ニュース

日本IT団体連盟が「サイバーセキュリティ委員会」を設立、業界を超えサイバーセキュリティを支えるための制度・基盤の構築へ

 一般社団法人日本IT団体連盟(以下、IT連)は11月26日、サイバーセキュリティに関する方策を推進する「サイバーセキュリティ委員会」を設立した。委員長として、特定非営利活動法人日本ネットワークセキュリティ協会理事・事務局長の下村正洋氏が就任した。IT連では「サイバーセキュリティ対策の促進方策の検討」「サイバーセキュリティを支える制度・基盤の構築」「サイバーセキュリティ確保に向けた国際情勢等の共有」を活動内容に挙げている。

一般社団法人日本IT団体連盟理事・サイバーセキュリティ委員会委員長の下村正洋氏

 同日行われた設立シンポジウムでは冒頭、代表理事筆頭副会長の長谷川亘氏(一般社団法人全国地域情報産業団体連合会会長)がIT連について説明。60以上の業界団体が集結し、加盟企業5000社超・従業員総数400万人を超える日本最大級のIT業界団体として政府や業界への各種提言を行っていると紹介。昨今、サイバー空間での攻撃が巧妙化していることから、加盟企業のサイバーセキュリティを強化・推進することで未来への準備を行いたいと設立の背景を紹介した。

一般社団法人日本IT団体連盟代表理事筆頭副会長の長谷川亘氏

 続いて、元サイバーセキュリティ担当大臣の丸川珠代参議院議員と平井卓也衆議院議員も来賓として登壇。

 丸川議員は、IT連がサイバーセキュリティ委員会を設立したことに対し、「デジタルトランスフォーメーション(DX)が叫ばれているが、信頼というのが大きなカギになると考えている。サイバーセキュリティ委員会の活動によって多くの人にサイバーセキュリティが他人事ではないと思っていただけるように主導して欲しい」と発言。

 平井議員は「サイバーセキュリティ無くして社会経済の発展は見込めず、DXは企業のみでなく行政にも必要だ。その前提となるのが『安心と安全』。これからはサイバーセキュリティ対策をしていること自体が企業価値そのものとなる。フィジカル空間を守るためにもサイバーセキュリティが必要」と語った。

元サイバーセキュリティ担当大臣の丸川珠代参議院議員および平井卓也衆議院議員

現場に任せるだけでなく、戦略・企画部門が“DX with Cybersecurity”を考えること

 基調講演では内閣官房内閣サイバーセキュリティセンター(NISC)副センター長・内閣審議官の山内智生氏が登壇。サイバーセキュリティに関する施策の基本理念を定めたサイバーセキュリティ基本法には、「自然災害、自損事故を含めた情報の漏えい、減失または毀損の防止」と書かれていることを紹介し、日本のサイバーセキュリティ政策の枠組みは必ずしもサイバーセキュリティ対策だけにとどまらないことを説明。

 NISCの立ち位置に関してはサイバーセキュリティ基本法のもと、内閣官房長官を本部長としたサイバーセキュリティ戦略本部が設置されており、NISCはサイバーセキュリティ戦略本部の事務局として施策を総合的かつ効果的に推進するとともに、現場の仕事として政府機関のサイバー攻撃の監視・分析・対処とインシデント対策を行うという。

内閣官房内閣サイバーセキュリティセンター副センター長・内閣審議官の山内智生氏

 サイバーセキュリティの目指す姿として、セキュリティリスクをゼロにするため無限のリソースが割けるわけでもなく、「優先順位を付けて、どこまで守るか分析」し、それを超える事態に対して何を行うのか危機管理が重要だという。どこまでできるのか身の丈にあった資源配分を行い、サイバーセキュリティを他人事と思わずに日頃から参加・連携・協働することが重要だと説いた。

