サイバー攻撃、官民連携で防止　---政府が政策会議

2011.12.06

◆今回の注目NEWS◆

◆このNEWSのツボ◆

　三菱重工業などへのサイバー攻撃をきっかけに、政府が情報セキュリティ政策会議を開催し、官民一体となった取り組みを進めるとのことである。

　ただ、今回の経緯を見ると、この取り組みが果たしてどの程度実効性を上げられるか、疑問がないわけではない。情報セキュリティ政策会議の資料などは内閣のサイトで見ることができるが、最も重要な情報が公表されていないのであればともかく、公表された資料だけから判断すると、要するに「官民の連携と情報共有を推進するための分科会を設置する」というのが、今回の対策の目玉のように見受けられる。
●情報セキュリティ政策会議資料

　もちろん、官民の情報共有・連携が、安全保障の観点から、重要であり有効であることは間違いない。ただ、今回の三菱重工への攻撃が8月から行われていたとされているにもかかわらず、政府への報告が遅れていた点、また、IHIや川崎重工業へのサイバー攻撃が行われていたことが、三菱重工の件が公になった後に公表された点などを見ても、こうした官民連携・官民の情報共有が容易ではないことが分かる。

　これは考えてみれば当たり前で、これらの企業は、「安全保障と密接な関わりを持つ企業」であると同時に、株式を公開し、利潤追求目標を課せられたプライベートカンパニーでもある。サイバー攻撃の標的とされていたからといって、自社の評判に関わるような事実を公表したくないのは当たり前の心理とも言える。ましてや、実際の被害が発生していなかったようなケースにおいては、情報提供をためらう心理が働くのはやむを得ない面もあるだろう。

　したがって、「情報共有・対策連携」のための官民組織を作るとしても、ただ「入れ物」を作って、そこで建前論だけを議論しても有効な策が打てるとは思いにくい。実際に情報提供を求める範囲や、提供された情報の取り扱い、対策に当たっての連携の仕組みなどに関して、ある程度のルール設定と官民双方の相互信頼が何よりも重要なのではないだろうか。

　建前だけの「セキュリティ対策の徹底」をうたうのは簡単である。しかし今回、三菱重工への攻撃に用いられた「標的型の攻撃」を完全に防ぐのは不可能に近いことは専門家も指摘している
●三菱重工サイバー攻撃と標的型メール（読売新聞、9月22日）

　単に「情報管理とセキュリティ対策を徹底するように」と上から目線で指示しても、対策になりはしない。本当に「有効に機能する」官民連携メカニズムを、じっくり練り上げて作り上げることが今こそ必要だろう。

　それにしても心配なのは、この「情報セキュリティ政策会議」のメンバーになっている閣僚の方々で、この話をきちんと理解できる方がどれだけおられるのかという点である。形だけの政治主導などにこだわっている場合ではないだろう。「真に機能する仕組み」をどう構築していくか、何よりもその点を重視されることを切に望みたい。

安延申（やすのべ・しん）
フューチャーアーキテクト取締役事業提携担当、
スタンフォード日本センター理事