2015年9月から正式に始まった、国のサイバーセキュリティ戦略。その「中間レビュー」が2017年7月13日に発表されました。今回は、この中間レビューについて触れて行きたいと思います。

サイバーセキュリティ対策の完成時期

これまで、国のサイバーセキュリティ戦略は2020年の東京オリンピック・パラリンピック(以下、「東京オリパラ」)を目標に進められてきました。今回の中間レビューも最初の「1.位置づけ等」からそのことに触れています。

世界中の注目を浴び、多くの人々がやってくるオリンピックは、テロリストにとって格好のイベントです。そこでサイバーテロを含むテロルに成功すれば、これ以上無く、自らの力を誇示できるからです。

そのため、サイバーセキュリティ戦略では一貫してサイバーセキュリティ対策のタイムリミットとして、「東京オリパラ」を提示してきました。

対策完成時期の前倒しを決定

しかし、今回の中間レビューでは、その時期が“前倒し”されています。2019年9月に、ラグビーワールドカップがあるからです。東京オリパラの前に、ラグビーワールドカップでサイバーテロが起きたら元も子も無い。

ラグビーワールドカップ組織委員会の会長は東京オリパラ組織委員会名誉会長の御手洗さん、副会長には東京オリパラ組織委員会会長の森さんがいらっしゃいます。この2つのイベントは連携を取っているので、サイバーセキュリティ戦略も2019年までに間に合わせてくれ、ということになったのでしょう。

セキュリティ対策の加速が求められる

2020年目標でさえ、困難になっているサイバーセキュリティ対策の締め切り。さらに1年前倒しです。相当、国の担当者も慌てていることでしょう。

前倒しについては、「加速・強化すべき施策を取りまとめ、急ぎ対応が必要と考えられるものから実施していく必要がある」としています。さらにタイムリミットが早まり、人材や相談先の確保が一層厳しさを増すことになりました。

IoTへの危機意識

今回の中間レビューでは、“IoTセキュリティ”への警鐘が色濃く感じられます。

各論の真っ先に挙げられる「経済社会の活力の向上及び持続的発展」の項目では、そのほとんどの内容をIoTサイバーセキュリティが占めています。全14ページの中間レビューのうち2ページ分です。これは“現在進行中の危機”だからでしょう。

世界的なマルウェア被害

2016年9月に「Mirai」というマルウェアが世界を席巻しました。これは、Webカメラを中心とするIoT機器に感染し、サイバー攻撃の踏み台に使うことを目的としたマルウェアでした。

インターネットに接続されたパソコンは、ウィンドウズアップデートのように、何かセキュリティホールが見つかると、多くの方はちゃんと対応をしています。ところが、パソコン以外のIoT機器となると、ファイアウォールの外側にあっても、アップデートの必要があっても、無関心のケースが多いのです。

IoT機器の危険性に対する認識不足

今現在も、無防備なIoT機器は多数あります。無防備なIoT機器を探す方法もネット上に出回っています。無防備なIoT機器は技術力の高いサイバー犯罪者でなくても、簡単に踏み台にできるのです。その危険性は、まだまだ世間に認識されていません。

現在はIoTの利便性にのみ、スポットを当てる記事が多く、その啓蒙は大切なことではあるのですが、利便性とリスクの大きさは比例していくことを忘れてはなりません。

責任主体の明確化も求められる

そして、少々気になるのが次の部分。

既にマルウェアに感染しているIoT機器については、その具体的かつ効果的な対策及び対処方法を、責任主体を明確にしたうえで、検討を行う必要がある。

“責任主体を明確にせよ”との指摘です。

「知らなかった」では済まされなくなる恐れがあります。皆さんの所では大丈夫でしょうか。監視カメラやインターホンなど、ネットワークに繋がっている端末のマルウェア対策は行われているでしょうか?

安心・安全な社会を実現するために

我々国民が安心して暮らすために、サイバーセキュリティは重要です。この項目では、2つの事項がボリュームを取っています。

求められる項目は

1つは「一元管理」の問題。NISC(内閣サイバーセキュリティセンター)を中心とした管理体制の一層の推進が謳われています。

もう1つは「大学の情報セキュリティ体制の向上」です。昨年発生した、防衛省への不正アクセスでは学術情報ネットワークを経由したことがわかっています。

大学の情報セキュリティ向上は可能なのか

とはいえ、大学は学術研究のため、多様なシステムを要します。それを学外から一元管理するのは、非常に困難ですし、大学の独立性の面からも難しいところです。そのため、大学に“自主的な取り組み”による情報セキュリティ向上を要求しています。

とはいえ、現在、日本に大学は800近くあり、数千の学部があります。果たして全ての大学・学部に人材確保が可能なのでしょうか。

セキュリティ人材の問題

日本が現在置かれたサイバーセキュリティの問題は、どうしてもここに行きつきます。中間レビューによれば、“現在”13.2万人不足としています。そしてこの中間レビューでも、“こうすればなんとかなる”という道筋も見えていません。大体技術力を要する人材を、たった2年で13万人も増やせるわけがありません。

セキュリティ認識の底上げが必須

できるとするなら、国民全員がサイバーセキュリティの認識を少しでも上げ、ボトムアップすることで、セキュリティ人材の負担を減らし、必要な人員数を下げることでしょう。

マネジメント層が率先してセキュリティのことを学んで、現場の意図を汲み取っていく。これが今早急に求められていることです。

ただ、マネジメント側から出てくる文書は“自分がやる”ということにならないんですね。

今回も「橋渡し人材」(セキュリティの現場とマネジメント層の間を取り持つ人材)の育成が急務だとしています。現場の技術力と経営マネジメントの知識を合わせ持つ人材なんて、それこそ簡単に育成などできないハズなのですが。

セキュリティ対策の中心

最後にこのレビューでは「推進体制」について述べています。ただ、結局これも今まで頑張ってきた3つの組織が中心に考えられています。

  • NISC(内閣サイバーセキュリティセンター)
  • NICT(情報通信研究機構)
  • IPA(情報処理推進機構)

この3組織が発表する内容は、今後も要注意です。

最後に

いずれにせよ中間レビューでは、2020年東京オリパラから2019年ラグビーワールドカップに目標が変わってしまいました。

東京オリパラに関する重要サービス事業者等に関しては、2018年度までに“全分野で横断的リスク評価を行う”としています。来年度です。東京オリパラに関連している企業と取引があるのであれば、これまでに自社のサイバーセキュリティ対策を終わらせておかねばなりません。

もう、本当に猶予はありません。まだ自社と自社の取引先が、東京オリパラの影響があるのかどうか未確認の方は、大至急取引先を洗い出して検討をしましょう。

<関連資料>
2020 年及びその後を見据えたサイバーセキュリティの在り方について「サイバーセキュリティ戦略中間レビュー-」/サイバーセキュリティ戦略本部(PDF)

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。