持続的な発展のためのサイバーセキュリティとは、業務を確実に遂行するための能力と資産を確保し、リスクを許容可能な範囲まで低減し、平時から取り組むこと

 また、企業の意思決定を行うのが経営陣や企画戦略のスタッフである以上、彼らが組織の持続的成長のためにサイバーセキュリティの概要を理解し、資源配分を行い人材育成を行う必要性を説いた。

 今年1月に開始した「サイバーセキュリティ意識・行動強化プログラム」は、主に中小企業や若年層を対象とした取り組みを重点的に行うことが必要だと説明。中小企業はセキュリティ専任者もいない会社も多く、このような事情を配慮した取り組みが必要となる。

 現在の若年層については、例えば小学4年生ぐらいからスマートフォンを持ち始める一方で、使っているアプリの規約を理解せずに利用しているケースが大半になる。そこで、若年層に対してモラルやルールを理解させる取り組みを行うことも重要になると説明する。さらに情報の地域格差について、東京、関東以外ではセキュリティに対する情報量に差があるので、地方の教育委員会との取り組みを紹介した。

 私見として、“ありがちなサイバーセキュリティの姿”と“目指したいサイバーセキュリティの姿”を紹介した。過去の「外界と一切遮断すれば問題無いと設計して失敗した」例として年金機構を紹介。「年金管理のネットワークを外部と完全遮断した結果、実務上の使い勝手が悪く『裏口』ができてしまった」という。

山内氏の私見として“ありがちなサイバーセキュリティの姿”を列挙
山内氏が目指したいサイバーセキュリティの姿。それぞれの部門があるべき姿に向かい、必要な作業はシステムに任せるのはDXの趣旨にあうという

 最後に「現場に任せるだけではDXの全体像がつかめないので、戦略・企画部門が“DX with Cybersecurity”を考えて欲しい」と述べ、リスク管理の一環としてサイバーセキュリティがあるので、難しく考えず、最終的に目指す目標と当座の現実的な目標を分けて考えつつ、現在行える範囲での資源配分を行って欲しいとまとめた。

まずはやれるところから始めて、最終的な理想に近づけるのが望ましい姿という

国際化するサイバー犯罪、捜査機関以外でもインテリジェンスの活用が有用に

 特別講演として、インタポールの奥隆行氏(警察支援総局/サイバー局/捜査・インテリジェンス課長)は、国際化するサイバー犯罪の傾向、課題及び対策について説明を行った。

 インターポールは194の加盟国から成り、各国の警察間協力を行っているが、捜査権やパトカー、銃も無い「普通のビジネスマン」と紹介。一方、各国の警察とコミュニケーションが取れて警察情報を扱える点が普通のビジネスマンと違う点として挙げた。

インタポールの奥隆行氏(警察支援総局/サイバー局/捜査・インテリジェンス課長)

 インターポールには各国捜査機関から持ち寄られたデータベースがあり、捜査に役立てるためのサポートをしている。一例として刑務所からの脱走のケースを挙げ、陸続きの国で脱走者が他国に逃げられないように積極的に国境と連絡を取るという。

インターポールには各国の捜査機関から持ち寄られたデータベースがあり、これを提供している。入国審査ではその国のデータベースとインターポールのデータベースでの照会が行われている

 次にサイバー犯罪を取り巻く情勢をいくつかの数値を使って説明した。

 「118億」という数値は、過去に流出した延べメールアドレスの数だが、「認証情報が流出した際、パスワードはハッシュ化されているので安全と言われる場合があるが、それでも犯罪者にパスワードを知られる場合がある」ので、注意が必要であるという。

 「78日」は犯罪者がシステムに侵入してから検知されるまでの平均日数だが、一方で外部からの指摘で発覚するケースは平均184日と長くなる。さらにアジア圏は200日を超えており、犯罪者にターゲットにされる可能性を上げていると指摘した。

