2013年12月2日、「OGCシンポジウム2013・世界最先端IT社会実現に向けて」と題したカンファレンスが全国町村会館で開催されました。本稿では、セッションキーノートならびにパネルディスカッション「サイバーセキュリティ先進国へのマイルストーン」をダイジェストでご紹介します。
サイバー上の脅威が増す一方です。GSOC(政府機関・情報セキュリティ横断監視・即応調整チーム)が平成24年度に認知した日本の政府機関に対する脅威の件数は、約108万件と前年度比1.6倍に達しました。国を挙げたセキュリティレベルの底上げが急がれます。その鍵となるのが技術開発と人材育成です。本パネルディスカッションでは局面打開に向けた多角的な意見が示されました。
谷脇康彦 内閣官房情報セキュリティセンター(NISC) 副センター長 [パネリスト] 谷脇康彦
内閣官房情報セキュリティセンター(NISC) 副センター長
山崎文明
ネットワンシステムズ サービス事業グループFellow
北野晴人
デロイトトーマツリスクサービス シニアマネージャー
羽生田栄一
豆蔵 取締役 CTO
日本電気 ナショナルセキュリティ・ソリューション事業部 主席技術主幹
パネルディスカッションに先立つセッションキーノートで、内閣官房情報セキュリティセンター(NISC) 副センター長の谷脇康彦氏は次のように述べました。
「新たな脅威の出現によりリスクの甚大化、拡散、グローバル化が進んでいます。これまでのように各省庁が個別に脅威に対応していては限界があります。また入口を守る対策だけでは不十分なのでネットワーク内部に複数のトラップを仕掛けるなど二重三重の対策を講じなければなりません」(谷脇氏)。
現在、各行政機関の最高情報セキュリティ責任者(CISO)が中心となって各機関の保有する情報を棚卸し、優先的に守るべき機密性の高い情報を選別するリスク評価を行っています。その評価を踏まえて各省庁のGSOCおよびCSIRT(Computer Security Incident Response Team)、および各省庁から選抜したスタッフから構成される情報セキュリティ緊急支援チームCYMATの連携を強化しています。
とはいえ、国全体のセキュリティ上のウィークポイントを網羅的になくすには、官だけでなく民との連携が大切です。
モデレータの日本電気 ナショナルセキュリティ・ソリューション事業部 主席技術主幹の則房雅也氏は「日本企業における対策や取り組みをセキュリティ成熟度モデルに当てはめてみると、人手に頼った事後対応からツールベースでの対応にようやく移行した段階に留まっているのが現状です。ツールの連携や体制を含むシステム全体の統合化はいますぐ、そしてリアルタイムでの攻撃検知と俊敏な対処といった動的防御については2年以内に実現するべきです」と対応の遅れを指摘しました。
谷脇氏は、「海外に目を転じると、電力や水道、交通分野といった重要インフラへの攻撃が2011年以降17倍に増加している米国では、政府機関を中心に日本よりも施策が先行しています」と指摘しました。
幅広い知見が求められるセキュリティ技術の開発
セキュリティ対策の推進に向けては、技術開発と人材育成が重要となります。
技術面について、デロイトトーマツリスクサービス シニアマネージャーの北野晴人氏は「我が国の国内企業においては、ファイアウォールやメール回りの応用技術だけでなく、ルーティング技術やOSといった基礎技術、KVSなど最新のデータベースに関する要素技術を含む、基盤技術根本の部分から押さえなければ深刻化する脅威に対応できません」と述べました。
さらに豆蔵 取締役CTOの羽生田栄一氏も「セキュリティ関連のアプリケーションは、クラウドコンピューティングを利用したプラットフォームをベースしています。クラウド技術をはじめとして、M2Mやモバイル、組み込みなど、幅広い領域の知見を蓄える必要があります」と述べました。
セキュリティ技術の強化については、海外との連携も欠かせません。特に、スマートフォン向けOSなどを開発している海外ベンダーとの情報共有や共同開発は不可欠になっています。こうした中で日本政府は国際連携の一環で高い成長率が見込まれるASEAN諸国とサイバーセキュリティに関する取り組みを強化している段階です。
