講演レポート:第79回 「内閣官房情報セキュリティセンター」内閣参事官の三角育生氏が語る!世界中に拡散する脅威!我々の情報セキュリティ戦略は通じるのか!?|Prowise Business Forum in Tokyo|システム構築やトータルソリューションをお探しなら、日立ソリューションズをご利用ください。

株式会社 日立ソリューションズ

Prowise Business Forum in Tokyo 第79回

「内閣官房情報セキュリティセンター」内閣参事官の三角育生氏が語る!
世界中に拡散する脅威!我々の情報セキュリティ戦略は通じるのか!?
~被害が甚大化する内部不正、サイバー攻撃への対策~

 日々のニュースの中で、情報セキュリティ事故を伝えるものが多く見受けられ、その被害は世界中に拡散しています。特にサイバー攻撃や内部不正は深刻化し、対策は急務になっています。また、日々犯行の手口は進化するなど、リスクは増大しています。セキュリティ対策は守るべき資産を定義し、脅威を理解して実行しなければ効果がないことは言うまでもありません。企業は一過性ではなく、不断のセキュリティ対策に取り組むことが求められます。本フォーラムでは今起こっているセキュリティの現状を整理し、企業が取るべき対策を提案いたしました。
 基調講演に内閣官房情報セキュリティセンター 内閣参事官 三角育生氏をお招きし、政府の情報セキュリティ政策を概説し、企業が取るべき対策についてご講演いただきました。日立ソリューションズからは、対策が急務とされる内部不正防止を中心とした重要情報を守る対策について、事例を交えてご紹介いたしました。

開催概要

日時 2014年11月26日(水) 14:00~16:30 (13:30 受付開始)
会場 東京都港区港南2-18-1
JR品川イーストビル20F セミナーホール
主催 株式会社日立ソリューションズ

【基調講演】
我が国のサイバーセキュリティ政策に関する現状と今後


内閣官房情報セキュリティセンター
内閣参事官 三角 育生 氏

【講師プロフィール】

東京大学大学院にて博士(工学)号、 Claremont Graduate School MA in Management(カリフォルニア州)および東京大学大学院工学系研究科にて修士号を取得。経済産業省貿易経済協力局貿易管理部安全保障貿易審査課長、同省商務情報政策局情報セキュリティ政策室長、(独)情報処理推進機構セキュリティセンター長、内閣府科学技術政策担当政策統括官付企画官、基盤技術研究促進センター業務第1課長、通商産業局貿易局安全保障貿易管理課課長補佐、国土庁大都市圏整備局計画官付主査、通商産業省機械情報産業局航空機武器課開発係長を歴任。2012年6月より現職。

内閣官房情報セキュリティセンター(NISC)の三角氏は、サイバー攻撃への対応体制や対策推進政策、重要インフラ防護に関する政策、国際連携の取組方針などのほか、今後企業が取るべき対応、セキュリティ人材の育成などについて解説した。

IT環境の急激な変化によってセキュリティの守備範囲が拡大

 2014年11月6日、国の責務と対応指針を明文化したサイバーセキュリティ基本法が衆議院本会議において可決・成立した。先進国ではこの種の法律が施行されるのは初めてとなるが、現在は一部施行に留まり、全体の施行は今後の実施体制が整い次第、制令で定める予定になっている。また、11月25日の情報セキュリティ政策会議でサイバーセキュリティ対策を政府としてどのように執り行うのかについても決定した。

「情報セキュリティインシデントが世界経済に及ぼすコストは約4450億ドル以上という試算結果もある中、数字の根拠は曖昧とは言え、少なくない規模であることは確かだ」と話す三角氏は、特に個人情報の漏えいインシデントが目立って増えているという。2012年と2013年を比較した場合、漏えい件数は2357件から1333件と減少しつつも、1件あたりの漏えい人数は4245人から7385人へと増加し、1件あたりの平均想定損害賠償額も9313万円から1億6024万円と急増している。

「IT化を進めることで仕事は高度化しているが被害は増えている。利害と得失をよく考えなければならない状況にある」

 また、重要なことは環境の変化だと三角氏は警告する。スマートデバイス、クラウドサービス、SNSの普及でビジネスがやりやすくなる半面、ウイルスやフィッシング、スマートデバイスを狙った攻撃などが増え、従来のセキュリティの守備範囲が拡大しているという。

