリティ

１．１ 概況 １．１．１ 概況

ブラジルでは、2008年4月に全国ブロードバンド網整備計画における新たなユニバーサ ル・サービス化の目標を規定した大統領令が発布され、2010年12月までに全ての市役所にブ ロードバンド網を整備する計画である

。さらに、大統領令を受けて、政府と既存の固定通信 事業者は、 2010年までに都市部の公立学校を対象にブロードバンド環境を整備することに合

意し、 2025年までブロードバンド・アクセスを無料で提供する計画とするなど

、ネットワー

クサービスの拡充が積極的に図られているところである。

また、 2009年5月には、情報へのアクセスの権利を明確に規定する法案ドラフト「Article 19」

が大統領より議会に提出され、審議が行われている（個人情報の保護の観点からのセキュリ ティ条項が含まれている）。情報セキュリティに関する政策としては、2000年7月に制定さ れた「連邦政府における情報政策の保護」法案

において、基本的な目的と対象が示されてい

るほか、 National Defense Council議長の役割が規定されている。また、刑法に情報セキュリテ

ィに関する新たな犯罪を規定するサイバー犯罪法案が提案されていたが、2009年7月に議会 で否決された。

情報セキュリティ体制に関して、政策レベルでは 1995 年に設立された Brazilian Internet

Steering Committee（CGI.br）が政策や規制等を提案する役割を担っている

。また、CGI.br

の実行組織として Brazilian Network Information Center（NIC.br）が設置されており、インシ デント管理対応部門として CERT.br が置かれている。

なお、ブラジルについては、2007 年に起こった大規模な停電がコンピュータ・ハッカーに よるものだったと 2009 年 11 月 8 日（米国時間）に米国の報道番組で報じられたことから

、 ブラジルの情報セキュリティに関連した報道内容、分析報告、コメントなど数々の情報が米 国のシンクタンクやセキュリティ関連機関のサイトに掲載されている。ブラジル政府は否定 しているが、米国の情報セキュリティ問題の専門家は、あり得ることとしてその可能性を否 定していない

。公開情報が乏しく、事実関係の把握は困難であるが、重要インフラストラク チャに対する攻撃の可能性の観点から注目されるケースである。

1 2003

年

月に設定したユニバーサル・サービス化目標（

） （法令第

号）を修正するもの。

2

総務省「世界情報通信事情」より。http://g-ict.soumu.go.jp/country/brazil/index.html

3 Decree law No. 3505 “Protection of Information Policy in the Federal Administration”

4 Interministerial Ordinance No.147

に基づく。

5 2007

年にエスピリト・サント州で発生した大規模な停電について、米国

の報道番組がハッカーによ

るものだったと報じたが、ブラジル政府は送電設備が原因との調査結果を発表しハッカー説を否定（2009 年

月

日付

等） 。

6

米国家研究会議（NRC）

サイバーセキュリティ研究委員会研究部長への意見聴取による。

専門家の論文によると

のジム・ルイス上級研究員がサーバー攻撃説の先鋒であるため、ジム・ルイス

氏に見解を求めたが、コンタクトできなかった。

１．１．２ 我が国の

に対応する機関

ブラジルの連邦政府機関の情報セキュリティ政策を担う機関として、 1995 年に設置された

Brazilian Internet Steering Committee （CGI.br）がある。CGI.br はインターネットに関する政

策や施策の策定、技術及び運用に関わる標準の提案、インターネットの利用と発展に関する 勧告、ネットワーク及びサービスのセキュリティのための研究及び技術標準の促進などに責 任を担う組織である。必ずしも我が国の組織体系と一致するものではないが、その機能から NISC に対応する機関であると考えられる

（情報セキュリティ政策の全体的な推進体制につ

いては 1.2.3 項参照）。

１．２ 情報セキュリティ政策の整備状況

１．２．１ 情報セキュリティに関する国家政策・基本政策

2000年6月に制定された「連邦政府における情報政策の保護」法令（Decree 3505）で、基 本的な目的と対象が示されているほか、 National Defense Council議長の役割が規定されている

8

。また、その他、ブラジルの刑法（2000年改正）やSenate Bill PLS 00152 （1991）などにお いても、情報セキュリティに関する犯罪行為が規定されている

。

１．２．２ 情報セキュリティの推進状況

ブラジル議会では、より特化したサイバー犯罪法案についての議論が進められている。欧 州委員会のサイバー犯罪条約の影響を強く受けているとされ、 Eduardo Azeredo 上院議員が中 心となり議論が行われている模様である

。

概要でも示したようにブラジルでは全国ブロードバンド網整備計画が進められており、計 画が目指すサービスの拡充において情報セキュリティの確保は極めて重要な課題である。包 括的なサイバー法案についてはまだ議論が行われているところであるが、現行法のもとで官 民連携も含めた情報セキュリティ強化に向けた取組が行われているところである（官民協力 については後述する）。

7 CGI.br

の上位機関として

が置かれているが、情報セキュリティ分野だけを扱う

組織ではないようである。一部で保安庁との邦訳を使った資料も見られるが、統一的な邦訳名称は定まって いない。

8 Global Legal Information Network

参照。

9 INTERNATIONAL CIIP HANDBOOK 2008 / 2009

参照。

http://www.crn.ethz.ch/publications/crn_team/detail.cfm?id=90663

10

文献

と同じ

１．２．３ 情報セキュリティ政策の推進体制

ブラジルにおいて情報セキュリティ政策に関与する主要機関としては、上位機関として Institutional Security Cabinet （Gabinete de Seguranca Institucional ：GSI）