 「4~8時間」はフィッシングサイトの平均稼働時間で、最短では15分というケースも確認されている。

メールアドレスやパスワードの漏えいに関しては民間のデータベースサイトHacked-Emails.comHave I Been Pwnedで確認することを推奨

 このほか、5つのサイバー犯罪の傾向について紹介した。「マルウェア・ランサムウェア」については、スマートフォンユーザーが狙われやすい傾向があるという。これはアフリカや南米など国によってはモバイルペイメントの利用が多いことが原因として挙げられるという。また、電話番号を詐取する「SIMスワップ」という手口が使われていることも紹介した。

 「オンライン詐欺・BEC」に関しては、手口の多様化と洗練度が上がった結果、被害額が倍々ゲームで増加している一方、報告されない事例もあるのが捜査上の問題になっている。また、「ダークネット・ダークマーケット」については、IoTの脆弱性に関する情報のやり取りがハッキングフォーラムで行われている。これは中東地域などスマートシティに向けた取り組みが活発化していることが原因になっているという。「(ダークネット上での)スマートメーターの勉強会」も行われているそうだ。

 「仮想通貨」に関しては、仮想通貨交換所への攻撃が多く、仮想通貨そのものも追跡が難しいことからマネーロンダリング基盤として悪用があるそうだ。資料では日本が大きく被害を受けていることを示していた。(攻撃に成功すれば)多額のリターンが得られることもあり、資金と時間をかけて攻撃するためターゲットにされることで被害を受ける可能性も高くなるという。また、ランサムウェアに絡んだ話として「データ流出」も取り上げていた。

1989年にはランサムウェアの元祖といわれる「AIDS Trojan PS Cyborg」があったという
暗号通貨交換所を狙う攻撃は収益が大きく、狙われやすい。日本が突出しているのはコインチェックの事例が大きい

 サイバー犯罪の捜査に関しては、インテリジェンスを用いるのが効果的だが、一方で各国の捜査機関に提供できる「濃い情報」を抽出するのが難しいという。実際にダークマーケット上の掲示板の関係を図式化することにより、活発に活動している主犯または組織幹部を洗い出し、周辺捜査から逮捕に結び付いた例を紹介していた。

ダークマーケットの活動をモニタリングし分析することで主犯や幹部を特定できたケースがあった。この例ではダークウェブマーケット「AlphaBay Market」にて“Admin”と“DeSnake”(逮捕済み)がコアメンバーと判明した
別の分析から“OXYMONSTER”と名乗る人物を違法薬物の取引で逮捕している

 また、官民連携によるインテリジェンスの強化も行われており、現在13の団体と情報共有が行われていることを紹介。日本ではトレンドマイクロ、ラック、CyberDefense、NECと協力関係にあり、他の会社でも情報共有を歓迎したいと協力を呼び掛けた。

サイバー犯罪動向を把握するために民間企業との情報共有連携を強化している

 最後に今後の対策として「サイバーインテリジェンス能力の強化」「インシデント対応能力の強化」「国際的な情報共有の枠組みの確立・積極的参画」の3点を挙げ、インターポールが今後も各国と協調してサイバー犯罪に対応することを強調した。

 なお、当日は行政側2名、民間企業2名、そしてサイバーセキュリティ委員会委員長によるパネルディスカッションも行われ、サイバーセキュリティ対策に関する企業評価の重要性や、政府への提言などを含めたIT連の今後の取り組みについて活発な議論が交わされた。

パネルディスカッションのメンバー。左からモデレーターの日本IT団体連盟専務理事の中谷昇氏、総務省サイバーセキュリティ統括官の竹内芳明氏、経済産業省大臣官房サイバーセキュリティ・情報化審議官の三角育生氏、大日本印刷株式会社ABセンターコミュニケーション開発本部本部長の井上貴雄氏、PwCコンサルティング合同会社パートナーの外村慶氏、日本IT団体連盟理事およびサイバーセキュリティ委員会委員長の下村正洋氏