政府のみならず国民生活や社会基盤ビジネスも危険にさらされている

「政府としては情報漏えいに大変危機感を持っている。特に被害の状況が顕著なのは情報の窃取だ」という三角氏。2011年秋に三菱重工業株式会社への標的型攻撃によるウイルス感染が発覚し、重要な機密情報が窃取されたといわれている事件からAPTや標的型メール攻撃が注目され、それ以後、原子力安全基盤機構や農林水産省、宇宙航空研究開発機構、日本原子力研究開発機構といった重要拠点が次々と狙われた。
 内閣官房情報セキュリティセンター(NISC)も今後「サイバーセキュリティセンター」と名前を変えるが、略称は慣れ親しんだNISCのままで行くという。そのNISCは、24時間365日、霞ヶ関の中央官庁の通信をセンサーで監視しているが、この数年倍々で不審なイベントが増加し、昨年は前年比約5倍にまで急増した。そのため、国民生活に影響のある情報通信、電力・ガス、金融、交通、医療、クレジットなど13分野を重要インフラ分野として設定し、インシデント情報の報告を受けているが、これらへの攻撃も倍増しているという。

「政府のみならず国民生活や社会基盤ビジネスも危険にさらされている」と話す三角氏は、今後さらにスマートフォンやスマートカー、スマートメーター(次世代電力量計)などが普及する中で、それらも攻撃対象となっていくため、情報システムだけではなく世の中の全てが同じ問題を抱えていることを認識すべきだという。

 さらに、海外からの攻撃も増えている。隣国の韓国では、2011年3月に政府機関への大規模なDDoSが発生し、2013年3月にも重要インフラへの大規模サイバー攻撃が行われたが、それらの攻撃に使われたマルウェアは日本でも発見されている。「対岸の火事と思ってはならない。日本国内への攻撃も十分考えられる事案だ」と三角氏はいう。
 世界経済フォーラム(WEF)は、今後10年間で全世界および全産業に重大な悪影響を及ぼす可能性が高いリスクとして、気候変動や失業問題などとともに、サイバー攻撃と重要情報インフラの故障を位置付けている。

強靭で活力があり世界を率先するサイバー空間の実現をめざす

 では、日本におけるサイバーセキュリティ政策はどのようになっているのか。内閣直下のIT戦略本部で2005年から情報セキュリティ政策会議が置かれ、同時に内閣総理大臣決定で危機管理全体に対応するNISCが作られた。政策・基準面では、2006年の第1次情報セキュリティ基本計画から、2009年の第2次情報セキュリティ基本計画、2010年の国民を守る情報セキュリティ戦略、2013年のサイバーセキュリティ戦略へと変遷。政府統一基準や重要インフラの行動計画などを取り決めてきた。
 サイバーセキュリティ戦略には、1)情報の自由な流通の確保、2)深刻化するリスクへの新たな対応、3)リスクベースによる対応の強化、4)社会的責務を踏まえた行動と共助といった基本的考え方に則り、政府機関、重要インフラ事業者、企業・一般個人が、強靭で、活力があり、世界を率先するサイバー空間への施策をとっていく。

 三角氏は、特に標的型メール攻撃や水飲み場攻撃に対して危機感を持っているという。「対策としては、不審なメールは開かないようにする、Webサイトを閲覧しないようにするということになるが、手口が巧妙になる中で自助努力には限界がある」

 そこで、政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)や、各省庁組織内CSIRT、情報セキュリティ緊急支援チーム(CYMAT)などが情報収集と支援体制を組んでいる。
 同時に、政府機関の情報セキュリティ対策のための統一基準の見直しも行っている。2014年5月の改定では、新たな脅威への対応のための基準を追加し、標的型攻撃への対策やサプライチェーンリスクへの対策などが盛り込まれた。また、不明確で分かりにくい定義や用語などの基準の明確化も行っている。
 さらに、重要インフラ事業者に対する情報セキュリティ(第3次行動計画)として、1)安全基準等の整備および浸透、2)情報共有体制の強化、3)障害対応体制の強化、4)リスクマネジメント、5)防護基準の強化、などを定め、重要インフラ分野も10分野から13分野に拡大した。

直面するセキュリティ人材の不足とセキュリティ技術の不足の問題

「しかし、このような施策を進めても必ず出てくるのが人材不足の問題」という三角氏。現在、情報セキュリティ従事者は約26.5万人いるといわれるが、その中で質的不足が約16万人いて、さらに量的不足が約8万人で合わせて24万人が不足している状態となっている。新卒学生は毎年1000人規模でしかなく、この慢性的な人材不足は深刻だという。