があり、その GSI の監督の下 Decree law No. 3505 に基づき 1995 年に情報セキュリティに直接的に関与する機 関として設置された Brazilian Internet Steering Committee （CGI.br）がある（2003 年 3 月に

Presidential Decree No.4829 で改変されている）。CGI.br は、連邦政府の情報セキュリティ政

策を担う機関であり、実行機関として CGI.br の下に非営利の民間組織 Brazilian Network

Information Center （NIC.br）が設置されている（図 1.1 参照）。

図1.1 CERT.brおよびNIC.brの組織体系（CERT.br資料より）

11 http://dsic.planalto.gov.br/legislacaocgsi

以下に、主要機関の概要を示す。

１）Brazilian Internet Steering Committee （CGI.br）

GSI の監督の下で連邦政府機関の情報セキュリティ政策、調整を担う機関である。具体的 な役割は以下の通りである。

・インターネットに関する政策や施策の提案

・技術及び運用に関わる標準の提案

・インターネットの利用と発展に関する勧告

・ネットワーク及びサービスのセキュリティのための研究及び技術標準の促進

・IP の割り当ての調整及び＜.br＞を使ったドメインネームの登録

・指標や統計を含む情報の収集、整理、配布

CGI.br は、国内のインターネット運営及び開発に重要な領域において、GTER – ネットワ

ークエンジニアリング; GTS -コンピュータセキュリティ; GTRH - 人材トレーニングなどの ワーキング・グループや複数のプロジェクトも管理している。

２）Brazilian Network Information Center （NIC.br）

CGI.br の実行機関として設立された非営利の民間組織である。図 1.1 に示すような CGI.br

配下の以下に挙げる各機関と活動の調整を行う。

① Registro.br

ドメインネーム登録、＜.br＞ドメインの管理・発行する。

② CERT.br（Brazilian Computer Emergency Response Team）

ブラジルのコンピュータ緊急事態対策チーム。

③ CEPTRO.br（Center of Study and Research for Network and Operational Technologies）

インターネット利用の技術的品質の改善やイノベーションに関する研究、ネットワーク 技術に関する人材開発などを行う。

④ CETIC.br（Center of Studies on Information and Communication Technologies）

インターネットの利用や有用性に関する指標や統計の作成を行う。

⑤ W3C.br（World Wide Web Consortium）

ブラジル国内のポルトガル語コミュニティの交流促進を行う。

⑥ Antispam.br

エンドユーザやネットワーク管理者にスパムに関する情報を提供するとともに、スパム

の防護、対抗措置を検討する。

３）その他の政府系関連組織

通信省、経済開発工業通信省、科学技術省、国防省等

４）民間企業等

・ISP 関連

LACNIC（Latin America and Caribbean IP address Regional Registry）、iG（ブラジル最大の ISP）

・IT 企業

BRASSCOM（ブラジル IT･情報通信企業協会）、POLITEC（ポリテック） 、Produban（サン

タンデールグループの IT 企業）等

LACNIC は南米地域の組織に対して、IP アドレスや AS 番号の割当業務を実施する地域イ

ンターネット登録機関（RIR）。ポリテックは、ブラジル大手のシステムインテグレータであ り、三菱商事と資本・業務提携を結ぶ関係にある。Produban はスペイン系大手銀行サンタン デールグループの IT 企業であり Security Operation Center （SOC）を設置

している。

１．２．４ 情報セキュリティ政策推進のための法制度

1.2.1項に示したように、情報セキュリティに関する法制度としては、2000年7月に制定さ れた「連邦政府における情報政策の保護」法がある。また、刑法に情報セキュリティに関す る新たな犯罪（コンピュータ・ネットワーク、通信機器、情報システムなどへの不正アクセ ス等）を規定するサイバー犯罪法案（法案の英訳版は巻末資料に添付）が提案されていたが、

2009年7月に議会で否決された。否決された理由として、犯罪構成要素が曖昧で範囲も広く、

些細なことでも犯罪とみなされ刑事罰が適用される可能性があるなど、インターネット利用 の自由を縛る危険があるという意見が主流のようである

。

全般的な情報通信サービスの促進に関わる政策として、ブロードバンド全国整備に向けた 大統領令（第6.424号）が2008年4月に発布されている。この大統領令は、情報通信基盤整備 のためのユニバーサル・サービス化目標を規定した2003年の大統領令（第4.769号）を修正す るもので、2010年までに全ての市役所にブロードバンド網を整備するとともに、2010年まで に都市部の公立学校にブロードバンド網を構築し、 2025年まで無料でサービスを提供する計 画である。

12

同社の

を率いる

氏は本年

月にワシントン

にパネルメンバーとして参加するなど国際的発言力を有している。略歴は以下参照。

http://www.visasecuritysummit.com/bios/AlvaroTeofilo.pdf

13

電子フロンティア財団, 2009 年

月

日付リリース。

１．３ 情報セキュリティにおける連携体制

１．３．１ 情報セキュリティ政策関連機関の連携状況

1.2.3 項で示したように、政策レベルでブラジルの情報セキュリティを統治する役割を果

たしているのは Brazilian Internet Steering Committee （CGI.br）である。CGI.br は政府機関、

バックボーンオペレータ、サービスプロバイダ、ユーザ、学術界、及び通信省、科学技術省 などの 21 機関からなるメンバーで構成されており、政策上必要な連携が図られる体制とな っている。構成機関は以下の通りである