北野氏は、「フィリピン、インドネシア、マレーシアなどのASEAN諸国では国策としてセキュリティの強化に取り組んでいます。これらの国々では企業が成長途上にあるため国が旗振り役になっているとも言えます。とはいえ日本でも民間の力を生かす上では、民間企業に対するインセンティブの枠組みの検討など多くの面で、政府の果たすリーダーシップが期待されます」と指摘しました。
また谷脇氏は、「パーソナルデータにおける個人情報の匿名化や第三者委員会の設置などの仕組みづくりが必要になりますが、そこでは先進諸国と足並みを揃えていくことが大切になります」と海外との連携における重要性を指摘しました。
急がれるセキュリティ人材の育成
OGCでは高度IT人材育成サブ分科会を中心に、高度人材育成に関する調査研究やフレームワークの作成を行ってきました。活動に参画する羽生田氏は「投資対効果が見えにくいなどの理由でセキュリティに及び腰の企業がある一方で、社内にセキュリティ委員会を作り担当役員を置く企業もあるなど温度差が大きいことが明らかになりました。調査から抽出されたベストプラクティスをフレームワーク化し、OGCの報告書にまとめる予定です。いま急がれるのは、セキュリティに関する問題を自分で発見して解決に取り組めるような問題解決型のIT人材です。企業にとっては、守りの人材ではなく、新たなビジネスチャンスを広げる投資と位置づけるべき人材です」と述べ、求められる人材像として、セキュリティとクラウド技術の両方にも精通した人材を挙げました。また、そうした人材を認定する資格制度の創設を提案しました。
山崎氏も「建築設計においては国家資格が必要なのに、ITの設計においてはそれがありません。ファイアウォールを適切に設置できないのにECサイトを作る、ということが公然と行われている状況を危惧しています」と、まずはセキュリティに関してIT人材のスキルを可視化する重要性を指摘しました。
ところで米国では、仮想空間上に発電所や石油プラント、金融システム、交通・航空管制システムなどを構築し、そこへのサイバー攻撃およびそれに対する防御を実践的に習得するサイバーレンジという演習が米軍などで積極的に行われています。それによって特に高い専門性を備えたセキュリティ人材の育成が進められているのです。これを受けて、日本でも総務省が実践的サイバー防衛演習(CYDER)を行ってきました。
山崎氏は、「会津大学ではボーイング社からサイバーレンジを借り受けて演習を実施しています。米国以外では初めての取り組みです。前回の参加者は約30名でしたが、座学だけでは得られない瞬時の対応力など貴重な知見を得られました」と活動を振り返りました。なお、山崎氏によれば、米国では「インストラクターのインストラクター」を育成するほか、地域のネットワークインフラ事業者など民間向けにもサイバーレンジが活用されているとのことです。
「会津大学でも、わが国なりのシナリオを作ってブラッシュアップさせていき、将来的には日米対抗戦ができるような水準を目指してセキュリティ人材を育てていきたい。裾野を拡げるにはサイバーレンジを常設型の訓練機関にすべきでしょう。会津だけでなく他大学にも横展開したいと考えています。また受講費用も気軽に受けられるように下げる必要があります」と述べました。
企業経営者の意識喚起も必要だといいます。谷脇氏は「セキュリティに対する投資が企業の金銭的なベネフィットにつながることをさらに訴求する必要があります。また、セキュリティに関するビジネスにも成長余地があります。成長を促進するにはオープンなイノベーションを起こしていくべきだと考えています。今後のNISCの施策にも反映していきます」と述べました。
最後に則房氏は、「日本の国情や市場に適した“国産の技術開発”も必要と考えられます。それにはやはり海外先端技術の情報収集および連携は欠かせません。また突出したトップガン人材だけでなくミドルクラスのセキュリティ人材育成も手厚くする必要があります。技術開発と人材育成を一体で取り組むことが大切です」とディスカッションを締め括りました。
(文責・柏崎吉一/エクリュ)
