講師:内閣官房情報セキュリティセンター参事官補佐 大塚祥央氏
~9/20開催された情報セキュリティセミナーの参加レポート~
お先に感想
私が審査員をやらせてもらっている情報セキュリティ懸賞論文の主催者でもある公益法人 防衛調達基盤整備協会主催の講演会に参加してきました。
57ページに上る大量の情報を中盤くらいまで逐次丁寧に説明した分、終盤はかなりの駆け足でした。
元来多くの施策を講じていることの衆知が主眼でしょうから、講演も情報量は多くならざるを得ないし、それをまとめた結果も長大ににならざるを得ませんでした。
講演終了後に直接講師に質問:
Q 成果が出ていると感じているのは?
A クリティカルなリソースの防御はうまくいっている。
※ 報道を見る限り、最近の海外からの攻撃に対しても致命的な事態を招いていないようなので首肯できます。
Q 難しいと感じているのは?
A 一般職員の意識向上。標的型メールの模擬テストにひっかかっていながら、居直る職員が少なくないようである。
Q SNSの利用や私物スマートフォンの持ち込みなどに関する制約は? クラウド上への業務資料のアップロードは?
A 前者は特にないが、後者は認められていない。
◎セミナーのアジェンダ
◇日本国政府の情報セキュリティ政策の基盤体制
現在の情報セキュリティ政策の基礎を成しているのが、「国民を守る情報セキュリティ戦略」である。同戦略のゴールは「2020年までに利用者が活用するにあたっての脆弱性を克服し、国民が情報通信技術を安心して利用できる環境を整備し、世界最先端の「情報セキュリティ先進国」を実現する」ことである。
この戦略に基づいて年度計画が策定されており、今年の年度計画が「情報セキュリティ2012」である。
◇情報セキュリティ2012の概要
情報セキュリティを取り巻く環境の変化として、以下の5点を挙げている。
◆本格的なサイバー攻撃の発生と深刻化
◆社会経済活動の情報技術への依存度の更なる高まりとリスクの表面化
◆新たな技術革新に伴う新たなリスクの出現
◆重大な情報通信システム障害のリスク回避に向けた取り組みの必要性の高まり
◆諸外国による取り組みの強化
これらの変化を踏まえて、以下の3つの基本方針を掲げている。
◆国や国の安全に関する重要な情報を扱う企業等に対する高度な脅威への対応
◆スマートフォンの本格的な普及等新たな情報通信技術の広まりに伴うリスクの表面化に対応した安全・安心な利用環境の整備
◆国際連携の強化
情報セキュリティ2012に挙がっている主要施策は以下の10項目である。
(1)標的型攻撃に対する官民連携の強化等
(2)大規模サイバー攻撃事態に対する対処態勢の整備等
(3)政府機関等の基盤強化
(4)重要インフラの基盤強化
(5)情報通信技術の高度化・多様化への対応
(6)研究開発、産業振興の推進
(7)情報セキュリティ人材の育成
(8)情報セキュリティリテラシーの向上等
(9)制度整備
(10)国際連携の強化
◎セミナーの詳細(※は筆者注)
◇これまでのセキュリティ政策の推移
・2000年2月 内閣官房情報セキュリティ対策推進室設置…同年1月の省庁HP連続改ざん事案の発生が契機
・2005年4~5月 内閣官房情報セキュリティセンター、情報セキュリティ政策会議設置…<時代背景>2004年2月ソフトバンクBBの個人情報漏えい事件、同年3月ごろよりWinny暴露ウィルスによる情報漏えい事案が急増、同年12月 国内初のフィッシング詐欺、2005年4月 個人情報保護法施行
・2006年2月 第1次情報セキュリティ基本計画…
・2008年4月 GSOC運用開始
・2009年2月 第2次情報セキュリティ基本計画…※ここまで自公政権下
・2010年5月 国民を守る情報セキュリティ戦略…2009年の米韓政府機関DDoS攻撃事案が契機となった。※前年民主党政権成立。
◇情報セキュリティ政策の枠組みと推進体制
