1 なぜガイドラインが必要なのか
新 本日の上村さんの講演をお聞きして、経産省は、昔からサイバーセキュリティ強化のために施策を重ねてこられたということを再確認いたしました。JPCERT/CCは1996年に設立し、JVN注9の脆弱性情報も2004年に開始しています。現在、2023年ですから、もう四半世紀にわたってサイバーセキュリティの普及促進をされています。
私自身、技術研究組合制御システムセキュリティセンター注10の運営にも関与してきましたが、運営していると、国の意識の方が進んでいて、民間企業がついていけてない。資金や人材の問題などがそれらの対策の足を引っ張ってきたという印象をもっています。
emotet(エモテット)注11などによるランサムウェア攻撃が拡大し、様々な業界が被害に遭い、さらに戦争まで起こってしまうなど、現在は、非常に混乱した状況になっています。
そのような中で、国の役割、民間の役割を考えたとき、十分な資金をなかなか確保しにくい時代でも、国として重点を置いて対策していかなければならない。それを「ガイドライン」という形で作成した、という理解でよろしいでしょうか。
上村 はい。ガイドラインを作成して、現在のサイバーセキュリティの脅威にはどのようなものがあるのか、考えるべきポイントを示しました(図2参照)。事業者や産業分野、製品やサービスによって守り方や対応の仕方もそれぞれありますが、まずガイドラインという形で提示し、それに則った対策をそれぞれ進めていただきたいということです。
一方で、ガイドラインで提示された対策だけでよいのかというと、必ずしもそうではありません。ガイドラインをもとに、経営的な観点から「リスクマネジメント」について考えていただく。そのために、私どもはガイドラインの利用法などのPRにも努めていきたいと考えています。
2 事業継続のための企業としての「責任感」
新 上村さんの講演の中で、「責任感」という言葉が出てきましたが、例えば実際にサイバー攻撃にあったとき、誰が責任をとるかが重要になってきます。
ランサムウェア攻撃を受けると、自社の事業ができないだけでなく、他社にも迷惑をかける。また、市民や国民の皆様(ユーザー)にも迷惑をかけることになるからです。
ですから、まずは最低限、ガイドラインをきちんと満たすというところから、企業の方々には頑張っていただきたいと思うのです。
上村 あくまでガイドラインはガイドラインで、フレームワークなのです。「どこから手をつけていいのかわからない」というときに、ガイドラインがその一助になればと思っています。
サイバーセキュリティ対策をなぜ行うかという点に立ち返ってみると、産業の場合にはやはり「事業継続」だと考えます。製造工程、製品やサービスの品質が、サイバー攻撃が要因で何らかの問題が起きたとしても、その影響を最小限に留めておく。また、問題が起きたときにどのような点に留意しておくべきかを考えておくことが大事です。
その意味で、もし自社内だけで対策を考えるのが大変だと思ったら、サイバーセキュリティ専門企業や登録セキュリティスペシャリスト(情報処理安全確保支援士)などと協働し、情報技術を安全確保していく。しかし、企業それぞれが行うべきことは、一定程度責任感をもって取り組まないといけないと思います。そのような時に、ガイドラインを生かしていただきつつ、自社だけで対処できないところは、連携して協働しましょう、となってくるのだと思います。
経済産業省 サイバーセキュリティ・情報化審議官
上村 昌博 氏
▼ 注9
JVN:Japan Vulnerability Notesの略。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供している脆弱性対策情報ポータルサイト。JVNでは、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告され調整した脆弱性情報や、CERT/CCなど海外の調整機関と連携した脆弱性情報を公表している。
https://jvn.jp/
▼ 注10
技術研究組合制御システムセキュリティセンター:発電所やガスプラントなどの重要インフラの制御システムに対する、サイバー攻撃対策・セキュリティ確保に寄与するための研究開発、評価認証、普及啓発人材育成などに取り組む技術研究組合。
https://www.css-center.or.jp/
▼ 注11
emotet:マルウェアの1種。正規のメールへの返信を装う手法で、ウイルス感染等を狙う。