サイバーセキュリティ基本法改正に基づく
サイバーセキュリティ対策
サイバー攻撃の脅威はグローバルに拡大し被害の深刻さが増しています。インターネットの急速な普及などで日本でもIT化が進展する中で、不正アクセスやコンピュータウィルスなど情報セキュリティにかかわる問題への危機感が高まるのに加え、来る2020年の東京オリンピック・パラリンピック競技大会の開催に向けた体制の整備や、大会以降のサイバーセキュリティ強化が必要となっています。そんな中、『サイバーセキュリティ基本法』の改正が今年4月に施行されました。今回は世界的に急増するサイバー攻撃における国内の対策事情を軸に、必要な対策等を解説していきたいと思います。
2020年に向けたサイバーセキュリティ基本法改正
『サイバーセキュリティ基本法』とはサイバーセキュリティ対策の根幹をなす法律であり、世界規模化しているサイバーセキュリティ対策を推進していくために制定されました。2014年11月26日に可決され、2015年01月09日に施行されています。そして2018年12月5日、『改正サイバーセキュリティ基本法」が参議院本会議で可決され、成立しました。今回の改正は2020年東京オリンピックに向けて整備されたものとなります。改正案は、2019年4月に施行されています。
サイバーセキュリティ基本法改正の経緯
サイバーセキュリティ基本法が改正された背景には、2015年に発生した日本年金機構の情報漏えい問題があります。この事件は、不審なメールによる標的型攻撃によって、125万件もの年金に関する個人情報が流出したというものです。そのため本改正では第13条に規定されている、「国が行う不正な通信の監視、監査、原因究明調査など」の対象範囲が拡大されました。通信の監視、監査、原因究明調査などの対象範囲に、独立行政法人とサイバーセキュリティ戦略本部が指定した特殊法人・認可法人も含まれるようになりました。
もうひとつの背景にオリンピックを狙ったサイバーテロへの警戒があります。2018年の平昌オリンピックでは、開会式の直前にシステム障害が発生し、大会のウェブサイトがダウンしました。また、各国メディアが詰めるプレスセンターのルーターやWi-Fiも接続障害が発生しました。これらは「Olympic Destroyer」と呼ばれるマルウェアによるサイバー攻撃によって引き起こされたことが判明しています。この攻撃ではテレビ局や報道陣も影響を受けました。このマルウェアは、ドーピング問題を受けて、国際オリンピック委員会によってロシアのアスリートの出場が禁じられたり、ロシア国家として参加できず、個人資格での参加を強いられたりしたことに対する報復として、ロシアのハッカーによって作成され、展開されたものだとする見方があります。リオやロンドンオリンピックでも、多くのサイバー攻撃が発生したことを踏まえ、日本も2020年の東京オリンピック開催を控え、サイバーテロ対策を強化する必要性から2018年の改正へとつながりました。
官民一体となった改正案概要
https://www.nisc.go.jp/index.html
本改正案では『内閣サイバーセキュリティセンター(NISC)』の権限を強化し、それまでは中央省庁に限られていた、原因究明調査対象を独立行政法人や特殊法人にまで拡大する規定を盛り込んでいます。併せて一部事務を情報処理推進機構(IPA)へ委託するようにしています。官民が連携してサイバーセキュリティ対策を講じることができるよう、新たに『サイバーセキュリティ協議会』を発足しています。同協議会は、行政機関や自治体をはじめ、重要インフラ事業者、セキュリティ事業者をはじめとするサイバー関連事業者、教育研究機関、有識者などで構成されるもので、官民が相互に連携して情報共有を図り、必要な対策について協議を行います。こうした官民一体となって取組むサイバーセキュリティ対策の実行は世界的に初の試みとされています。
求められるセキュリティ対策
ネットワークセキュリティ対策
企業のセキュリティ対策において最初に検討されることが多いのがインターネットと社内ネットワークの境界で行う対策です。代表的な対策にはファイアウォールやIPSが挙げられます。IPアドレスやポート番号などの情報から通信の許可や拒否を判断し制御します。時代の変遷の中で新技術の登場や新たな攻撃手法の流行に伴い、ファイアウォールをすり抜ける脅威が現れました。例えば、ファイアウォールで許可した通信の中で送り込まれるマルウェアや脆弱性をついた通信が挙げられます。今後の対策では、マルウェアファイルの特徴を抽出したシグネチャを用いてマルウェアを検知する新たなネットワークセキュリティの導入が求められています。IPS(侵入防御システム)やアプリケーション可視化によりそうした不審な通信を遮断します。
