動画
シンポジウム 講演会録
サイバーセキュリティ戦略の改定について
第10回サイバーセキュリティ月例セミナー
2018.07.25
新しい社会におけるセキュリティ
今日は、本日サイバーセキュリティ戦略本部で決定された新たな「サイバーセキュリティ戦略」について、細かい内容よりも、そこにどのような議論があって、どのような思いがあったのかという背景を中心にお話ししたいと思います。
この戦略は、2014年11月に成立し、2015年1月から全面的に施行されているサイバーセキュリティ基本法に基づいています。戦略の期間は3年間で、2015年の最初の戦略に続き、今回二回目の新たな戦略を決めたことになります。最初の戦略は、日本年金機構のシステムへのサイバー攻撃の経験も踏まえたものでしたが、今回は東京オリンピック・パラリンピックのある2020年までを見据え、どうサイバーセキュリティ政策を進めるべきなのかを考えた戦略です。
サイバーセキュリティは、サイバー空間をどのように見るかによって全然違う見え方になります。政府としては「Society 5.0」と申しておりますが、単なるデータやITの利活用だけでなく、石器時代からグーテンベルクの印刷機に至り、その数世紀後に産業革命が起こったのと同じような、新しい社会の変革を迎えるのではないか。全く違う、新しい時代が来るのではないか。そこを見据えてサイバーセキュリティでは何を考えるのか、ということです。
この戦略は、2014年11月に成立し、2015年1月から全面的に施行されているサイバーセキュリティ基本法に基づいています。戦略の期間は3年間で、2015年の最初の戦略に続き、今回二回目の新たな戦略を決めたことになります。最初の戦略は、日本年金機構のシステムへのサイバー攻撃の経験も踏まえたものでしたが、今回は東京オリンピック・パラリンピックのある2020年までを見据え、どうサイバーセキュリティ政策を進めるべきなのかを考えた戦略です。
サイバーセキュリティは、サイバー空間をどのように見るかによって全然違う見え方になります。政府としては「Society 5.0」と申しておりますが、単なるデータやITの利活用だけでなく、石器時代からグーテンベルクの印刷機に至り、その数世紀後に産業革命が起こったのと同じような、新しい社会の変革を迎えるのではないか。全く違う、新しい時代が来るのではないか。そこを見据えてサイバーセキュリティでは何を考えるのか、ということです。
いま、IoT(Internet of Things)のようにモノがネットワークにつながり、交通の分野でも自動走行システムが実証実験など進んでいますが、モノとサイバー空間が一体化され、新しいサービスが出てくるというのが私たちの大きな関心事項となっています。そして、人工知能と呼ばれるAIが改めて社会的に注目を受けるようになり、今ではデータを入力するだけでコンピュータ自身が特徴を判断し学習していけるような時代になっているわけです。3Dプリンターも、単なる印刷機ではなくモノを作ることができます。家を建てたり自動車部品を作ったりできるので、産業構造が変わっていきます。従来なら人件費の安いところに工場を作っていましたが、3Dプリンターなら消費者の近いところで作ることができるので、輸送コストが下がり消費者のニーズも反映しやすくなる、そういったことができてしまう時代になっています。
人工知能は人間社会を変えていき、ブロックチェーン(分散型ネットワーク)は技術を分散化して中央集権構造ではない分散処理ができる時代になるなど、従来の人間社会を作ってきたものが新しい技術で違う構造になる時代になっていくのでないかと思います。新しいサービス等には、良い側面はありますが、逆に悪いことを考える人が悪用、乱用することで想定外の使い方もでき、サイバーを使った事件が起こります。これがサイバーセキュリティを確保しなければいけないという議論の根っこになってきているわけです。
人工知能は人間社会を変えていき、ブロックチェーン(分散型ネットワーク)は技術を分散化して中央集権構造ではない分散処理ができる時代になるなど、従来の人間社会を作ってきたものが新しい技術で違う構造になる時代になっていくのでないかと思います。新しいサービス等には、良い側面はありますが、逆に悪いことを考える人が悪用、乱用することで想定外の使い方もでき、サイバーを使った事件が起こります。これがサイバーセキュリティを確保しなければいけないという議論の根っこになってきているわけです。
サイバーセキュリティ戦略の三つの基本概念
先ほど申し上げたように、東京オリンピック・パラリンピック大会も近づいており、しっかりとしたセキュリティ対策をしておかないと大変なことになります。そうした中で、我々は何をしていかなければならないか。新戦略では、その目的を、自由、公正かつ安全なサイバー空間を実現することとしています。ただ、この点について国際的な議論の場では、インターネット空間は社会インフラとして重要になっているため政府が管理していく権限があるという考え方と、自由な情報流通、意見の表明を行うため政府は関与せずに多様な主体によりガバナンスされるべきだという考え方の二つの議論が激しく対立しています。
