サイバーセキュリティの日本とグローバルの違い
─編集部:重要インフラのサイバーセキュリティについて、日本とグローバルの違いが議論されることがあります。実際、どのような取り組みの違いがあるのでしょうか。
〔1〕欧米は軍が主体、日本は民間が主体
新:いちばんの違いは、グローバルでは、重要インフラセキュリティの問題は国の安全保障や軍事問題と切り離せない問題になっている点です。欧米では、陸海空の3軍に加え、宇宙とサイバー空間を合わせた5軍のうちの1つとしてサイバーセキュリティが捉えられています。
米国では、国全体がサイバー攻撃の対象になっているという認識のもと、国土安全保障省(DHS:Department of Homeland Security)が国防・安全保障の観点から官民・軍と連携しています。また欧州も、多数の国が地理的にもつながっており、電力やガスなどのエネルギーを送電線やパイプラインのようなインフラで融通しあっています。2015年12月のウクライナの大停電(ロシアからのサイバー攻撃だという専門家がいる。図1)のように、これらはさまざまな勢力の攻撃目標にもなっており、サイバー攻撃が現実の脅威となっています。
図1 ウクライナ西部で発生した大規模停電の概要
日本でもCSSC注1は、DHSやEU(ヨーロッパ連合)のENCS注2(欧州サイバーセキュリティ機関)などと連携した活動を展開していますが、日本は憲法の問題もあり、非軍事の問題として民間が主体となって対応している、世界でも珍しい国です。
渡辺:グローバルと日本の違いは、いま新先生がおっしゃったとおりだと思います。付け加えるなら、海外の場合、日本よりシステムやインフラのサービスレベルが低く、不安定だったりしますが、これがかえって世の中のレジリエンス(柔軟な適応能力)を高めているという考え方があると思っています。
日本は、システムやインフラの信頼性が高く、電車は時刻通りに運行されますし、停電もめったに起きません(図2)。しかしその分、普段の備えが不十分となり、いったん止まってしまうと利用者がパニックになりやすい傾向があるという考え方です。
図2 欧米諸国と日本における需要家の停電回数〔平成22(2010)〜27(2015)年〕
〔2〕日本が誇れる民間主体の活動
渡辺:3.11以降、日本のインフラも大規模かつ広域にダウンすることがあるということがわかったと思います。このような状況は、何も大規模災害に限らずサイバー攻撃でも起こりうるものです。
ですから、大災害やサイバー攻撃を想定した、自助システムの確立が供給側、利用側にも求められていると思います。例えばオール電化を進めるなら、家ごとの小型の自家発電装置があってもいいくらいです。そうでないと、電力配給システムにサイバー攻撃があったときすべてが止まってしまい、社会や生活へのインパクトが大きいものになります。
新:3.11規模の災害では、広域停電が起こったため、ガス会社のシステムや家庭内の燃料電池やソーラーパネルが動かなくて、直接地震の被害がなかった地域でも供給が止まったということが起きています。この経験は、いざというときのバックアップや、自助システムが重要ということが再認識されることになりました。
サイバーセキュリティに軍が関与していないからといって、日本の取り組みはだめだということではありません。サイバー攻撃への対応が民間主体の活動であることは誇れるものですし、日本が、ASEAN諸国などの諸外国とセキュリティ対策における強い協力体制が可能なのは、非軍事活動であるからできると言えるのです。
〔3〕NISCのサイバー合同演習に2,000人も参加
渡辺:昨年末、NISC(内閣サイバーセキュリティセンター)注3が大規模なサイバー合同演習注4(重要インフラにおける分野横断的演習)を開催しました。重要インフラの13分野(図3)からおよそ2,000人が集まり、海外の関係者を驚かせました。なぜなら、海外ではサイバー演習にこれだけの規模で人が集まることがないからです。
図3 「重要インフラ事業者」には、下記13の分野
出所 http://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou9.pdf
それだけ国内の重要インフラセキュリティへの関心が高まっているからだと思います。その一方で、この演習に参加した後のステップも重要だと思っています。より高度なインシデント対応や対策をとれる人材、指導ができる人材へと広げていきたいですね。
合同演習も数年前は数百人集まる程度だったものが、最近は業界内部の意識は変わってきていますね。NISCも旧体制では、各省庁からの出向者が数年で入れ替わっており、人材や知見の蓄積が難しかったのが、新しい体制注5になってから当時の人たちが戻ってきています。こういう循環も日本の特徴ですね。
▼ 注1
CSSC:Control System Security Center、技術研究組合制御システムセキュリティセンター(「技術研究組合法」に基づく経済産業大臣認可法人)。設立は2012年3月6日(登録完了日)。東北多賀城本部(TTHQ)所在地:〒985-0842 宮城県多賀城市桜木3-4-1(みやぎ復興パーク F-21棟 6階)、http://www.css-center.or.jp/ja/aboutus/
▼ 注2
ENCS:European Network for Cyber Security
▼ 注3
NISC:National center of Incident readiness and Strategy for Cybersecurity
▼ 注4
http://www.nisc.go.jp/active/infra/pdf/bunya_enshu2016gaiyou.pdf