我が国のサイバーセキュリティ戦略
講師:谷脇康彦氏(内閣サイバーセキュリティセンター(NISC)副センター長/内閣審議官)
日時:2015年12月8日(月)15:30~17:30
サイバーセキュリティの現在
私が所属するNISC(内閣サイバーセキュリティセンター)には 2つの役割があります。1つは各省庁にまたがっているサイバーセキュリティに関する政策をまとめて、国家戦略として推進する役割です。いわばサイバーセキュリティ政策の司令塔としての役割を担っています。もう1つがインシデントレスポンスの役割です。各省庁の情報システムの入口を24時間365日監視し、攻撃があった場合はマルウエアの解析を行い、攻撃対象となっている省庁に必要な措置を採るよう指導・助言を行います。最近の日本におけるサイバー攻撃の特徴は3つに集約されます。1つめはリスクの深刻化、2つめはリスクの拡散、3つめがリスクのグローバル化です。
まず、リスクの深刻化について申し上げると、昨年度1年間にNISCで検知した政府機関に対する不審な通信の数は399万件に達しました。8秒に1回の頻度で不審な通信を検知していることになります。その中で、264件についてはNISCから各省庁に対してインシデントの可能性があるとして対処を指示しており、その数は一昨年の約2倍となっています。数年前までは日本を狙った攻撃はそれほど多くありませんでしたが、最近は日本にチューニングしたマルウエアが多数出てきています。これが、リスクが深刻化しているという要因の1つでもあります。
2つめがリスクの拡散、つまり攻撃対象の拡大です。パソコンやスマートフォンを狙ったものだけでなく、最近では車のセキュリティが深刻なテーマになっています。実際にアメリカではハッカーの操作によって、公道を走っている車が乗っ取られて路肩に落ちたり、ブレーキを踏んでいるはずなのにアクセルを踏んだ状態で加速してしまうといった事案もあります。また、日本でもスマートメーターの導入が進んでいます。スマートメーターになるとエネルギーの流れと情報の流れが一体化するため、攻撃によって一定エリアの電力が落ちてしまう可能性も否定できません。さらに、今後IoTの普及にともなって、すべてのモノがインターネットを介して攻撃を受ける可能性も格段に高まってきています。これがリスクの拡散です。
加えて、リスクのグローバル化も急速に進展しています。サイバー空間には国境がありませんので、どこからでも攻撃をしかけることが可能です。ちょうど1年前のソニー・ピクチャーズ・エンターテインメントが攻撃を受けたケースは、北朝鮮の仕業であるとアメリカ政府が発表しました。このケースでは単にデータを盗み出すだけではなく、データの破壊、あるいは情報システムを壊してしまうといった物理的な破壊行為も確認され、深刻な問題となりました。
国内法の整備
そうした中、今年1月に「サイバーセキュリティ基本法」が施行されました。では、この法律によって何が変わったのかご説明します。
第一に、従来はIT基本法に基づいて作られたIT戦略本部があり、その下に情報セキュリティ政策会議がありました。しかしこの政策会議にしてもNISCにしても、法律上の根拠がなかったため、例えば、省庁に情報提供の依頼をしても拒否されることがありました。そこで組織形態を変え、官房長官を本部長とし、主要な閣僚や民間の有識者にも入っていただいてサイバーセキュリティ戦略本部を立ち上げました。そして、同基本法には、NSC(国家安全保障会議)やIT戦略本部とも緊密に連携するということを明記しました。そして、このサイバーセキュリティ戦略本部の事務局を内閣サイバーセキュリティセンター(NISC)が担っています。NISCが法的な権限を得たことで各省庁にネットワーク構成図などの資料提出を義務付けることとなり、政府機関への監査も行うことが可能になりました。ここでいう監査には2つあります。1つは省庁のセキュリティポリシーがきちんと運用されているかというマネジメント監査。もう1つは、NISCが攻撃者となって、各省庁の情報システムに攻撃をかけシステムの不備をチェックするというペネトレーションテストで、いずれも今年度から始めています。資料の提出義務や勧告、原因究明の調査をNISCが行う体制が制度的に整備されたことは、今年6月に発生した日本年金機構のデータ流出事案においても大変役に立ちました。