また暗号化されてしまった通信の中身がネットワーク上のセキュリティ機器でも検査できないという問題が発生してしまう懸念があります。暗号化されているため、ネットワーク上のセキュリティ製品からも通信の中身が見えず検査が不能になります。そうした問題にはSSL通信を検査・制御できるセキュリティ製品の導入が実用となります。
当初のコンピュータウィルスは、PCの画面に勝手なメッセージを表示したりデータを破壊したりする愉快犯的なものが主流でした。しかし現在では、個人情報/機密情報を窃取するもの(スパイウェア)、データを暗号化し業務妨害をすることでその解除を条件に身代金を要求するもの(ランサムウェア)など、金銭的利益を目的とする不正プログラムが大半です。こういった悪意あるウイルスからPCを守るためには、サイバーセキュリティ対策が不可欠となっています。
PC上で悪意のあるプログラムを実行するマルウェアやウイルスはメールや無料アプリ等を介して感染します。不審なメールは開かない、アプリのダウンロードやインストールを行う際には配信元のチェックをする等日頃から注意する必要があります。加えてOSやシステムを最新にする、セキュリティソフトやアプリを入れるといった対策が必要となります。
セキュリティホールとは、コンピュータ上で動作するOSやソフトウェアにおけるプログラムの不具合や設計上のミスなどが原因となったセキュリティ上の欠陥のことです。放っておくとそこからウイルスに感染することもあり重要な障害や個人情報流出といったインシデントを引き起こしてしまいます。ソフトウェアに元からあるバグがセキュリティホールであり、見つかった場合にはメーカーが修正プログラムを提供するのが一般的です。こまめにアップデートを心がける必要があります。
中には『ゼロデイ攻撃』と呼ばれる悪質な攻撃もあります。セキュリティホールが発見されたことが公表されてからメーカーが修正プログラムを配布するまでの間、ゼロデイ、すなわち間髪を置かずに攻撃する脅威を指します。こうした脅威から身を守るには、脆弱性の情報について公表しているポータルサイトを定期的にチェックするなど、情報収集にも心がけましょう。メーカーが修正プログラムを提供するまでどのような行動を取れば良いか、いち早く対策を練ることが可能となります。
クラウドセキュリティ対策
クラウドサービスの利用が増加してきていますが、クラウドサービスを導入するにあたってもっとも大きな障壁となるのは、情報漏えいとデータの喪失です。前回の記事でもお伝えしましたが、クラウドセキュリティ対策では通信データを暗号化することと厳格なアクセス制御が重要になります。
クラウドサービスの認証では多くの場合、ID/パスワードが用いられます。しかし、ウイルス感染などによって、利用しているクラウドサービスのID/パスワードが流出した場合、第三者による不正アクセスによってクラウドサービス上に保管している情報が漏えいする可能性があります。また、複数のクラウドサービスを利用する場合、クラウドサービスごとにID/パスワードの文字列を覚える煩わしさが引き起こす「パスワードの使い回し」は攻撃者に付け入るすきを与える可能性を高めます。そのためワンタイム認証や自宅や私物端末からのアクセスを禁止する「アクセス制御」といったポリシー制定が必要となってきます。
またインターネット上での通信では常に情報漏えいや改ざんのリスクがあります。この問題を回避するために、通信データは暗号化するのが基本です。通信データだけなくお客様の個人情報や機密情報などを暗号化し、万が一の情報漏えいに備える必要があります。
さいごに
2020年の東京オリンピックに向けてサイバー攻撃のターゲットは日本市場に向いています。サイバーセキュリティ対策が不完全なままであると、情報漏えい事故などのリスクが高まってしまいます。これは中小企業、大企業問わず同様にリスクにさらされています。セキュリティ対策によってリスクを回避し、被害を最小限に抑えることが急務となっています。
