2020年10月21日、サイバーリーズン・ジャパン主催のセミナー「Cybereason Security Leaders Conference」が開催されました。基調講演に登壇した内閣官房 政府CIO補佐官 細川義洋氏は、「コロナ禍、5G、IoT……高まる危機を見据えた政府の情報セキュリティ展望」と題した講演で、政府情報システムを取り巻くセキュリティリスクとそれに対応するための施策や戦略について紹介しました。

政府情報システムを取り巻くさまざまなセキュリティリスク

細川氏は、政府情報システムを取り巻くサイバーセキュリティの現況について次のように説明します。

「GSOCセンサーの監視結果を見ると、相当数の脅威が政府情報システムの内部に侵入していることが判明しています。そんな中、新型コロナによるリモートワークの拡大や東京オリンピック/パラリンピックの開催、5GやIoTの普及、クラウドの利用拡大など、セキュリティリスクにつながりかねない要素はますます増えています」

オリンピック/パラリンピックについては、2012年のロンドン大会や2014年のソチ大会において膨大な数の攻撃が行われ、実際にインシデントも発生していることから、東京大会が近付くにつれ政府情報システムに対する攻撃も激化することが予想されます。またIoT機器を狙ったサイバー攻撃が数年前より急増しており、2015年から2017年の間で攻撃数は5.7倍にまで増加しています。

さらに政府では現在、クラウドサービスの積極利用を推進しており、これに伴うセキュリティリスクの増大も懸念されています。コロナ禍に伴い、政府内でもリモートワークの働き方が拡大しており、職員が自宅から政府情報システムにアクセスすることで不正アクセスやなりすまし攻撃のリスク増大も指摘されています。

加えて、意外と盲点になっているのが「サプライチェーンに関わるリスクだ」と細川氏は指摘します。

「コロナ禍で取引先や調達先の工場や物流が停止してしまい、急遽製品の調達先を変える企業が出てきています。中には信頼性の評価が不十分なまま調達を決めた製品もあるため、これらが本当に安全なのか、不審なソフトウェアが本当に混入していないか、不安を感じている企業は多いはずです」

政府単独ではなく民間との連携によってシステムを守る

こうした数々の課題を解決するには、「官民の協力が決して欠かせない」と細川氏は強調します。政府単独だけで対処できる問題は実際にはほとんどなく、大半は民間と共同で対処することで何とかしのげているのが実情だといいます。

こうした連携をさらに深めるために、現在政府では民間を含むさまざまな外部機関から広くセキュリティ情報を集めてAI分析を施し、その結果を政府内部や外部のセキュリティ機関にフィードバックする「統合知的基盤」の整備を進めています。同じく、民間から広く集めた情報やノウハウを基にセキュリティ人材を育成する「人材育成基盤」の構築にも取り組んでいます。

また政府が運用する外部公開用サーバーに「GSOCセンサー」と呼ばれるセンサーモジュールを導入し、マルウェア感染が疑われる挙動がないか24時間365日体制で監視する取り組みも進めています。監視業務は、NISCが運営する「第一GSOC」と、IPAが運営する「第二GSOC」を中心に、さらに民間の知見や人材も投入して行っています。

政府が利用するクラウドサービスが、政府が定めるセキュリティ基準をクリアしているかどうかを外部機関で審査する「ISMAP(政府情報システムのためのセキュリティ評価制度)」の制度も、来年度から運用を始める予定です。この仕組みによって、セキュリティレベルを確実に維持しつつ、同時にクラウド利用の促進を図るとしています。

ちなみに経済産業省では現在、IoT機器等のセキュリティ検証を行う際のガイドラインを独自に作成して、一般に向けて公開しています。

「セキュリティ関連のガイドラインは、経済産業省、総務省、NISC、IPA、IT戦略室などさまざまな機関から公開されています。その数は100以上に上り、役人ですらそのすべてを把握するのは難しいといわれています。従って、今度設立されるデジタル庁がガバナンスを効かせて、こうした状況を改善してくれることを期待しています」(細川氏)

東京オリンピック/パラリンピックに向けた官民一体の取り組み

2021年夏に開催が予定されている東京オリンピック/パラリンピックに向けて、現在政府と東京都、民間が連携してさまざまな取り組みを進めています。オリンピックのような国際的な大イベントを狙ったサイバー攻撃は、単にサーバーやネットワークといったICTシステムを狙うだけに留まらず、電気や水道、交通機関といった社会インフラが標的になる可能性もあります。

こうした事態に備え、現在政府CSIRTと東京都の組織員会CSIRTが協力し、民間や海外から広く集めた情報や知見を基にリスクマネジメント体制を構築しています。また単に机上の分析だけに留まらず、万が一の際にリスクマネジメントが確実に機能するよう、日ごろから演習や訓練を繰り返し実施しているといいます。

「オリンピックをサイバーテロから守るためにも、やはり民間の方々の協力が不可欠です。私たち政府も、地味ながらもNISCのサイトや政府CIOポータルなどを通じて積極的に情報を発信していますので、ぜひ皆さんにもこうした情報を自社のセキュリティ対策に生かしていただくとともに、政府の取り組みに少しでも関心を持っていただけると幸いです。それを基に、政府に対して提言や意見、知見などをいただければ、官民一体でこの国のサイバーセキュリティ体制をともに進化させていけるのではと考えています」(細川氏)

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」