[特別インタビュー]
総務省サイバーセキュリティ統括官 竹内芳明様
IoTへのサイバー攻撃を防ぐ取り組みを急ぐ
5G時代もWi-Fiの役割はますます高まる
昨年、総務省に、新たに「サイバーセキュリティ統括官室」が設置されました。
竹内統括官に、総務省のセキュリティ政策と、現在、取り組んでいる課題について、お尋ねしました。
また、5G時代に果たすWi-FiとWi-Bizの役割と期待もお聞きしました。
地域活性化の取り組みにセキュリティ対策は不可欠
――総務省はセキュリティ政策に積極的に取り組んでいますが、どういう狙いなのでしょうか。
竹内 ICT利用の進展に伴って、セキュリティの重要性が高まっている。そして、サイバー攻撃が巧妙化しており、しっかりした体制で政策を遂行していく必要が生じている、そういうことが背景にあります。
これに加えて、限界まで進んだ東京一極集中が孕むリスク、地方の疲弊、多発する災害などの地方の課題を解決していく必要があります。このためには、Society5.0を支える技術を最大限活用し、就業の場の確保、担い手の確保、生活サービスの確保を図り、持続可能な社会を実現していく必要があります。昨年12月には総務省に、「地域力強化戦略本部」が設置され、ベストプラクティスの共有など首長の皆様との双方向のやりとりもスタートしました。地域においてこうした取組を実現していく際にセキュリティの確保が不可欠です。
――各自治体の首長に対する地域活性化のサポート政策ですね。
竹内 地域がこのままいくと立ち行かない限界集落といわれるようなところでも、地域課題を解決して少子高齢化に立ち向かっていこうとすると、IoT、5G、AI、Wi-Fiを含めて、最先端の技術を地域で効率的に導入して、課題解決とか雇用につなげていくことが重要です。
IoT、5Gなどを活用したインフラを整備し、信頼できるデータを集めて、これをビッグデータとして処理し、AIの力も借りながら分析をして、いろいろな課題解決をしていくことは、ますます大事になってきています。
その際にサイバーセキュリティがきちんと担保されていないと、なりすましであったり情報が盗まれたり改ざんされる恐れがあります。そういう不安があると利用が進まないし、導入したけど、うまくいかなかったということにつながりかねないわけです。こういう取り組みを進めていく上で、1つの基盤としてサイバーセキュリティをきちんと対策を打っていくというのが重要だということです。
特に来年は「東京オリンピック・パラリンピック大会」がありますし、今年は「G20」もあります。6年後には大阪・関西で「万博」もあるということで、こういう国際的に大きなイベントがある場合には、サイバー攻撃者に狙われやすいというのも過去の歴史が教えるところです。より一層やれることを一つ一つきちんとやっていくことが大事になっていると考えています。
――地域活性化にICTを活用し成果をあげるためにも、サイバーセキュリティが重要になるとの考えですね。
竹内 そうです。地域の課題解決をするためにICT利活用を進める際にサイバーセキュリティの対策を考慮せずに進めると、サイバー攻撃のリスクを増大させることになります。
地域のためにも、また大きなイベントが続くので日本全体でやっていかないといけない。衛生学によくたとえられますけれど、1人がインフルエンザにかかると蔓延していくのと同様です。攻撃者は弱いところを狙うので、サイバー対策をサボっていて自分が被害を受けるだけではなくて、関係者全体、日本全体にマイナスの効果をもたらしてしまいます。その意味では、一定程度のレベルを保っていかないと、地域全体、社会全体がマイナスの損害が及びやすいということに目配りをして、いろいろな対策を打っていかなければいけないと思います。
昔のサイバー攻撃と違って、最近は巧妙で悪質な攻撃が増えています。昔のように自己顕示欲とか見せしめとか、限られた攻撃ではなくて、今は、国家組織も関与して大規模で、金銭目的あるいは産業秘密を盗み出したり、軍事攻撃に代わるような、相手国に混乱をもたらすような攻撃というものも出てきています。組織化・巧妙化する攻撃に対して、弱いところをいかになくしていくか、トータルで対応していく必要があると思っています。
――情報通信のセキュリティが軸になるわけですね。
竹内 情報通信システムは、当然ながら金融、電力、ガス、交通、空港などいろいろな重要インフラ分野で活用されていますから、その基盤がやられると、結果として他も使えなくなってしまいます。これまでは、そうした重要インフラ分野は比較的クローズドなネットワーク運用をしてきたので大丈夫だという思い込みがあって対策が考えられてきたのですが、最近ではクローズドシステムにもオープン系の技術・システムが活用されるようになっており、センサーデータの収集、ソフトウエアのバージョンアップ、保守メンテナンス等の作業もあることから、リスクは決して低くはありません。
――もう閉域網だから安全という時代ではないですね。
