SAAJ近畿支部第170回定例研究会報告 (報告者: 岩崎真明)

会員番号2531 岩崎 真明

1.テーマ  「サイバー空間を取り巻く現状と課題、サーバーセキュリティ政策について」
2.講師    内閣サイバーセキュリティセンター 山下 浩司 氏
3.開催日時  2017年12月16日(土) 15:00~17:00
4.開催場所  SMGアクシア 四ツ橋・近商ビル館 10A
5.講演概要

(1)テーマ

IoT、ビッグデータ、AIをはじめとして、ビジネスにおいてはITの利活用により価値を生むことが期待されているが、一方では、サイバー攻撃事案は日々発生しており、企業においては、リスクマネジメントや人材育成を含めた対応が求められている。本講演では、現状認識として「サイバー空間の変化」を共有化し、その変化が起因となり発現したともいえるリスクの振り返りとして「サーバーセキュリティの個別事案と考え方」を取り上げ、その対策としての「サイバーセキュリティ政策の方向性」について解説いただきました。

(2)「サイバー空間の変化」について

人類発展史の視点からは、狩猟・農耕社会から始まった社会であるが、現在は「情報社会(Society4.0)」の段階にあると考えられるが、今後は「超スマート社会(Society5.0)」という新たな経済社会へと発展していくと見込まれている。この変化の特徴は、ICT活用による「個別最適化」からサイバー空間と現実空間の融合による「社会全体の最適化(全体最適)」にある。これを「変化」と「テクノロジー」の視点から整理すると「変化:つながる」と「テクノロジー:Iot」、「知能化する」と「AI、ビッグデータ」、「広がる」と「ネットワーク技術の高度化(5G、SDN、ブロックチェーン等)」になると考える。特に「つながる」というところでは、いろいろな物・いろいろな産業が「つながる」ことで新たな価値が創造される期待感があるが、その反面では「弱いところに引きずられる」というリスクがあり、この脆弱性を攻撃されることで発現するリスクの影響度を想定した対策が必要となる。

(3)「サーバーセキュリティの個別事案と考え方」について

最近発生したセキュリティ事故事案の振り返りと、どこに事故発生の原因があったのかについて解説いただきました。原因としては、「繋げる必要ない機器を不用意に外のネットワークと繋げてしまった」「パスワード設定のルールが緩かった」などであったことから、どれも「基本的な対策ができていなかった」ということが原因であったとのことでした。では、何をすればよいのかという事については、経済産業省より発信されている「サイバーセキュリティ経営ガイドライン」の中で「サイバーセキュリティ経営の3原則」「サイバーセキュリティ経営の重要10項目」があり、特に「検知・復旧」について意識した内容となっている。

(4)「サイバーセキュリティ政策の方向性」について

取り組みの基本姿勢は、「自助:まずは企業自らが主体的に取り組む」「共助:一組織では限界があるので業界を越えて連携する」「公助:政府からの情報提供と支援」「国際連携:国境を越えた連携」である。この基本姿勢の中で、まずは企業の社会的責任として主体的に対策を講じる必要があると考えるが、完璧な防御は不可能であるので、事業継続の観点からも、攻撃の早期検知や被害拡大の阻止、対応復旧として「経営>事業>業務>システム>IT」の中で「何を、どこまで守るのか」という視点からの対策を講じておくことが重要である。例えば、図書館のHPがサイバー攻撃により、閲覧不可能となり、インターネット経由で「予約する。検索する。」というシステム機能が使えなくなり不便さを訴える声が上がったとしても、「図書の貸し出し業務」そのもののリアルな基本業務については人手による運営が一時的に継続出来る、すなわち、図書館まで足を運べば「本を選んで予約する。貸し出しを受ける。」という機能は継続されるような仕組にしておくことが必要である。こうした「自助」への取り組みを基本としつつ、「共助・公助」としては、サイバー攻撃に備えるため、情報収集・共有・活用を率先して行うことが重要であるとの認識から、共有・活用する情報の5W1H(目的、類型、共有の場、階層、タイミング、手法等)の整理・標準化について、企業・業界・官民・国境を越えて迅速な情報を共有する仕組み作りが動き出している。総じて言うならば、「超スマート社会(Society5.0)」実現に向けて、人材、情報、技術に重点的に資金を投入し、その資金が効率的に循環する仕掛けや制度を作ることが重要である。

6.所感

本講演と合わせて、日本経済団体連合会からの「Society 5.0 実現に向けたサイバーセキュリティの強化を求める」という提言に目を通しました。そこには「完璧な防御は不可能であり、サイバー攻撃を自然災害と同様に避けられないリスクと捉えるべきである」と記されていました。サイバー空間による新たな価値を享受するなら、企業としても、個人としても、それ相応なリスクが伴うことを覚悟する必要があると考えるので、サイバーセキュリティに対する意識を国全体で向上させることは本当に重要なことであると考えます。その意味では、「我々個人」としても「自助とは何か。日常生活の中で意識できることは何か。」を真剣に考えて行動すべき時代に入っていくとするなら、「大人として何を学び行動するのか、子供達としては学校教育の中で何を学んでいくのか」について、まさに政府としての「公助」が効率的に循環する仕掛けや制度が必要になると考えますが、その反面では、制度であるが故に、そこに潜むリスクにも目を向けておくことも大切と考えますので、世の中は益々、便利で難しい時代に進化していくのだということを改めて認識できた講演でした。

以上