基調講演には総務省 CISOの山内智生氏が登壇、サイバー空間をめぐる脅威動向や政策を紹介
ランサム感染の実体験からMDR導入事例までが語られた「Canon Security Days 2024」
提供: キヤノンマーケティングジャパン
2024年11月20日~22日の3日間、キヤノンマーケティングジャパン(キヤノンMJ)が主催するセキュリティイベント「Canon Security Days 2024」がオンライン開催された。今年のイベントテーマは「迫りくるサイバー脅威から企業を守るには ~セキュリティリスクをトータルに解決するアプローチとは~」だ。
基調講演には総務省 サイバーセキュリティ統括官(CISO)を務める山内智生氏が登壇し、変容するサイバー空間の脅威の現状と、政府や総務省による最新のセキュリティ政策を紹介。さらに、企業のセキュリティ対策への提言も行った。また、2021年にランサムウェア感染による診療停止の被害を受けた、つるぎ町立半田病院 事業管理者の須藤泰史氏らが登壇する特別講演も行われた。
総務省 サイバーセキュリティ統括官(CISO)の山内智生氏が基調講演に登場
基調講演:“公共空間”となったサイバー空間の安全・安心をどう守るか
「サイバー空間の“公共空間化”がよりいっそう進み、若年層から高齢者まで、当たり前のようにサイバー空間を使うようになっている」――。総務省の山内氏は基調講演の冒頭、サイバー空間を取り巻く近年の環境変化についてこう切り出した。
実際に、各種の調査統計によると、国内のスマートフォン保有率は70歳代でも9割を超え、子どもや高齢者のインターネット利用は急拡大している。また企業でのテレワーク実施率、オンライン行政手続きの利用率も高まった。つまり現在のサイバー空間は、誰もが日常的に使う“公共空間”になったというわけだ。
こうした変化に伴って、サイバー攻撃の脅威もまた、多くの人にとって身近な存在となってしまった。世代や規模を問わず、あらゆる人や企業がフィッシング詐欺、ランサムウェア被害、リモートデスクトップ攻撃などのターゲットになっている。さらに、重要インフラや基幹インフラへのサイバー攻撃も増加しており、人々の安全な生活を間接的に脅かし始めている。
政府が定めた「サイバーセキュリティ戦略」の方向性
取り組みの核となっているのは、DX推進による産業の強化とセキュリティをバランス良く推進していく「DXとサイバーセキュリティの同時推進」、一部のサービス停止(たとえば大規模通信障害など)が他のサービスの運用にも大きく影響する実態をふまえた「サイバー空間全体を俯瞰した安全・安心の確保」、そして「安全保障の観点からの取り組み強化」という3つの柱だと、山内氏は説明する。
こうした方針に基づく近年の具体的な取り組みも紹介された。重要インフラ(全15分野)のサービス維持を目的に、所管省庁と関係機関、関係民間企業の間の協力体制強化などを図る「行動計画」の策定、さまざまな政府機関が利用するクラウドサービスの統一的なセキュリティ基準を明確化した「政府情報システムのためのセキュリティ評価制度(ISMAP)」の策定、事業活動の中でAI/AIシステムに関係するすべての人(開発者、提供者、利用者)を対象とする指針を示す「AI事業者ガイドライン」、内閣サイバーセキュリティセンター(NISC)を改組してサイバー安全保障分野の新組織を設置するなどの「サイバー安全保障分野での対応能力の向上」などだ。
近年の政府の取り組みのひとつである、重要インフラのサイバーセキュリティ行動計画の策定
事業活動でAIを利用するすべての事業者に向けた「AI事業者ガイドライン」も定めた
総務省もセキュリティ政策に重点、民間企業が「いまなすべきこと」とは?
通信事業者を所管する総務省でも、「サイバー空間=公共空間そのもの」を支える通信ネットワークや情報通信サービスのサイバーセキュリティ向上を通じて、国民生活やあらゆる産業の安全と安心を守ろうとしている。
2024年7月には「ICTサイバーセキュリティ政策の中期重点方針」を公表している。これは総務省が取り組むべきサイバーセキュリティ政策について、2030年ごろも見据えた中長期的な方向性を検討したものだ。
具体的な目標としては、「重要インフラ等におけるサイバーセキュリティの確保」「サイバー攻撃対処能力の向上と新技術への対応」「地域をはじめとするサイバーセキュリティの底上げに向けた取り組み」「国際連携の更なる推進(国際連携全般、人材育成支援)」の4つを核としている。
総務省が今年公表したセキュリティ政策の重点方針
山内氏は、攻撃者によるIoT機器の脆弱性の悪用(ボットネット化)を防ぐNICT(情報通信研究機構)の取り組み、サイバーセキュリティに関する“産学官の結節点”を目指し80以上の組織が参画している「CYNEX(サイネックス)」、国内におけるセキュリティ人材育成や実践的サイバー防御演習(CYDER)、さらにインド太平洋地域における開発途上国へのサイバーセキュリティ能力構築支援といった取り組みを紹介した。
NICT(情報通信研究機構)が中心となって産学官の連携を進める「CYNEX」
山内氏は、こうした環境変化や政府/総務省の方向性をふまえたうえで、民間企業を中心とする聴講者に「DXの推進と並行して、サイバー攻撃への対応としてやっておきたいこと」を、自身の私見も交えながら具体的に呼びかけた。
山内氏はまず「DXを通じて保有する情報資産や利用するサービスが変化していくならば、それに応じてセキュリティ対策を変えることも考えなければならない」と指摘する。講じるべき対策、整備すべき体制は、それぞれの企業におけるデジタル化の進捗度合い、保有する情報資産、利用するサービス/アプリケーションに依存するものだからだ。
次に、企業の職務階層別に「知るべき事、やるべき事」を説明した。たとえば、経営層はセキュリティ対策の詳細まで知っておく必要はないが、DXの計画がフロントオフィス/バックオフィスにどう影響を与えるのか、その際のサイバーリスクはどういったものが考えられるかを知っておいてほしいという。そのほかの職務でも、それぞれの職務に応じた「知るべき事、やるべき事」を把握しておくことが大切だ。
それをふだんから徹底することで、BCP(事業継続計画)でもそれぞれの関係者が「やるべき事」が明確になり、縦割りではない形のアクションが実現する。演習や訓練を定期的に実施して、有事の「動き」を確認しておくことも不可欠だ。
もっとも、山内氏は「ここまではそう簡単にたどり着かない」と述べる。現実的なレベルでの取り組みとして、「情報資産等の適切な管理」「技術変革への適切な対応」「職員の自覚/対処の促進」といった切り口から、各企業で具体的に対応を進めてほしい事柄を紹介した。
民間企業が具体的になすべきセキュリティ対策