2016年2月5日掲載 IoT ITトレンド全般 InfoCom T&S World Trend Report

サイバーセキュリティ戦略はサイバー空間での“防災・減災”方策―想定外にしない新しい災害対策との位置付け―



2015年1月にサイバーセキュリティ基本法が施行されてから1年が経過しました。この間に改めてサイバーセキュリティ問題を深刻に受け取める契機となったのは、5月に発生した日本年金機構における個人情報流出事件のためでした。この事件の経過を調べてみると、サイバーセキュリティ基本法に基づいて設置されたサイバーセキュリティ戦略本部と内閣サイバーセキュリティセンター (NISC)が機能して、厚生労働省ネットワークにおいて不審な通信を検知し厚労省担当官に通知、さらに不正プログラムを解析してその結果の情報提供を行っていました。問題はその際の厚労省と年金機構の緊急対応、即ちCSIRT体制と運用にありました。もちろん、政府機関全体として即応力が弱く影響が拡大したのも、NISCの機能強化が十分でなく、特に政府関係システムへの不正アクセスの検知・解析、監視・運用にあたる「政府機関情報セキュリティ横断監視・即応調整チーム (GSOC)」の大幅な機能強化と監視・監査・原因究明調査業務の対象範囲を中央省庁に止まらず独立行政法人と特殊法人まで拡大する必要があることが認められます。

他方、こうした具体的な事件への対応と並行して、政府内ではIT戦略本部や国家安全保障を担当するNSCとの緊密な連携が進められていて、9月4日にはサイバーセキュリティ基本法に基づいて新たに「サイバーセキュリティ戦略」が閣議決定されています。政府機関セキュリティポリシーのベースとしては、対策の統一的な枠組みの構築や情報セキュリティ水準レベルアップ、特に標的型攻撃対策に力点が置かれています。近年、政府機関はじめ企業の各層に対して標的型メール攻撃が激増しており、警察が把握した標的型メール攻撃の件数は2015年上半期に前年同期の約7倍となっています。標的型攻撃は、初期潜入はなりすましや偽装という人の心理を突く“ローテク”により侵入し感染後に攻撃者が遠隔操作を行うもので、重要情報にたどり着いた場合に管理権限を奪取して外部送信させたり、システム破壊をもたらしたりするものなので、まことに防止が難しいものです。日本年金機構の案件もこのケースに該当しました。

政府機関や重要インフラ等の企業においては、中枢活動に係る制御系システムや基幹系のシステムは事業者毎に固有の仕様が多く、詳細な内部仕様等の把握が無理なので外部からの攻撃に対しては強靭であると思われてきました。実際そのとおりですが、最近ではこうした制御系・基幹系システムにもコスト面や柔軟性から標準プロトコルや汎用製品が仕様に採用されて汎用化が進んでおり、併せて通信ネットワークも従来のクローズド型からインターネットなどの外部ネットワークに接続されるオープン型が用いられる方向にあります。これは利便性の向上に貢献している反面、攻撃対象になり易いものです。サイバーセキュリティ戦略はサイバー空間における国家間の新しい戦争(安全保障)という私達の日常から離れた問題ではなく、すでに政府や企業の活動、さらには個人の日常生活にまで及ぶ身の回りの出来事と認識しておく必要があります。

「『日本再興戦略』改訂2015―未来への投資・生産性革命―」(2015年6月30日閣議決定)において、IoT・ビッグデータ・人工知能が一体的に取り上げられて、新しい技術の開発・実証、ビジネスモデルの創出等を通じて、投資の促進を図ることが謳われています。IoTはいわば成長戦略の柱となっているわけですが、IoT推進のカギはセキュリティと相互接続を促す標準化にあります。IoTの普及拡大は、これまでの制御系・基幹系にみられたクローズドなネットワークを前提としない自律・分散・協調型のネットワークを必要とします。異なるネットワーク間の責任分界や共通のインターフェイス、端末認証の仕組みなどシステム面の検討だけでなく、何より開発と設備構築の初期段階からセキュリティを取り込んだSecurity by Design方式の徹底とインシデント情報を共有して被害連鎖の拡大に即応する体制作りが並行して進められる必要があります。

企業の基幹系システムから情報系システムとの接続を通して情報漏洩が発生しているケースが多い今日、さらにIoTから収集される膨大かつ多様な情報が流出した場合の社会的・経済的損失は計り知れません。一方で、標的型攻撃のように人の行動や心理を逆手に取る行為は人間社会である以上、なくなることはあり得ません。また、国家間はもとより、組織間や個人間においてもサイバー空間から他者を攻撃することをなくすこともできません。結局、サイバー空間からシステムへの侵入を100%防ぎ続けることは極めて困難なので、侵入されても被害を極力抑える対策が重要で、多重の防御を備えたシステム構築 (Security by Design) が何より大切なことになります。

IoT、ビッグデータ、人工知能の時代となっている今日、サイバーセキュリティ戦略・対策は、ちょうどあらかじめ方策や対策を施しても防ぎ切れずに発生する大きな自然災害に対する防災と減災に例えられると考えます。誰もが身の回りや社会に起こることは嫌ですが、しかしながら発生を完全に防ぎ切ることはできません。サイバー空間での攻撃は自然現象ではなく、ほとんどが人間社会の問題なので、一般の利用者・被害者は常に防止・防御できなかったことへの非難に気持ちが集中しがちですが、逆に侵入され乗っ取られた端末は今度は一転加害者となってしまうことを強く認識しておくことも重要です。サイバーセキュリティ戦略・対策においてサイバー攻撃の被害、例えばシステムダウンや企業機密・個人情報の漏洩などが起ってから想定外とならないよう、新しい空間における新しい災害対策との位置付けが求められます。そのためには、いろいろな災害に対して火災保険・地震保険や各種の事故保険が存在するように、サイバー攻撃の被害や賠償に対する損害保険(サイバー保険)の普及・充実が急がれます。社会経済の安寧のために必要なことです。

※この記事は会員サービス「InfoCom T&S」より一部無料で公開しているものです。

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

ICR|株式会社情報通信総合研究所 情報通信総合研究所は情報通信のシンクタンクです。
ページの先頭へ戻る
FOLLOW US
FacebookTwitterRSS