サイバーセキュリティについて緊急提言 ‼︎

先日、世界150か国以上で過去最大規模のサイバー攻撃が発生し、日本国内でも被害が確認されました。
操業を停止する工場が出たほか、被害を受けた病院では、手術を受けられない、救急患者が受け入れられないなど人命にかかわる事態が生じてしまいました。

また、今月に入り、北朝鮮が世界30か国以上の銀行を狙ってサイバー攻撃を仕掛け、多額の現金を盗んでいた、という事実も明らかになりました

これまでも被害が表面化することは少なかったものの、水面下では2割程度の企業がサイバー攻撃の被害を受けていると言われています。

そうした背景もあり、サイバー攻撃のリスクについてはこれまでもたびたび指摘されてきましたが、セキュリティ対策の緩みがついに世界中で大惨事を招いてしまいました。

サイバー攻撃が実際に国民生活に甚大な影響を及ぼす中、官民挙げたサイバーセキュリティ対策の抜本的強化は急務です。

特に、オリンピックパラリンピック東京大会前後に我が国がサイバー攻撃の集中砲火を浴びることは間違いなく、万全の対策を講じることは不可欠です。

このため、私が中心メンバーとして運営に携わっている「サイバーセキュリティ対策推進議員連盟」では、このたび、政府が緊急に取組むべき事項をまとめた提言を発出し、安倍総理に申し入れを行いました。

サイバーセキュリティ対策推進議員連盟 提言

サイバーセキュリティ対策推進議員連盟は、情報通信戦略調査会「サイバーセキュリティ対策の強化に向けた緊急提言」(平成27年7月30日)やIT戦略特命委員会「サイバーセキュリティ対策の抜本的強化に向けた政府への提言」(平成28年12月13日)等、これまでの検討を踏まえ、サイバーセキュリティ分野において政府として緊急に実施すべき事項につき、以下提言する。

(1)オリンピックパラリンピック東京大会等に向けた司令塔の設置

2020年に我が国で開催するオリンピックパラリンピック東京大会、2019年のラグビーワールドカップ(以下本文において「オリパラ東京大会等」という)期間前後はサイバー攻撃の集中砲火を浴びることが予測されるため、徹底的なリスクの洗い出しと万全の体制整備が必要とされる。

一方、政府においてサイバーセキュリティ対策を担うNISCはオリパラ東京大会等組織委員会に対する指揮権を持たず、統合的なサイバーセキュリティ対策を担わせることは困難である。

また、セキュリティ対策においてはサイバーとリアルを統合した体制を整備することが肝要である。

このため、オリパラ東京大会等のセキュリティ対策を一元的に所掌する司令塔を設置する必要がある。

また、その司令塔の下で、誰がいつまでに何をやるか、そのために必要なリソースが現状不足している場合にはいかに確保するか、といった各組織の基本計画、またそれらを統合する計画を早急に策定する必要がある。

東京23区内に所在する重要サービス事業者においては、オリパラ東京大会等の開催に備えるため、政府のガイドラインに基づき、サイバー攻撃に対するリスク評価を行っているところである。

今後は、各重要サービス事業者がリスク評価を踏まえて講じてきたサイバーセキュリティ対策が十分なものであるかどうかの検証も必要となってくる。

このため、政府は検証作業に必要な予算を十分に確保し、重要サービス事業者の安全性確保に万全を期するべきである。

政府及びオリパラ東京大会等組織委員会等に対しては特にサイバー攻撃等が集中することが想定され、これらの機関においては万全のサイバーセキュリティ対策を講じる必要がある。

かかる観点からは、オリパラ東京大会等期間中に関連業務に従事する者が担当業務及びそれまでの経緯に精通していることは必須となる。

特に中央省庁の人事は概ね2年ごとでの異動が通例となっているが、オリパラ東京大会等開催は間近に迫っていることを踏まえ、大会関連業務に従事する者については今夏の異動以降オリパラ東京大会等終了までの異動を控えるよう、人事に関する配慮を行うべきである。

加えて、任期付職員についても、大会直前に任期切れとなって交代せざるを得ない事態を防ぐため、人事上適切な措置を講じる必要がある。

また、政府において設置を予定している「サイバーセキュリティ対処調整センター」については、極めて重要な組織となることから、インシデント情報の収集、分析、意思決定を担うことができる強力な体制を整備すべきである。

