このページを印刷する 【第6回】 2014年12⽉1⽇ 齋藤ウィリアム浩幸 [内閣府本府参与、科学技術・IT戦略担当] 「防衛本能の原点」に⽴ち返れ! サイバーセキュリティの基本は「⾝を守るおしえ」にあり 世界各国では⼤⾂クラスが サイバーセキュリティ担当に なるのは当たり前 この11⽉、ドバイでの国際会議にサイバーセキュリティ部門の⽇本代表(内閣府参 与)として出席しました。各国の代表は、FBIや国連、NATO(北太平洋条約機構) の元トップなど、⼤臣クラスのそうそうたるメンバーです。こうした⼈たちの真剣なディ スカッションを⽬の当たりにすると、⽇本の政府や企業のサイバーセキュリティに対する 危機意識の低さ、認識の甘さを改めて感じます。 今やハッカーは世界中に存在し、各国で事件が多発しています。個⼈のハッカーもいれ ば、国際的な組織の関与が疑われるケースもあり、その動機や背景もさまざま。⽶国防衛 総省では「外国政府からのサイバー攻撃は戦争⾏為とみなし、⽶軍による武⼒⾏使も辞さ ない」との声明を発表しています。世界では“カタチを変えた戦争”が横⾏しつつあると いってもよいでしょう。 企業レベルでみても、たとえば過去に⽶国でソニーのプレイステーションのネットワー クにハッカーが不正侵⼊し、個⼈情報が⼤量に流出しました。賠償などを含め1000億円 を超える損害が出れば、経営を揺るがす甚⼤なダメージを受けることにもなり兼ねませ ん。 しかも、ハッカーたちは⼿を替え品を替え攻撃してきます。⽇本では、事件が起こるた びに警察、経産省、総務省、外務省、防衛庁が集まって対策会議を開いていますが、セ キュリティ対策には、国際的な専門家との交流・情報交換、世界各国との協⼒体制の構 築、セキュリティ先進国の事例研究・導⼊などに積極的に取り組むことが不可⽋です。各 国が⼤臣クラスのサイバー担当を置き、国際会議に送り込んでいるのもそうしたワケがあ るからなのです。 担当者が持ち回りの⽇本は、 世界から信用されなくなる⽇が近い!? ⽇本は国内の課題と同じ感覚でサイバーセキュリティ対策を考えているようです。⽇本 の官僚は⼀般に1〜3年で異動を繰り返しますが、担当者が持ち回りのような状態では世 界から信用されなくなるのは⽬に見えています。 サイバーセキュリティには、ITや数学などの⾼度な専門知識のほか、⼼理学や法学な ども絡んできます。担当者がそれらを学んでようやく理解した頃になると異動になってし まい、また新しい担当者が⼀から始める。これでは国際会議に参加しても深い議論や交渉 はできません。他国の担当者からすれば「どうせ、すぐ次の⼈に変わるだろう」「またそ こから説明しなければいけないのか?」となり、いずれ相⼿にされなくなるでしょう。 もちろん、⽇本の担当者だって⼀所懸命がんばっているのですからバッシングするつも りはありません。しかし、前述したようにサイバーセキュリティは「国内だけで対策を講 じるのは無理」という前提に⽴って考えるべきなのです。 世界最強のセキュリティ国家エストニア プログラミングを習うのは⼩学1年生から 今年、この国際会議の議⻑を務めるのは、サイバーセキュリティの分野で国際的なイニ シアティブを発揮しているエストニアのイルヴェス⼤統領でした。じつは、エストニアは 世界で最もサイバーセキュリティが進んでいる国で、彼自⾝もITとサイバーセキュリ ティの専門家です。 エストニアは1991年に旧ソ連から独⽴後、資源も産業も乏しいことから、⾏政・社会 面のITを通じた効率化とIT産業の育成を積極的に進める「IT⽴国」を⽬指しまし た。⽇本ではコンピュータプログラミングを習うのは⼤学からというのが⼀般的ですが、 エストニアでは⼩学1年生から習い始めます。 その結果、今では⾏政も各機関のデータベースが相互にリンクされ、会社設⽴や確定申 告、選挙投票、個⼈情報の閲覧などがネット上で簡単にできるようになっています。たと えば、会社の登記はオンラインで申告したら15分程度で済むとか。あの「スカイプ」を 生み出したのもこの国です。 しかし、IT化はセキュリティのリスクと隣り合わせです。実際、エストニアは2007 年に世界で初めて⼤規模なサイバー攻撃を受け、数時間にわたってインターネットが寸断 されるという⼤事件を経験しました。 想定外の最悪の事態に陥ったはずなのですが、逆にその時の⽴ち直りの早さが⾼く評価 され、エストニアはNATOの研究施設、サイバーディフェンスセンターの本拠地となり ました。イルヴェス⼤統領もサイバーセキュリティを推奨する指導者として世界的に名を 馳せたのです。 ロシアに対する危機感から バックアップデータをロンドンに移す さらに、反政権デモ隊と治安部隊の衝突が拡⼤したウクライナ問題をきっかけにロシア に対する危機感を募らせたエストニアは、バックアップデータをロンドンに移しました。 ⽇本では考えられないことですが、国⺠のデータを丸ごと国外に持ち出したのです。 もしこんな重要なデータが外に漏れたりしたらとんでもないことになります。そこでエ ストニアは、まさに“ウルトラC”ともいえるウラ技を使ったのです。それは、⼤使館の治 外法権を認めるジュネーブ条約をうまく解釈・適用し、バックアップデータを置くデータ センターの⼀角を治外法権にするという⽅法でした。