ITpro Special
週間WEEKLY ITpro Special ITpro

情報漏えい対策セミナー REVIEW 総論

サイバーセキュリティの強化は喫緊の課題だ。個人情報や知的財産を狙う攻撃手法は巧妙化する一方で、マイナンバー制度の施行や不正競争防止法の改正などによって個人情報や知財の漏えいを防ぐ必要に迫られている。こうした中でサイバーセキュリティの戦略はどうすべきか。この分野の第一人者をはじめ、IT企業の専門家がそれぞれの立場で語った。

  • 総論 個人情報、知財を守る処方箋を探る
  • パスワード認証の限界時代は生体認証へ

サイバーセキュリティ基本法の施行で
政府が前面に出て対策に取り組む体制に

三角 育生 氏

内閣官房
内閣サイバーセキュリティセンター
内閣参事官部
三角 育生

「ITは社会生活の様々な部分に浸透し、ITに障害が発生すると国民生活や経済活動に打撃を与える可能性があります。また、官公庁や企業からの情報流出が増えています。昨年11月に成立したサイバーセキュリティ基本法は、こうした事態に対応するためのものです」。内閣官房内閣サイバーセキュリティセンター(NISC)の三角育生氏はこう話す。

 

NISCは、サイバーセキュリティ基本法の施行に伴って設置した組織で、政府の情報セキュリティ対策の実務などを担う。政府のサイバーセキュリティ戦略を担ってきた情報セキュリティ政策会議を格上げする形でサイバーセキュリティ戦略本部を設置し、内閣官房情報セキュリティセンターを改組した形でNISCを設置した。

インシデント発生の省庁にNISCへの報告を義務付ける

サイバーセキュリティ基本法では、サイバー攻撃対策に関する国の責務などを定めている。以前の内閣官房情報セキュリティセンターは内閣官房の規則に基づく組織に過ぎず、法的権限の制約や専門人材の不足を指摘する声があった。サイバーセキュリティ基本法ではNISCの役割などを明記して権限を強化し、省庁横断の司令塔として機能できるようになったほか、専門的知識を持つ民間の人材などを任期付きで任用することも可能になった。

「日本ではサイバーセキュリティの専門家が質と量の両面で不足しています。不正プログラムの接続先の97%は海外で、サイバー攻撃の中には国家機関が関与している可能性があるとみられるものもあります。官民挙げて日本のサイバーセキュリティ対策の強化に取り組んでいきたいと思います」。三角氏はこう強調した。

インターネット定点観測システムを活用し
接続点でアクセス情報などを観測・分析

國浦 淳 氏

警察庁
情報通信局
情報技術解析課長
國浦 淳

「サイバー空間の脅威は、市民生活や企業活動に及ぼす悪影響を看過できない水準に達しています」。警察庁の國浦淳氏はこう指摘する。

 

警察庁は情報システムに対する犯罪を未然に防ぐとともに、被害の拡大を防止するために情報を収集している。その一環として、インターネット定点観測システムを運用し、全国の警察施設のインターネット接続点でアクセス情報などを観測している。

情報通信局情報技術解析課は、捜査で押収した電子機器などの解析とともに、サイバーテロ対策やサイバーインテリジェンス(諜報活動)対策の技術の実務を担う。

不正の痕跡を残さないために時間が経過すると自己消滅

國浦氏は、数々の最新手口を紹介した。例えば、標的型メールに添付しているマルウエアには、ダイナミックDNSによる名前解決を不能にしたり、接続サイトのサービスを停止したり、不正プログラムを消去したりして、時間が経過すると追跡を困難にするものが増えている。また、ネット銀行から個人情報を不正に収集するマルウエアには、自己消滅する機能を持つものがあり、追跡を難しくしている。

不正の痕跡を残さない手口だけではない。画像ファイルを悪用した手口も増えている。画像ファイルの末尾にマルウエアのコードを隠し、HTTPに見せかけてファイアウォールを突破し、通信ログを分析しても画像の読み込みや画像のアップロードに見えてしまう。また、マルウエアによってブラウザーの通信を監視し、ネット銀行へのログインを検知して通信を乗っ取り、振込先を改ざんして預金を盗む「マン・イン・ザ・ブラウザー」のような手法も増えている。攻撃側の手口はとどまることなく巧妙化している。

サイバー空間に出現する様々な脅威
アクセル全開では対応できない時代に

岡村 久道 氏

弁護士
国立情報学研究所
客員教授
岡村 久道

「IT基本法はITの利用を促進するアクセルの役割を果たす法律で、安全性と信頼性の確保の必要性をわずかに触れているだけでした。今や様々な脅威が出現しており、アクセル全開では対応できなくなりました。昨年11月成立のサイバーセキュリティ基本法はブレーキ役ともいえます」。弁護士の岡村久道氏はこう語る。

 IT基本法では民間主導を原則にしていた。サイバーセキュリティ基本法は官民一体の連携をうたうが、国の主導を明確にしている。政府の司令塔であるサイバーセキュリティ戦略本部を設置し、行政サービス、電力・ガス、金融、医療など社会生活に影響を及ぼす重要インフラのセキュリティ確保も重視する。「あくまで基本法でフレームワークを示しているにすぎません。今後、この法律を前提に法整備を進めていくことになります」(岡村氏)。

不正競争防止法も改正へ知財、顧客名簿の流出も防止

サイバーセキュリティ関連の法整備はこれだけではない。IoT(Internet of Things)の普及を促すための電波法改正など過去1年間で数々の関連法案が改正されたが、これから提出される法案の中で岡村氏が注目するのが個人情報保護法と不正競争防止法の改正案だ。個人情報保護法は全面施行後およそ10年たち、初の大改正。これまで個人データの安全管理措置規定がサイバーセキュリティに関する実質的な一般法の役割を担ってきたが、マイナンバー法の改正と連動したものになる。また、不正競争防止法は、顧客名簿と並び技術ノウハウなども営業秘密として保護するが、改正案は不正漏えいに対する保護強化を図っている。

「関連法案の動向だけでなく、関連の判例などにも関心を払い、セキュリティ対策を講じてください」。岡村氏はこう言って講演を終えた。

※本企画に掲載の製品名、社名、その他は各社の商標または登録商標です。