「データ主導型社会」の実現に不可欠なセキュリティ対策

PCやスマートフォンのみならず、センサー類や車、家電などがインターネットにつながり、集約された膨大なデータをAIで解析し、課題解決に役立てるーーそんなデータ主導型社会実現の前に立ちふさがる課題が、サイバーセキュリティです。総務省、そして日本政府では現在、IoT時代の到来を踏まえたサイバーセキュリティ対策を強化しています。
【Fujitsu Insight 2017「セキュリティ」基調講演レポート】

本講演では、総務省 谷脇康彦氏が登壇されました。

ビッグデータやAIを活用した「データ主導型社会」にはネガティブな側面も?

現実世界に設置されたIoT機器、例えば各種センサーや家電といったモノから得られた膨大なデータがネットワークを通じてサイバー空間に蓄積され、ビッグデータとなっています。データ主導型社会とは、それをAIで解析し、得られた結果をさまざまな社会的課題の解決に役立てる社会です。この考え方は、政府が2017年6月に閣議決定した「未来投資戦略2017」の中に盛り込まれています。

データ主導型社会の実現にあたって考えなくてはならないのがサイバーセキュリティです。サイバー空間で起きている数々の脅威には、3つの特徴が挙げられます。まずは脅威の増大と深刻化です。内閣サイバーセキュリティセンター(NISC)では政府機関の情報システムを24時間態勢で監視していますが、そこで検出された脅威の件数は2016年度には711万件に上りました。4.4秒に1回の割合で政府機関に対する不審な通信が検知され、しかもその脅威が深刻化しています。

次に脅威の拡散です。これまでのサイバーセキュリティの主な対象は、PCやスマートフォンといった情報機器でした。しかしコネクテッドカーやスマートメーターのように、様々なモノがネットワークにつながると、それらがサイバー攻撃の対象となり、安定運用に影響が生じる恐れも出てきます。既に米国では、車の情報セキュリティ上の脆弱性が発見されてリコールにつながった例も出ているほどで、モノのインターネット化にともない、「守るべきもの」が急速に広がっているのです。

もう一つが脅威のグローバル化です。例えばフランスではサイバー攻撃を受けたテレビ局が放送停止に追い込まれたり、ウクライナやイスラエルでは電力会社がサイバー攻撃を受け、電力供給が停止したりする事態に陥りました。今やサイバー攻撃は情報を盗むだけでなく、インフラそのものの機能を停止させる恐れがあることに注意が必要です。

セキュリティ対策を費用ではなく投資と捉える「サイバーセキュリティ戦略」

我が国政府では2015年ごろから、サイバー脅威への対策を本格化させています。中でも重要な取り組みの一つが「サイバーセキュリティ基本法」の制定で、これによりNISCの役割・権限が明確になり、各政府機関に対するセキュリティ監査や重大なセキュリティ事案が発生した際の原因究明、勧告を行える体制が整いました。

もう一つ重要なのが、2015年9月に閣議決定された「サイバーセキュリティ戦略」です。この戦略では、セキュリティ対策を「費用」ではなく「投資」ととらえることに加え、ICTの利用者・重要インフラ事業者・政府といった主体ごとにセキュリティ対策を強化すること、国境のないサイバー空間での守りを固めるためにグローバルな国際連携を強化することという3つの柱を、研究開発の推進や人材育成を通して下支えしていく方針になっています。

このサイバーセキュリティ戦略は、3年の期間を視野に入れて作成されており、2018年には見直しされることになります。それに先立って2017年6月に中間的なレビューを実施しました。その結果、「2020年に向けたサイバーセキュリティ面での体制整備」「官民合わせた情報共有体制の強化」、そして「IoT時代におけるボット対策」を、今後1年間の重要項目として挙げています。総務省はこの中間レビューの結果も踏まえ、「IoTセキュリティ総合対策」を公表しました。

IoT機器をめぐる脅威はもはや現実のものに

あらためて、IoTのセキュリティがなぜ重要なのかを説明しておきましょう。現時点で既に、世界中で約173億個のIoT機器があると言われており、2020年には約300億個にまで増加すると予測されています。センサーや車、家電など、さまざまなモノがインターネットにつながることになります。

ところが、これらIoTのセキュリティは非常に脆弱だと言われています。脆弱なIoT機器を狙った攻撃は、SFの世界の話ではなく実際に起きています。2016年10月、「Mirai」と呼ばれるマルウェアに感染した防犯カメラやデジタルビデオレコーダーといった多数のIoT機器がDNSサービスを提供する会社にDDoS攻撃を仕掛け、結果としてAmazonやNetflix、Twitterといった主要インターネット企業のサービスに支障が生じる事態が発生しました。