竹内 閉域網で運用していると思っていても、実は情報システムの顧客系や情報提供系のものと運用上は連動していたりしますので、きちんとリスク・アセスメントをして必要な対策を行うことが必要になっています。最近は、侵入テストといいますけれども、実際に一定の技術を持った人が企業のシステムに侵入できるかテストを実施し、ここは問題があるということを、きちんと指摘をして、それを1個1個つぶしていくということが行われるようになってきています。
IoTへの攻撃を防ぐ取り組み
――国としても、サイバーセキュリティを戦略的に重要視するようになっていますね。
竹内 昨年7月、3年ぶりに政府全体のサイバーセキュリティ戦略が改定されました。単に企業だけ業界だけではなくてユーザーを含めて、あらゆる組織、人の協力で対策をとっていかないと、サイバー対策というのはなかなか立ち行かないわけです。サービス提供者は漠然とした対策をするのではなくて、重要なサービスを維持するために、ミッション・アシュアランス(任務保証)という考え方を入れて、きちんとしたサービス維持のための対策を明確にするということを明らかにしています。
――日本では、セキュリティ対策はコストなので仕方なくやるという考え方が強いですね。
竹内 これまでは「コスト」と考える経営者の方が多かったのですが、これからはむしろ「投資」だと考える必要があります。複数年にまたがる会社の戦略的な投資の中に位置付けて、しっかりやっていく必要があるということが明確に打ち出されております。
「サイバーセキュリティ戦略本部」は官房長官をヘッドに、関係閣僚、民間有識者7名がメンバーで戦略を策定しております。全体の取りまとめはNISCが行っています。
これを受けて、総務省で重要と考えている取り組みが2つあります。
1つはIoTです。IoTはもともと低機能、低消費電力、低コストということで、たとえば観光地や工場や街角にウェブカメラが手軽に設置されていますが、もともとセキュリティ機能を持たなかったのがほとんどです。パスワードを意識して変えていくということも必ずしもやられてない。そこで、ここが乗っ取られて踏み台になってDDoS攻撃を仕掛けられるというおそれが生じています。
実際に2016年10月にMiraiというマルウェアが大量のIoT機器に感染して、トータル10万台を超えるIoT機器が乗っ取られました。これを使って攻撃者は米国のDyn社のDNSサーバに対してDDoS攻撃を一斉に仕掛けて、大量のパケットをトータルで1.2Tbpsを送り付けました。これはDyn社のDNSサーバの処理能力をはるかに超えてしまいました。
DNSサービスが使えなくなったということで、Amazon、Netflix、Twitter、Wall Street Journalなどへの接続ができなくなる、ということが起きています。
今後、我が国では、東京オリンピックパラリンピック大会を開催することから、例えば開会式前後を狙った大会運営に係る設備や交通機関あるいは電力関係に対する攻撃というものが仮に仕掛けられるおそれを考えれば、日本国内のIoTが乗っ取られない対策を速やかに実施する必要があります。
――確かに、IoTは「弱い環」になってしまいますね。どういう取り組みですか。
竹内 日本でIoTに対する攻撃がどれぐらい来ているか、NICT(情報通信研究機構)でダークネットで、実際に使ってない30万アドレスで常時観測をしています。2015年から2017年にかけて総攻撃パケット数が2.8倍に増えています。また、同じ期間にIoTを狙った攻撃が5.7倍に達していて、総攻撃パケット数の実に54%はIoT向けであったと報告されています。
パソコンとかスマホとかウェブ向け攻撃よりも、IoTに対する攻撃パケットが圧倒的に多い状況です。そこで、その対策を講じるため、昨年、国会で法律改正が行われました。今後5カ年の時限措置として、NICTがインターネット上のIoT機器のパスワード設定が甘くないかどうか、接続をして調査を行い、パスワード設定の甘い機器の利用者に対してISPから注意喚起を行う予定です。2月下旬から実施します。
この調査は既に導入済みのIoT機器の脆弱性調査を目的に実施するものですが、もう1つの政策として、今後新たに導入するIoT機器についてはデフォルトパスワードの変更を促したり、ファームウェアの更新機能といったセキュリティ機能を持っていることを技術基準として規定ました。平成32年(来年)の4月にこれを施行予定にしています。それ以降に開発・導入する機器については基本的にセキュリティ機能を持っているものを導入して下さいということです。
IPv4グローバルアドレスは、国内で2億ぐらいあります。ただ、組織内部だけで使用する設定になっていたりというものもあるでしょうから外部からID/パスワードを入力できるIoT機器は推定値で数百万とか数十万ぐらいかなと考えています。
地域をサポートしながら人材育成を急ぐ
――もう一つの取り組みとは何ですか。
竹内 人材育成です。我が国はもともとIT/ソフトウェア技術者の多くはベンダーの中におられたということがあって、なかなか利用企業にITスキルを持った人がいない。特にサイバー対策、実践的な攻撃が来たときにどう対処したらいいのか、きちんと対応できる人材があまりいないということがあり、2017年4月から「ナショナルサイバートレーニングセンター」を立ち上げて、人材育成を進めております。
