日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

世界が協調して社会を守るサイバーセキュリティ最前線

あらゆるモノがインターネットに接続されるIoT(モノのインターネット)時代を迎えた今、新しいサイバーリスクへの対応が急務となっている――。独立行政法人情報処理推進機構(IPA)の富田達夫氏は、信頼できるIT社会を作るために企業・団体が取り組むべき施策や、現在、展開されている取り組みについて紹介。包括的な施策と協力により、頼れるIT社会の実現を目指す。

 「IoT(モノのインターネット)を活用した新たなビジネスが生まれるのと並行して、新たな脅威が拡散しつつあります」と、独立行政法人情報処理推進機構(IPA)の理事長 富田達夫氏は現状を解説した。

独立行政法人情報処理推進機構(IPA)
理事長
富田達夫 氏

 2020年になると、インターネットに接続される機器やセンサーは300億台、そこから生み出されるデータ量は44,000エクサバイト(EB)に達する見通し。その結果、サイバー攻撃の標的となりえる機器やセンサーの数も増え、情報流出などの被害もより深刻になるという。

 サイバーセキュリティに関する脅威についてのIPAの調査結果にも、“新たな脅威”の兆候が表れている。「IPAが発表した『情報セキュリティ10大脅威2017』では、2016年の脅威トップ1位と2位は、標的型攻撃とランサムウェア。IoT機器の脆弱性を突く攻撃も8位に登場しました」と、富田氏。2016年における国内でのランサムウェアの検知数は前年の約10倍に達した、というセキュリティ製品メーカーからの報告があるほか、日本語に対応したものまで発見されていると述べた。

 また、標的型攻撃による情報流出の被害も続く。富田氏が紹介したのは、2016年に国内で発生した、旅行代理店からの約700万件の個人情報漏洩と、国立大学からの研究データの流出の2件。制御システムの脆弱性を突く、IoTへのサイバー攻撃による被害の例として、ウクライナ西部での大停電(2015年12月)とイランでのウラン濃縮施設の破損(2010年9月)を取り上げた。

 このような攻撃から企業・団体を守るには、脅威の特性に合った対策が必要となる。ランサムウェアに対しては定期的なデータバックアップ、標的型攻撃には複数の階層で検知・対処する多層防御が効果的だ。さらに、標的型攻撃では「怪しい電子メールを受け取ったときの報告体制の確立」「使用中のシステムに対するリスク検査」「対応組織の立ち上げと予行演習」といったプロセス面の準備も欠かせない。

 組織がサイバー攻撃に対抗するためには、経営者の役割が重要だ。経営者は「CISO(最高情報セキュリティ責任者)の任命」「情報セキュリティポリシーの承認」「実施計画の承認」を行い、その運用状況を把握して状況に応じた改善を指示するなど、組織のサイバーセキュリティリスク管理体制を構築し、その体制の維持・効率化を図る必要がある。

サイバー攻撃に関わる情報を共有する施策なども

 サイバー攻撃に対抗するために、政府機関をはじめとする関係機関が、企業・団体、一般国民に対し、さまざまな情報提供や支援施策を展開している。サイバー攻撃に関する理解を深めるために、対策の一例として、IPAの取り組みを紹介すると、まず、サイバー攻撃に関わる情報を官民で共有することを目的とした「サイバー情報共有イニシアティブ(J-CSIP)」。8業種・154組織の間で情報を交換するための仕組みで、IPAがハブの役割を果たしている。さらに、標的型攻撃を受けた企業・団体からの相談窓口である「サイバーレスキュー隊(J-CRAT)」では、毎年500件以上のコンサルティングと情報提供、および、100件以上の救済活動を、企業・団体が受ける。

 また、IT人材の育成については、社会インフラを守る人材を養成する「産業サイバーセキュリティセンター」が、IPA内に2017年7月に設立された。2016年創設の国家資格「情報処理安全確保支援士」では、試験・登録だけでなくフォローアップ教育も行われる。情報セキュリティ対策に自ら取り組む中小企業による自己宣言「SECURITY ACTION」、若手セキュリティ人材の発掘・育成を行う「セキュリティキャンプ」も行われきめ細かく施策が組まれている。

 このほか、サイバーセキュリティ対策に関する各種ガイドラインなども用意されている。ガイドラインのテーマは、「標的型攻撃メールの例と見分け方」といった一般従業員向けのものから、エンジニア向けの「『高度標的型攻撃』対策に向けたシステム設計ガイド」や、制御システム向けの「制御システムのセキュリティリスク分析ガイド」までさまざま。経済産業省とIPAが共同でとりまとめた『サイバーセキュリティ経営ガイドライン』には、経営者が認識すべき3つの原則と対策責任者に指示すべき10の重要項目が記されている。

 「社会とビジネスをとりまくサイバーセキュリティの問題を解決するには、産官学がさらに連携を強めて取り組まなければなりません」と、富田氏。Cyber3 Conference Tokyo 2017での成果を基に協力すれば、頼れるIT社会は実現できるとした。

独立行政法人情報処理推進機構(IPA)
https://www.ipa.go.jp/