社会インフラと事業継続性を守る「レジリエントセキュリティ」を提言~ リントン・ウェルズ博士 ×NISC三角審議官×PwC星澤

2018-04-20

対談者:

内閣官房 内閣サイバーセキュリティセンター(NISC)
副センター長/内閣審議官 三角 育生氏(写真左)

ジョージ・メイソン大学 C4I&サイバーセンター
上級顧問 リントン・ウェルズ博士(写真中央)

PwCサイバーサービス パートナー 星澤 裕二(写真右)

2018年3月、アメリカの防衛とサイバーセキュリティ関連業務を歴任したリントン・ウェルズ博士が来日し、内閣官房内閣サイバーセキュリティセンター(NISC) 副センター長/内閣審議官 三角 育生氏、PwCサイバーサービス パートナーの星澤 裕二と対談し、日本を脅かすサイバー攻撃のリスクや求められる指針、課題などについて意見交換が行われました。

日本を取り巻くさまざまな脅威とその対策

星澤 世界に蔓延しているさまざまな脅威に対抗するため、国や企業が取り組むべき課題や対策の考え方として「復元力、回復力、弾力」を意味する「レジリエント」という言葉があります。ウェルズ博士は以前から「レジリエント」という考え方を広く提唱されています。「レジリエント」についてお話しいただけますか?

ウェルズ博士 レジリエントとは、あらゆる企業や組織が破壊的な状況でも適応、成長する能力です。レジリエントは能力を意味し、戦略やプログラム、手続きではありません。サイバーセキュリティにおいて、レジリエントは影響を受けた後に回復し、安全な状態を維持していくものと考えてください。

米海軍は、海軍システムに対するサイバー脅威の深刻化を受けて、2014年から2015年にかけて「Task Force Cyber Awakening(TFCA)」という仕組みを作りました。ここにもレジリエントの考え方を取り入れられており、海軍全体のサイバーセキュリティリスクを全体的に把握し、プラットフォームやシステムを細分化して、サイバー攻撃に耐えることを目指しています。もはや、サイバー攻撃はミサイルや戦艦と同列に扱われるほど重要視されています。そしてレジリエントの実現には、軍事演習と同じように、サイバー攻撃に対するトレーニングや演習が必要となっています。

星澤 民間でも軍事レベルでもサイバーセキュリティにおけるレジリエントが重要視されているのですね。

日本を取り巻く様々な脅威とその対策

電磁波攻撃などの新たなサイバー危機に対する施策

星澤 日本でも「電磁パルス攻撃(EMP攻撃)」の脅威が現実味を帯びはじめ、政府や企業はEMP攻撃の対策が急務になっています。EMP攻撃を受けると、サイバーの世界でも甚大な被害が発生します。内閣サイバーセキュリティセンター(NISC)では、何か防御策や被害を軽減する取り組みを進めていますか?

三角氏 EMP攻撃は軍事行動に伴うものなので、NISCだけでは対策を進めることはできません。関係省庁が集まって議論を進めており、NISCは情報の完全性・可用性などに関わる技術的な立場で議論に参加しています。攻撃を受けたときに守る対象によって、アプローチや対策が異なります。完全性が重要な情報を守るなどの観点で政府機関を対象とする指針はNISCが基準を作ります。重要インフラのガイドラインを示すことになります。

ウェルズ博士 EMP攻撃では重要インフラに多大な影響が発生し、一般の人の生活を脅かします。経済も大きな影響を受けます。そういったことを考慮した危機管理が重要です。

三角氏 国民の皆様を守るための危機管理には、「この場合は、この対策が必要だ」という指針が必要です。なぜそれが必要なのか、国民の皆様に説明しなければいけません。例えば「攻撃を受けたとき、どのデータを最優先で保護すべきか、そのために必要なものは何か」など、必要な対策や設備、コストの指針を示すことが求められます。

ウェルズ博士 送電網の10%を守ることができたら、送電能力の60%は確保できることが、米国の研究でわかりました。全てを守るためのコストは甚大になるので、100%保護することを目的にするのは避けるべきです。10%を守ることを前提として取り組めば、大きなコストをかけずに対策が可能です。

三角氏 確かにそのような考え方は重要です。国の重要なデータの保護については、さまざまな方法を検討・議論しています。完全性が求められるデータなどは、コンテナを使ったポータブルデータセンターのようなものを活用し、低いコストで保護できるかもしれず、こういったことなどを検討しています。

レジリエントが広げるセキュリティの取り組み

星澤 サイバーセキュリティやレジリエントについて話を深めたいと思います。政府レベルでレジリエントな取り組みがあれば教えていただけますか。

ウェルズ博士 多くの企業の経営層の方から「レジリエント」というのはどういう意味ですか、と聞かれることがあります。繰り返しになりますが、レジリエントは能力であって、プログラムや戦略ではありません。

三角氏 重要インフラの情報セキュリティ対策に係る第4次行動計画」では、レジリエントの持つ意味が盛り込まれています。例えばコンティンジェンシ(contingency:不測の事態を想定して立てる計画、対処法)プランの策定や、事業継続・復旧などが記載されています。サイバーだけではなく、物理的なことも考慮する必要があり、物理的な警備・保安とサイバーセキュリティの融合が課題になります。

星澤 警備・保安とサイバーセキュリティの考え方や取り組みは、かなり異なる要素が多いと思います。両者をつなぐのは難しい取り組みではないでしょうか。

三角氏 サイバーセキュリティとOT(Operation Technology:運用技術)、警備・保安、それぞれの考え方や安全に関する文化などが大きく違うこと、さらに、その間の議論をどうつなぐかは難しい部分です。近づけるように、議論を重ねています。

ウェルズ博士 三角氏がおっしゃるように、サイバーとOTの世界は違います。しかし脆弱な部分はサイバーもOTも関連が深いものです。

三角氏 何か発生したときに原因を究明し、被害を抑えた上で復活させるというプロセスは、どちらも同じです。これまで、物理的な保安体制は現場で行うという概念が日本では多くありました。今後、マネジメントレベルに向けて保安や対応の重要性を訴えていくことが重要です。

ウェルズ博士 最も重要なのがリーダーシップです。組織の文化を形成するのがマネジメントであって、テクノロジー主体の考え方ではありません。組織とテクノロジー、人、プロセス、それらを一つのものとして捉え、脆弱な部分を無くすための取り組みが必要です。

三角氏 本社や経営層などのマネジメントが、現場の細かいレベルまで口を出すと弊害が発生しやすいものです。現場の判断で進めるべきことを、本社や経営層がどうサポートすべきか、そのバランスが重要だと思います。

レジリエントの思想は社会インフラを守る

ウェルズ博士 重要インフラは社会生活を支えています。国民の生活を守るために、政府や企業による防衛は重要です。被害を受けても、「回復力」を意味するレジリエントというコンセプトは全ての分野に適応できる考え方です。

星澤 そうですね。レジリエントの考えかたは、普通の企業の活動でも重視すべきものです。サイバーセキュリティやレジリエントは、プログラムや戦略のみならず、文化や労働力の面でも考えるべきものなのだと思います。本日はありがとうございました。

レジリエントが広げるセキュリティの取り組み

主要メンバー

星澤 裕二

パートナー, PwCサイバーサービス合同会社

Email

最新のサイバーセキュリティ コラム・対談


関連情報

Contact us

Follow us