国連の場でもサイバー空間をどのように規律していくのか等を議論しており、一定程度の成果は出ていますが、そこからは先ほど申し上げた意見の対立があってなかなかまとまりにくい状況になっています。日本は当然、自由主義の立場をとっています。インターネットの世界は、政府が関与せずに、歴史的にも主として民間セクターの投資でシステムは成り立っていますし、民間の力で技術開発が進んでおります。政府系の研究所も関与しておりますが、民間の力はとても大きいのです。その上で、今回の戦略では何を目指すのか。
新戦略では、基本的な概念を三つ提示しました。一つ目は、サービス提供者の任務保証、二つ目は、リスクマネジメント、三つ目は、参加・連携・協働です。よくサイバーセキュリティとは、機密性、完全性、可用性の三つを確保することだと言われ、その確保が目的となってしまう場合が多いのですが、実はそうではありません。たとえば、企業ならば任務としてコーポレーション・ミッション、ビジネス・ミッションがあり、病院で言えば、患者の病気を治すことが任務です。政府であれば、国民に行政サービスを提供することが任務でしょう。人も組織もそれぞれ任務を持っています。特に最近ではICT(情報通信技術)の普及でいろいろなサービスが実現しています。すると、その任務を遂行するためにデータを含めていろいろな設備、つまりアセットを使います。アセットとして、デジタル空間やサイバー空間に依拠するところが大きくなれば、当然それを保護する必要性が生じます。
サービス提供者の任務保証とは、自ら遂行すべき業務やサービスを「任務」と捉え、「任務」達成に取り組むために、それを支えている情報システムの安全や安定を確保し、データならば、それを確かなものにする取り組みです。そして、それは限られたリソースでやっていかければならないので、どこにプライオリティーをつけていくのかを考えなければなりません。そのため、リスクマネジメント、つまり、リスクベースで考えて、リスクを低減させたり、リスクを共有したり、また残存するリスクを受容するのであれば他の対策を考えなければなりません。
国連の場でもサイバー空間をどのように規律していくのか等を議論しており、一定程度の成果は出ていますが、そこからは先ほど申し上げた意見の対立があってなかなかまとまりにくい状況になっています。日本は当然、自由主義の立場をとっています。インターネットの世界は、政府が関与せずに、歴史的にも主として民間セクターの投資でシステムは成り立っていますし、民間の力で技術開発が進んでおります。政府系の研究所も関与しておりますが、民間の力はとても大きいのです。その上で、今回の戦略では何を目指すのか。
新戦略では、基本的な概念を三つ提示しました。一つ目は、サービス提供者の任務保証、二つ目は、リスクマネジメント、三つ目は、参加・連携・協働です。よくサイバーセキュリティとは、機密性、完全性、可用性の三つを確保することだと言われ、その確保が目的となってしまう場合が多いのですが、実はそうではありません。たとえば、企業ならば任務としてコーポレーション・ミッション、ビジネス・ミッションがあり、病院で言えば、患者の病気を治すことが任務です。政府であれば、国民に行政サービスを提供することが任務でしょう。人も組織もそれぞれ任務を持っています。特に最近ではICT(情報通信技術)の普及でいろいろなサービスが実現しています。すると、その任務を遂行するためにデータを含めていろいろな設備、つまりアセットを使います。アセットとして、デジタル空間やサイバー空間に依拠するところが大きくなれば、当然それを保護する必要性が生じます。
サービス提供者の任務保証とは、自ら遂行すべき業務やサービスを「任務」と捉え、「任務」達成に取り組むために、それを支えている情報システムの安全や安定を確保し、データならば、それを確かなものにする取り組みです。そして、それは限られたリソースでやっていかければならないので、どこにプライオリティーをつけていくのかを考えなければなりません。そのため、リスクマネジメント、つまり、リスクベースで考えて、リスクを低減させたり、リスクを共有したり、また残存するリスクを受容するのであれば他の対策を考えなければなりません。
さらに今回新しく導入したのが、三つ目の参加・連携・協働です。いま、至る所で様々なシステムを使っているため、何かしらの危険性に遭遇してしまうことがあります。これはある意味、皆で守っていく体制を作らないといけないのです。サイバーハイジーン(サイバー衛生)と申しているのですが、例えば公衆衛生では、一人一人はきちんと石鹸で手を洗い、うがいをして、インフルエンザにかからないようにし、いったんインフルエンザが広がってしまったら、保健所が警告を出して、また鳥インフルがアウトブレークしたような時には国などが部隊を出して対処するでしょう。サイバー空間においても、このような皆が力を合わせて全体で守っていくような体制を作っていく必要があるのではないか、ということです。
セキュリティ対策は投資
