日本政府が取り組むサイバーセキュリティ対策
「これからは我々が直面しているリアルな社会的課題を、現実世界のあらゆるモノから取得したデータを使って解決をしていくデータ主導社会が到来する。リアル社会とサイバー空間との間でいかにセキュリティを確保しながらデータを循環させていくか。これは政府としても重要なテーマだと思っている」
総務省 政策統括官(情報セキュリティ担当) 谷脇 康彦氏
こう切り出し、谷脇氏の講演が始まった。今年6月政府は新たな成長戦略「未来投資戦略2017」(参考資料)を決定した。さまざまな成長戦略が示される中で、データの利活用は大きな要素となっている。そのためには、冒頭で述べたようにリアル空間とサイバー空間のデータ循環は欠かせない。だからこそ「サイバーセキュリティの重要性もますます高まってきている」と谷脇氏は語る。
その理由は大きく3つある。第一にリスクの深刻化である。内閣サイバーセキュリティーセンター(NISC)によると、2016年度の政府機関への脅威件数は711万件、4.4秒に1回政府に対する不審な通信を検知しているという。また不審メールなどの注意喚起件数も1500件と高い水準となっている。警察庁のレポートによると、標的型攻撃のうち非公開のメールアドレスに対する攻撃が全体の96%。中でもばらまき型の攻撃が86%だという。「不審メールに添付されているファイルも多様化が進んでいる」と谷脇氏は説明する。
第二はリスクの拡散が進んでいること。「これまでのサイバーセキュリティ対策はパソコンやスマホをいかに守るかだったが、これからのIoT時代においては車やスマートメーターなど、守るべき領域が飛躍的に広がる」(谷脇氏)。
第三はリスクのグローバル化である。これまでの情報の窃取だけではなく、近年は電力や航空、鉄道と行った重要インフラのサービスを低下させたりするようなサイバー攻撃も増えている。その例として谷脇氏が挙げたのは2015年12月23日に発生したウクライナの停電事件だ。電力供給会社がサイバー攻撃をうけ、電力の供給を止めてしまったのである。
このようなサイバー空間におけるリスクに対して、「日本政府も適宜対応してきた」と谷脇氏は近年の政策を振り返る。まずは2015年1月にサイバーセキュリティ基本法(参考資料)の施行を行った。「この法律が施行されたことで、サイバーセキュリティ戦略本部が設置された」と谷脇氏。そしてある省庁でインシデントが発生した時には、その省庁からNISCに対する情報提出が義務づけられ、また重要なインシデントが起きた場合には、NISCが原因究明を行い、その報告書を公表するというメカニズムもできたという。サイバーセキュリティ基本法は2016年秋には一部改正され、さらに2018年には改正されたサイバーセキュリティ基本法の見直しをするかどうかの決定が行われるという。
法体系の整備だけではない。2015年9月に閣議決定されたのが、サイバーセキュリティ戦略である。同戦略は3年を目処としているため、「来年の夏か秋には全面的な改定を行う予定になっている」と谷脇氏は説明する。
すでにそのための準備も進んでいる。サイバーセキュリティ戦略本部では、今年6月、戦略の見直しに向けて中間レビューを実施。そこでは今後1年以内に取り組むべき施策をとりまとめたという。第一が2020年に向けてのセキュリティ強化。第二が官民のサイバーインシデントに関する情報共有体制の強化。第三がボット対策の強化である。「特にボット対策について、10月3日に公表したIoTセキュリティ総合対策でも謳っている」(谷脇氏)。
政府が取り組むサイバーセキュリティ対策 出所:「2017 MPOWER:Tokyo」(2017年11月9日)
総務省 谷脇 康彦氏 講演スライド[クリックすると図が拡大します]
