コラム

「データ主導社会とサイバーセキュリティ」

日本スマートフォンセキュリティ協会(JSSEC)は2018年3月9日、都内の東京電機大学において「JSSEC セキュリティフォーラム2018」を開催しました。

「スマートフォンセキュリティ」の活動で知られるJSSECですが、人との接点となるスマートフォンを中心に、IoTにおけるセキュリティの確保も2016年より重要なミッションに掲げています。今回のシンポジウムでもIoTに関するセキュリティの現状と課題をテーマに取り上げました。

特別講演として、総務省 政策統括官(情報セキュリティ担当)である谷脇 康彦氏が「データ主導社会とサイバーセキュリティ」と題した講演に登壇しました。

 

2020年に向けて「今後1年以内に取り組むべき」3つのセキュリティ対策
最近よく耳にするようになった「IoT(モノのインターネット)」「ビッグデータ」「人工知能(AI)」といったキーワード。インターネットという仮想空間だけでなく、身近な現実社会に「IoT機器」が多数設置され、センサーとして機能しています。こうした機器から収集、蓄積されたデータがいわゆる「ビッグデータ」であり、その解析を「AI」が担っています。
谷脇氏は講演の冒頭で「データを集めて解析をすることの目的は、現実の社会が抱えている社会的課題を解決することにあります」と語り、こうした状況を「データ主導社会」と表現しました。

図1:データ主導社会

 

データ主導社会では、「リアルな社会」と「サイバー空間」の一体化が進む中で、サイバーリスクへの対策が今まで以上に重要となります。政界や学術界などのリーダーが連携し、世界情勢の改善に取り組む世界経済フォーラムでは、「食糧危機」「財政赤字」「移民問題」など世界が抱える30項目の「グローバルリスク」について評価を行っていますが、今後の顕在化やインパクトが懸念される項目として「サイバー攻撃」が挙げられています。

谷脇氏は、まず、日本政府がこれまでサイバーセキュリティ政策をどう展開してきたのかを振り返りました。近年の動きを総括すると、2015年1月に「サイバーセキュリティ基本法」が施行されました。さらに日本年金機構の125万件の個人情報が流出する事件が明らかになったことから、その教訓を踏まえて同年9月に「サイバーセキュリティ戦略」が閣議決定されています。

現在は、2018年5月に新しい戦略案を公表し、7月をめどに新しい戦略を閣議決定する予定です。谷脇氏によると、今後1年以内に実施すべき課題は「2020年に向けた体制の整備」「官民を挙げた情報共有・連携ネットワークの構築・運用」「ボット撲滅(IoTセキュリティ)」の3項目が挙げられているといいます。

IoTセキュリティは「端末保護」から「データの真正性確保」へ

こうしたセキュリティ対策は、IoTの進展にともなうデータ主導社会の実現と歩調をあわせるように、その難易度が高まります。

谷脇氏は、米大手調査会社の調査を引用した上で、「IoT機器は幾何級数的に増加し、2020年には300憶個になると推測されています。その4割がコンシューマー向けの機器と推定され、今後、さらに多くの機器がインターネットにつながる時代が訪れます」と指摘しました。

さらに谷脇氏は、国立研究開発法人情報通信研究機構(NICT)が公表した、サイバー攻撃のデータを引き合いに、日本に対するサイバー攻撃の状況は2015年から2017年にかけて2.8倍に増加しており、その中でもIoT機器を狙った攻撃が5.7倍となるなど、今、急速に増えている状況にあることを説明しました。

このような状況の中で、谷脇氏は、IoTのセキュリティが「端末層だけのセキュリティ」に限らず、従来以上にデータの『真正性(Integrity)」が問われており、「真正性をいかに確保するか」が極めて重要になってきている点を強調しました。

総務省では「IoTセキュリティ総合対策」を2017年10月に発表し、IoT機器の脆弱性対策をメインテーマに掲げています。IoT機器は、従来の情報機器と比べて「ライフサイクルが長い」という特徴があります。その長いライフサイクル全体を見越したセキュリティ対策が重要になるのです。

図2:IoTセキュリティ総合対策

 

また総務省はIoTの脆弱性調査を2017年9月から進めています。谷脇氏によると、調査で得た脆弱性の情報を利用者に提供して注意喚起を行ったり、メーカーに通知する仕組みを2018年夏以降に構築する計画です。現在、「情報通信研究機構法」の一部改正案を国会に提出しています。

IoTセキュリティへの欧米の取り組みは
グローバルにおけるIoTのセキュリティ対策はどうなっているのでしょうか。谷脇氏は各国の状況を説明しました。

米国では現トランプ政権下で2017年5月に大統領令を出し、政府機関の対策の強化や国際連携の強化などの実施が掲げられました。その中でも最も重要な項目が「ボットネット対策」で、2018年1月には対策案を公開しており、5月には最終レポートが提出される予定です。

