[電気通信大学 教授 新 誠一 vs. 名古屋工業大学 大学院 教授 渡辺 研司]

日本と世界の重要インフラにおけるサイバーセキュリティへの挑戦

― 欧米は軍が主体、日本は民間主体の取り組み ―
2017/03/06
(月)
中尾真二 テクニカルライター

去る2017年2月8日、東京・品川において開催された「重要インフラサイバーセキュリティコンファレンス」(同実行委員会・インプレス共催)では、共同委員長として電気通信大学 新 誠一教授と名古屋工業大学大学院 渡辺 研司教授を迎えた。新教授は、技術研究組合制御システムセキュリティセンター(CSSC)の理事長でもあり、渡辺教授はサイバーセキュリティ戦略本部(NISC)重要インフラ専門調査会の会長を務めている。
このお二人に、IoT/AI時代の、特に重要インフラにおけるサイバーセキュリティについて、日本と欧米のアプローチの違いや日本における課題などを、対談形式で語っていただいた。

サイバーセキュリティの日本とグローバルの違い

Seiichi Shin

─編集部:重要インフラのサイバーセキュリティについて、日本とグローバルの違いが議論されることがあります。実際、どのような取り組みの違いがあるのでしょうか。

〔1〕欧米は軍が主体、日本は民間が主体

:いちばんの違いは、グローバルでは、重要インフラセキュリティの問題は国の安全保障や軍事問題と切り離せない問題になっている点です。欧米では、陸海空の3軍に加え、宇宙とサイバー空間を合わせた5軍のうちの1つとしてサイバーセキュリティが捉えられています。

 米国では、国全体がサイバー攻撃の対象になっているという認識のもと、国土安全保障省(DHS:Department of Homeland Security)が国防・安全保障の観点から官民・軍と連携しています。また欧州も、多数の国が地理的にもつながっており、電力やガスなどのエネルギーを送電線やパイプラインのようなインフラで融通しあっています。2015年12月のウクライナの大停電(ロシアからのサイバー攻撃だという専門家がいる。図1)のように、これらはさまざまな勢力の攻撃目標にもなっており、サイバー攻撃が現実の脅威となっています。

 日本でもCSSC注1は、DHSやEU(ヨーロッパ連合)のENCS注2(欧州サイバーセキュリティ機関)などと連携した活動を展開していますが、日本は憲法の問題もあり、非軍事の問題として民間が主体となって対応している、世界でも珍しい国です。

渡辺:グローバルと日本の違いは、いま新先生がおっしゃったとおりだと思います。付け加えるなら、海外の場合、日本よりシステムやインフラのサービスレベルが低く、不安定だったりしますが、これがかえって世の中のレジリエンス(柔軟な適応能力)を高めているという考え方があると思っています。

 日本は、システムやインフラの信頼性が高く、電車は時刻通りに運行されますし、停電もめったに起きません(図2)。しかしその分、普段の備えが不十分となり、いったん止まってしまうと利用者がパニックになりやすい傾向があるという考え方です。

図2 欧米諸国と日本における需要家の停電回数〔平成22(2010)〜27(2015)年〕

図2 欧米諸国と日本における需要家の停電回数〔平成22(2010)〜27(2015)年〕

出所 電力広域的運営推進機関(OCCTO)「電気の質に関する報告書‐平成28年度版」、平成28(2016)年 12月

Kenji Watanabe

〔2〕日本が誇れる民間主体の活動

渡辺:3.11以降、日本のインフラも大規模かつ広域にダウンすることがあるということがわかったと思います。このような状況は、何も大規模災害に限らずサイバー攻撃でも起こりうるものです。

 ですから、大災害やサイバー攻撃を想定した、自助システムの確立が供給側、利用側にも求められていると思います。例えばオール電化を進めるなら、家ごとの小型の自家発電装置があってもいいくらいです。そうでないと、電力配給システムにサイバー攻撃があったときすべてが止まってしまい、社会や生活へのインパクトが大きいものになります。

:3.11規模の災害では、広域停電が起こったため、ガス会社のシステムや家庭内の燃料電池やソーラーパネルが動かなくて、直接地震の被害がなかった地域でも供給が止まったということが起きています。この経験は、いざというときのバックアップや、自助システムが重要ということが再認識されることになりました。

 サイバーセキュリティに軍が関与していないからといって、日本の取り組みはだめだということではありません。サイバー攻撃への対応が民間主体の活動であることは誇れるものですし、日本が、ASEAN諸国などの諸外国とセキュリティ対策における強い協力体制が可能なのは、非軍事活動であるからできると言えるのです。

〔3〕NISCのサイバー合同演習に2,000人も参加

渡辺:昨年末、NISC(内閣サイバーセキュリティセンター)注3が大規模なサイバー合同演習注4(重要インフラにおける分野横断的演習)を開催しました。重要インフラの13分野(図3)からおよそ2,000人が集まり、海外の関係者を驚かせました。なぜなら、海外ではサイバー演習にこれだけの規模で人が集まることがないからです。

図3 「重要インフラ事業者」には、下記13の分野

図3 「重要インフラ事業者」には、下記13の分野

出所 http://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou9.pdf

 それだけ国内の重要インフラセキュリティへの関心が高まっているからだと思います。その一方で、この演習に参加した後のステップも重要だと思っています。より高度なインシデント対応や対策をとれる人材、指導ができる人材へと広げていきたいですね。

 合同演習も数年前は数百人集まる程度だったものが、最近は業界内部の意識は変わってきていますね。NISCも旧体制では、各省庁からの出向者が数年で入れ替わっており、人材や知見の蓄積が難しかったのが、新しい体制注5になってから当時の人たちが戻ってきています。こういう循環も日本の特徴ですね。


▼ 注1

CSSC:Control System Security Center、技術研究組合制御システムセキュリティセンター(「技術研究組合法」に基づく経済産業大臣認可法人)。設立は2012年3月6日(登録完了日)。東北多賀城本部(TTHQ)所在地:〒985-0842 宮城県多賀城市桜木3-4-1(みやぎ復興パーク F-21棟 6階)、http://www.css-center.or.jp/ja/aboutus/

▼ 注2
ENCS:European Network for Cyber Security

▼ 注3
NISC:National center of Incident readiness and Strategy for Cybersecurity

▼ 注4
http://www.nisc.go.jp/active/infra/pdf/bunya_enshu2016gaiyou.pdf

▼ 注5
http://www.nisc.go.jp/about/organize.html

ページ

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...