国内最大級のセキュリティカンファレンス「2017 MPOWER：Tokyo」基調講演

最先端のサイバー防御をマカフィーが110分で語ってくれた

サイバーリスクの軽減と投資という考え方

　米マカフィーのチーフテクニカルストラテジスト キャンディス・ウォーリー氏は軍事戦略ゲームのたとえから基調講演を開始した。軍事戦略ゲームで勝つ人はサイバーセキュリティと同じく戦略を立てている。「陣地を守る」「敵の攻撃力を削ぐ」「陣地の周りに緩衝ゾーンを作り、攻撃を最小限に留める」。これをビジネスに当てはめて解説した。

米マカフィー チーフテクニカルストラテジスト キャンディス・ウォーリー氏

　例えば金融関連の企業の場合、口座・クレジットカードの提供のほか周辺事業としてフィナンシャルプランナーのトレーニングや旅行保険の取り扱いをしていたとする。事業者としてはそれらすべてを守りたいと考えがちだが、すべてを守り切るのは不可能だとキャンディス氏は指摘する。

　組織の持続性を担保できるサービスに資源を集中し、周辺事業には資源を割かない。場合によっては周辺事業がリスクにさらされることは認識しながらも、重要なところに資源を集中させることが重要だと語る。ハッカーは高度で素早く、すべてを同等に守っていくのは難しくなっていく。そのとき、一番守らないといけないものは何か、すべてを犠牲にしてでも守らないといけないもの、失ってもよいものを理解する必要があり、失ったときにどういったリスクが伴うのかも考える必要があるという。

　また、これまではファイアウォールの内側に置くことで攻撃を困難にしてきたが、現在のデジタルインフラは様相が違い、重要な資産をエンドユーザーのデバイスやプライベートデータセンターに置いたり、クラウドインフラに乗っている場合もある。自分の資産がどのように分散しており、どの資産が重要なのか、どのくらいのリスクを許容できるかの相関を取っていくことが重要だとした。

　ウェブサイトが改変されてもよいというわけではないが、コアとなるビジネスが攻撃されたり、知的財産が盗まれたら企業として生き残ることは難しい。一方、ウェブサイトが若干変更されても生き残ることはできる。そうした考え方をもとに、どこに投資すべきかを考えるべきだとキャンディス氏は語った。

これまではファイアウォールの内側にすべての資産を置いていた

現在はエンドユーザーやクラウドにも資産が分散して置かれている

IoTの普及と日本の取り組み

　米マカフィーによる基調講演の後、総務省政策統括官（情報セキュリティ担当）の谷脇康彦氏による「データ主要社会とサイバーセキュリティ　IoTセキュリティ総合対策について」と題した特別講演が行なわれ、現在の日本の状況、政府の取り組みなどが解説された。

総務省政策統括官（情報セキュリティ担当） 谷脇康彦氏

　まずはじめに、IoTの普及によって様々なデータが蓄積されてビッグデータとなり、AIを使って解析するというデータ循環をどう生み出していくかが重要なテーマとなっていると語る谷脇氏。データを集めることが目的ではなく、そのデータを使って社会の課題をどう解決していくかが重要だという。

データ主導社会の図

未来投資戦略の一覧。黄色がICT関連、オレンジがデータ収集・活用するテーマ

　リアルとサイバーの一体化、データの活用は政府でも重要なテーマとして捉えているが、マイナス面として脅威への対応がある。

リスクの深刻化。全省庁への外部からの攻撃は2015年度に711万件。4.4秒に1回の頻度だ

警察庁が発表しているサイバー攻撃レポートでは、公開されていないメールアドレスへの攻撃が96％を占めている。89％がばらまき型でPDF添付が増えているという

デバイスの増加に伴い、PC・スマホだけではなく、IoT機器やスマートメーターの普及などで、守るべき領域が広がっていく

　リスクのグローバル化も進み、情報を奪取するだけではなく、電力や航空、鉄道などのインフラサービスの低下・停止・破壊を目的とした攻撃も増えている。サイバー空間には国境がないので、世界中どこからでも攻撃してくる状況となっている。

リスクのグローバル化が進む。ウクライナやイスラエルでは、電力供給を止めなければならなくなるなど、深刻な影響も出ている

　日本では2015年1月にサイバーセキュリティ基本法を制定させた。谷脇氏によると、この法律ができるまで法的な権限がなかったが、この法律ができたことによって重要なインシデントが起きた場合、情報提供が義務付けられ、原因究明が行なえるようになったとのこと。

　IoT機器の脆弱性データはデータベース化し、機器の認証制度を設けるだけでなく、踏み台になった機器の接続遮断についても法的な観点での研究が進んでいると谷脇氏。また、データ利活用のスマートシティのモデル事業が開始されたり、人工衛星からのデータの乗っ取りなどについても研究開発を進める必要があるとの認識を示した。

　これらのセキュリティについては政府だけでなく、民間の協力、連携が重要であり、政府としてもセキュリティ投資を後押しすることを検討しているとのこと。具体的にはセキュリティ投資に関する税制優遇措置や、セキュリティ投資がマーケットから評価されるような仕組み作りで、年度末までにガイドラインを作ることになっている。

　また、人材育成に関してもNICTナショナルサイバーセキュリティトレーニングセンターを2017年4月に立ち上げたほか、実践的なサイバー防御演習、若手セキュリティエンジニア育成プログラム「SecHack365」などが進められているという。

IoT機器の増加。2016年に170億個だったIoT機器が2020年には300億個に増えると予想されている

サイバー攻撃は2015年から2016年にかけて2.4倍になっているが、IoT機器を狙った攻撃は5.8倍に増えている

IoTセキュリティ対策の整備も進んでいる

　ICTを使って社会の利便性を高めていくのは重要だが、セキュリティでがちがちに固めると利便性が失われるほか、個人情報などのプライバシーの問題もあり、そのバランスをとるのが重要と語る谷脇氏は、政府だけでできることは限りがあり、民間と連携してよりよいサイバー空間を作っていけるよう努力すると語り、特別講演を終えた。