重要インフラ行動計画、環境の変化を考慮して継続的に改定していくことが重要――NISC 結城則尚氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

我が国の重要インフラ防護政策は、2000年から開始され、20年が経過したところ。サイバーを取り巻く脅威はとりわけ近年増大しており、こうした状況を踏まえ、事業者の成熟度、多様性を考慮した改善策が今日的な課題となっている。

[山下竜大，ITmedia]

　アイティメディアが主催するライブ配信セミナー「ITmedia Security Week 2021 秋」のDay1基調講演には、内閣参事官 内閣サイバーセキュリティセンター 重要インフラ担当の結城則尚氏が登場。「“重要インフラの情報セキュリティ対策にかかる第4次行動計画”の改定について」をテーマに講演した。

誰も取り残さないサイバーセキュリティを合言葉にDXと同時推進

内閣参事官 内閣サイバーセキュリティセンター 重要インフラ担当 結城則尚氏

　サイバーセキュリティ政策は、2000年の開始から20年が経過。この20年で、ITの利便性は飛躍的に向上し、低コスト化・高性能化も進んでいる。これによりITを活用した、快適で安全な日常生活を送ることができる。その一方で、経済・社会の基盤である重要インフラの防護の高度化が必須となる。そこで内閣サイバーセキュリティセンターでは、サイバーセキュリティ戦略、および重要インフラ行動計画の改定を行っている。

　我が国の重要インフラ防護政策は、2000年12月の「重要インフラのサイバーテロ対策にかかわる特別行動計画」（第0次行動計画に相当）の策定から開始された。以降、第1次行動計画（2005年12月）、第2次行動計画（2009年2月）、第3次行動計画（2014年5月）、第4次行動計画（2017年7月）と、情勢変化を的確に踏まえながら、継続的に改定されてきている。結城氏は、「今年度中に次期行動計画を策定することとしています。これまでの20年の歴史を踏まえつつも、昨今の状況を踏まえると、単なるこれまでの延長では対応でいないことも踏まえることが必要です。9月1日にはデジタル庁も設置されるように、環境変化の速度が速い」と話す。

　「次期サイバーセキュリティ戦略では、“Cybersecurity for All 〜誰も取り残さないサイバーセキュリティ〜”を合言葉に、2020年代を迎えた日本を取り巻く時代認識として、デジタル経済の浸透、デジタル改革の推進、SDGsへの貢献に対する期待、安全保障環境の変化、新型コロナウイルスの影響・経験などがあります。」（結城氏）。

　戦略の基本的な考えは、2つ。まず確保すべきサイバー空間は、「自由、公正かつ安全な空間」であり、基本原則は、情報の自由な流通の確保、法の支配、開放性、自律性、多様な主体の連携の5つを堅持すること。目的達成のための施策は、（1）経済社会の活力の向上および持続的発展、（2）国民が安全で安心して暮らせるデジタル社会の実現、（3）国際社会の平和・安定および我が国の安全保障への寄与の3本の柱から構成され、3本の柱に対して、横断的政策を進めていくこととしている。

マネジメントシステムの狙いは、組織が継続的な成功を達成する支援

　重要インフラには、情報通信、金融。航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油の14分野があり、これらのサービスの提供が停止すると、社会、経済に大きな影響がある。重要インフラは、コンピュータシステムに依存しており、システム支障によるサービスの提供が停止する懸念がある。そこで、第4次行動計画に基づき、官民連携による重要インフラ防護を推進している。

　「行動計画に基づき報告された最近のシステムダウンによる重要インフラサービス停止事案について調べてみると、その原因は、自然災害と管理ミスがほとんどで、サイバー攻撃事案については、管理ミスで発生したものがほとんどです。ということは、管理を適切にすれば防止できる事案が毎年繰り返されているのです。組織に潜在するリスクを、どのようにしたら組織内で共有できるのかが重要な解決すべき課題となっています」（結城氏）。

　2020年度に発生した重要インフラ関連のインシデントとしては、従前サービス利用者しか利用でなかったサービスに対して、メールアドレスを登録すれば、サービス利用者以外でも利用できるように利用者属性を拡大した。一方、認証強度は従前のままだったことから、悪意を持った者によって不正利用される事案が発生した。対策案として、利用者拡大に伴ってリスクが拡大することを踏まえた適切な変更管理の徹底が必要である。具体的には、セキュリティ・バイ・デザインの考え方に従い、サービスや利用者属性に応じた多要素認証の採用など、リスクベースの認証強化が必要になる。

　また、昨今被害が拡大しているランサムウエアに感染し、データが暗号化されるだけでなく、機密情報を公開すると身代金を要求される、いわゆる「二重脅迫型」の事案が目立ってきている。原因を調べると、セキュリティアップデート未適用のVPNの脆弱性を突いた認証情報の窃取、海外拠点などのセキュリティ対策の弱い拠点からの侵入、委託先クラウドのランサムウエア感染などである。対策案として、VPN等ネットに接続される情報資産管理の重要性の再認識、侵入を前提とした多層防御を備えたシステム設計の検討、サプライチェーン管理の徹底、バックアップの重要性の再認識がある。なお、二重脅迫型ランサムウエア対策については、データが公開されることから、バックアップだけでは不十分で、データの秘匿化等、侵入を前提とした多層防御が不可欠となる。

　さらに、自損事故・管理ミスによる一時的なシステム障害により、長時間にわたりサービスを提供できなかった事案も発生した。原因は、外部からの調達部品が、仕様変更されたものの、その情報が正しく関係者に伝わらず、設定が不整合な状態で設置され、意図したように予備系に切り替わらなかったこと、および再開手順が関係者間で合意できていなかったこと。対策案として、外部からの調達部品は仕様が変更される前提で、これまでの検査方法の妥当性確認の実施や、機器の重要度に応じて、書類確認だけでなく、模擬信号を入力して動作試験を行うなどの検討、関係者間での再開手順の事前合意が考えられる。

　2021年度の重要インフラ関連インシデントとしては、2021年6月、7月に、CDN（Contents Delivery Network）の障害により、このサービスを利用している複数事業者が世界同時多発的にWebサービスを提供できなくなる事案が発生した。対策案として、リスクに応じた外部サービスの利用、多重化・多様化などによる代替手段の確保、SNSの活用など、BCPにおける複数情報公開手順の確保が必要になる。