。



連邦政府機関（9 機関の代表者）



科学技術省



通信省



大統領府官房長



国防省



開発・商工省



企画・予算・運営省



国家電気通信庁



国家科学技術開発審議会（CNPq）



National Forum of Estate Science and Technology Secretaries



民間代表（4 機関の代表者）



インターネット・サービス・プロバイダー



通信インフラプロバイダ



ハードウェア及びソフトウェア産業



一般ビジネスユーザ



第三セクタ（4 機関の代表者）



科学技術コミュニティ（3 機関の代表者）



インターネット専門家コミュニティ（1 名）

CGI.br の下には、実行機関として非営利の民間組織 Brazilian Network Information Center

（NIC.br）が設置され、 CERT.br など関連機関と連携するほか、 GTER - Network Engineering

、 GTS - Computer Security

、GTRH - Trainning of Human Resources

という 3 つのワーキング・

グループの運営やプロジェクトの調整活動等を行っている。

14 GCI WEB

情報より（

） 。邦訳は駐日ブラジル大使館及び在京ブラジル総 領事館

ページに基づく（http://www.brasemb.or.jp/politics/federal.php および

http://www.consbrasil.org/consulado/np/index.htm

） 。

15 http://www.cnpq.br/

16 http://gter.nic.br/

17 http://gts.nic.br/

18 http://www.cgi.br/english/index.htm

（

ホームページ）

また、国際的な連携も進めており、APCERT

、 TF-CSIRT、 EGC

、GCC-CERT

、FiRST

といった既存の協力枠組とも連携を図っている。

１．３．２ 政府機関と民間企業との連携状況

ブラジルにおける政府‐民間連携を担う中核的機関は、電気通信庁（Anatel－the federal telecommunications regulatory body）、Serpro （the federal data processing service）、および CERT.br （the Computer Emergency Response Team Brazil） である

。電気通信庁（Anatel）

は通信事業の規制、監督、新たなモデルづくり等を担い、 Serpro は連邦政府所有 IT サービス プロバイダや政府イントラネットの運用を、また CERT.br はインシデント対応における調 整・支援の役割を担っている（図 1.2 参照）。以下に各機関の主な業務・連携状況を示す。

図1.2 官民連携の中核機関と業務連携図 １）Anatel

ブラジルでは1990年代にラテン・アメリカ諸国に押し寄せた民営化の波を受けて、1998年 にブラジル国営通信会社Telebrásが民営化（8つの携帯電話会社、3つの地方電話会社、1つの 長距離電話会社に12分割）されたが、Anatelは同社の民営化とその後のブラジルにおける通 信事業の規制、監督、新たなモデルづくりを主な役割として設立された。現在は、Anatelの 監督下で政府と民間の協力関係をいかに進めるかということが議論されており、情報セキュ リティにおける規制機関と民間の協力が課題となっている

。

19 http://www.apcert.org/

20 http://www.egc-group.org/

21 http://www.ict.gov.qa/output/page752.asp

22 http://www.first.org/

23 CIIP HANDBOOK 2008 / 2009. Country Surveys “Brazil”

参照。

24

文献

と同じ。

Anatel

Serpro CERT.br

通信事業の規制、監督、

新たなモデルづくり

連邦政府所有

サービスプロバ イダ、政府イントラネット運用

インシデント対応にお ける調整・支援

連携

２）Serpro

Serproは、ブラジル連邦政府が保有する IT サービスプロバイダである。ブラジル連邦政 府の数千のITシステムをサポートするとともに、政府のIPベースの巨大なイントラネットを 運用している。情報セキュリティに関して、Federal Government s Information Security Committee（CGSI）やCERT.brと連携を図っている。

３）CERT.br

情報セキュリティインシデントの対応において政府レベルで調整・支援を担う中核組織と して1997年に設立された。組織体制を図1.3に示す。

図

の組織と活動内容（

資料より一部和訳したもの）

インシデント 対応

ト レ ー ニ ン グ ・ 意識向上

ネットワーク・

モニタリング -調整

-促進 -支援 -統計

-コース -ﾌﾟﾚｾﾞﾝﾃｰｼｮﾝ -資料 -会合

-ハニーポット の配布 -スパムポット

ブラジル国内のインシデント対応に関する官民組織体制を図1.4に示す。

図

ブラジルにおけるインシデント対応官民組織体制（

資料より一部和訳したもの）

CERT.brの調整により政府、民間、アカデミック等各セクタのComputer Security Incident Response Teams（CSIRTs）関連機関同士で連携が図られる体制となっている。（実際のイン シデント対応において、どの程度連携体制が機能しているかについては、十分な根拠情報が 得られておらず判断できない。ブラジルの通信事業に詳しい日本の現地関連企業によると、

必ずしも全体的な統括機能が確立されているとは言えないようである。）

国家責務

金融セクタ

通信/ISP

学術研究 ネットワー ク 政府ネット

アウトソー シング

サンパウロ リオデジャネイロ ブラジリア

ナタール ウベルランジア ベロオリゾンテ

サン・ジョゼドス・カンポス

カンピーナス ポルトアレグレ

１．４ 重要インフラ防護のための取り組み

１．４．１ 重要インフラ保護、重要情報インフラ保護に対する取り組み状況

ブラジルにおいて重要インフラ保護で主要な役割を担っている政府機関は、5頁で前述の GSIである。ブラジル政府は、重要インフラについて公式に定義していないものの、少なく とも以下の7つの分野が非公式に重要分野とみなされている

。



公共の安全（Public Safety）



エネルギー（Energy）



金融（Finance）



輸送システム（Transport Systems）



水道（Water Supply）



公衆衛生（Public Health）



通信（Telecommunications）

ブラジルでは 2007 年から、通信分野の重要インフラストラクチャを対象とした 2 カ年プ ログラムを開始した。プログラムの目的は、ブラジルの通信インフラストラクチャの重要箇 所の特定、インシデント防止のための提言、インシデントが発生した際のサービスの保証及 び事業の継続、戦略及び政策の検討、異なるインフラ同士の相互依存性解析などである