IT戦略本部(※2000年森内閣時代にe-Japan構想と共に設立)の下部組織に情報セキュリティ政策会議が配置されおり、その事務局としてNISCが設置されている。
各省庁からの出向者の他にも民間企業から非常勤で参加しているセンター員も多く活躍している。
◇情報セキュリティ戦略の最新版「国民を守る情報セキュリティ戦略」
2009年に発生した米韓両国政府機関に対するサイバー攻撃をふまえて、当時の情報セキュリティ戦略を更新する形で制定されている。
◇情報セキュリティ政策のフレームワーク
複雑化、高度化している情報セキュリティ対策を推進するため、以下の点を意識
◆NISCが結節点となって官民連携を促進する
◆統一的、横断的な情報セキュリティ対策を推進し底上げを計る
◆PDCAサイクルによる持続的改善を定着させる
◆国際連携を強化し、その中でイニシアティブを発揮する
◇「情報セキュリティ2012」で意識しているリスクや脅威
情報を取り巻く環境の変化として従来から継続している流れ+東日本大震災をふまえた5点を挙げている。
◆本格的なサイバー攻撃の発生と深刻化
省庁、国会、国家の機密を共有する民間企業などを狙った標的型メール攻撃の頻発への対応
■ 標的型メール攻撃の情勢
日本国内で発生した標的型メール攻撃の発生件数に関する正確な数字は把握されていないが、警察が把握しているものとIPAに寄せられた相談件数を掲示。氷山の一角であろうものでもこれだけの量となっており、軽視できる状況にはないと考えている。
◆社会経済活動の情報通信技術への依存度のさらなる高まりとリスクの表面化
スマートフォン、SNSなどのクラウドサービスの普及にセキュリティ対策や利用者の意識がついて行っていない状況を憂慮
■ スマートフォンの普及状況
2011年度の出荷台数2340万台に達したと見られる。スマートフォンは、フィーチャーフォンに比べて脆弱性を内包しているが、未だ多くの利用者はフィーチャーフォン同様のセキュリティ水準を保っていると誤解しており、結果としてローコストハイリターンな攻撃対象となっている
スマートフォンがあらゆる国民生活に利用されている中で、スマートフォンをターゲットにしたマルウェアは急増していることで、あらゆる国民生活がマルウェアのリスクにさらされていると考えている。
■ SNSなどのクラウドサービスの利用の本格化
SNSや動画投稿サイトでは、個人情報が多く取り扱われており、普及に従ってサイバー攻撃の対象になるおそれがあると考えている。
■ IPv6への移行
インターネットトラフィックは、昨年も前年比24%増の1.7Tbpsへと増加している。GoogleのウェブサイトにIPv6でアクセスするユーザは、まだ0.1%未満だが、今後は急速に増大するものと考えられる。IPv6への移行が進めば、家電製品などあらゆる機器のインターネット端末化が進むと考えられるが、このことは攻撃対象の拡大につながる。また、IPv4との併用に起因するミスやそこを突く脅威が懸念されている。
■ 制御システムへの攻撃
Stuxnetに見られるような制御システムを狙ったサイバー攻撃も懸念されている。
◆新たな技術革新に伴う新たなリスクの出現
ここでは、特にM2M環境の出現について言及。
人間を介さずに各種センサーなどが直接機械と情報交換が進んでいくことが見込まれているが、従来クローズドな環境で運用されることを前提に開発されていたデバイスやシステムがオープンなインターネット環境で運用されたら、デバイスから情報が漏えいしたり、デバイスが不正に乗っ取られる懸念がある。
◆重大な情報通信システム障害のリスク回避に向けた取り組みの必要性の高まり
2011年にも掲げていたが、東日本大震災における電力喪失、建物損壊、ネットワークの寸断などの同時発生といった深刻な事態に備えた対策の整備を掲げている。中長期的には、堅牢なデータセンターの利用、モバイル端末からの該当システムへのアクセスを受容する仕組みの整備も検討課題に挙げている。
