@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、個人投資家・作家 山本一郎氏と政府CIO補佐官 細川義洋氏による特別講演「セキュリティ残酷物語〜行政機関の情報をどう守るか? 対策の今後を徹底討論〜」の内容をお伝えする。
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、個人投資家・作家 山本一郎氏と政府CIO補佐官 細川義洋氏による特別講演「セキュリティ残酷物語〜行政機関の情報をどう守るか? 対策の今後を徹底討論〜」の内容をお伝えする。
たまに会っては、IT業界や開発プロジェクトの残酷物語を“さかな”に語り合う2人(参考)。今回は、「@ITセキュリティセミナースペシャル」と題し、「政府・各省庁の脆弱(ぜいじゃく)性」に焦点を当てる。日夜サイバー攻撃を受ける日本の省庁。山本氏は、サイバー攻撃手法も踏まえ、注視すべき手口とその被害を振り返り、政府CIO(最高情報責任者)補佐官も務める細川氏に斬りかかる。省庁はインシデント対応能力をどう磨くべきなのか。
山本氏 つい最近では「コインハイブ(Coinhive)」への対応として、神奈川県警が「Webサイトの閲覧者が意図せず不便を被ったら摘発の対象になる」といった見解を示し、検察庁も公式Twitterアカウントで「問題である。場合によっては摘発」などとしています(参考)。
最近の取材調査では、こうした官公庁の反応の要因として、マイニングツールが国土交通省や財務省などで“悪さ”をしたのではないかという情報も出てきています。民間企業から提供された情報を、セキュリティ上の問題として拡大解釈しているようにも感じます。
経産省(経済産業省)ではどのような反応だったのでしょうか。
細川氏 経産省では、そこまで大きな話題にはなっていないという印象です。他では動きがあるのでしょうか。
山本氏 他の省庁で発生したことを拡大解釈するなど、問題の評価を適切に行えていないことはあるようですね。きちんとしたロードマップを描かないまま動いている懸念があります。
細川氏 サイトを見たらCPU使用率が100%近くなるというのは確かに迷惑かもしれませんが、「不正な電磁記録」に該当するのか、法律の解釈が適切かどうかは疑問ですね。個人的には、神奈川県警の対応は「やっちゃうのコレ!?」という印象です。
山本氏 セキュリティ対策を官公庁が実施するとき、リスクを評価するプロセスがあるわけですが、この最近の事例でうまく機能していないように見受けられます。
細川氏 その辺りをしっかり仕切って、影響度を調査してくれるようなところがどこなのか、その辺りが課題です。
山本氏 ないのでしょうか、しないのでしょうか、それともできないのでしょうか。外務省のように極めて閾値の高いところもあれば、国土交通省のように業務上の必要で閾値を下げているところもあります。機密を扱う省庁と、広く民間の事業者と相対して監督する省庁とでは、やはりセキュリティに関する考え方もバラつかざるを得ません。
細川氏 政府の対応を見ると、省庁横断的な施策は上意下達で対応させる意志は見えますが、それを実際、どのように機能させていくかは、今後の課題でしょう。例えば内閣サイバーセキュリティセンター(NISC)は、危険情報を提供してくれていますが、ではどうすべきかという点の発信については、まだ考えるべきところがたくさんあると思います。
私は経産省にいますが、黙って座っているだけでは“生っぽい”話は何も入ってきません。こちらからアグレッシブに取りに行かないと、情報が得られません。
山本氏 NISCに提供される確度の高い有用な情報が、他の省庁に共有されないか、適切なスピードで処理されていないようだ、という問題があります。セキュリティ関係の情報をきちんと集約しようというところまでは良かったにせよ、それが活用される仕組みが浸透するまで、まだ時間がかかるということでしょうか。各省庁に入ってくる情報が限定的で、粒度も分からず、対策が後手に回ってしまっていますね。
細川氏 政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)もセキュリティ情報をがんばって分析していますが、年1回のセキュリティ報告書では、対策も後手に回ります。きれいでなくてもよいので、ある程度たまった状態で共有しなければならないと考えています。私の手元にある報告書は、2016年度のものなんですよ。2017年度版は2018年の夏ごろにやっと出てくるのです。これでは遅過ぎます。きれいでなくてもよいので、ある程度たまった状態で共有しなければならないと考えています。
山本氏 民間のセキュリティ対策には限界があって、中継されたサーバを物理的に押さえにいくとなると、どうしても公的な機能が必要になります。それもあって、民間企業も官公庁から求められれば情報や対処法などを提案するのですが、実際に対処されることが少ないようです。もちろん、具体的な犯罪だとなれば素早く対処されるのですが、まだ被害が発生したわけではない「攻撃の疑い」の段階でどこまで情報を提供すべきか、相談を行うのかは悩ましいと思うのです。毎日しっかり監視していることもなく、「攻撃に気付いたときには情報を抜かれた後」では、怖いなと。
細川氏 感度を高めるためには、やはり外部人材が重要で、ようやく増やす気風(きっぷ)が出始めている状況です。
山本氏 やはり問題に対処する意志決定者へ情報が集まる仕組みが必要ですね。もちろん何でもかんでも集めるのではなく、一定のスクリーニングが必要です。しかしそれが難しい。
細川氏 GSOCが取りまとめて定義していますが、まだやるべきことも多いですね。
山本氏 Coinhiveの問題も、セキュリティベンダーの情報によって検察庁が動いたわけですが、なぜ「イケる」と思ったのでしょうか。勇み足に過ぎる印象もあります。「これは、おかしくないか?」という声があってもよかったのに、なぜ前に進んでしまったのでしょうか。
細川氏 上意下達の印象があります。
山本氏 10年前のWinny問題を思い出しますね。「がんばって摘発したけど違った」という問題がなかなか修正されず、萎縮を生んでしまっているように思います。おかしいと思ったときにちゃんと言える環境が欲しいところです。
細川氏 私のように出世がなくて、ぽんぽんモノを言える人材が必要かもしれません。また意志決定者が相談できる組織を作らなければなりません。
山本氏 政府が抱えているセキュリティ課題を埋めるためには、どのようなアプローチが必要でしょうか。各省がどのような役割をしているのか、具体的に何を話し合っているのか、外からは見えないのです。
細川氏 政府内でも、情報交換や議論は活発に行われていますが、「じゃあこれでやろう」と言う人が誰なのか、この辺りはハッキリさせていかないといけないと思います。
山本氏 高い山を登るときに、登山ルートを提案する人はいるけど、確実に仕切ってくれる人はいないんですね。国民の生活を守るためにさまざまな対策が必要な中で、本当に山を登れるのでしょうか。
細川氏 仲間を増やさないと息切れしてしまいますよ。垂直の壁にしがみついている状況です。だから、私たちの背中を踏み台に乗り越えてくれる、若い世代をかき集めようとがんばっています。
山本氏 まずは人材を育て、確保することが大事という原則に戻ってしまうのでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.