総務省、日本が早急に取り組むべきサイバーセキュリティ対策を発表 近年のインシデントを踏まえ

[谷井将人，ITmedia]

　総務省は1月28日、東京五輪・パラリンピックを前に早急に取り組むべきサイバーセキュリティ対策について緊急提言「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項」を発表した。提言には「IoT機器のセキュリティ調査を行う」「問題発生後の報告体制を強化する」など5点の対策が盛り込まれた。

　総務省が挙げた対策は（1）IoT機器のセキュリティ対策、（2）地方公共団体向けのサイバーセキュリティ演習、（3）情報共有体制の強化、（4）公衆無線LANのセキュリティ対策、（5）法令やガイドラインの策定、改定。

　IoT機器については、国内の重要施設に設置された機器が攻撃されやすい状態にないか調査し、問題があれば管理者に注意喚起、対策を促すとしている。情報通信研究機構（NICT）の調査によれば、IoT機器の管理画面のトップページに、管理事業者名や機器の用途が表示され、攻撃を受けやすいものが一定数あるという。

　地方公共団体に向けては、実際にインシデントが起きたときに対応できる人材を育成するため、実践的サイバー防御演習の早期実施や、地方でも受けられるオンライン演習の環境整備を行う。現状、国の行政機関のほとんどは演習を受けているが、地方公共団体の受講率は50％程度にとどまっている。

　サイバー攻撃を受けた際の情報共有については、個人情報などの流出が疑われる時点で、速やかに情報を公開することが望ましいとしている。同様の被害が拡大しないよう、攻撃に関する情報共有も求める。

　同様の内容は、梶山弘志経済産業相の1月21日の定例会見でも触れられた。梶山大臣は、三菱電機に対する不正アクセスが原因で起きた情報流出について、「一般論として、個人情報などの流出が疑われる時点で、影響を受ける方々との関係なども踏まえつつ、速やかに公表することも検討すべきであったと思っている」と述べた。

三菱電機の報道発表は、最初に問題を確認してから半年以上後に行われた。

　公衆無線LANについては、サービス提供事業者に、セキュリティ対策の状況や、「通信経路が暗号化されていない状況でID・パスワードを入力しない」など利用者がとるべき対策について周知することを求めている。

　法令やガイドラインの策定、改定については、サイバーセキュリティ対策の実効性を確保するため、法令やガイドラインなど制度的な枠組みを設け、必要に応じて見直していく必要があるとしている。現状でも電気通信事業法を始め、電気通信分野放送分野などでさまざまな基準やガイドラインはあるが、対応の強化を呼びかける。

　提言では、神奈川県庁が使っていたファイルサーバのHDDが転売され、個人情報を含むデータが流出した問題や、日本電子計算のIaaSで発生した障害が原因で、全国約50の自治体などで税務処理や戸籍管理のシステムが使えない状態になった問題にも触れ、サイバーセキュリティ対策の重要性を強調。今後も、引き続き中期的な課題や必要な方策について検討を行うとしている。

神奈川県庁のHDD流出元となったブロードリンクの榊彰一社長（左）と、自治体IaaS障害が起きた日本電子計算の山田英司社長（右）