2013.08.08
日本政府の「サイバーセキュリティ戦略」 ―― 現場視点での読み解き方
今年の6月10日、政府の情報セキュリティ政策会議が、第35回会合において、「サイバーセキュリティ戦略」を決定した。次のサイトからダウンロードできるので、サイバーセキュリティについて興味を持っている方々には、是非とも一読していただきたい。
NISC(内閣官房情報セキュリティセンター) 主要公表資料
http://www.nisc.go.jp/materials/index.html
この戦略の「環境の変化」には、昨今の国内外のサイバーセキュリティに対する状況認識が、網羅的かつバランスよく記述されている。今後の動向を図る上で説得力のある内容となっている。
しかし、本戦略は、これまでの施策の延長に位置づけられており、「基本方針」や「取組」には、さまざまな前提が含まれているため、サイバーセキュリティの政策文書を初めて読まれる方にとっては、若干理解することが難しいところがあると思う。
筆者は、長年、サイバー空間における「火消し役」として活動している立場の者であるが、その経験や知見に基づいた形で、本戦略が推進された場合に、実際の現場活動にどのような影響を及ぼすのかという視点で解説したいと思う。ちなみに、「火消し役」とは、サイバー空間において(火事に相当する)インシデントが発生した際、迅速かつ首尾よく(延焼防止かつ消火活動に相当する)レスポンス活動を行う役割を持つ者のことである。
「1. 環境の変化」について
この章において重要なキーワードは「融合・一体化」である。これを解説するために、一般読者にとっては、やや専門的な用語や言い回しが並んでいるが、簡単に言うと「普段の生活にインターネットやITが必要不可欠になってきている」ということを言っているのである。そして、今後の見通しとしては、「経済発展のためにインターネットやITがもっと必要になっていく」と示唆している。
その次に重要なキーワードは、「リスクの深刻化」であり、その根拠説明が並んでいる。注目しなければならないフレーズは、6ページ最終行の「サイバー攻撃に係るリスクは、その目的や手法等の変化により、“従来の想定をはるかに超えた水準”まで高まってきている」という箇所である。裏を返すと、「攻撃側の能力が、防御側より遥かに高い」ということを言っているのである。
サイバー攻撃を受けた現場での対処活動は、攻撃側と防御側の「静かな戦い」と同義になることが多い。そのため、このリスクの深刻化の根拠説明を、「攻撃者」という一人称に変えて説明すると、次のようになる。
甚大化するリスク: 攻撃者は、高いレベルのセキュリティ対策を施した重要システムに対してハッキングする能力を持っており、サイバー攻撃したことを防御側に気付かれずに行うことができる。
拡散するリスク: 攻撃者は、にわか仕込みの技術しか持たなくても、ハッキングできる機器を見つけることができる。
グローバルリスク: 攻撃者は、身を隠すことができ、ハッキングしやすい入口を増やすことができる。
つまり、現在、「攻撃者は、防御側に比べて絶対的な優位性を持っている」ということを、さまざまな観点から防御側の立場で述べているものであると言える。
そして、厄介なことに、攻撃側は、今後も、優位性を高めていく一方であるため、防御側は、12ページ3行目にあるように、”次元を超えた取組が必要” と認めているのである。
「2. 基本的な方針」について
一般的に、サイバーセキュリティに関する基本的な方針を立案するには、現在及び将来に渡るマイナス要因を打ち消すことを念頭に設定されることが多い。諸外国の同様な戦略を眺める限り、高校物理で習う「作用・反作用の法則」を踏襲した、現状認識の「負の領域」から必然的に導き出されるものを打ち消す「正の領域」が軸となっている。
その捉え方で、現在の日本のサイバーセキュリティの「負の領域」を考えると、次のように表現できる。
●世界を率先していない(=追随している)
サイバーセキュテリィに関する国際カンファレンスに参加すると、各国を代表するセキュリティ企業が、技術的に素晴らしく、イノベーション(革新的で新しい切り口)に満ちたプレゼンや、積極的なスポンサーシップが行われている。しかしながら、国際舞台における日本のセキュリティ関連企業の影は非常に薄く、見劣りするものである。
●強靭ではない(=脆弱である)
ここ数年、国を代表する企業や政府機関があいついで、サイバー攻撃を受け、大量の情報窃取等の被害にあっており、その発生頻度は増加の一途をたどっている。客観的に、日本の組織はサイバー攻撃に脆弱であると言わざるを得ない。
●活力がない(≒衰退している)
日本のIT関連のメーカーの多くが、減収減益となっており、リストラのニュースも聞こえてきている。活力があるとは言い難い状況である。
