サイバーセキュリティ シンポジウム 2015...サイバーセキュリティ...

サイバーセキュリティ シンポジウム 2015

日本におけるサイバー攻撃対策の課題 ～なぜ、繰り返すのか～

2015.9.4 (Fri) 於 : 衆議院第一議員会館 多目的ホール 開催レポート

「サイバーセキュリティ・シンポジウム・2015」 実行委員会

衆議院議員 自由民主党 IT戦略特命委員長 平井 卓也

一般社団法人 日本経済団体連合会

一般財団法人 日本データ通信協会 テレコム・アイザック推進会議

特定非営利活動法人 日本ネットワークセキュリティ協会

実行委員会事務局 日本マイクロソフト株式会社

（敬称略・順不同）

定員 100 名で募集した当シンポジウムも、114 名もの方々にご登録いただき、当日も 9 割以上の方々にご出席いただきました。

当日の多目的ホール受付では、20 を超える議員事務所からの資料請求の要請もあり、盛況の中、興味深いお話が続いた当日の模

様を、以下に報告させていただきます。

シンポジウム全体を通じ、重視されていたポイントが「日本国内の、サイバーセキュリティに対する意識の遅れ」でした。企業の財務担当

者からは「余計な負担」と疎まれ、中堅・中小規模企業においては「まだ、サイバーセキュリティそのものに対する理解が十分と言えない」

状況も存在することが、さまざまな話から浮かび上がってきました。

1) ～日本におけるサイバーセキュリティと政策課題～

衆議院議員 自由民主党 IT戦略特命委員長 平井 卓也 氏

「サイバーセキュリティというと、『大変だ！』と言われますが、できればもっと楽しみながら取り組んでい

けるようになればいいと思います。デジタル化とグローバル化を推し進め、国民の幸せや、国益につな

げていくために、サイバーセキュリティは欠かせない施策であり、乗り越えられない試練ではありません。

サイバーセキュリティとは、本来、非常に前向きな話であるべきなのです。」

平井議員の力強いこの言葉からシンポジウムはスタート。

平井議員は続いて、年金情報流出の波紋を受けてマスコミや議員の耳目が集まった「マイナンバー

法改正案」に触れて、「もっとも重要な点は、マイナンバーそのものよりも、個人情報保護法の改正

にあった」と、今後の政策課題につながる重要なポイントに言及。

「いわゆるオープンデータとして、

データの利活用に配慮しつつ、

個人情報をきちんと保護してい

くのは、アクセルとブレーキを同

時に踏むようなもの。(状況が

刻々と変わる世の中にあって)

このサジ加減を、毎回行っていく

ようでは将来に不安が残る。今後、サイバーセキュリティ基本法を改正するにあたり、官民のデータ活用を推進するための基本法も、議

員立法化していくことも必要だと思っている。」と今後の方針を示すと、マイナンバーについても、「マイナンバーに対する世間の誤解には、

1968 年の佐藤内閣時代に提唱された『国民総背番号制』と混同されていることが非常に多い。しかし、マイナンバーとは、先進的な

IT 国家創造に向けたインフラ作りそのものなのです。」と言及。デジタルを活用した社会の発展に向けて、世間の理解を訴えられていま

した。

2) ～日本経済、そして重要インフラ防護におけるサイバーセキュリティ～

一般社団法人 日本経済団体連合会 情報通信委員会 インターネット・エコノミー民間作業部会主査、

サイバーセキュリティに関する懇談会座長 梶浦 敏範 氏

続く梶浦 氏は、金融業界の新しい波である “FinTech” (Finance と Technology を合わせた

造語。金融業界において IT を活用したスタートアップを指す。) を皮切りに、「インターネット・エコノミ

ーの進展」という観点から、全産業におけるサイバーセキュリティの重要性について言及。

市場アクセスを阻害する大きな要因となる「Forced Localization Measures (各国において、情

報セキュリティ、国家安全保障、製品の安全基準、自国産業の保護育成などを名目として排他的な

独自政策の呼称。)」 が重要な争点となっていることを説明。

また、経団連がまとめた「サイバーセキュリティ対策の強化に

向けた提言 (2015.2.17)」を引用しながら、まだまだ社

会全体にサイバーセキュリティの対策が不足しており、人材

育成や情報共有など、産業界こそ意識改革が求められて

いることを指摘されました。

3) ～米国を中心としたサイバー犯罪対策最前線。ボットネット対策を中心としたサイバー犯罪対策の最新状況～

マイクロソフト・コーポレーション デジタルクライムユニット

上席弁護士 リチャード・ボスコビッチ (同時通訳付き)