研究機関の最新のサイバー技術を活用できれば有効だということで、NICTに委託して実施しています。現在、3つのメニューで人材育成を進めています。
1つは、国、地方公共団体、重要インフラ事業者に対する実践的演習で1日コース、これはCYDERの名称で年間約3000人、全都道府県で実施しています。現場の実践演習ですから、サイバー担当者が攻撃を受けたときに上司のセキュリティ責任者や社外の協力ベンダーに対して、どこでどう報告をして、どういう対応をしたらいいかを習得できるものです。
2つめは、オリパラの組織委員会の情報システム担当の方々のスキルアップを支援するもので今年度は150名程度、攻撃側と防御側に分かれて演習をしてもらうというようなことをやっています。最終的にはオリパラまでに220人をこのプログラムの中で育成できるようにする予定です。
3つめは、サイバーセキュリティ分野でトップレベルのイノベーターを育成していくものです。25歳以下の尖った若者を対象として。教えるほうも一線級の各メーカーとか、NICTの一線級の人間が、それぞれの人に1年間付きっきりで365日、普段はネットで育成します。一番若い方は10歳。25歳以下なので、大学院や学生あるいは高専とか小学生もいます。去年、初めて実施したのですが、1年でものすごく伸びています。
――この人材育成プログラムのポイントは何ですか。
竹内 この3つのメニューをきっちりやっていこうと思っていますが、課題は、大企業はIT運用部門もいればセキュリティ対策部門もあって人もたくさんいるから研修もできるし、ちゃんとスキルのある人の採用もできます。問題は地方とか中小企業、そして地方自治体です。そこはなかなかそうもいかない。
実際に、地方自治体に参加を呼びかけると県とか政令都市のからはほぼ参加されています。しかし、小さい町とか村になると参加率ががくんと落ちています。
そこで、タスクフォースの下にワーキンググループをつくって、地域の人材育成をどうするかというのを議論しています。1つのアプローチは、現在は県庁所在地で研修を開催していますが、時間と場所をフレキシブルにして対象者が集まりやすい場所・日程で開催する、あるいはオンラインだけでできる実践メニューを作れたらいいじゃないか、といった意見が出されています。
もう1つは、民間企業あるいは地域の中核都市の人が兼務というか支援するような形で相互バックアップをするような体制を地域の中で構築地域の実情に応じて、いろいろなやり方があると思うのですが、是非、実践的に効果のあがるようにしていきたいと考えております。
サイバー人材は質量ともに足りなくて、経産省の試算だと16万人ぐらい足りないという状況です。オリパラのときには19万人足りないといわれていますので、我々も取り組みを急ぎたいと思っています。
いかにセキュリティ意識を高めるか
――企業には、セキュリティをやってもそれで儲かるわけではない、コストを食うという考えがありますね。
竹内 確かに、そうです。企業から見ると、恒常的にちゃんとした処遇でずっと張り付けなきゃいけないのか、あるいは外部のセキュリティベンダーにほとんど委ねればいいのではないかという発想もあります。最近は、サイバー保険というものもありますから、いろいろ組み合わせて、社員としてどういうスキルの人をどの程度配置し、セキュリティ保険あるいはセキュリティベンダーにどの程度異存するのか、会社にとっての最適解をきちんと作る必要があると思います。最近は保険会社自身が、こうしたコンサルティングも含めて、サポートを行っています。
あなたの会社のセキュリティリスクを調査したら、こういう状況です、この辺りが弱いですよと指摘し、対策としてこういう選択肢がありますよということを具体的に提示していくのは有効な方法だと思います。
――その意識変革のところを、国として政府としてどう具体的に進めるかですね。
竹内 1つは、情報公開の仕組みを変えていくということだと思っていて、サイバー対策をちゃんとやっていることを有価証券報告書とか、投資家に向けて報告することです。当社はここまでやっているということを、オープンにしていくことです。投資家から見ると、それは企業の取組の判断材料になります。
調べてみると、多くの経営者は同業他社、同業の同じ規模の社と「横並びでいいよ」という方が7割以上おられますが、2割ぐらいの会社は同業他社よりも「少し上をいきたい」という考えのようです。やはり投資家に対するきちんとした説明、CSRの一環とか、会社のブランド価値を向上させたいという意識が強いです。そこで、ベストプラクティスを明示していきたいと思います。研究会で検討していただいていますが、その雛形を作る方向で議論が進められています。