(2)指揮官等の育成・確保

我が国においては、サイバー攻撃に対処しうる指揮官、現場において高度な技術を発揮する人材ともに圧倒的に不足している。

特に、オリパラ東京大会等をサイバー攻撃から守るためには、過去の大会に照らして最低でも10名の指揮官に加え、200名の高度技術者が必要となる。

これから官民挙げて対策を講じていかなければならない中、それを担える人材が不足する現状は危機的と言わざるを得ない。

このため、政府においては、「情報処理安全確保支援士」制度の活用も含め、指揮官及び高度技術者(サイバーセキュリティ技術のみならずリスク分析・マネジメント等にも長けた人材)を育成するための施策をこれまで以上に力強く、早急に推進するとともに、公的機関における高度人材確保のために十分な予算を確保していくべきである。

なお、高度技術者の育成については我が国にはカリキュラムも教員も一部しか存在せず、人材を早急に育成するためには、国内外を問わず実績ある育成プログラムの導入の検討が必要となる。

また、公的機関や重要サービス事業者以外の民間事業者等におけるサイバーセキュリティ対策も重要であり、政府においては税制優遇等の政策的誘導策を検討すべきである。

(3)サイバーセキュリティのための体系的な制度整備

以下の制度的な課題については、これまでにも検討の必要性が指摘されてきたところであるが、オリパラ東京大会等が刻一刻と迫りつつある中、サイバー攻撃をはじめテロ行為に対する万全な対応を図る観点から、改めて対応を加速すべきである。

著作権法改正の必要

ソフトウェアプログラムの脆弱性を早期発見するためにはリバースエンジニアリングが必要となるが、著作権法上その適法性が明確でないため、現状、プログラムに対する解析行為は行うことができない。

プログラムに対するリバースエンジニアリングは、脆弱性の早期発見を通じてサイバーセキュリティ対策にも大いに資するものであり、我が国においても適正利用目的でのリバースエンジニアリングの適法性を早期に明確化すべきである。

不正アクセス禁止法改正の必要

サイバーセキュリティを強化していくためには、サイバー攻撃技術に関する調査・研究が不可欠である。

その際、サイバー攻撃の経路を追跡し、攻撃手法の分析を行う必要があるが、現状は不正アクセス禁止法に違反する行為とみなされる場合がある。

このため、正当な研究目的で行う追跡行為等を可能とするための法整備を行うべきである。

犯罪対策強化の必要

サイバーセキュリティを含め、テロ対策を行う上で、内部からの犯行を防止する視点は欠かすことができない。

この点で、内部人材の信頼性確保は重要インフラ事業者にとって極めて重要な課題となっており、雇用契約において情報漏洩に対する処罰を明記する、採用時の厳格な人物調査を可能とする等の対策が必要である。

なお、犯行の内部性・外部性を問わず、昨今のサイバー関連犯罪が社会に及ぼす影響の甚大性に鑑み、刑事罰の強化についても検討を行う必要がある。

なお、提言では軽く触れることしかきませんでしたが、個々の事業者等におけるサイバーセキュリティ対策の体制整備は極めて重要な課題です。

サイバー攻撃には、ホームページの改ざんやロックしたデータの身代金要求などのように被害が早期に発覚しやすいものもあれば、不正アクセスによる情報流出など、発覚が遅れたり、場合によっては被害に気付かなかったりするようなものもあります。

後者に関しては被害の実態が見えないため、一般的に危機感が希薄となりがちですが、悪意ある者に不正アクセスで入手した情報をもとに競争条件を継続的に歪められ、長い期間をかけて経営危機に陥っていくリスクも指摘されています。

このような被害を未然に防ぐためには、あらゆる組織においてサイバーセキュリティ対策を十分に講じる必要がありますが、現状はそれをリードできる人材がいない上、必ずしもサイバーセキュリティを専門としないIT技術者にそうした役割を担わせている組織も多いのが実態です。

その結果として、サイバー攻撃のリスクを適切に評価できている組織は極めて少なく、社会全体としても十分な対策が講じられているとは言えません。

今後は、官民問わず、サイバーセキュリティ対策をリードできる人材を組織内に置き、あらゆる事態を想定した適切なリスク評価とそれに基づく対策を行う必要があります。

このため、政府においては、事業者等におけるサイバーセキュリティ対策の体制整備を促進すべく、政策的誘導を行っていかなければなりません。


編集部より:この記事は、衆議院議員、鈴木隼人氏(自由民主党、比例東京)のブログ 2017年5月23日の投稿を転載させていただきました。オリジナル原稿をお読みになりたい方は鈴木氏のblogをご覧ください。