移動通信事業者における通信障害の多発をふまえて、対策の推進を求めている。
◆諸外国による取り組みの強化
米国は昨年5月、英国は昨年11月、それぞれサイバー空間におけるセキュリティ戦略を策定している。これに対して、
日本では、日英共同声明(2012年4月)、日米首脳会談(2012年4月)において、サイバー問題に関する二国間の連携を強化させる必要性について一致
◇「情報セキュリティ2012」で計画されている施策
(1)標的型攻撃に対する官民連携の強化等
■ 官民の連携強化
NISCが結節点になって、総務省、警察、経済産業省がそれぞれ構築している外郭団体(テレコムアイザック官民協議会、サイバーインテリジェンス情報共有ネットワーク、サイバー情報共有イニシアティブ)を活用して情報共有を推進する。
■ 政府機関にCSIRTを設置
標的型メール攻撃は、複数の省庁に同様の手口で行われる可能性があるため、インシデントに機動的に対応し、遺漏なく継続的に実施できるよう各省庁にCSIRT※を設置する。
※Critical Security Incident Response Team
■ 標的型メール対処のための教育訓練を継続実施
昨年は3ヶ月12機関6万人→今年は5カ月19機関14万人を対象に実施予定。
■ 国の重要な情報を扱う企業における情報セキュリティの推進
契約の履行に当たって必要となる情報セキュリティ要件を調達使用に組み入れる。
(2)大規模サイバー攻撃事態に対する対処態勢の整備等
大規模サイバー攻撃事態発生時の初動対処にかかる訓練を年1回実施。
海外からのサイバー攻撃が頻発している中、一定の成果を上げていると考えている。
(3)政府機関等の基盤強化
政府機関の情報セキュリティ対策は、事案が発生した場合の対処体制の整備と平時における運用体制の整備に分けられる。
◆事案が発生した場合の対処体制の整備
■ GSOC 2009年より運用。政府機関に関連する情報セキュリティ事案が発生した場合のレスポンス、脅威の回収、分析、対策の立案、共有
■ 各省庁のCSIRTを束ね、一元的な対処を可能にするための政府CISOの設置
■ 情報セキュリティ緊急支援チーム(CYMAT)の設置
◆平時における運用体制の整備
■ 情報セキュリティガバナンス
情報セキュリティ対策推進会議(CISO等連絡会議)に対して、民間の最高情報セキュリティアドバイザーなど連絡会議から審議、検討、助言が行われている。
◆実際に実施されている具体的対策
■ 政府機関のサーバ数の削減…2013年末までに2008年比で半数に削減
■ ウェブサーバの脆弱性検査の実施
■ 東日本大震災をふまえ、政府機関のITーBCPの立案に取り組んでいる。
■ メールのなりすまし防止…政府機関発の電子メールにかかるなりすましの防止策としてSPFの導入を推進中。送信側の設定状況は今年3月末段階で97.7%完了している。
■ 政府認証基盤を活用した電子署名の利用推進…NISCが作成したPDFを閲覧すると、確かにNISCが作成したものであることを確認できるようになっている。
■ 利用する暗号強度の見直し
■ 情報セキュリティ対策の統一基準、Security by Designの採用
(4)重要インフラの基盤強化
■ 重要インフラ事業者間の情報セキュリティ対策
対策のガイドラインの提示、情報共有の推進、セプターカウンシル※の支援、共通脅威分析、分野横断的演習などを実施している。
※重要インフラの情報セキュリティ対策向上のため、事業者間で分野横断的な情報共有を推進する目的で政府機関から独立した会議体として設立された。
その他、以下の点が挙がっているが、時間切れ。
(5)情報通信技術の高度化・多様化への対応
(6)研究開発、産業振興の推進
(7)情報セキュリティ人材の育成
(8)情報セキュリティリテラシーの向上等
(9)制度整備
(10)国際連携の強化