3 番目に登壇したマイクロソフト DCU (Digital Crimes Unit) 上席弁護士のボスコビッチ 氏は、

2010 ～ 2015 年までにテイクダウンに成功したボットネット / マルウェアの実例 (Zeus : オン

ライン金融詐欺、2012 年 3 月にテイクダウン。Ramnit : オンライン金融詐欺、2015 年 2

月にテイクダウンなど) などを挙げて、世界に拠点を置く DCU (ワシントン、ベルリン、北京、シンガ

ポール、東京) の活動を紹介。

1 日に 5 億件以上のトランザクションを追い、国内外で実際に活動しているマルウェアの脅威を

可視化する「サイバー脅威に関する情報解析 (Cyber Threat Intelligence Program)」のデ

モンストレーションを行い、ボットネット「Citadel」が日

本で活動する様子を伝えたほか、「Azure Active

Directory Premium のセキュリティ レポート」や、

Microsoft のプライバシーポリシーなどを説明。信頼

できるインフラの重要性を強調していました。

4) ～日本の通信インフラにおけるサイバー攻撃対応

通信インフラにおけるサイバー攻撃対応とその課題～

一般財団法人 日本データ通信協会 テレコム・アイザック推進会議 運営委員 小山 覚

午前の部最後の登壇となるテレコム・アイザック推進会議の小山 氏は、

「IoT (Internet of Things) 時代」のセキュリティ対策として特に重要と

なる「通信の秘密の保護」(基本的人権の 1つとして、憲法第21条第２

項において保障されている) と、サイバー攻撃の関係について、事例を基

に紹介。

一般家庭に存在するホームルーターの乗っ取りが犯罪の温床となっている

状況に対し、「自発的に、ホームルーターのソフトウェアアップデートを行って

いる利用者は 1％にも満たない。対して、ISP 側が十分なサポートを提供しようとすれば、1 件 1 万円以上のコストが発生する。サービ

ス提供価格に対し、コストがまったく釣り合わないのが実情。」と、セキュリティリスクの深刻さを訴えていました。

「警察と協力によって、ホームルーター乗っ取りによる犯

罪の１つが沈静化するまで、３年もの時を要しました。

IoT 時代が始まれば、状況はもっと酷くなる。」と小山

氏。

重要なことは、「デバイスを切り売りするビジネスから、

継続的なサービス提供を行うビジネスへと転換を進め、

“放置された IoT” を極力作らない仕組み作りを行う

こと。Intranet of Things という考え方も重要。」と

締めくくります。

５) 「新・サイバーセキュリティ戦略について」

内閣サイバーセキュリティセンター 内閣参事官 藤田 清太郎

昼食休憩を挟んで登壇されたのは、内閣サイバーセキュリティセンター (NISC) 内閣参事官 藤

田 氏です。

藤田 氏は、この日の朝に閣議決定されたばかりの、「新サイバーセキュリティ戦略」について、そして、

2015 年 6 月に起きた日本年金機構の情報流出事案などを踏まえた、政府機関等のサイバーセ

キュリティ対策について説明。

2015 年 8 月末に発表された、2014 年に発生した政府機関への脅威件数でも、「センサー監視

等による通報件数」が 264 件発生しており、前年比約 2 倍。「不審メールに関する注意喚起の件

数も 789 件となっており、前年の 381 件から大きく増えています。

2015年は、それを上回る件数に達するのではないかという、厳しい条件の中、「政府全体の取り組

み強化」、「重要インフラに関する取り組み強化」、「国際連携に向けた政策対話の推進」などの重要な取り組みが解説されました。

6) サイバー攻撃に関するパネルディスカッション

サイバー攻撃対策の課題 ～なぜ、繰り返すのか～

■モデレーター：

髙橋 正和 （特定非営利活動法人 日本ネットワークセキュリティ協会副会長）

■パネリスト：

福田 峰之 (衆議院議員 内閣府大臣補佐官 自由民主党 IT 戦略特命委員会 事務局長)

