「報道に出るのが個人情報漏洩事故ばかりなので、分析の視野が狭くなっている」。元陸上自衛隊 システム防護隊 初代隊長でもある経済産業省 商務情報政策局 サイバーセキュリティ・情報化審議官の伊東寛氏はこう主張する。伊東氏は日経BP社主催の「Cloud Days/ビッグデータ EXPO/セキュリティ/モバイル&ウエアラブル/IoT Japan/ワークスタイル変革/FACTORY/デジタルマーケティング」の基調講演に登壇した。

経済産業省 商務情報政策局 サイバーセキュリティ・情報化審議官の伊東寛氏
経済産業省 商務情報政策局 サイバーセキュリティ・情報化審議官の伊東寛氏
[画像のクリックで拡大表示]

 個人情報の漏洩事故が発生したサイバー攻撃に関する報道は多い。伊東氏は「個人情報漏洩が目立つのは攻撃を受ける側の事情であって、攻撃する側が対象を変えているわけではない。民間企業は知的財産が狙われる、恐喝されるという攻撃を受けている。そうした攻撃については、被害企業は公表したがらないために表に出てこないだけだ」と話す。

 2016年に報道された大手旅行代理店のセキュリティ事故では、それが一種のミスリードを引き起こしたのではないかと指摘する。

 伊東氏は「報道では個人情報漏洩事件として扱われたが、時期を考えると伊勢志摩サミットの直前だった。同時期に警察や中部国際空港へのサイバー攻撃もあった。そう考えると、テロの事前偵察だった可能性もある。攻撃者は、旅行代理店の情報から要人や警護陣の宿泊状況を知ろうとしていたのではないか。個人情報漏洩に話題が集中して、そうした観点からの分析は見なかった」と言う。

社会インフラのセキュリティ守る人材を育成

 海外では社会インフラへの攻撃が増えている。日本にも同じような流れが来ると伊東氏は予測する。「これまで、クローズドネットワークであることもあり、社会インフラの制御システムは対応が遅れてきた。しかし、攻撃者に強い意志があれば攻撃可能なことが海外の例で実証されている。脅したり、だましたりといった内部犯行だって可能だ」(伊東氏)。

 この対策として経産省では、社会インフラや産業システムを対象にしたセキュリティ人材の育成に取り組んでいるという。情報処理推進機構(IPA)に設置する「産業サイバーセキュリティセンター」だ。

 制御システムは会社や工場ごとの違いが大きいので、画一的な教育プログラムで対応しづらい。そこで「基本教育の後は経験したことのないような環境に突っ込んで、問題解決に取り組むような教育プログラムにしている」(伊東氏)と説明した。