デジタル庁が目指す「サイバーセキュリティ」のあり方とは。CISO坂、JPCERT/CC佐々木、Zホールディングス中谷らが語る、課題と未来への提言――第6回「Govtech Meetup」レポート
デジタル庁は、国内のGovtech(行政の利便性を高めるテクノロジー)に関わる関係者のエコシステム形成を目指す「Govtech Meetup」を2021年12月から開催しています。2022年3月までに計7回の開催を予定しており、先日は第5回のレポートを公開しました。
3月9日に「日本の目指すサイバーセキュリティとは?」というテーマで行われた第6回は、JPCERTコーディネーションセンター(以下、JPCERT/CC) 早期警戒グループマネージャの佐々木勇人さん、Zホールディングス常務執行役員 Group Chief Trust & Safety Officerの中谷昇さんが登壇。デジタル庁からはCISO(Chief Information Security Officer)の坂明、モデレーターとしてセキュリティ危機管理チームの満塩尚史が参加しました。
今回は、デジタル庁におけるサイバーセキュリティの位置付けや基本的な方針の説明に加えて、2人の登壇者から課題意識の共有と提言が行われました。
サイバーセキュリティの専門チームが設置されたデジタル庁
新型コロナウイルスの感染拡大、国際情勢の変化によって、デジタル化とサイバーセキュリティに関する重要性がより高まっている昨今。イベント冒頭、坂と満塩からデジタル庁におけるサイバーセキュリティの位置付けや基本的な方針について説明がありました。
2021年9月、デジタル社会の形成に関する「司令塔」として、デジタル庁は創設されました。これまでの省庁にない特徴として、坂は2つの要素を挙げます。1つ目は基本方針の策定や情報システム統括だけでなく、重要なシステムは自ら実装と運用まで担うことです。
2つ目は、スキルの高い人材が集まるサイバーセキュリティ専門のチームを設置し、システムの安全性のチェックやガイドラインの策定、インシデント対応を進めていること。デジタル化によってさまざまな利便性を向上するとともに、サイバーセキュリティの確保を、国としても特に重要視していることを強調します。
坂:2021年12月には、創設後初となる「新重点計画」を策定しました。この中で、サイバーセキュリティは、NISC(内閣サイバーセキュリティセンター)と連携し、セキュアな情報システム整備やハイブリッドクラウドの利用などを促進することで、「安全・安心」の確保を目指すことが記されています。これらの内容はNISCが2021年9月に策定した「サイバーセキュリティ戦略」と整合性のとれた形で規定されており、また、日本のサイバーセキュリティ推進体制においても、デジタル庁が重要な位置付けを与えられています。
デジタル庁のセキュリティアーキテクトであるモデレーターの満塩からは、「政府情報システムの管理等に係るサイバーセキュリティについての基本的な方針」(以下、整備方針)について言及がありました。この整備方針においてもNISCと連携しながら、セキュリティ対策に関するガイドラインや技術レポート策定の検討について記されています。整備を進めるにあたって掲げられている3つの基本的な方針を、満塩は言及しました。
満塩:基本的な方針の1つ目に記されているのが、常時診断・対応型のセキュリティアーキテクチャ実装です。これはいわゆる「ゼロトラスト」(セキュリティ対策において、「全てを信頼しない」を前提に、常に安全性の検証をするという考え方)の推進ですね。
2つ目は、サイバーレジリエンスを高めるためのセキュリティ対策を導入すること。これまではISMS(情報セキュリティマネジメントシステム)が中心となっており、今も大事であることは変わりません。しかし、あわせてセキュリティインシデント*)対応や検知、復旧も大事ということで、レジリエンス(回復力)という言葉を使いました。
*)セキュリティインシデント: コンピュータセキュリティに関係する人為的事象。意図的および偶発的なもの (その疑いがある場合)を含みます。例えば、リソースの不正使用やサービス妨害行為、データの破壊、意図しない情報の開示や、さらにそれらに至るための行為(事象)などがあります。 出典:JPCERTコーディネーションセンター Webサイト
3つ目が、セキュリティポリシーとセキュリティ対策の構造化及び追跡性の確保です。米国でもここ数年で取り組んでいることですが、セキュリティ対策もアジャイル化され始めています。時間はかかりますが、国内でも状況に応じて対策を柔軟に変え、しっかりとポリシーと整合させていくことに取り組んでいきます。
すでに「ISMAP(イスマップ)」という政府情報システムにおけるセキュリティ評価制度では、構造化された管理基準もあるので、連携しながら構造化を推進していきたいです。
どのようにセキュリティを守るか、必要なのは「羅針盤」
続いて、JPCERT/CCの佐々木さんから、国内におけるインシデント対応の状況について説明がありました。JPCERT/CCは、インシデントの初動対応支援などを国の事業として行っており、毎年統計をまとめています。2021年4〜12月における調査結果によると、インシデント報告件数は全部で3万4613件。重複するものを除くと、2万5570件となっています。
年代別では、2020年度が前年比2倍強となる4万6942件。急増しているように見えますが、「必ずしもそうとはいえない」と佐々木さんは語ります。新型コロナウイルス感染拡大による巣ごもりの長期化で、オンラインサービスやECサイトを利用するユーザーが増えたことにより、攻撃活動の活発化に加えて、認知件数が増えたことも影響していると、JPCERT/CCは分析しているそうです。
中谷:急増したわけではないという話はありましたが、2020年にインシデントの認知件数が大幅に増えていることは現実空間との対比において、大きな意味を持つと思っています。
警察庁が発表する刑法犯認知件数は、戦後最大となる2002年の285万件から年々減少し、2021年には56万件となっています。これは戦後最小の数字。つまり、犯罪が起こる場所はリアルでなく、どんどんサイバー空間に移っているということなんです。行政をはじめ社会全体でデジタル化が進められていますが、残念ながら日本は後進国。今後、さまざまな攻撃の標的になることが予想されるので、あらためてセキュリティの重要性を感じました。
では、どのようにセキュリティを守るかと考えたときに、必要となるのは「羅針盤」です。イスマップのようなガイドラインがあれば、企業はそこに準拠すると国のお墨付きがもらえ、ユーザーからの信頼も得られる。そうしてマーケットが広がると、ビジネスチャンスも生まれます。デジタル庁にはぜひこの動きを主導してほしいし、期待していますね。
満塩:佐々木さんはインシデント対応の支援をする中で、これまで国が出してきたガイドラインや基準で感じる課題や、具体的に求めていることはありますか?
