政府は6月、政府機関の情報セキュリティに関する2012年度年次報告を取りまとめるとともに、今後3年間の政策の柱となる「サイバーセキュリティ戦略」と年次計画を公表した。政府の情報セキュリティ戦略の司令塔である内閣官房情報セキュリティセンター(NISC)で副センター長に就いた谷脇康彦 内閣審議官に、現状の課題や対策を聞いた。(聞き手は本誌編集長、井出 一仁)
政府機関を狙ったサイバー攻撃が激しさを増しています。
谷脇 康彦氏
サイバー空間のリスクが深刻化してきているのは間違いない事実です。
まず、機密情報などを狙った標的型攻撃や社会の重要インフラへの攻撃など、甚大な影響を及ぼすような攻撃が世界的に見て増えています。ここ1年でも、農林水産省や外務省などの政府機関だけでなく、防衛産業や電力・通信・鉄道といった重要インフラ事業者、研究機関などが持っている技術情報などの窃取を狙った攻撃が顕在化しています。
次に、リスクの所在がこれまで想定していた範囲より拡散していることです。急速に普及しているスマートフォンへの対応は非常に大きな課題です。また、従来は想定しにくかったことですが、ネットワークにつながった高機能な複合機なども攻撃の対象になり得ます。
さらにリスクのグローバル化です。これまでは一国に閉じた形で対策を考えればすんだかもしれませんが、最近のサイバー攻撃は国を越えてグローバルに行われています。
政府機関への攻撃は実際にどのくらい増えていますか。
NISCでは「GSOC注1)」と呼ぶチームが、政府システムへの攻撃を24時間体制で監視しています。標的型攻撃などを含む不審メールに関する府省庁への注意喚起は、2010年度の118件から12年度には415件へと大きく増えました。
こうした状況を踏まえ、標的型攻撃への対策を強化しています。入り口の対策の一つは、政府職員全員を対象にした抜き打ちでの不審メールの教育・対処訓練です。訓練用メールを送ると1割くらいの職員は添付ファイルを開いてしまうので、そこだけで完全に防御するというより、その後のダメージを減らす方策が必要です。不審メールの検知精度を高めるために、大規模データ解析技術などの面からGSOCの解析機能を強化していく必要もあると考えています。
一方、不正プログラムが政府システムに侵入してしまった後のダメージを最小化するには、システムのセキュリティ強化が欠かせません。とはいえ、予算の制約もあるし、扱う情報の機微性もシステムごとに異なります。そこで、メリハリのある対策ができるよう、業務や情報に応じたリスク評価のためのガイドラインを策定中です。2014年度から本格的に運用する計画です。
並行して、各府省庁のセキュリティポリシーの大元になる政府機関の統一基準群も、2013年度中に改定します。各府省庁のポリシーに反映してもらい、メリハリのある対策を進められるようにします。これにはリスク評価のためのガイドラインも含まれます。