。 プログラムは、Anatel、CPqD

（情報通信分野の民間研究開発組織）、FUNTTEL

（情報通 信技術開発のための基金）によって進められている。

また、ブラジルにおける重要インフラストラクチャを特定するための取組の一つとして、

Anatel が提案し用いている手法 Methodology for Critical Infrastructure Identification（MI

C）が 活用されている

。 MI

C は、 IEEE が 2005 年に開催した重要インフラストラクチャ防護に関 する国際ワークショップにおいて発表されたモデルのひとつであり、当該国の社会、政治、

経済的観点を考慮し、正確に重要インフラのどの部分が重要とみなし得るのかを特定するた めの手法である。発表ではモデルケースとしてブラジルの例が取り上げられた

。

25 INTERNATIONAL CIIP HANDBOOK 2008 / 2009において、専門家からの情報として7つの分野が非公式に

重要分野とみなされていることが記述されている。 同HANDBOOK“Critical Sectors”の項参照。

26 2007

年

月

日付

http://www.itu.int/ituweblogs/treg/Brazil+Critical+Telecommunication+Infrastructure+Protection+Project.aspx

27 http://www.cpqd.com.br/

28 http://www.finep.gov.br/fundos_setoriais/funttel/funttel_ini.asp

29 INTERNATIONAL CIIP HANDBOOK 2008 / 2009

30 http://www.computer.org/portal/web/csdl/doi/10.1109/IWCIP.2005.7

参照。

＜注目される事例＞（重要インフラストラクチャへのサイバー攻撃の可能性）

2007年にブラジルで起こった大規模な停電がコンピュータ・ハッカーによるものだったと 2009年11月8日、米国の報道番組で報じられ関心を集めているが、ブラジル政府はこれを否 定している。政府は1年以上かけた調査の結果、停電の原因は、電力会社が2本の送電線にあ る高圧インシュレーター

の管理を怠ったことで引き起こされたものだとしている。また米 国の報道番組では、2005年の1月にリオデジャネイロの北部で起こった、小規模な停電もハ ッカーらが引き起こしたという。米国以外の国で少なくとも1件の停電がハッカーたちによ って引き起こされたという報告は、昨年、米中央情報局（CIA）のサイバーセキュリティ部 門最高責任者Tom Donahue氏が発言（発生した国や詳細は触れなかった）したことでも注目 を集めた。また2009年5月、オバマ大統領も講演で、 「他の国ではサイバー攻撃によって大規 模な停電が起こった」と述べている

（Donahue氏と同様に国名を挙げてはいない）

。

米国家研究会議（NRC） Dr. Herbert S. Linサイバーセキュリティ研究委員会研究部長は、当 研究所のインタビューに対し、情報を持ち合わせているわけではないと前置きした上で、ブ ラジルの停電の原因について、サイバー攻撃の可能性はあり得ると述べている。

１．４．２ 重要インフラ事業者に課さられる規制・適用

2010年1月28日に公表されたMcAfeeのレポート”In the Crossfire - Critical Infrastructure in the Age of Cyber War”は、アンケート調査の結果として、法規制が厳しくなって整備されつつあ るにもかかわらず、3 分の1 を超える37％のIT 責任者は、自分たちの業界のセキュリティ がこの12 カ月で以前より脆弱になった、と述べており、5 分の2 はこの1 年のうちに業界 内で大きなセキュリティトラブルが起こる、と予測している

。また、半数以上を占める55％

の回答者が、自国の法律は、潜在的なサイバー攻撃の抑止に対して不十分と考えており、ロ シア、メキシコ、ブラジルでは特に懐疑的な見方が目立ったとしている。回答者の45％は、

専門機関も攻撃を防護あるいは阻止することができないと考えているとの結果であった。

ブラジルにおいては、1.2.4項で示したように「連邦政府における情報政策の保護」法案が あるものの、増大するリスクに対応し得る法整備が進んでいるとは言えない状況である。し かし、新たなサイバー犯罪法案などの動きに対しては、インターネットへの自由なアクセス が阻害されるといった理由から非常に保守的である。前述のようにブラジルで発生した大停 電がハッカーによるものだったとの見方もあるなか、重要インフラ防護における国際協力の 観点からも法整備の進展が注目されるところである。

31

電線を送電塔，電柱などの支持物と絶縁するために用いられる器具。

32

サイバー攻撃に備えるためにもスマートグリッドを構築すべきであるという主張が行なわれている。

33 2009

年

月

日付

など。

34 McAfee

が依頼し戦略国際問題研究所（

）がまとめたもの。世界各国の基幹インフラ企業で

セキ

ュリティを担当する経営幹部

人に調査した結果が示されている。

１．４．３ 官民での情報共有体制および運用状況

1.3.2 項で示したように、電気通信庁（Anatel）の監督のもとで Serpro や CERT.br が連携し

つつ官民の情報共有なども進めているが、政府と民間の協力のためのメカニズムをいかに構 築するかということは、重要な課題となっている。

１．５ 課題

ブラジル国内における情報セキュリティ体制については、これまでに述べたように一定の 組織体制や政策に関する議論が行われているものの、日本国内のインターネット・サービ ス・プロバイダーの取り扱う電子メール件数のうち迷惑メールが占める割合は、7割を超え る状況にあるなかで、ブラジルが主要な迷惑メールの送信国の一つになっていると指摘され ており（図1.5参照）