 そこで、「新・情報セキュリティ人材育成プログラム」では、プログラマやシステムエンジニアなどのIT技術者80万人に対して、人材の需要(経営層の意識改革)と供給(人材の量的拡大と質的向上)の好循環を形成していくという。
 また三角氏は、「人材とともにもうひとつ課題なのが、技術が足りないという問題」とも指摘する。ネットワークディフェンスの最大の課題は、攻撃者が何を行っているかを技術者や研究者が正しく知る技術の確保だという。7月に開催された情報セキュリティ政策会議では、ITベンダーと開発者、研究者、政府が連携し、サイバー攻撃情報の流通と共有、検知・防御能力の向上、産業活性化につながるセキュリティ研究開発、情報セキュリティコア技術の保持、国際連携による研究開発の強化などが、情報セキュリティ研究開発の推進方針として決定した。

 終盤に三角氏は、「2020年の東京オリンピック・パラリンピックの開催を念頭に置いたセキュリティ対策の強化や、国際競争力を持つIT産業の振興、サイバーセキュリティ基礎体力の強化などが、その後の新たなビジネスにつながるのではないか」と展望を語り、今後のサイバーセキュリティ推進体制の強化と方向性を説明して基調講演を終了した。

【日立ソリューションズセッション1】
内部不正を防止するために企業は何を行うべきなのか

株式会社日立ソリューションズ
セキュリティソリューション部
主任技師 米光 一也

内部不正を防止するために企業は何を行うべきか。日立ソリューションズの米光がセキュリティコンサルタントの立場で効果的なセキュリティ施策を紹介した。

「一線を越えるべきか」と自問するタイミングが内部不正防止の有効なポイント

 組織の内部不正への対策とは何か。当然、企業が扱う情報資産の価値や業務内容などによって答えは変わるが、あくまで一般論という前提において、現場で活躍する複数のセキュリティコンサルタントの意見を集約したところ、"モニタリング"が最も多くの回答を占めた。
 もちろん、そういった個々の対策は重要としたうえで、「私は"組織文化を醸成"することが重要だと思う。抽象論だが大事なポイント」と米光は語る。内部不正を起こすかどうかの水際は、内部不正を起こそうとする者が、頭の中で「一線を越えていいか?」と自問自答するタイミングである。それは、内部不正を起こすのは、あくまで"人"であり、"人"は、セキュリティポリシーなどで定められたルールよりも、業務を遂行する際の習慣や組織の空気などの形のない秩序に左右される(秩序を逸脱するには勇気がいる)からだという。秩序は、明文化されていない文化のようなものだが、組織が意識的に長い時間をかけて作りあげる必要があるという。
 例えば、モニタリングはそのような秩序を維持するうえで有効である。ログ機能や監視カメラなどの仕組みを入れるだけでなく、モニタリングの仕組みがあることを、内部不正を起こす可能性のある者に周知を行うだけでも抑止力が期待できる。モニタリングの他、不正を起こす機会の排除や動機のコントロールなども対策例であるという。

何をポイントに内部不正からの防止を考えるべきかを決めるべき

 続いて、最近気になったセキュリティのトピックについて紹介した。内部不正への対策を検討する際には、どのような脅威を想定するかを明確にしないと、対策が有効に機能しないケースや、無駄なコストが発生するケースなどがあるという。その具体的な例として、USBメモリの運用管理をあげ、この管理プロセスの例では、実は、"信頼できる内部者"、"内部者"、"外部者"の3つのエージェントが存在し、それぞれ、悪意を持って行う場合、無知(うっかり)により行う場合、をそれぞれかけ合わせてマトリックス化し、「自分達はどの領域の対策を考えているのか」をはっきりさせる必要があるという。

 また、米光は若者のITリテラシーにも言及する。若者(中学生、高校生、大学生)のITリテラシーには従来と異なる特徴があるという。「LINEやFacebook、Twitterなど、ITの利用者の立場での活用能力は非常に長けているが、ITがどのような仕組みで動作しているのかという知識レベルは低い場合が多い」

 自分の発信した情報がどの範囲で公開されるのか、どこに保存されるのかをあまり理解しないまま、使い方だけは精通しているため、若者にはセキュリティ教育という面から、従来以上にケアしていく必要があるという。
 さらに、現在、内部不正への関心が高まっている理由として、ある程度のセキュリティ対策を行っている企業でも内部不正を発生させたという驚きと、警察の動きの活発化によって我が社に対する情報漏えいの疑いへの懸念などがあるという。
 米国の組織犯罪研究者のDonald R.Cressey氏は、不正を犯す人間はどのような理由に基づいているのかを、「動機・プレッシャー」、「機会の認識」、「姿勢・正当化」という3つが組み合わされることで犯罪を起こすという「不正のトライアングル仮説」として分析している。