佐々木:先ほどの構造化の話につながると思いますが、サイバー攻撃の手法がすぐに変わってしまうので、ガイドラインがすぐ陳腐化してしまうというのは耳にすることが多いです。
一方で、ガイドラインがなかったら、組織は最低限の対策や体制整備をしなくなってしまうと思います。うまく機能させるために課題は残りますが、最低限の対策を実装する、そのために必要な予算や人員を確保してもらうためには、ガイドラインや基準の存在が重要となるでしょう。
坂:これまで政府は基準を示し、あとは民間に任せるか、しっかりと守っているか確認するといったスタンスでした。しかし、デジタル庁はセキュリティ基準をつくりつつ、先ほども話したように重要な情報システムは自ら実装と運用もしなければいけません。
そう考えたときに、基準を自ら守る中で得たノウハウを、政府や地方公共団体はもちろん、民間企業にも共有することで、協力関係をつくれたらとお二人の話を聞いて思いました。
デジタル庁が率先して模範となるような「情報共有」を
デジタル社会における、サイバーセキュリティの「文化」を変えてほしいーー。
イベント後半、中谷さんからはデジタル庁に対して提言が投げかけられました。中谷さんが指摘するのは、「インシデントを報告するのが恥ずかしいこと」ではなく、同じような被害を最小化するためにも「情報共有を良しとする文化」をつくる必要性です。
中谷:企業がサイバー攻撃にあうと、報道ではよく情報漏洩という情報が出ますよね。ただ「漏洩」という言葉だと、その企業がきちんとした義務を果たしていないように見えてしまいます。でも、実際には情報が盗まれていて、盗んだ人が悪いんです。もちろん何も対策をしていなかったら別ですが、「漏洩」という言葉が企業のイメージを悪くしてしまうので、報告するのが遅れたり、場合によっては隠したりしようとするケースが生まれています。
そのため、対策をしていた場合には「情報共有してくれてありがとう」と言う文化にしていかなければいけません。サイバー攻撃からは逃れられないので、似た被害を最小化し、デジタル社会の安全性を高める文化にしたい。これは実装と運用まで手掛けるデジタル庁だからこそアプローチできることですし、方針にあったレジリエンスにつながる話だと思います。
佐々木:JPCERT/CCが総務省の委託で2020年度に行った調査「サイバー攻撃被害情報の共有と公表のあり方について」では、まさに中谷さんが話されたことを提言しています。
なぜ情報共有がうまく行われないのかというと、インシデントが「事故対応」として扱われているので、被害組織は可能な限り被害情報を調べ終えてから報告をするようになってしまっています。JPCERT/CCに報告がくるときには、残念ながらタイミングが遅すぎることが多い。去年の事案で、その攻撃者がもう動いていなかったり、使われた攻撃手法がもう使われていなかったりします。
デジタル庁が自ら情報システムを運用していく中で、たとえインシデントが起こらなかったとしても、脆弱性は必ず見つかるでしょう。政府系のシステムでもオープンソースソフトウェアを活用することは増えるので、模範となるような情報共有を率先して行っていただくと民間企業にとって参考となりますし、新たな文化が少しずつ生まれていくと思います。
中谷:文化をつくっていくうえで、今回のようなイベントも良い機会ですよね。シンガポール政府におけるデジタル庁のような組織が、サイバーセキュリティに特化したイベントを毎年開催しています。そこでは官民があわさり、デジタル化やセキュリティについて議論します。Govtech Meetupはその日本版で、ここから人材の流動性が生まれたり、マーケットが広がったりしていく可能性を感じています。ぜひ今後も続けてほしいです。
坂:今日お二人から提言をいただいて、サイバーセキュリティに関する取り組みは本当に民間企業と協力しながら頑張らなければいけないと、あらためて思いました。他にも伺いたいことがたくさんあるので、ぜひ次回の開催も検討していきたいですね。
パネルディスカッション終了後、「ブレイクアウトセッション」としてZoom上で参加者同士の交流時間が設けられ、6回目のGovtech Meetupは幕を閉じました。当日の様子はYouTubeでも公開しているので、ぜひご覧になってみてください。
また、デジタル庁では積極的に採用を実施中です。デジタル庁のミッション・ビジョン・バリューに共感いただける方からのご応募をお待ちしています。
◆デジタル庁の採用に関する情報は以下のリンクをご覧ください。
◆これまでの「デジタル庁の組織文化」の記事は以下のリンクをご覧ください。