、国内対策を進めると同時に、国際的な連携体制の強化が喫緊の課題 のひとつとなっている。これらの課題に対して具体的な取組も始まっており、日本データ通 信協会とJPCERTコーディネーションセンター（JPCERT/CC）は2010年1月に、ブラジルのコ ンピュータセキュリティ問題の調整機関「CERT.br」と、迷惑メール対策で提携すると発表 した

。この提携により、日本とブラジルとの二国間で送受信される迷惑メールの流量の減 少が期待される。

（フィッシング詐欺の発生件数もさることながら、ブラジルにあるサーバーにフィッシング サイトがホスティングされていることも以前から問題視されていた

。）

図

日本へ到着する迷惑メール発信国の推移

（迷惑メール対策推進協議会「迷惑メール対策ハンドブック

」より）

35

「 迷 惑 メ ー ル 対 策 ハ ン ド ブ ッ ク

http://www.dekyo.or.jp/soudan/anti_spam/report.html#hb

36 2010

年

月

日付 日本データ通信協会、JPCERT コーディネーションセンター報道発表資料。

http://www.jpcert.or.jp/press/2010/PR20100108_brz.pdf

37 The Anti-Phishing Working Group 2007 APWG General Members Meeting eCrime Researchers Summit

報告書

（フィッシング対策協議会

より閲覧可能）http://www.antiphishing.jp/report/200803-apwg-114.pdf

第２章 ロシアの情報セキュリティ

２．１ 概況

２．１．１ 概況

元国家保安委員会（KGB）の暗号技術者が創立した世界的な情報セキュリティ企業「カ スペルスキー」で知られるように、情報セキュリティの技術大国であるロシアは情報化社会 の発展のほかに、サイバー戦争への対応強化という安全保障上の観点の両面から対策強化が 必要とされ、法制の整備や緊急対応施策の実施など具体的な施策が講じられており、これら を包括する国防ドクトリン

が 2010 年 2 月に発布された。

すでにエストニア、グルジアへのロシアからと見られるサイバー攻撃

などが活発化して いる。ロシアからのサイバー攻撃は専門家の間では最も強力なものとみられており、中国か らのサイバー攻撃といわれるものの幾つかはロシアからなされたものという専門家の見方 が多数を占めている。 14 カ国 7 業種の重要インフラ事業者がロシア、中国、米国からのサイ バー攻撃に関する警戒について示す実態は、CSIS（戦略国際問題研究所）の技術・公共政策 グループが実施した調査

について McAfee が発行した報告書に記載されている。

図

攻撃を警戒している外国として米国、中国、ロシアを挙げた割合

（

のレポート

より）

38

米国でよく用いる定義である。

39 DDoS

攻撃が主体

40

重要インフラ関係企業の

セキュリティ担当責任者を対象にアンケート調査を実施し、

か国、

業 種の

人から匿名で回答あったもの。

「ロシアからのサイバー攻撃」に対する警戒が高い国は、サウジア

ラビア

中東、ドイツ、英国、フランス、インドなどの国である。特

にサウジアラビア

中東でロシアに対する警戒が中国よりも高く突出

していることが注目される。

一方、ロシア自身に対する攻撃の懸念も高まっている。連邦保安庁が公表した統計によれ ば、政府機関に対するコンピュータ攻撃は、2006-08年までの3年間に70％以上も増加してい る（図2.2を参照）

。また、後述するように、企業や教育機関に対する攻撃回数も高い水準 で推移している。

図2.2 政府情報データへのサイバー攻撃の推移

（「情報セキュリティ・フォーラム2008」における連邦保安庁通信安全保障局副局長の発表資料より）

こうした状況に対し、連邦保安庁傘下の防諜局（СКР）に情報セキュリティ・センターが 置かれているが、活動の詳細等については委託調査の期間中には得られなかった。

ロシアでは政府機関のインターネットネットワーク（Russian Government Internet

Network：RGIN）が構築され、アトラスというデジタル通信システムを用いた高効率で安全 な政府機関ネットワークが維持・運営されており、連邦保安庁のネットワーク情報局がこの 運営を行っている模様である

。ロシア国内のサイバーセキュリティ状況についてロシアは 関係省庁や一部民間重要インフラ運営企業が加わった省庁間連絡会議が設けられて情報共 有が進められているほか、『情報安全保障ドクトリン』を初めとする法制整備など一部の領 域では着々と進んでいるが、全体としてはテロの脅威に対する国内治安状況などを包括的に 見ると、十分であるとはいえない。

カフカス地方の武装勢力を中心とする国内治安問題

は、 2010年3月のモスクワ地下鉄連続 爆破事件のほか2006年9月のポルゴグラード州のパイプライン爆破、 2007年8月ノブゴロド州 旅客列車爆破、10月サマラ州バス爆破、12月スタブロポリ地方でのバス爆破、2008年11月モ

41 RU-CERT

が中心となってモスクワで開催したフォーラム「情報セキュリティ・フォーラム

る連邦保安庁通信安全保障局副局長の発表資料より。

А.М. Ивашко,О вопросах реагирования на компьютерные инциденты в государственных органах РФ,

<http://www.cert.ru/ru/news_20081107.shtml>

42

解放軍報『信息安全己被ロシア政府納入国家安全戦略』

年

月

日など

43

『国際テロリズム要覧 2009』公安調査庁

スクワ寺院爆破などと連続して発生し治安問題に政府は苦心している。

また、ロシアでは、2000 年代に旧ソ連諸国で起こった一連の政権交代（いわゆる「カラー 革命」）を、西側の情報機関による陰謀と見る見方が強く、後述する安全保障政策文書でも、