欧州諸国も、2017年9月に「ICTサイバーセキュリティ認証に関する規則案」を公表しています。具体化はこれからですが、IoTセキュリティ対策に乗り出しています。

一方、日本の状況を見ると、2017年10月から「IoT推進コンソーシアム」においてIoTセキュリティワーキンググループが発足し、セキュアなIoT機器の認証の在り方について議論されています。

またボットに関して総務省では、これまでも「サイバークリーンセンター(CCC)」を通じて官民連携しつつ、いち早く対策に取り組んできました。現在、ICT-ISACと進める連携プロジェクト「国民のウイルス感染被害予防対策(ACTIVE)」もその一環です。

ACTIVEでは、2013年11月からインターネットサービスプロバイダ(ISP)との協力により、インターネット利用者を対象にマルウェア配布サイトへのアクセスを未然に防止するなどの実証実験を実施しています。

具体的には、マルウェアを配布するサイトのURLやコマンド&コントロール(C&C)サーバの情報をリスト化してISPと共有。マルウェアに感染したパソコン利用者からC&Cサーバへのアクセスを遮断します。2016年2月から2018年1月までの2年間で約4億3616万件を遮断しました。

図3:国民のウイルス感染被害予防対策(ACTIVE)

 

2017年は、IoTに感染するボット「Mirai」が大きな話題となりましたが、ACTIVEでも現在は対象領域をIoTセキュリティまで拡大し、対策強化に取り組んでいます。イントラネットとインターネットの境界にゲートウェイを設置して不正な機器の接続を遮断する「IoTセキュアゲートウェイ」の実証実験を進めています。

個人情報の流出の現状
IoTの進展でデータ主導社会が加速するなか、ますます懸念されるのが個人情報をいかに守るかということです。谷脇氏は「個人情報が漏えいする件数は最近減ってきましたが、その被害が大規模化しているのが特徴です」と現状を説明しました。

実際、2016年度に漏れた個人情報が5万件を超えた事案22件の内、19件が不正アクセスによって情報が流出していました。サイバー攻撃によって個人情報が流出した場合は、その規模は非常に大きくなる傾向があることを示しています。

日本ネットワークセキュリティ協会(JNSA)の調査報告書でも、個人情報の漏えいの中でサイバー攻撃の事例は全体の20%しかないものの、被害規模が大きいものはサイバー攻撃が原因となっていました。「1件当たりの平均想定損害賠償額は6億円を超えています。企業は経営問題としてサイバー攻撃に対する対策を考える必要があります(谷脇氏)」。米国におけるサイバー攻撃による経済的被害は2016年時点で、570億ドル(6.1兆円)~1090億ドル(11.7兆円)と推定されています。

今後は、一定のセキュリティ対策をしたうえでサイバーセキュリティ保険に加入することが重要となります。しかし、日本のサイバーセキュリティ保険市場は160億円で、米国におけるサイバーセキュリティ保険市場は約15億ドルとなっており、日本は米国の1割程度でしかありませんでした。

そうしたなか、総務省と経済産業省は2018年度から「IoT普及促進税制(コネクテッド・インダストリーズ税制)」を創設します。一定のサイバーセキュリティ対策が講じられたデータ連携・利活用によって生産性を向上させる取り組みについて、特別償却や税額控除を認める制度です。谷脇氏は「データ主導型社会を実現していくうえで必要なデータを利活用による生産性の向上と、セキュリティ対策を一体化した制度になっています」と、その効果について期待を述べました。

 

サイバー空間の「トラスト(信頼)」が重要テーマに
あらたな税制で「データの利活用」と「セキュリティ」の一体化が進められていますが、利用者本位のデジタルエコノミーは、「セキュリティ」だけでは実現できません。谷脇氏は「セキュリティをがちがちに強化すると、利便性が失われます。また、パーソナライズされたサービスを提供すると利便性は高まりますが、プライバシーの問題が出てきます。利便性とセキュリティ、プライバシーは利害相反関係にありますので、その3つのバランスをどのように適正に保つか、皆で考えなければなりません」と述べました。

図4:デジタルエコノミーに求められる要素

 

谷脇氏によると、「利便性」「セキュリティ」「プライバシー」の適正なバランスから生まれる「サイバー空間のトラスト(信頼)」が、国際シンポジウムにおいてもテーマに挙がる機会が増えているといいます。

「サイバー空間に依存すればするほど、そこから得られる情報や利便性は本当に信頼できるものなのか、今後さらに問われることになります」と語り、IoTにおけるセキュリティの重要性についてあらためて言及し、講演を締めくくりました。

【編集協力:Security NEXT 企画制作部】