またIoTには、行政や医療、建築......といったさまざまな個別領域を超えて、異なる領域のデータが連携し、個別領域を超えた一つの大きなIoTシステムを形成するという特徴があります。従って、どこか一つのシステムに存在した脆弱性の影響が他の領域にも広がっていくという、システミックリスクへの対応も重要になります。

IoT機器の脆弱性対策やISPと連携した調査・対応を推進する総務省の対策

総務省のIoTセキュリティ総合対策はこうした背景を基に作成され、IoT機器の脆弱性対策の他、研究開発、人材育成、民間企業の投資促進、国際連携という5つの柱から構成されています。

中でもメインとなるのがIoT機器の脆弱性対策で、機器の設計から製造、販売、設置、利用と言うライフサイクルを見据えた対策が必要です。そこでまず設計段階からセキュリティを意識した「セキュリティバイデザイン」を推進し、一定の要件を満たしたものについて認証を行うことを考えています。

ただ、既に存在するIoT機器については認証の対象になリません。そもそも、日本国内にあるIoT機器にどのくらい脆弱性があるのか実態が把握できていないのが現状です。そこで総務省では2017年9月から、一般社団法人ICT-ISAC(注)と連携してIoT機器の脆弱性調査を開始しました。

さらには、IoT機器が踏み台にされて第三者を攻撃してしまった場合、攻撃者が操るC2サーバとの通信をISP側で制御、遮断することも検討を進めていきます。実は、総務省と民間組織が連携して攻撃通信を遮断する取り組みには前例があります。それがウイルス感染被害予防対策「ACTIVE」で、この取り組みを通じ、2016年2月から今年5月までの1年3カ月の間に合計1億件の通信遮断を行い、感染PCを減らしてきました。

IoTセキュリティ総合対策の2つ目に掲げている研究開発の分野では、膨大な数のIoT機器を効率的に調査するためのスキャン技術の軽量化に加え、攻撃者をダミー環境に誘い込んで振る舞いを分析する「STARDUST」というプロジェクトをNICTが始めています。

OTも視野に入れた幅広い人材育成は不可欠に

これからのセキュリティ対策を考える上でもう一つ重要な事柄があります。それが、制御系システムをはじめとするOperation Technology(OT)のセキュリティです。

制御系システムや工場の生産ラインの分野ではOSの汎用化が進み、従来以上に攻撃を受ける恐れが高まっています。そんな中で、ITシステムとOTシステムを含め、企業全体のシステムのセキュリティをどうすべきか。ITとOTが一体化する中で、システムが被害を受けたとしても事業中断による影響をなるべく小さくする「レジリエンス」や「機能補償」という考え方を広めていくことも重要になるでしょう。

また、「ISAC」などの整備を通じた情報共有・連携の仕組みの構築・強化とともに、人材育成も重要なテーマです。既にNICTに「ナショナルサイバートレーニングセンター」を設置し、ハンズオン形式でインシデントを経験する「CYDER」や、2020年のシステムを想定しての攻防戦形式の演習、若手の技術者を育成する「SecHack365」といった取り組みを進めています。

また流通やサービス、製造といった多様な業態で使われるこれからのIoTのあり方を考えると、ICT産業の中だけでなく、多業態でセキュリティの素養を身につけてもらう観点も必要でしょう。同時に、経営層と現場とをつなぐ「橋渡し人材」の育成についても検討していきたいと考えています。

最後は国際連携ですが、いまや、国家の安全保障にサイバーセキュリティは密接に関連しています。一方で、サイバー空間において、多くの国が同意できている国際ルールは今のところありません。一部には、情報の自由な流通に逆らう動きも出てきています。我が国としては、自由でオープンな取引を国際的なコンセンサスにしていかなければならないと考えています。

データ主導型社会の実現による利便性の高まりに期待が寄せられる一方で、セキュリティを守っていくという側面もますます重要になってきます。もう一つ、プライバシーの問題も重要な論点です。利便性とセキュリティ、プライバシーという3つの要素の適正なバランスをいかに実現するかが、政府に求められている重要なテーマだと考えています。そのバランスを取ることによって、サイバー空間における「信頼」が確保されることになるでしょう。これからも、政府だけでなく、ここにいる皆さんと連携しながら、サイバーセキュリティの強化に努めていきます。

(注) ISAC (Information Sharing and Analysis Center:情報共有分析センター)
サイバー攻撃のインシデント情報等を収集・分析し、業界内で共有することを目的として、事業分野ごとにISACが設立され活動中。

登壇者
  • 総務省
    政策統括官 (情報セキュリティ担当)谷脇 康彦 氏