外国の情報機関による政権転覆への懸念が強く打ち出されている。

テロなどで情報セキュリティを道具として使用する傾向が高まってきており、以上のよう な治安の問題に直面しているロシアの内外に対する脅威認識から、ロシアの情報セキュリテ ィ政策は、防諜・情報戦としての政策を強く持っているのが特徴である。 2010 年春の情報セ キュリティに関する国際会議（米ロなどの政府機関のほか、インドやドイツ、日本など諸国 の研究者も参加した）では、政治的・軍事的な情報戦を最大の脅威であると考えるロシアに 対し、アメリカやドイツは、ロシアを発信源とするサイバー犯罪（クレジットカードの暗証 番号の盗難、名簿の流出など）のほうが重要であるとして、見解の相違が明らかになった

。 ロシアにおいて個人情報保護などの面における法制度・監督官庁の整備が始まったのは比較 的最近であり、実効的な施策には依然として遅れが見られる。

２．１．２ 我が国の

に対応する機関

情報安全保障に関する省庁間委員会では、省庁間の合意形成や調整が行われて図られてお り、政府全体の情報セキュリティを統括する組織と考えられる。情報安全保障に関する省庁 間委員会の事務局は大統領府安全保障会議の事務局が兼任して行っており、実際は安全保障 会議事務局の内部部局である情報安全保障問題局が担当していると見られる。そのため、

NISC に対応する機関としては、実質的な担当である大統領府安全保障会議事務局の情報安 全保障問題局であると考えられる。

なお、本稿を理解する上での前提として、ロシアの政治機構について簡単に触れる。

ロシアの最高指導者は大統領であり、数千人規模のスタッフ機構（大統領府）を抱える。

また、ロシア全土を 7 つに区分した連邦管区の長（連邦管区全権代表）を指名する権限を持 ち、各地域に対する統率力も持つ。情報セキュリティを含む安全保障政策も大統領の管轄事 項であり、大統領を議長とする安全保障会議（後述）を中心に策定されている。

一方、内閣は基本的に経済指導機関であるが、首相も安全保障会議のメンバーであること から、安全保障政策にも一定の権限を有している。特に、現在のパトルシェフ安全保障会議 書記やヌルガリイェフ内務大臣、ボルトニコフ連邦保安庁長官など、安保関連の高官はいず れも連邦保安庁に関連の深い人物が多く、プーチン首相の非公式な影響力は大きいと考えら れる。

44 “Cybercrime Needs to be Top Priority, Says Obama Aide,” Technology Review, 2010

２．２ 情報セキュリティ政策の整備状況

２．２．１ 情報セキュリティに関する国家政策・基本政策

主要なものは以下の文書が挙げられる。その概要については逐次述べる。

ロシアの安全保障政策全体を規定しているのは、2009 年 5 月に公表された『2020 年まで の国家安全保障戦略』 （以下、 『安全保障戦略』）である

。同文書は、軍事・経済・社会など の広範な領域にわたる安全保障政策を包括的に示したものであるが、この中での情報分野の 扱いはあまり大きくない。具体的な言及としては、第 2 章第 2 節「国益確保におけるネガテ ィブな要素」の一つとして、「ハイテク分野での違法行為」が挙げられているだけである。

また、この『安全保障戦略』の下位ドクトリンとして定められた『軍事ドクトリン』では

46

、「軍事的危険」のひとつとして情報インフラの無力化に触れているほか

、現代戦の特徴 として「情報対抗手段」の役割が高まりつつあることを指摘している。後者の「情報対抗手 段」が何を指しているかは明確にされていないが、米英中など各国の複数の戦略研究機関の 分析や、米国が実施しているサイバー防御演習で扱われた攻撃手法についての演習を行って いることなどから考えて、敵国のコンピュータに対するサイバー攻撃などを想定していると 考えられよう

。

一方、個別的に情報分野を規定した政策文書としては、安全保障会議の策定した各種の 政策文書のほか、情報保護（個人情報保護を含む）について定めた一連の連邦法がある。

45 Стратегия национальной безопасности Российской Федерации до 2020 года,（2009

年

月

日、大統領令

号により承認）

46 Военная доктрина Российской Федерации,（2010

年

月

日承認）

<http://www.scrf.gov.ru/documents/33.html>

47

なお、 「軍事的危険」とは、本ドクトリンで初めて採用された概念で、 「特定の状況下で軍事的脅威になり うるもの」と定義されている。

48 2008

年

月のグルジア紛争において、ロシア軍はグルジア政府等のホームページに対してサイバー攻撃

を実施したとされる。事実であるとすれば、これは、世界初の正規軍間のサイバー戦であった。

表2.3 情報セキュリティに関係する法制や政策文書等

・『国家安全保障概念』（2000）

・『情報安全保障ドクトリン』（

）

・『情報化社会発展戦略』（

）

・『情報安全保障の研究開発における優先的問題』（2008）章立てのみ公表

・『情報安全保障の研究開発における基本的方向性』（

）章立てのみ公表

・『2020 年までの国家安全保障戦略』（2009）

『国家安全保障概念』（ 2000 ）の後継文書。現在の安全保障政策の最上位となるドクトリン。国益確 保における負要因としてハイテク分野での違法行為が挙げられているが、具体的な施策につい ての言及されていない。

・『軍事ドクトリン』（

）

「軍事的危険」の項において、情報インフラの無力化に言及しているほか、現代戦の特徴として

「情報対抗手段」の役割の高まりに言及している。また、ロシア軍発展の課題として、陸海空の

各軍事組織共通の情報センターを設立することを言及している。

以下、それぞれの主な内容をまとめた。

１）『情報安全保障ドクトリン』

『情報安全保障ドクトリン』は、同年 2000 年に公表された『国家（ロシア連邦）安全保障 概念』 （前述した『安全保障戦略』の前の文書）の関連文書として策定された。その内容は、

