チェック・ポイント・ソフトウェア・テクノロジーズはこのほど、重要インフラにおけるサイバー攻撃の脅威とその対策を紹介するセミナーを開催した。

エネルギー、金融、運輸、医療など生活に直結するインフラを標的としたサイバー攻撃の脅威が増すなか、日本は2020年にオリンピック大会の開催を控えており、国家として、重要インフラにおけるリスクにどう対処していくべきかが大きな課題となっている。

本稿では、内閣官房 内閣サイバーセキュリティセンター(NISC) 参事官の瓜生和久氏による基調講演「サイバーセキュリティ戦略と重要インフラ防護等の取り組み」の模様をお届けしたい。

内閣官房 内閣サイバーセキュリティセンター(NISC) 参事官 瓜生和久氏

現在、世界中で大規模な金銭的被害をもたらすサイバー攻撃が起きており、アメリカをはじめ、国を挙げてセキュリティ対策に取り組むケースが増えている。日本でも当然、政府がさまざまな取り組みを開始している。

瓜生氏は、わが国の法律で初めて「サイバーセキュリティ」という言葉が用いられた法律「サイバーセキュリティ基本法」を紹介した。同法では、サイバーセキュリティを以下のように定めている。

電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていること

サイバーセキュリティ基本法は、内閣官房長官が本部長を務めるサイバーセキュリティ戦略本部が、IT総合戦略本部とNSCと連携をとりながら制定。昨今のサイバー空間のリスクの深刻化や2020年に向けた対策の強化に向け、2015年、内閣官房に内閣サイバーセキュリティセンターが設立された。

日本におけるサイバーセキュリティ政策推進体制

サイバーセキュリティ基本法のほか、日本におけるサイバーセキュリティの基本戦略として「サイバーセキュリティ戦略」が制定されている。その目的は「経済社会の活力の向上および持続的発展」「国民が安全で安心して暮らせる社会の実現」「国際社会の平和・安定およびわが国の安全保障」となっている。

ちなみに、「経済社会の活力の向上および持続的発展」の施策の1つに「安全なIoTシステムの創出」が含まれている。具体的には、企画・設計段階からセキュリティの確保を盛り込む「セキュリティ・バイ・デザイン」の考え方に基づき、安全なIoTシステムを活用した事業を振興するとしている。

昨今、IoTデバイスを狙った攻撃が増えているが、その要因の1つに、安価なIoTデバイスはPCと比べて、セキュリティを確保するための仕組みを備えていないことがあると言われている。そこで、IoTデバイスのメーカーに対し、安全性を考慮した製品づくりが求められているというわけだ。

2015年に閣議決定した「サイバーセキュリティ戦略」の全体構成

さらに、攻撃を受けるとリスクが高い重要インフラのサイバーセキュリティに関して政府と重要インフラ事業者がそれぞれ取り組むべき対策が、「重要インフラの情報セキュリティ対策に係る行動計画」として取りまとめられている。

現在、第3次計画が推進中である一方、2020年のオリンピック大会の開催も見据え、第4次行動計画の案が発表されている。瓜生氏は第4次行動計画について、「第3次計画と骨格はほぼ変わらないが、2020年のオリンピックとパラリンピックに対する計画がおり込まれている」と語った。

これまで説明してきた、日本におけるサイバーセキュリティ政策の流れは以下の表を見ていただくとわかりやすい。瓜生氏によると、海外でこの表を示すと、非常に評判がよいそうだ。

日本におけるサイバーセキュリティ政策の経緯

瓜生氏は「第4次行動計画においては、経営者が責任を持って、サービス継続だけではなく、安全性も確保することが求められている。また、他分野からの依存度が高く、比較的短時間のサービス障害でも影響が拡大する分野において、先導的な取り組みを強化・推進することが前面に出されている」と説明した。

「重要インフラの情報セキュリティ対策に係る第4次行動計画」の概要

第4次行動計画案では、「情報通信」「医療」「鉄道」「電力」などの13分野を重要インフラとして、これらを官民連携で防護することを推進する。具体的な施策として、「安全基準等の整備・浸透」「情報教諭体制の強化」「障害対応体制の強化」「リスクマネジメントおよび対処態勢の整備」「防護基盤の強化」が案として挙がっている。

「情報の共有として、各企業における『ヒヤリハット』を企業名が出ない形で収集していきたい。情報共有においては、業界団体が束ねているセプターがワンクッションとなる。また、防護基盤については、点で13の分野を守るのではなく、面で守っていくようにする。なお、防護基盤の強化の施策として、『国際連携の推進』が挙がっているが、インターネットには国境がないので、正直なところ難しい。極端な話、国連にまで話が行ってしまう」(瓜生氏)

さて、2020年のオリンピック・パラリンピックに向けた取り組みとしては、東京のリスクアセスメントが終了し、その結果をまとめているところだという。

2020年オリンピック・パラリンピックに向けた取り組み

重要インフラを狙ったサイバー攻撃やIoTデバイスを踏み台にしたサイバー攻撃など、もはや企業レベルでは対処しきれない規模のサイバー攻撃が増えており、今や、国家としていかに取り組むかが各国の課題となっている。

2020年にオリンピックを控える日本は他の国よりも積極的にセキュリティの確保に取り組む必要があるだろう。官民連携で、安全な日本を実現したいものだ。