なお、セキュリティポリシーは省庁ごとに作っていますが、最低ラインとなる統一基準をNISCで決めています。この基準を段階的に引き上げることで、政府全体のセキュリティ水準を上げてきています。昨年5月に改定した現在の統一基準は、標的型メール攻撃に対する対策がメインになっています。
サイバー攻撃の事例
標的型メールとは、メールの件名に【重要】や【緊急】と書いて気をひくとともに、アドレスの一部を巧妙に変えて偽物と気づかれずに開かせた上で、添付ファイルやメール本文のURLをクリックするとマルウエアが仕込まれ、攻撃者に侵入を許すことになります。NISCで偽物の標的型メールを作り、全省庁の職員18万人に不意打ちで3年間続けて送る試みを行いましたが、約15%がひっかかってしまいます。また、何度かメールのやりとりをして信頼関係を築いたあとに感染させる、やりとり型と呼ばれる手法があります。これになると成功率が20%に上がります。つまり5人に1人のパソコンが感染してしまうわけですから、決して少ない数字ではありません。数年前までセキュリティ対策は入口で絶対に中に入れないように取り組んできました。この入口対策は引き続き重要ですが、これに加えて、情報システムの内部に入られることを前提、いかに早く気づいて被害を最小化にするかという対策が重要になってきています。
標的型攻撃にはメールを使う手法だけではなく、これ以外にも、水飲み場攻撃というものがあります。一昨年の秋に実際に霞ヶ関で発生したものですが、霞ヶ関の職員がよく見るニュースの速報サイトにマルウエアが仕込まれていて、霞ヶ関のIPアドレスでアクセスしたときだけマルウエアが仕込まれました。幸いNISCで気づき、なんとか被害を食い止めることができました。
一台の端末が感染すると遠隔操作のツールキットなどが入れられ、外から端末を自由に操作できるようになります。そして感染したパソコンの数がどんどん広がっていき、最終的には管理者権限を盗んで情報システムの中を自由に探索したうえで、バックドアを開いて貴重な情報を抜き取ってしまう。この典型的な手口が日本年金機構のケースです。
いま政府機関で進めているのは、多重防御というアプローチです。一番外の入口で守ることだけはもはや防御は不可能ですから、重要な情報があるサーバーを何重かに防御していく多重防御と呼ばれる仕組みを取り入れています。しかし、すべてのシステムで多重防御の仕組みを導入するにはお金も時間もかかります。そこで取り入れているのが、大量の個人情報や外交上の機微情報がどのサーバーにあるのか特定をして、その情報については何重もの防御をするというリスク評価を行い、重要なシステムについては多重防御を取り入れるというメリハリのあるアプローチです。
さて、今年5月に日本年金機構から125万件という大量の個人情報が流出しました。われわれは今回の事案の教訓をまとめ、これを踏まえて新しいサイバーセキュリティ戦略に追加的な防御施策を盛り込みました。NISCが行っている24時間監視の対象範囲を独立行政法人と一部の特殊法人にまで広げることにし、こうした内容を盛り込んだ「サイバーセキュリティ基本法」の改正法案を来年の通常国会に提出したいと考えています。
また、各省庁や外部団体のインシデントレスポンスのチームを形だけのものではなく、きちんと動く仕組みに変えるため、連絡体制の訓練等を強化していきます。さらに各府省の情報システムのインターネットへの接続口を集約化することも重要な課題です。そして、先ほどの多重防御の加速化や政府の情報システムのクラウド化についても推進していくこととしています。
IoTの普及とその課題