次に、各論についてお話ししたいと思います。
まず、サイバーセキュリティ対策は、新たな価値創出を支えるものでなければなりません。サイバーセキュリティ対策が目的化し、それが本来の活動を阻止するようでは本末転倒です。従来ならば、ICTを導入し、効率化を目指しているのに、セキュリティ対策を講ずることでコスト負担がかかってしまうという考えです。
しかし、これからはICTをビジネスとして活かすための投資だとマインドセットを変えていき、その取り組みを促す、それを支えるセキュリティの取り組みもすること、そうすることが世の中から評価されるようにしていくことが重要です。また、サプライチェーンの中でも圧倒的に多いのが中小企業なので、その方たちにも意識向上の取り組みが必要になっていきます。たとえば、社員の意識改革のために様々な普及啓発活動を行い、セキュリティに関する投資を促し、一定の要件を満たせば減税措置等を得られるとか、多くの方々がポジティブにセキュリティを捉えて、ビジネスに活かすべきでしょう。
次に国際標準化です。これは、いろいろな分野でセキュリティ対策を促してもインターネットでつながると、ネットワーク・トポロジー的にはフラットになってしまいます。そのため、全体を管理するのではなく、それぞれが分散的にやっていかないといけません。これは標準化の世界でも同じことが起きます。それぞれが自律的に標準化を目指してしまえば、セキュリティレベルの違いのために、つながった時に脆弱になってしまいます。そこで我々が全体のテンプレートを提供するというものです。国際標準ISOの新しい作業テーマとしてやっていくことになります。
積極的サイバー防御の強化
我々は「積極的サイバー防御」にも取り組んでいきますが、これも耳慣れない言葉でしょう。攻撃を受けないように待ちの状態で防御するのみではなく、サイバー空間をクリーンなものにするために、例えば、IoT機器においてIDやパスワードが安全で適切な強度に設定されているのか、確認しにいき不十分であれば、積極的にそこを直してくださいとお願いするということです。たとえば、防犯カメラはネットでつながっており、どこでも見られるようになっています。その防犯カメラが適切にIDとパスワードが設定されていないと簡単に入り込まれます。防犯カメラは性能が高く、一種のコンピュータにもなります。しかも24時間動いており、かつ映像を流しているため、大量のデータをやり取りできるようになっています。これほど攻撃者にとってうま味のある攻撃拠点はありません。これを大量に乗っ取って連携すれば、特定のサーバーを倒すことができるほど、大変なパワーになります。つまり、そうした脆弱な状況であれば、そこを直してくださいといえるような体制を作ったのです。単なる待ちの防御ではなく、積極的にクリーンにしていく取り組みをしていくことです。そうすることによって、信頼できる情報インフラを整備していくわけです。
重要インフラについては、従来から、電力、金融、情報通信、鉄道等の13分野のインフラを設定していますが、14番目の分野として空港を加えることを決定しました。重要インフラ事業者は顧客に対し、安全なサービスを提供するためにサイバーセキュリティ対策に取り組んでいます。また、重要インフラに重大なセキュリティインシデントがあった場合、これはどんな事案だったのかという共通認識を持つため、深刻度の基準を設定しました。この基準を使って、事後的にこの程度だったと評価する経験を積み重ねていき、みんなで経験を共有していく仕組みができたらとの思いから、深刻度を導入してみました。
今回、重要な知財が集まる大学等でも初めてセキュリティ対策の推進を強化することにしました。残念ながら、大学におけるインシデントは頻繁に起こっているので、学問の自由を守るためにもセキュリティ対策を進めていく必要があります。さらに2020年の東京オリンピック・パラリンピック大会ですが、開催そのものは組織委員会が担当し、政府は電力等、開催に必要な重要インフラは大丈夫なのかどうかを確認していきます。
重要インフラについては、従来から、電力、金融、情報通信、鉄道等の13分野のインフラを設定していますが、14番目の分野として空港を加えることを決定しました。重要インフラ事業者は顧客に対し、安全なサービスを提供するためにサイバーセキュリティ対策に取り組んでいます。また、重要インフラに重大なセキュリティインシデントがあった場合、これはどんな事案だったのかという共通認識を持つため、深刻度の基準を設定しました。この基準を使って、事後的にこの程度だったと評価する経験を積み重ねていき、みんなで経験を共有していく仕組みができたらとの思いから、深刻度を導入してみました。
今回、重要な知財が集まる大学等でも初めてセキュリティ対策の推進を強化することにしました。残念ながら、大学におけるインシデントは頻繁に起こっているので、学問の自由を守るためにもセキュリティ対策を進めていく必要があります。さらに2020年の東京オリンピック・パラリンピック大会ですが、開催そのものは組織委員会が担当し、政府は電力等、開催に必要な重要インフラは大丈夫なのかどうかを確認していきます。
