「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項［緊急提言］」を読む

みなさまこんにちは。C&S技術統括部 s.izuです。

本稿では総務省が公開した「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項［緊急提言］」をもとに本邦のサイバーセキュリティの現状について考えたいと思います。

東京オリンピック開催を半年前に控えた2020年1月中に大手企業を狙ったサイバー攻撃が2件報道されました。その内の1つは中国の拠点を狙ったサプライチェーン攻撃によるものであるというネット記事もあります。攻撃を受けた結果、取引情報や執行役員会議資料をはじめとした機密情報が窃取されました。この事件は2019年6月に起こったものの公表されたのは2020年1月半ばでした。

サイバー攻撃を受けてから報道されるまで期間が空いていることからも分かるように、2020年1月時点において、本邦ではサイバー攻撃を受けたことを公表する義務は企業に課されていません。公表義務がないため組織の垣根を越えたサイバーセキュリティに関するナレッジの共有も進まず、公益性の観点から公表の義務化の是非について議論が積み重ねられてきました。

しかし、今後は公表を促すよう調整を進めていくように思われます。サイバー攻撃が立て続けに起こった2020年1月30日、総務省は「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項［緊急提言］」という提言書を公開しました。

www.soumu.go.jp

そこでは "サイバー攻撃については、原因究明に一定の期間を要する場合もあるが、個人情報などの流出が疑われる時点で、影響を受ける主体との関係なども踏まえつつ、速やかに情報の公表を検討することが望ましい。" という記載があり、サイバーセキュリティ政策に関する今後の本邦の指針を示しているように読みとることができます。

また、同文書ではサイバーセキュリティに関する注意喚起手法についても触れています。総務省の関係組織であるNICTではインターネットへ接続されたIoTデバイスに対してポートスキャンを行い、セキュリティ上望ましくないデバイスがないか検査していました。そしてセキュリティリスクが検知された場合、注意喚起をおこなってきました。この注意喚起は電子メールや郵送といった穏当な手段をもって行われていたようです。

しかし、その注意喚起の手段を見直すようです。同文書内では "注意喚起は各ISPにおいて電子メールや郵送等により実施しているところ、複数回注意喚起を受けても対応の見られない利用者もいることから、より効果的な注意喚起手法について検討を行う必要がある。" というポケットの中で握りこぶしを作るような記載があり、本邦におけるサイバーセキュリティ政策の穏当ではない側面を垣間見せてくれます。

さらに同文書内ではサイバーセキュリティ人材の確保についても触れられています。文中に "サイバーセキュリティ人材の育成は重要な政策課題とされており、組織における経営層、戦略マネジメント層、実務者層・技術者層といった各層の人材の育成・確保が重要である。" との記載がありますが、ここで注目したいのは『各層』という文字です。

私（s.izu)は当社の脆弱性診断サービス（安心安全対策サービス）に携わっているのですが、診断して脆弱性が見つかったあとに経営層への報告に頭を悩ませているIT部門の皆様を数多く目にしてきました。IT部門と経営層の情報連携はサイバーセキュリティの課題の1つだと考えています。

本邦に先駆けること8年前の2011年7月、米国国防省はサイバー空間を陸・海・空・宇宙につぐ「第五の戦場」であると定義しました。この定義に従えばインターネットに接続されているITデバイスは戦場に接しており、また外部に晒されていなくともローカルネットワークに配置されたデバイスは戦場の後方に位置していると言えます。サイバーセキュリティ強化を考えるうえで最も重要なのは企業ネットワークは戦場に接しているという認識を経営層と共有することだと思われます。

最後に、経営層の皆様にむけて危機感を共有したいIT部門の皆様、是非とも当社にお声掛けください。（ポジショントーク）