内部不正の防止は情報漏えいを起こす機会を減らすことも重要なポイント

 次に、内部不正の防止に参考となるガイドラインを紹介した。独立行政法人 情報処理推進機構(IPA)では「組織における内部不正防止ガイドライン」(2014年9月改訂)を発行。ここでは主に、1)経営層によるリーダーシップの強化、2)情報システム管理運用の委託における監督強化、3)高度化する情報通信技術への対応、の3点を述べている。

「このガイドラインは非常によくまとまっており、普段情報セキュリティに携っていない人でも内容を理解できるような工夫がなされている」と高く評価する一方、記載されたセキュリティ対策はさまざまな読み手を対象としているため抽象度が高めで、読者によっては自社の業務にどれが該当するのか判断できないケースもあると注意を促す。その場合は、付き合いのあるセキュリティコンサルタントに相談する方法もあるという。
 最後に、内部不正対策をまとめ、「情報漏えいを起こす機会を減らすことがポイント。従業者に対して会社のセキュリティ対策状況を定期的に発信する、ITシステムによる証跡ログの取得や従業者への通知、セキュリティエリアへの持ち込み制限などが有効だ」とアドバイスし、講演を終了した。

【日立ソリューションズセッション2】
重要情報の外部流出を防ぐために実施すべき対策とは

株式会社日立ソリューションズ
プロダクト戦略部
部長代理 中川 克幸

 企業にとって重要な情報は様々であるが、外部に流出することを防止するために、情報システム管理者はどのような対策を行うべきか。プロダクト戦略部の中川が、情報が流出する経路に応じて実施すべきセキュリティ対策と、対策を実施している企業の事例について紹介した。

内部不正防止ガイドラインの概要と内部不正を防ぐための管理のあり方

 2014年8月18日に、経済産業省は5つの経済団体に対して個人情報保護法の遵守に関する周知徹底を要請した。そこでも、米光のセッションで紹介したIPAの「組織における内部不正防止ガイドライン」が紹介されている。中川は、「全体が80ページ近い分量のため、時間が取れない方は、冒頭の背景と概要を確認した後に、付録(内部不正事例集、内部不正チェックシート)を確認してみてはどうか」と提案した。
 そしてこのガイドラインの中で重要なのが、4章の「内部不正を防ぐための管理のあり方」だという。ここでは10の観点から全部で30項目の対策が示されている。ISMSなどと同様に、対策を全て行うのではなく、自社に必要な対策を選択して実施すべきなのだが、中でも、「資産管理」、「人的管理」、「コンプライアンス」の3つは、は「内部不正者に非があることを示すために必要な対策」という理由から、対策を見送るのではなく、実施すべきと推奨した。

 資産管理というと、PCやUSBメモリなどの機器を管理する、IT資産管理を想定されると思うが、このガイドラインが示す資産とは、企業で取り扱う電子データなどの「情報資産」のこと。対策例として、1)情報の所在を管理するための目録を作る、2)情報の重要度に応じて格付けし可視化する、3)人のアクセス権限を制限する、4)特定の人に権限を集中させない、などがある。

 これらの対策を実施しないと、a)情報の重要度を認識しておらず情報漏えいしても気付かない、b)要件を満たせず不正競争防止法の適用が困難になるといった事態が発生する可能性が高まる。

「内部不正防止ガイドラインの中で、資産管理、物理的管理、技術・運用管理、証拠確保の4つについては、セキュリティツールによる技術的対策で情報システム担当者の管理負荷を軽減できる」と中川はアドバイスする。

内部不正防止対策のポイントは「サーバー」「クライアントPC」「人」

 次に、内部不正防止の技術的対策例について紹介した。内部不正につながる主な脅威は、情報を取り扱う場所によって異なるが、「サーバー」(共有アカウント利用のなりすましで情報資産にアクセス)、「クライアントPC」(外部デバイスを利用して情報を持ち出す)、「人」(ログ監視・監査の仕組みの不在で不正行為の見逃しが発生)などがある。それらの脅威から情報を守る対策としては、認証強化・ID管理で正当なユーザー以外は情報資産にアクセスさせない仕組みや、デバイス制御ツールでPCからUSBメモリなどへの情報持ち出しを防止、監視・管理ツールで不正行為を見逃さないなどの対策が有効となる。
 ある自治体では、日立ソリューションズの指静脈認証システム「静紋」の導入で生体認証による認証強化を実施し、端末約2000台(5000人規模)を対象に業務システムポータルサイト(グループウェア兼SSO)へのログイン強化を、利便性を妨げずに実現した。