もう1つは、国際対応ですが、人材育成については日本と経済的結び付きの強いASEANの人材育成を支援していくことが重要です。総務省の協力により、昨年9月、タイに「ASEAN Japanサイバーセキュリティ能力構築センター(AJCCBC)」が立ち上がりました。4年間で650人程度を育成する計画です。こうした動きと連動して、日本のいろいろ得意なソリューションを、サイバー周りのビジネスを展開していくということにもつなげられるんじゃないかと思います。
あとは、電子署名とかタイムスタンプとか、本人確認だったり情報内容の信頼性を確保する仕組みを国として全体の制度の仕組み、制度設計について、研究会で議論を進めています。
Wi-Fiセキュリティの取り組み
――Wi-Fiセキュリティについても、この間、総務省として取り組みを進めていますね。
竹内 もともとWi-Fiの提供者向け、それからユーザー向けに、Wi-Fiはどういうふうに使えるけど、どういうところに注意してくださいというパンフレットは以前から作成していまして、バージョンアップしながら今でもメンテナンスをやっております。
便利だからといって暗号化されてないアクセスポイントを使った場合には情報の窃取をされるリスクがあるということを訴えかけてきました。これは「国民のための情報セキュリティサイト」にも掲載をして、お知らせは引き続きやっております。
自治体が観光とか防災対策でアクセスポイントを打ってきていますが、セキュリティ対策をきっちりやっているところもあれば、目配りが行き届いてないものもありますので、2017年から「Secured Wi-Fi」ということで、公衆無線LANのための安全・安心マークという制度の取り組みも行っています。チェック・アンド・バランスですね。
暗号なしのアクセスポイントを使った場合のリスクや留意点を利用者に理解していただくことが重要と考えています。
初期は取りあえずアクセスポイントがなきゃ観光客は来ないぞということでスタートされた地域も多かったと思うのですが、リスクを認識し、問題意識を持ってやりましょうねというお声掛けをしています。
加えて公衆無線LANを利用される方への周知・啓発といいますか、動画で基礎的な知識を学んでいただこうというオンライン教育コンテンツ提供を、3月にドコモのgaccoのプラットフォームの上で実施しています。30代から40代の公衆無線LANを利用している人、あるいは利用したい、知りたい人に向けての、普及啓蒙となります。
Wi-Bizに期待する新たな役割
――この2月でWiBizが発足し6周年となりました。
竹内 Wi-Fiは、当初は2.4GHzで始まって5GHz帯が加わり、今後さらにミリ波帯を含めて高速化とか使いやすくしていくという取り組みが、どんどん広がっていくと思います。その中で、繁華街や駅の待ち合わせ場所などでは多数の運用者により高密度でアクセスポイントが設置され、それぞれが独自に電波を発射して運用していますが、チャネルをつぶしあって非効率ではないかな、という心配もあります。局所的にコーディネーションできば、最大限効率的に使えると思います。
もともとそれぞれが自律的に分散運用するということで、低コストで構築できるというメリットはあったと思うのですが、利用が集中する密度の高いようなところになってくると、相互のやりとりをうまくして、最適化、最大効率化みたいなものを仕組みとして考えていくのも一つの考え方かなと考えています。全体最適化あるいは相互の情報共有がどこかで必要になってくるのかなという気がしています。
それから、最新のシステムが出てくると、認証を取得しない段階で誤って販売・利用される事例も見受けられます。海外の規格のものであっても、届け出れば、短期間であれば持ち込んで使用できるよう、政府としても見直しを検討しています。
総務省もいろいろ柔軟に仕組みの見直しは実施してきていますが、業界関係者から見て、こういう問題もあるとか、具体的な要望があれば、特に我々の側で少し気付かないようなものがあれば、本当に遠慮なく伝えて欲しい。電波の有効利用という観点もあるでしょうし、セキュリティの確保という観点もあるでしょうし、さっきの認証みたいな話もあるでしょう。現時点では必ずしも顕在化してないけれども、今後出てくるだろう課題、あるいは先に考慮して対応しておいたほうがいいような問題というものがあれば、是非、我々にご提示、ご提案をいただいて、一緒に考えていけたらいいかなと考えています。
――Wi-Fiの役割はこれからも大きいですから。
竹内 今後の決め手は「5G」ということで、5Gが実現すれば全てが解決するというような雰囲気も見受けられますが、エリアとかコストの問題とかを考えても、Wi-Fiの役割というのは当分、やはりこれは低下することはないと思います。そろそろ、トライバンドWi-Fiチップが普及して使いやすくなってくるでしょうから、最大限効果を発揮して、LTEあるいは5Gとうまく最大限、相乗効果を出せるようにしていただくのが大事だと思っています。そのための課題があれば、どんどん遠慮なく言っていただいて、一緒に対応していくのが大事かなと思っておりますので、是非、そういった面でのご協力を引き続きお願いしたいと思います。
■Wi-Biz通信(メールマガジン)の登録はこちら