2014年11月、アメリカのソニー・ピクチャーズエンタテインメント(SPE)がサイバー攻撃を受け、米連邦捜査局(FBI)が捜査に乗り出したというニュースが流れた。このニュースの中で、攻撃を仕掛けたのが他国であることからサイバー戦争という言葉を使用するメディアがあった。
サイバー攻撃が判明したのは11月24日。この攻撃で、ハリウッド俳優の社会保険番号などの個人情報や、従業員の給与・住所などの情報、未公開映画の映像など、社内情報が大量流出したという。
アメリカの社会保険番号は、日本が2016年からの導入を予定しているマイナンバー(個人番号)に相当するものである。このようなニュースを聞くにつけ、日本でもマイナンバーに紐付く個人情報/プライバシー情報が流出するリスクは決して低くないと感じる。
マイナンバー制度に関するブログ記事に書いたように、省庁のシステムをいくら堅牢に構築しようが、企業側のシステムから個人情報が流出するリスクというのはそれなりに高いと思われる。米SPEの事件でも企業側のシステムから個人情報が流出している。サイバー戦争というと、SF小説やSF映画、あるいはゲームのような、どこか現実感の乏しいものに感じられる。しかし、例えば米McAfeeは、2015年は「サイバースパイ活動」や、小規模国家やテロ集団による「サイバー戦争」が増加すると予測(警告)している。2020年に東京オリンピック・パラリンピックを控えている日本も決して他人事ではない問題である。
2014年版情報セキュリティ白書によれば、2013年のサイバー犯罪の検挙件数は8,113件に上り、2012年から2年連続で過去最高を記録した。内訳は、オークションを利用した詐欺や著作権法違反等のネットワーク犯罪が6,655件、不正アクセス禁止法違反が980件、コンピュータ・電磁的記録対象犯罪等が478件である。
日本のサイバー犯罪対策、態勢はどのようになっているのだろうか?同じく2014年版情報セキュリティ白書から見てみる。
まず警察庁によるサイバー犯罪対策。
2013年警察庁は「サイバー犯罪対処能力の強化等に向けた緊急プログラム」に係る各施策の取り組み状況を公表した。このプログラムは4項目から構成されている。「対処能力の向上」、「民間事業者等の知見の活用」、「国際連携の推進」、「広報啓発」の4つである。
このうち、対処能力の向上として以下の対策をあげている。
2013年5月、警察庁の情報収集・分析機能や都道府県警察に対する司令塔機能を担う「サイバー攻撃分析センター」を新設した。同センターは2013年4月に13都道府県警察に新設した「サイバー攻撃特別捜査隊」と連携するものである。また、警視庁は2013年7月に「サイバー犯罪特別対処班」を新設した。
2つ目の民間事業者等の知見の活用のなかでは、日本版NCFTAの創設に向けた検討を進めていることが記載されている。
NCFTA(National CyberForensics and Training Alliance)とは、1997年に米国で設立されたサイバー空間の脅威に対処するための産学官の情報共有と協力を促進する枠組みである。
こうしてみると、多くの施策はまだ立ち上げ段階、緒に就いたばかりと思われる。
次に防衛省の対応としては、2014年3月、防衛省はサイバー攻撃に対処する専門部隊である「サイバー防衛隊」を発足したとある。サイバー防衛隊は防衛大臣直轄の90人規模の部隊であるが、24時間態勢でネットワーク監視やサイバー攻撃時の対処を行うものである。
年々増加し、且つ高度化するサイバー犯罪に対して、その防御を支える情報セキュリティ人材が不足しているであろうことは想像に難くない(以下、同じく情報セキュリティ白書より)。
情報セキュリティ人材は約8万人が潜在的に不足していると言われている。また、国内で情報セキュリティに従事する技術者26.5万人のうち、必要なスキルを満たしていると考えられる人材は10.5万人強にとどまり、残りの16万人に対しては何らかの教育やトレーニングを行う必要があるとされている。
このような背景から、経済産業省は2012年度、セキュリティ人材の育成に向けて、既存のスキル標準について、情報セキュリティ人材のあり方や必要なスキル項目の見直しを行った。
また、IPA(独立行政法人情報処理推進機構)ではこれを受け、2013年に共通キャリア・スキルフレームワーク(第1版・追補版)の「情報セキュリティ強化対応CCSF」を公開した。
「情報セキュリティ強化対応CCSF」とは何か? ITスキル標準(ITSS)との関係は?
このあたりはかなり複雑で分かり難い(当方も十分理解できていない)ので、この点はあらためて調査・整理したいと思う。
とりあえCCSFをざっくりと眺めてみたところ、少々気になる点があった。具体的には、タスク「設計段階におけるセキュリティ要件の定義」に対応するスキルである。対応スキルは、「実装すべきセキュリティ要件(障害発生時の復旧時間の許容時間、データ復旧範囲など、障害対応に関する要件を含む)、レベル感、考慮点等を明確にすることができる」と定義されている。
これを見ると、障害対策や災害対策(ディザスタ・リカバリ)、業務継続性に関する要件もセキュリティ要件の範疇であることが分かる。
しかし、この定義には少なからず違和感を覚える。
そこであらためてISOの定義を調べてみると、情報セキュリティは、JIS Q 27002(すなわちISO/IEC 27002)によって、情報の機密性、完全性、可用性を維持することと定義されている。それら三つの性質の意味は次のとおりである。
①機密性 (confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
②完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること
③可用性 (availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること
これら三つを、英語の頭文字を取って、情報のCIAということもある。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい。
とある。
障害対策や災害対策に関する要件は、ISO/IECの情報セキュリティの定義に従えば「可用性」に含まれると言えなくもない。(但し、定義の文面からは、「アクセスを認められた者が」に重きが置かれているように読める)
一方、同じIPAが管理・提供している「非機能要求グレード」によれば「可用性」と「セキュリティ」は、大項目レベルで分かれている。
即ち、耐障害性や災害対策、継続性は「可用性」の範疇であって、「セキュリティ」の範疇ではないのである。同じIPAの資料の中で整合性がとれていないように見える。(出自が異なるので致し方ない面はあるのだが)このあたりが違和感を覚える要因かもしれない。
少々話が逸れてしまったが、東京オリンピック・パラリンピックを控えている日本にとって、サイバー攻撃、サイバー犯罪への対応準備と、情報セキュリティ人材の育成・強化は喫緊の課題と言えそうだ。 |