また、各主体として、「国」「重要インフラ事業者等」「企業や教育・研究機関」「一般利用者や中小企業」「サイバー空間関連事業者」の役割が示されているが(18ページ)、特に注目したほうがよいと思われるところは、「企業や教育・研究機関」と「一般利用者と中小企業」である。
これらの主体の役割の記述中に「~が期待される」というのが目立つが、これは、意見募集の結果の政府側の考え方にあるとおり、「本戦略は、民間企業に義務を課す性質のものではない」からである。理解できるものであるが、これに対する具体的施策が、「インセンティブの検討」というレベルになっていることに、サイバーセキュリティの推進・強化の難しさがあると言える。
一方、他国の戦略においては、明確に「インセンティブの構築」と謳っているものが目立つ。そのため、「インセンティブの検討」という表現に留められているところに、NISCの司令塔としての役割の限界が見え隠れする。
「3. 取組分野」について
取組分野の全般において着目すべきところは、「仕組み作り」にやや偏重しているところである。特に、「CSIRT設置率の向上」や「CSIRTの構築を促進」をすることにより、セキュリティ水準の向上が図れるという前提があるような印象を受ける。
”シーサート”と読まれるCSIRTは、”Computer Security Incident Response Team” の略で、「コンピュータセキュリティインシデントに関する報告を受け取り(Detect)、それを整理分類・調査・判断し(Triage)、対処活動を行う(Respond)組織体のこと」である。
詳しくは、JPCERTコーディネーションセンターのサイトで詳しく公開されているので、興味ある方は確認いただきたい。
JPCERTコーディネーションセンター CSIRTマテリアル
http://www.jpcert.or.jp/csirt_material/
このサイト中の資料を通読すると、概ねご理解いただけると思うが、CSIRTが周囲から期待される活動が出来るようになるには、メンバ(人)の能力や経験に依拠するところが多分にあると言わざるを得ない。理由は、この組織モデルが、消防組織と類似するところが非常に多いところにある。
消防活動は、装備等の確保と整備が求められるが、それ以上に重要なのは消防員に対する「教育訓練」である。いざという時に、消防組織が必要な能力を発揮できるよう、消防員は、日頃訓練に励んでおり、そのような積み重ねがあってはじめて、必要なときに迅速かつ適切な消防活動ができる。仕組みだけ構築しても、期待される消防活動を行うことはできない。
CSIRTは、これとまったく同じ理屈である。メンバの能力や経験を確保することで、期待される活動を行うことが出来るのであり、設置や構築だけで実現されるものではない。
筆者は、2006年から国内のCSIRT構築支援を行なっているが、最近、組織の上層部が本質的な理解をしてないまま、現場にCSIRT構築の指示だけを行うだけで、必要なリソース確保とメンバに対する権限付与及び教育訓練を怠ったために、他のCSIRTとの連携能力すら満足に向上しない「骨抜きどころから張りぼてになったCSIRT」を目にすることが多くなってきた。
CSIRT は、プライバシーマークやISMSのような認証制度とは大きく異なり、保有するだけでセキュリティ水準が向上するものではない。組織内部におけるCSIRTの基本的概念の理解・浸透と、CSIRT を中心とした日頃の教育訓練の積み重ねにより、「インシデントが発生した際の動的対応能力を向上」させることができる。
CSIRTは、インシデント対応に対する真剣な姿勢と取り組みを行った際に行き着く必然的な組織モデルの一つである。本戦略に、このような実態にそくした認識が見当たらないため、あえて説明させていただいた。
また、「サイバー空間の犯罪対策」において人材育成の重要性や必要性が十分に示されているが、これが検察や警察分野に限ったような印象を与えているところに違和感を感じる。
捜査組織の顔を持っているのは、検察や警察組織だけではない。通称「マルサ」と呼ばれている財務省配下の国税局査察部が、国税犯則取締法に基づいて行う活動の中にサイバー犯罪対処と同じようなことをすることがある。さらに、金融庁の証券取引等監視委員会、法務省の入国管理局、国交省配下の海上保安庁が行う活動の一部にも、サイバー犯罪対処のような活動が存在する。
このように、サイバー犯罪への対処活動の観点では、さまざまな行政機関が関与しているにもかかわらず、本戦略では、その網羅性が十分ではないように感じる。これは、現在の情報セキュリティ政策における政府の推進体制における「情報セキュリティ関係省庁」という枠組みが、警察庁、総務省、経産省、防衛省のみであるというところが影響しているのかもしれない。