これで他国⺠は⼀切タッチできなく なったというわけです。 世界で⼀番セキュリティに強い国は、こうしたサイバー攻撃やロシアの脅威に鍛えられ て誕生しました。もし再び⼤規模なサイバー攻撃を受けたり、首都タリンで⼤災害が起き たりしても、この国の機能が失われることはないでしょう。 ⽇本⼈の完璧主義が セキュリティ対策の発展をジャマする!? サイバー攻撃やハッキングは、どんなに⼿を尽くしても100%防ぐことは不可能です。 いくら防ごうとしても、ハッカーたちは弱点を探し出し、そこを狙ってくるからです。第 ⼀次世界⼤戦後、ドイツの侵攻を恐れたフランスが国境に築いた「マジノライン」(要塞 線)のように、万全の準備をしたつもりでも破られる時にはあっさり突破されてしまうの です。 先⽇のマイクロソフトの緊急バッチもそうです。私の場合、ウィルス攻撃の危機が迫る とマイクロソフトが特別なアラートで知らせてくれるのですが、あのときは「あと5分で バッチが出るから、すぐに対処してください」という緊迫した内容でした。ウィルスの脅 威は想像をはるかに超えて年々⼤きくなっています。 こうしたことが⽇常茶飯事で起きているのに、⽇本の政府・企業の危機意識は極端に低 く、セキュリティ体制は国際的に見ても不安が⼤きいと私は思いますが、その原因の1つ には、⽇本⼈の特性が影響していると考えます。 ⽇本ではどんな分野であれ、「完璧」を⽬指すことが美徳とされています。たとえば、 電化製品でも完璧と思われるレベルまで改良を重ねに重ね、ようやく発売に至ります。 しかし、サイバーセキュリティに関してはそれでは遅いのです。「あれこれ考える前に まずは実⾏に移す」ことが非常に重要です。ITの技術は⽇々、凄まじいスピードで進化 しているので、完璧を求めていたら⼿遅れになる。また、完璧を求めるあまり、不測の事 態が起きたら対応できないという脆弱性も⽇本は自覚すべきです。 しつこいようですが、セキュリティ対策に完璧はありません。そうした前提に⽴って策 を講じることが重要です。 サイバーセキュリティの世界には、ベストプラクティス(最も効率の良い技法)や チェックリスト、コンプライアンスといった言葉は存在しないと思ったほうがいいでしょ う。常に完璧主義を貫こうとする⽇本⼈はマニュアルやチェックリストが⼤好きですが、 「こうしておけば安⼼」という油断こそ、重⼤な危険をはらんでいるのです。 拾ったアメは舐めないのだから もらったUSBも安易に使うな! 翻って、個⼈レベルではどうやってサイバー攻撃やハッキングから⾝を守ればいいので しょうか。 私は、そのためには「⼈間の防衛本能に忠実になれ!」と言いたい。 誰だって、⽇頃から病気やケガをしないように気をつけています。でも、転ぶときは転 ぶし、カゼをひくときはひくのです。そして、それを悪化させたり死んだりはしたくない から薬を飲んだり病院に⾏ったりします。サイバーセキュリティも似たようなものだと思 うのです。 たとえば、病気にかからないためには、家に帰ったら⼿を洗ったりうがいをする。当た り前ですが、拾ったものを食べたりもしません。 同じように、サイバー攻撃にやられないためには、展⽰会などで配られているUSBメ モリや、飲み屋に置いてあるような充電器は安易に使わないようにしたほうがいい。 というのは、ハッキングに遭うリスクが⼤きいからです。これらを使うのは、拾ったア メ⽟を⼝に⼊れてしまうようなもの。こうした自分を守るために本来備わっている⼈間と してのカン、すなわち基本的な警戒⼼がサイバーセキュリティには必要であると私は感じ ています。 「油断」と「慢⼼」にはくれぐれもご注意を。個⼈であればそれほど⼤きな問題にならな いかもしれませんが、これが企業や組織の活動に悪影響を及ぼすことにでもなれば、 「うっかりしていた…」では済まされないのです。 サイバーセキュリティは 「ITそのもの」だと認識すべき ところで、⽇本の新幹線が時速300キロ超という世界最⾼レベルのスピードを出せるの は、なぜでしょうか。 それは、この速度でも安全に⾛ることができる「ブレーキ」の技術があるからこそで す。これをインターネットに当てはめると、ブレーキに該当するのが「セキュリティ」で す。セキュリティがあるからこそ、インターネットを安⼼して使うことができ、利便性を 拡⼤させることができるわけです。 つまり、サイバーセキュリティはITの付属的なものではなく、“ITそのもの”という ことです。セキュリティを強化すれば、ITの安全性・利便性は⾼まり、ひいては企業の 競争⼒アップにもつながります。 インターネットが電気や⽔道のように生活インフラの⼀部となった今、冒頭に述べたよ うな状況を放っておいたら間違いなく⽇本は世界の中で取り残され、⽇本の産業や企業は グローバル競争を勝ち抜くことはできません。政府や企業の取り組みに対する提言は前段 で申し上げた通りですが、あなた自⾝も、まずはサイバーセキュリティへの意識を持つこ とから始めてください。 (構成/河合起季) DIAMOND,Inc. All Rights Reserved.
© Copyright 2024 Paperzz