情報産業の振興から諜報の分野に至るまで幅広く及んでおり、情報分野の基本的な政策指針 として位置付けられているものと考えられる

。同文書中における、情報保護に関する箇所 の概要は以下の通り。

① 情報分野における国益について第 1 章第 1 節に記載されている。

② 情報分野における脅威および脅威の源泉について以下に記載されている。

脅威（第 1 章第 2 節）

脅威の源泉（第 1 章第 3 節）

③ 優先課題について第 1 章第４節に記載されておりその概要は次の通り。

『情報安全保障ドクトリン』では、情報保護に関して一定の法制度の整備（次で述べる連邦 法『情報、情報技術、情報保護に関する法律』など）が進んだことを評価しつつも、依然と して法制度や保安機関による情報保護体制には不備があると指摘している（第 1 章第 4 節）。

具体的には、自国の情報産業の立ち遅れによって外国製情報機器の購入が常態化している ため、これらの機器が「情報兵器」として国家、社会、個人の情報保護を脅かす可能性があ るが、それらの防衛に必要な省庁間の連携や資金が不足している、などの点が挙げられてい る。したがって、本ドクトリンにおいては、特に外国の情報機関によるインテリジェンス活 動が脅威視されているといえよう

。

④ 施策については第 2 章でふれている。

 法的分野：

 組織・技術的分野：

 経済分野：

 政治・軍事・保安分野：国内または外国の組織が情報インフラ・情報市場を独占する

ことを阻止する仕組みの形成、ロシアの内政・外交に関する欺瞞情報を流布すること の阻止、コンピュータを使用する軍事機器への認証（既存のものも含む）、特別に防護 された犯罪・統計データベースの構築、専門家の養成と質の向上等。

49 Доктрина информационной безопасности Российской Федерации,

（

年

月

日、大統領令

号 により承認）<http://www.scrf.gov.ru/documents/5.html>

50

『安全保障概念』そのものは、 『安全保障戦略』の登場によって失効したが、 『情報安全保障ドクトリン』

は依然有効である。ただし、

年前に策定されたまま改訂されていないことから、最新の状況への対応 は、 『情報化社会発展戦略』や『情報、情報技術、情報保護に関する法律』が担っていると考えられる。

51

本ドクトリンが制定された当時、

の東方拡大やユーゴスラヴィア空爆などを巡り、 ロシアの対

関係は「冷戦後最悪」と呼ばれる状態まで落ち込んでいた。このため、 『安全保障ドクトリン』は西側に

対して強硬な態度を示しているほか、 『情報安全保障ドクトリン』でも西側によるインテリジェンス活動

の危険性が繰り返し指摘されている。

２）『情報化社会発展戦略』

2008 年に制定された『情報化社会発展戦略』は、情報化が今後のロシアの経済・社会的発 展に不可欠であるとの認識（第 1 章）のもとに、ロシア社会全体の情報化を包括的に定めた 文書である。情報安全保障もこの文書がカバーする範囲であり、典拠法典のひとつとして前 述の『情報安全保障ドクトリン』を挙げている（第 2 章） 。

また、第 3 章「情報化社会の目的・課題・原則」では、 「ロシアの国益を脅かす目的で情報・

通信技術が利用される可能性に対抗すること」や「情報分野における国家安全保障の実現」

が謳われている。



情報化社会発展に関する施策として社会や経済の発展、IT 技術の発展など 8 項目が挙 げられており、その第 8 番目として情報保護への取り組みが記載されている。ただし、

内容は『情報安全保障ドクトリン』の要約に近いもので、『情報安全保障ドクトリン』

が制定された 2000 年から、大きな変化は見られない。

３）連邦法『情報、情報技術、情報保護に関する法律』

連邦法『情報、情報技術、情報保護に関する法律』は、 1995 年に策定された連邦法『情報、

情報化、情報保護に関する法律』を引き継ぐ形で 2006 年に制定された。同法における情報 保護についての規定（第 16 条「情報保護」）は以下の通り。



情報保護の定義：情報の違法アクセス等違法活動阻止、情報へのアクセス権保障、秘 密情報保護など。



情報の保有者

および運用者

の義務：6 項目が記載されている。

詳細は２．２．４情報セキュリティ政策推進のための法制度を参照のこと

４）連邦法『個人情報に関する法律』

上記の『情報、情報技術、情報保護に関する法律』とともに制定されたもので、個人情報 の取り扱いについて定めている。

52 Стратегия развития информационного общества в Российской Федерации,（2008

年

月

日、大統領令

号により承認）

53

正式な名称は『情報、情報技術、情報保護について』であるが、本報告書では『情報、情報技術、情報保 護に関する法律』と標記を改めた。

（

年

月

日）

54

「情報の保有者」とは、 「独立して情報を作り出したり、法的根拠に基づいて情報へのアクセスをコントロ ールしたりできる人物」を指す（同法第

条）

55

同じく、 「情報利用装置を含む情報システムの運用を行う個人または法人格」

56

元の名前は『個人情報について』であるが、本報告書では『個人情報に関する法律』と標記を改めた。

N 152-ФЗ, О персональных данных,（2006年7月27日）

< http://www.minkomsvjaz.ru/.cmsc/upload/docs/200910/0908278yK.doc>

２．２．２ 情報セキュリティ政策の推進体制

ロシアにおける情報安全保障は大統領以下、安全保障関係者と密接に関与しており、情報 安全保障に関する省庁間委員会が構成されて、省庁間の合意形成を図っている。そのメンバ ーは次官級であり、次ページの表に示す。委員会の委員長は安全保障会議補佐官がつとめ、