官民による情報連携協議会の創設を目指す
次に情報共有ですが、先ほど参加・連携・協働と申しましたが、情報共有の枠組みは重要です。重要インフラでは、任意の情報連携で協力をしていただいておりますが、民間でも様々な情報連携の枠組みがあります。今年3月サイバーセキュリティ基本法の改正案を閣議決定し、官民による情報連携の協議会を創設する案を提出していました。現在、国会において継続審査になっていまして、できるだけ早く成立させていただき、我々としては情報連携を強化していきたいと考えています。この協議会では、参加したメンバーには守秘義務がかかり、攻撃を受けたときの情報を共有したとしても外部にネガティブな評判が立たないようになっています。こうすることで、自由に迅速に議論できる環境や仕組みを作り皆で守ることができるようにすることを目指しています。
また、大規模サイバー攻撃事態等への連携も今回の戦略で新たに設けた部分です。危機管理センターがありますので、大規模なサイバー攻撃にしっかりと対処していきます。
国際平和及び安全保障の部分では、冒頭でも国際的な議論が対立していると申し上げましたが、我々としては自由、公正かつ安全なサイバー空間という理念を堅持していきます。新しく付け加えた点としては、わが国の防御力、抑止力、状況把握力の強化です。わが国の防御力とは、たとえば、NISCが防御を担当しますし、また、自衛隊等の防御力も強化することです。抑止力というのは、たとえば、昨年に身代金要求型のウィルス「WannaCry」が北朝鮮の仕業であるとアメリカ等と共同で日本も表明しましたが、こうした国際的な非難は抑止力に役立つと考えています。それからサイバー空間の状況把握力の強化というのは、たとえば、情報の専門部局にて対応していくことで、全体として内閣官房をはじめ関係部局がしっかりやっていきます。
国際平和及び安全保障の部分では、冒頭でも国際的な議論が対立していると申し上げましたが、我々としては自由、公正かつ安全なサイバー空間という理念を堅持していきます。新しく付け加えた点としては、わが国の防御力、抑止力、状況把握力の強化です。わが国の防御力とは、たとえば、NISCが防御を担当しますし、また、自衛隊等の防御力も強化することです。抑止力というのは、たとえば、昨年に身代金要求型のウィルス「WannaCry」が北朝鮮の仕業であるとアメリカ等と共同で日本も表明しましたが、こうした国際的な非難は抑止力に役立つと考えています。それからサイバー空間の状況把握力の強化というのは、たとえば、情報の専門部局にて対応していくことで、全体として内閣官房をはじめ関係部局がしっかりやっていきます。
人材の育成と技術の進歩を踏まえた研究開発
何よりも大切なのは人材です。いまサイバーセキュリティ技術者が10~20万の単位で足りないと言われておりますが、ITに従事しているエンジニアは90万人います。IT人材は、アプリの開発に従事している人が多いので、もう少しICTのファンダメンタル(基礎)をしっかり身につける機会を提供することでやっていけると考えています。また、多くの場合は組織的に対応していかないといけないので、会社で言えば、大切なのは、戦略企画部門でサイバーのわかる人、つまり戦略マネジメント層を育てていかないといけません。
次に研究開発です。これについては、防御、検知の技術を向上させていかないといけません。よく新しい攻撃が高度化していると言われていますが、私の感覚では攻撃手法の基本形はほとんど同じです。不正プログラムや不正な命令などを使う、ソフトウェアの脆弱性を悪用する、IDやパスワードなどを盗み取る、人を騙す、DDoS攻撃のような業務妨害等、いくつかの典型的なパターンしかなく、その組み合わせでしかありません。むしろ変化して高度化しているのは、クラウドやスマートフォン等の新たなICTとその普及であって、ブロックチェーンや自動走行システムなどと適応範囲がどんどん広がっています。新しい技術が登場すれば、当然そこには新たな脆弱性の可能性があり、攻撃の手口が次々と考えられます。そうした技術の進歩を踏まえて研究をしていかないといけません。
なお、不正プログラム等の技術的検証を行うための体制整備等についてですが、製品を作る過程で何か仕込まれたら困るので、低コストで検査する方法が必要になってきますので、そのことを踏まえた新たなセキュリティ対策を考えないといけません。長期的にはAIやブロックチェーンの普及もありますので、社会的なインパクトも考慮して、単にテクノロジーだけでなく、人文社会、心理学等の分野とも連携した研究が必要になっていくでしょう。
最後に全員参加という普及啓発もしっかりとやっていかないといけません。たとえば、最近は若い人たちに対し訴求すべく、アニメと連携してやっておりますが、今後はもっと広くやろうということで、今回新たに「全員参加による協働」という項目を入れてみました。内閣サイバーセキュリティセンターを中心に、関係省庁が必要な予算をとって一体となって進めていくというのが今回の戦略の概要であります。
以上