齋藤 衛 （一般財団法人 日本データ通信協会 テレコム・アイザック推進会議）

梶浦 敏範 （一般社団法人 日本経済団体連合会 インターネット・エコノミー作業部会主査、サイバーセキュリティ懇談会座長）

真鍋 敬士 (一般社団法人 JPCERT コーディネーションセンター 理事・分析センター長)

リチャード・ボスコビッチ（マイクロソフト・コーポレーション デジタルクライムユニット上席弁護士）

最後に行われたパネルディスカッションには、内閣府大臣補佐官の福田議員も登壇。

モデレーター 高橋 氏による「企業の 9 割がすでに侵入を受けた経

験がある。」「侵入されたことが判明して、『いつ侵入されたのか』

をさかのぼって調べると、『約 240 日前』という数字が中央値とし

て出ている。」「サイバーセキュリティの被害額は、ワールドワイド

で年間約 360 兆円。」「1 件の被害で 4.2 億円の損失。」という刺激

的なまとめから、ディスカッションがスタート。

各パネリストから、示唆に富んだ話が飛び出しました。

「(地元選挙区などを回って) さまざまな立場の一般の方々と対話をすると、サイバーセキュリティというのは『大企業が備えるも

の』という認識をされている方が多くいらっしゃいます。中には『うちには、とられて困る情報もない。セキュリティは必要ない』

と言われる方もいます。こうした状況を変えるためには、もっと広くサイバーセキュリティを理解していただく必要があります。

もっと一般の方にも分かりやすく、セキュリティを説いていくことが大切だと思います。」(福田 氏)

福田 氏は、サイバーセキュリティに必要となる優秀な人材を政府機

関が確保することの難しさなど、山積する課題にも言及。

「居心地の悪い国にするために、IT を整えているわけではない。安

心できる、居心地の良い国にするためにサイバーセキュリティ基本

法の改正を含め、取り組みを続けています。」

と、解決に向かう内閣の姿勢を力強く代弁

されていました。

JPCERT コーディネーションセンターの真鍋 氏は、「日本国内においては、2011 年に重工業企業におけ

る標的型攻撃インシデントが発覚したことで、対策の機運が上がってきた。」として、「水飲み場攻撃」「ア

ップデートハイジャック攻撃」など、さまざまな「標的型攻撃」の事例を解説。

最後は、「私たちの活動において、“最初に乗り越えるべき大きな壁” として認識しているのは、技術的な

ことではなく、攻撃者の存在でもなく、実は、インシデントに対処していただくべき企業の方々と私たち

との間に存在する “認識の差” にあります。この壁を乗り越えることが、我々の最初のミッションである

と感じています。」と、福田議員と共通する課題を提示されていました。

テレコム・アイザック推進会議の齋藤 氏からは、2012 年から国内で販売されている “脆弱性の明らか

なホームルーター” がどれだけ存在しているのか、アイザック会員内の有志を募ってスキャン調査を行

ったところ、「ざっと見積もっても、国内に 120 万台も、犯罪者によって攻撃の踏み台とされるルータ

ーが存在していた。」という危険な状況も開示されました。

齋藤 氏はさらに、「感染病対策などでトリアージが行われるように、サイバーセキュリティのインシデ

ント対策も、全体的な対応策が整備されることが求められるのではないか。」と持論を開示されました。

パネルは、モデレーターの高橋氏から、情報基盤の相互依存性、セグメントの壁を超えた情報共有、有

効な対策、クラウド・デバイスなどの IT 環境の変化、経営などのマネジメントが重要であり、成長戦

略に基づいた政策についてセキュリティへの取り組みが必要であるとのラップアップで終了しました。