副委員長は情報技術・通信省次官と連邦保安庁副長官が務める。なお書記は安全保障会議事 務局長が就任している。

情報セキュリティという性格上、情報通信技術の専門を扱う情報技術・通信省と、インテ リジェンスや保秘の専門機関である連邦保安庁が副委員長を分け合っている。

重要インフラを運営する主体は銀行における民間部分を別として大半は国や有力国営企 業によって担われているために一部は省庁間委員会に加わり情報共有を図っている。

表

情報安全保障に関する省庁間委員会メンバー

参 加 者 委 員 会 に お け る 役 職

　 安 全 保 障 会 議 補 佐 官 　 委 員 長

　 ロ ス イ ン フ ォ ル テ フ ノ ロ ギ イ 会 長 　 （ 民 間 ） 　 上 院 情 報 技 術 政 策 委 員 会 メ ン バ ー 　 任 意 参 加 　 中 央 銀 行 第 一 副 頭 取

　 教 育 ・ 科 学 省 次 官 　 運 輸 次 官

　 経 済 発 展 貿 易 省 次 官 　 内 務 次 官

　 国 家 非 常 事 態 省 次 官 　 外 務 次 官

　 法 務 次 官

　 文 化 ・ マ ス コ ミ 次 官 　 産 業 エ ネ ル ギ ー 省 次 官

　 情 報 技 術 ・ 通 信 省 次 官 　 副 委 員 長

　 技 術 ・ 税 関 庁 ( F S T E K ) 副 長 官 　 対 外 諜 報 庁 ( S V R ) 副 長 官

　 連 邦 保 安 庁 ( F S B ) 副 長 官 （ 長 官 ） 　 副 委 員 長 　 連 邦 警 護 局 ( F S O ) 副 長 官 ・ 長 官

　 大 統 領 特 別 プ ロ グ ラ ム 局 ( G U S P ) 副 局 長

　 下 院 安 全 保 障 会 議 副 議 長 　 任 意 参 加

　 連 邦 出 版 ・ マ ス コ ミ 局 副 局 長 　 連 邦 特 許 局 副 局 長

　 連 邦 科 学 ・ イ ノ ベ ー シ ョ ン 局 副 局 長 　 連 邦 地 理 局 副 局 長

　 連 邦 税 関 局 副 局 長 　 連 邦 統 計 局 副 長 官 　 参 謀 本 部 作 戦 局 長 　 大 統 領 府 後 方 局 副 長 官 　 安 全 保 障 会 議 事 務 局 秘 書 官

　 安 全 保 障 会 議 事 務 局 長 　 書 記

　 モ ス ク ワ 大 学 ( M G U ) 総 長 　 内 閣 官 房 長 官

　 「 ガ ス プ ロ ム 」 副 会 長 　 任 意 参 加 （ 民 間 ）

　 「 統 一 エ ネ ル ギ ー シ ス テ ム 」 副 会 長 　 任 意 参 加 （ 民 間 ）

主要職位（機関）の役割

（１）大統領

『情報安全保障ドクトリン』の規定によれば、ロシアの情報安全保障政策は国防政策の一部 と位置づけられており、大統領を最高司令官として実施される。大統領は、以下に述べる各 機関の活動や改廃を指揮する権限を持ち、毎年の教書演説でその優先課題を述べることにな っている（『情報安全保障ドクトリン』第 6 章） 。

（２）内閣

内閣は、上述の優先課題の策定に参加することで、連邦政府および連邦構成主体の活動を 調整する。また、情報安全保障の分野における予算配分を規定する（『情報安全保障ドクト リン』第 6 章）。情報安全保障への予算については明白ではない。

（３）安全保障会議

安全保障会議は、情報安全保障分野における脅威の発見と評価を行うとともに、これを未 然に防ぐための大統領決定の草案を適宜用意、提案を行う。『情報安全保障ドクトリン』の 改訂に関する提案を行うのも安全保障会議である。また、安全保障会議は、情報安全保障に 関連する官庁・部隊の活動を調整したり、連邦政府・地方政府の活動を指揮したりする役割 も負っている（『情報安全保障ドクトリン』第 6 章）。したがって、安全保障会議は、情報安 全保障政策の策定、実施およびその調整を担う中核的な機関として位置付けられていると言 えよう。

なかでも、特に重要な役割を担っていると考えられるのが、2005 年に設置された「情報安 全保障に関する省庁間委員会」である。同委員会は最低でも四半期に一回は開催され、さら に個別の事態に関して臨時会合が開かれることになっている。以下、同委員会の設置法であ る『ロシア連邦安全保障会議の情報安全保障に関する省庁間委員会の地位について』

にし たがって、その概要を示す。

① 機能



情報安全保障政策の策定及び実施に関する基本的方向性を安全保障会議に提言すること



連邦政府機関および連邦構成主体の活動について安全保障会議に勧告すること



情報安全保障システムの改善にあたっての情報安全保障の現状に関するデータ分析



情報通信システムおよび政府の重要施設のネットワークに関する現状分析。およびそ れらの保護改善に関する勧告を関係する連邦政府機関に提言すること



情報安全保障に対する脅威とその源泉の予測・発見・評価。その防止や撃退に関する 安全保障会議への提案を準備すること



情報安全保障に関する連邦特別目的プログラムの草案の内容評価と安全保障会議への

57 Положение о Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности,

（

年

月

日、大統領令

により承認）

<http://www.scrf.gov.ru/documents/45.html>