急務となった人材育成に関するプログラムを発表
このようなサイバー攻撃の脅威に対処するには、高度な専門知識や技能だけでなく、セキュリティ対策を経営の課題としてとらえ、推進できるリーダーシップ、マネージメント力をも備えた人材を育成することが急務となってきている。このため、IPAでは、図1に示すような産業サイバーセキュリティセンターの中核人材育成プログラムを発表し、取り組みを開始した。
図1 産業サイバーセキュリティセンターの中核人材育成プログラム(仮称) プログラムの概要
出所 http://www.ipa.go.jp/icscoe/、http://www.ipa.go.jp/files/000057331.pdf
今回、IPA内に設立される「産業サイバーセキュリティセンター」のポイントは、「産業」という言葉をつけ、強調されているところである。
(1)従来は、オープンな企業の業務システムや自治体・政府のWebサイトなどのIT(Information Technology、情報技術/情報システム)へのサイバー攻撃が中心であったが、
(2)最近では、社会インフラやプラント・工場の製造現場の最前線を支える産業を運用・管理しているOT(Operational Technology、制御技術/制御システム)へのサイバー攻撃が増加し始め、社会に大きな混乱をもたらすようになってきており、
‘サイバーセキュリティへの対応’が、情報システムから制御システムへも広がってきている。表4に、制御システム(OT)と情報システム(IT)の基本的な違いを示す。
表4 制御システム(OT)と情報システム(IT)における情報セキュリティの考え方の違い
産業サイバーセキュリティセンター設立の背景
しかし現実を見ると、「ITの世界」と「OTの世界」は、伝統的に、1つの会社組織の中では別々のチームが担当している場合が多いため、ここにサイバー攻撃に対してある種の「隙(スキ)」が生じてしまっている。
これを見逃せば、社会インフラが地震のような自然災害によって脅かされるだけではなく、近年台頭している特定の国レベルからの攻撃にさらされかねない。そこで経済産業省では、「産業へのサイバー攻撃」を重視して、多様な業界各社にヒアリングを実施して検討を重ね、“産業サイバーセキュリティセンター”を設立することとしたのである。
〔1〕セキュリティの人材育成が大きな柱の1つ
産業サイバーセキュリティセンターは、新しい「社会インフラ」や産業基盤の防御を目指したプロジェクトであるため、冒頭で述べたような産業サイバーセキュリティに対応できる人材を育成することが、大きな柱の1つになっている。
それだけではなく、この新しいセンターとチームを組んで、インフラ事業会社や、工場経営をする事業者などに出向き、制御システムなどに関するセキュリティの検証サービスを提供することも検討している。
さらに、ホワイトハットハッカー注3などの専門家も含めて、情報分析チームを設置し、サイバー攻撃に関する情報を収集して分析していく。
あるいは分野別に、政府が特定した電力会社や化学会社などの重要インフラ注4ごとにヒアリングしていくことなども検討されている。
▼ 注3
ホワイトハットハッカー(White Hat Hacker):通常「ハッカー」というと、サイバー攻撃を行う悪者(高度な知識をもってコンピュータやネットワークに侵入して悪事を働く不正侵入者)というイメージがあるが、ホワイトハットハッカーとは、そのような「ハッカー」が駆使する技術を善意の目的で活用する者のことを指す。
▼ 注4
重要インフラ:政府のサイバーセキュリティ戦略本部が策定した重要インフラの情報セキュリティ対策に関する第3次行動計画では、重要インフラ分野として、「情報通信」「金融」「航空」「鉄道」「電力」「ガス」「政府・行政サービス(地方公共団体を含む)」「医療」「水道」「物流」「化学」「クレジット」および「石油」の13分野が特定されている〔平成27(2015)年5月25日〕。http://www.nisc.go.jp/active/infra/pdf/infra_rt3_r1.pdf