情報セキュリティ対策の必要性−備えよう、コンピュータウィルスは近くにいる−

　近年、サイバーテロ、サイバー攻撃、またコンピュータウィルスへの感染がマスコミを賑わすことが多くなっています。ここ数年の事例をみても、各国政府機関等へのDDos攻撃、ガンブラー攻撃によるウェブサイト改ざん被害、ネットワークへの不正侵入による個人情報流出、標的型メール攻撃によるウィルス感染、などさまざまな種類のものが知られています。特に、最近の標的型メール攻撃では、政府機関関係者や国会議員とその秘書、機密情報を持つ有力企業関係者を標的とし、送信元は実在の政府・企業関係者などを装っていて、メール本文や添付ファイルが不審なものとは認識しにくいのが特徴となっています。最近の我が国で多発する標的型メールによるサイバー攻撃を受けて、10月7日には、内閣官房長官談話の形で「情報セキュリティ対策の強化について」発表があり、特に、政府機関及び重要インフラ関係組織において情報セキュリティ対策の一層の強化が進められています。その中で、

1. 政府・民間双方向の情報共有等を通じた官民連携の強化を図ること
2. 情報セキュリティ上のリスクにおいては、被害者となる恐れがあるだけでなく、感染することで意図せずに加害者となってしまうこと
3. 国民全員が自分のPCやスマートフォン等についてセキュリティ対策を最新に維持しておく必要があること

の3点が強調されていて、もはや情報セキュリティ対策が他人事ではなく、政府、企業、国民の一人ひとりの問題となっていることを示しています。社会全体に対する脅威のレベルに達していることの認識が求められています。

　特に、官房長官談話の中でも述べられていますが、最近ではスマートフォンを狙った不正を働くアプリケーション、いわゆるマルウェアが数多く出現していて、現状、大きな被害とはなっていませんが、個人の生活により密着したデバイスだけに利用者一人ひとりに不安や懸念が拡がっています。例えば、位置情報を無断で第三者に知らせたり、遠隔操作による盗聴や盗撮、データの窃取等悪質化する傾向にあるようです。

　政府や重要インフラの情報セキュリティ対策としては、内閣官房情報セキュリティセンター（NISC）を中核として防護対策を始め、安全基準等の整備や情報共有体制などが推進されており、対策が図られています。情報通信分野は重要インフラの最有力分野であり、電気通信事業法とその施行規則、情報通信ネットワーク安全・信頼性基準及び情報セキュリティ確保に係る安全基準等が既に規定、運用されています。今後の問題としては、情報共有体制の強化があり、脅威に対する分野横断的な演習等の取り組みがあげられます。情報セキュリティ対策では、サイバー攻撃をはじめとする意図的要因の他に、広くICTの障害として、操作・設定ミス、プログラムの欠陥、メンテナンス不備、あるいは災害などによる直接的な損壊や他分野の障害からの波及もあって、必ずしも単一レベルの知識では確認できない原因が数多く存在しています。それだけに、情報共有一つとっても、どこまで情報共有すべきなのかの判定は極めて困難なうえ、セキュリティ防護が破られたり、ウィルスに感染したりすることが組織防衛上、信用に係わることなので、同じ組織内でも本当の事象が短期間に伝わることは結構難しいことと思われます。やはりここは、組織構成員一人ひとりが、また、国民利用者全員が情報セキュリティの関係者、つまり、インフルエンザ対策には例外となる人間はいないという理解と同様の認識を広く共有することが急がれます。コンピュータウィルスの症状は現象が分かりにくいだけに、インフルエンザウィルスよりさらにたちが悪いのです。例えば、標的型メール攻撃を受け、万一、ウィルス付きの不審メールを開けてしまった場合にはどうするのか、共通認識を持っておく必要があるでしょう。まずは、慌てずに、電源は切らずにコンピュータに接続されている通信ケーブルを抜いた後に、システム管理者に連絡するという初期動作を常日頃から訓練、演習しておくことが大切です。インフルエンザに感染したら、他人にうつさぬよう、早く治すよう、栄養をとって暖かくして休養するという常識があるように、コンピュータウィルスにおいても同様の理解が深まることが望まれます。

　ここで心配なのは、PCではなく、特に最近広く普及しているスマートフォンやタブレット端末であり、オープンOSのAndroidを搭載した端末です。これからますます、政府や企業レベルでスマートフォンやタブレット端末をシステムに接続するケースが多くなると予想されますが、従来のPCに対するのに加えて、さらなるセキュリティ対策の充実が求められます。この点、モバイル通信会社による法人向けセキュリティ・ソリューションが戦略的なサービスとなっているのも頷けます。AndroidなどオープンOSの発展は今後も一層盛んになる予想されますし、モバイルネットワークの高速化とエリアカバーの拡充が進むことから、スマートフォン向けのウィルス対策やマルウェア対策には、利用者一人ひとりの理解を深めると同時に、ウィルス対策やフィッシング対策、迷惑メールフィルター、有害情報アクセス制限、さらにはオペレーターによる遠隔サポートなど、広い意味でのセキュリティ対策がスマートフォンを販売する通信オペレーターに求められていると思います。PCに通信回線を付けたのではなく、通信回線付きの小型PCを販売していることを通信オペレーターは自覚しておく必要があります。

　もちろん、通信オペレーターには2つの方策があり、PCにより近いモジュール型スマートフォンのビジネスモデルも可能ですし、ここで言う、従来タイプ（いわゆるガラケー）の機能やレイヤの統合型スマートフォンのビジネスモデルも、両方とも可能です。ただ、ICTの各種サービスがこれほどまでに社会に浸透、普及している今日、情報セキュリティ面からは、少なくとも、セキュリティを強化した統合型スマートフォンが製品・サービスとして市場に存在している必要があるように思えます。

　国民一人ひとりがコンピュータウィルスやマルウェアに関心を持ち、また、情報セキュリティ対策のレベルが政府・企業等の各種の報告書や有価証券報告書などで開示されて市場評価を受ける社会を構築すべき情勢になっていると思っています。