IoTの急速な普及を背景に、サイバー攻撃の発生リスクがますます高まると予測されています。IoT(モノのインターネット)は、突き詰めると、モノそのものが重要なのではなく、情報をいかに流通させて、そこに付加価値をつけてリアルな社会にフィードバックする一連のプロセスが重要です。しかしながら、そこにはさまざまなセキュリティ関連の問題が浮上します。複雑に絡み合うシステムのどこか1つがサイバー攻撃を受けてしまうと、連鎖して他のシステムにも甚大な影響が出ることになるからです。したがって、異なるIoTシステム間の責任分界点やネットワーク間のインターフェースをどのように考えるのか、また、情報システムを作っていくうえで、設計段階からセキュリティを盛り込んだ"Security by Design"という考え方が非常に重要になってきます。
アメリカ商務省傘下にある標準機関NISTの最近のレポートによると、IoTで大事になるのが信頼性よりも強靭性(レジリエンス)だと言っています。予想しないような事態によってシステムの稼働率が落ちる場合でも、なんらかの迂回策を講じてもともと持っていたミッションを果たすべく動き続ける、これがレジリエンスであり、これからのセキュリティを考えるうえで大変重要になるだろうとレポートは述べています。
国内では、今年度末までに閣議決定される「第5期科学技術基本計画」の素案において、「超スマート社会」が今後の日本が目指すべき方向として大きく打ち出されており、その核となるのがIoTサービスプラットフォームです。つまり政府はIoTを産業の核として育てていくことを非常に強く意識しているのです。そしてこの動きと呼応する形で、戦略的イノベーション創造プログラム(SIP)においても、IoTセキュリティの研究開発成果を重要インフラに実装していくプロジェクトがスタートをしています。
セキュリティ人材育成の重要性
さて、個人情報が漏洩した原因を見てみると、じつはヒューマンエラー(間違った操作、管理ミス、置き忘れ)が約4分の3にのぼります。サイバー攻撃によるものはわずか5%ですが、いったん個人情報が漏洩すると極めて大きな被害になってしまうのがサイバー攻撃の特徴です。アメリカではサイバーセキュリティのリスクや対策について有価証券報告書で公表する際のガイドラインが策定されています。日本でもこうした情報を開示している企業は約6割ですが、記述が具体性を欠いている例も散見されます。今後は日本でも、サイバー攻撃による経営への影響を情報開示する際のガイドラインを策定するなど、経営層の意識改革を促すための取り組みを進めていく考えです。
また、金融や航空など社会経済活動に不可欠のサービスであって、サイバー攻撃によって機能が停止すると非常に大きな混乱が生じてしまう13の分野を重要インフラとして整理し、こうした重要インフラ事業者と各所管省庁、NISCが中心になって、情報の共有をするとともに、障害が起きた場合の演習を実施しています。演習では、インシデントが発生した場合の具体的なシナリオを組んで対処策について演習を行うのですが、今年の参加者数は去年の3倍、一昨年の5.5倍にあたる1100名を越える史上最大規模の演習となりました。
セキュリティの分野はアメリカやイスラエルの技術が主流で、日本独自の技術がまだまだ少ないのが現状です。しかし、特に暗号技術等については日本独自のものを持つ必要があり、サイバーセキュリティ関連の研究開発を積極的に推進していく必要があります。また、サイバーセキュリティの分野は、技術的な面、心理学的な部分、法制度の問題、さらには産業政策の視点、外交政策の問題を取り扱う総合的かつ学際的な領域であり、ハイブリッドな人材の育成が欠かせません。サイバーセキュリティを切り口にして、いろんな領域を理解し、いろんな領域の人がコラボレーションする場を作ることが非常に重要だと思っています。その意味で、デザインスクールがサイバーセキュリティの分野でも非常に重要になりますし、学際領域的な専門家が知恵を出し合うという場づくりといったものが、今後ますます求められるでしょう。