 また、ある企業では、データベース監視システム「PISO」を使い、会計、人事システムなど8システムで利用しているデータベース(DB)のアクセス状況確認とリアルタイム警告通知を行っている。DBに対する想定外のアクセスや、メンテナンス操作の確認などを監視しているという。さらに、他のある企業では、統合ログ分析環境として「Splunk」を活用しログの相関分析を実現。PCの操作ログやWebアクセスログなどの、各種ログデータを一元的に管理し、不審行動シナリオに合致した社員を迅速に検知し、通知する監査システムとして運用している。

スマートフォンへのデータ不正コピーやテザリングが情報漏えい対策の抜け穴に

 続いて、情報漏えい対策の再点検ポイントについて言及した。「スマートフォンやタブレット端末などの普及によってITのコンシューマ化が進み、会社に無断で個人所有端末を利用する『シャドーIT』が増加している。企業としてはスマートフォンが持ち込まれていることを前提とした情報漏えい対策が必要となっている」
 具体的には、業務で利用しているPCとスマートフォンをUSBケーブルで接続してデータをコピーしてしまったり、PCからスマートフォンのテザリング経由でインターネットに接続してしまうことなどが考えられる。デバイス制御ソフトを導入してUSBメモリの使用のみを禁止しているだけでは情報漏えいを防ぐことは難しい。PCにデバイスを接続すると、OSや機器の種別によって様々なデバイスとして認識されてしまう。そのため、PCに認識される可能性のある全てのデバイスに対してデータコピーをブロックする対策が必要だと中川はいう。

 また、スマートフォンのテザリングによって、PCから社内ネットワークを経由せずインターネットに直接接続することが可能になってしまうため、クラウドストレージへファイルの不正アップロードや、悪意のあるWebサイトの閲覧、SNSによる情報拡散などが起こり得るという。
 ファイアウォールやWebフィルタリングソフトを導入しているだけでは、スマートフォンのテザリング経由による情報の漏洩は防げないという中川は、「PCからスマートフォンのテザリング経由によるインターネット接続を防止するためには、会社が許可していない無線LANアクセスポイントへの接続を禁止する対策が有効」とアドバイスする。

 日立ソリューションズの「秘文」では、業務で必要なデバイスや無線LANアクセスポイントのみを許可し、不正なデータコピーやテザリングなどスマートデバイス経由の情報漏えいを防止することができる。また、秘文はOSレベルでデバイスを制御するため、新たなデバイスが市場に登場してもコントロール可能な仕組みを実現しているという。

内部不正防止には人が最も脆弱であることを前提とした対策が必要

 日立ソリューションズでは、2014年10月22日に「内部不正防止ソリューション」を発表した。内部不正防止に特化したセキュリティコンサルテーションによる現状分析と、現状分析によって明確になったセキュリティ対策の不足部分に対し、「社内」(認証強化・ID管理)、「出口」(監視・監査)、「持ち出し先」(持ち出し制御)、「社外」(データ統制)の4つの対策箇所に必要なセキュリティ関連製品を組み合わせ、最適なソリューションとして提供する。

 中川は改めて、「最大のセキュリティリスクは人」と訴える。雇用の流動化やアウトソーシングが進む今後は、人は弱いものであるということを前提に対策を検討する必要があるという。「人も情報も多様化、煩雑化が進んでおり、雇用環境も変化して管理が難しい。それゆえに、人が最も脆弱であることを前提とした対策をしていただきたい。また、内部不正対策として何を実施すべきかわからない場合には、専門家(セキュリティコンサルタント)に相談してほしい」と提言し、講演のまとめとした。

お問い合わせ

株式会社日立ソリューションズ Prowise Business Forum 事務局
〒108-8250 東京都港区港南2-18-1 JR品川イーストビル
TEL : 0120-958-545
FAX : 0120-989-097
E-mail : pbf@hitachi-solutions.com

セミナーに関するお問い合わせ

セミナーに関するご質問・ご相談など

お電話でのお問い合わせ 0120-958-545 受付時間:月曜日から金曜日(祝祭日除く)10時から17時30分

Webからのお問い合わせ

セミナーに関するお問い合わせ

日立ソリューションズ 論より証言