「4. 推進体制等」について
現場視点では、行政機関がどのような推進体制にするか、あるいは、どのように評価するかどうかという「仕組み作り」より、実際のサイバー攻撃への「対応能力の向上」に強い関心があるのではないかと思う。
筆者は、本戦略で示されている取り組みから、現実に見合う対応能力の向上を実現するまでのロジックも不足しているような印象を受けている。もちろん、戦略は、大局的かつ長期的なものであることは十分に承知しているが、基本的なロジックが見えないところに不安を覚えているというのが正直なところである。
長年、サイバー攻撃対処に関する活動に従事している者として、やや経験則的に言えることは、サイバー攻撃への対応で最も重要なのは、能力(Capability)であり、これは仕組み(Framework)作りで実現できるものではないということである。設定した目標を達成するための能力(Capability)を見出し、動かすべき主体とその機能をMECE(Mutually Exclusive and Collectively Exhaustive:重複なく・漏れ無く)ベースで全体設計して初めて、最適な仕組み(Framework)を見出だせるという流れになる。
このような観点で、他国におけるベスト・プラクティス(最善策)を一つ紹介したい。米国FEMA(Federal Emergency Management Agency:連邦緊急事態管理庁)が構築したTarget Capabilities List (TCL) である。
Target Capabilities List – A companion to the National Preparedness Guidelines
http://www.fema.gov/pdf/government/training/tcl.pdf
これは、”Consensus of the Community”(利害関係者間との合意形成)のアプローチに基づいて利用されるものであり、さまざまな文化やスタンダードが混在した環境において、合理的かつ体系的な能力向上策の一つであると言える。
残念ながら、日本には、このような事案発生後に発揮するための「必要十分条件に相当する能力」や、それらの能力を発揮するための「具体的なアクションアイテムのリスト」が存在しない。逐次、誰かが考えて、それを参考にするしかない状況が続いている。そのため、実際に何をすべきかを見出すには、「現場」に向き合っている者達が考え、そして、試行錯誤していかなければならない。
以上、NISC が発表した「サイバーセキュリティ戦略」の内容について、あくまで現場視点で解説をさせて頂いた。
まとめ
本論考では少しネガティブなことをお伝えしてしまった感があるが、本戦略は、他国には見られない現状認識の緻密さや情報量がある一方、取り組みの一部に現場との乖離が見られるようなところがあると考える。
しかし、深刻な被害を及ぼすサイバー攻撃が高頻度で発生する現状に、国家レベルの対策を組み立て、それを確実に推進していくことが求められている現状において、本戦略の内容に過分なところは一つも見当たらないというところに着目していただきたい。
最後に、筆者の現場経験からの感覚として、「すぐにでも有効な対策を施さなければ、近い将来、日本のサイバー空間利用が絶望に近い状態になるのではないかという強い懸念を抱いている」ということをお伝えしたい。筆者には3歳の娘と0歳の息子がいるが、その子供たちの将来の生活環境を守るためという思いで、今の業務に全力を傾けているつもりである。
本戦略の内容について、読者のそれぞれの勝手な解釈で一向に構わないので、サイバー空間を守ることの意義や目的を自分のものとして捉え、そして、ほんの些細なことでも、あるいは何かしらのアクションを起こそうという気概だけでも感じてもらえれば、現場を重要視する者として、大変心強く感じる次第である。
サムネイル:「Vulnerable」Jannis Blume
プロフィール
名和利男
航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティ担当(プログラム幹部)業務に従事。 その後、国内ベンチャー企業のセキュリティ担当兼教育本部マネージャ、JPCERTコーディネーションセンター 早期警戒グループのリーダを経て、サイバーディフェンスに参加。 専門分野であるインシデントハンドリングの経験と実績を活かして、CSIRT(Computer Security Incident Response Team) 構築及び、サイバー演習(机上演習、機能演習等)の国内第一人者として、支援サービスを提供している。 当研究所のCSIRTであるCDI-CIRT Externalの設立者。