あらゆるものがインターネット等のネットワークに接続されるIoT/AI時代が到来しています。政府はそれらに対するサイバーセキュリティの確保が、安心安全な国民生活や社会経済活動確保の観点から極めて重要な課題であると位置付けています。その一環として、総務省ではその管轄のもとに「サイバーセキュリティタスクフォース」が設置されています。そして2020年7月17日、タスクフォースにより「IoT・5Gセキュリティ総合対策2020」が策定されました。すでに2019年にも同様の要綱が発表されていますが、今回は新型コロナウイルス感染症の流行によるテレワークの普及や、本格的に稼働する5Gへのセキュリティ対策を盛り込んだ改訂版となっています。今回はこの最新の総合対策を詳しく精査していこうと思います。第1回目の今回は制定の背景と、新しく盛り込まれた主な政策課題についてまとめました。
「IoT・5Gセキュリティ総合対策2020」公表までの流れ
「IoT・5Gセキュリティ総合対策2020」は、2017年1月30日に設置されたサイバーセキュリティタスクフォースによって推進され、制定されました。
サイバーセキュリティタスクフォースとは
2017年1月、IoT/AI時代を見据えたサイバーセキュリティに係る課題を整理するとともに、情報通信分野において講ずべき対策や既存の取組の改善など幅広い観点から検討を行い、必要な方策を推進することを目的として、「サイバーセキュリティタスクフォース」が設置されました。主な検討・推進事項は以下の通りです。
- IoT/AI時代のサイバーセキュリティを支える基盤・制度
- IoT/AI時代のサイバーセキュリティを担う人材育成
- IoT/AI時代のサイバーセキュリティ確保に向けた国際連携
2019年版「IoT・5G セキュリティ総合対策」
サイバーセキュリティタスクフォースでは2019年8月、「IoT・5G セキュリティ総合対策」を公表しています。今回の総合対策2020の前身となるものですが、その時対策に盛り込まなければいけない課題として、以下のようなものが掲げられていました。
- 5Gの開始に伴う新たなセキュリティ上の懸念
- サプライチェーンリスクの管理の重要性
- Society5.0の実現に向けた適切なデータの流通・管理の重要性
- サイバーセキュリティにおけるAIの利活用の重要性
- 大規模な量子コンピュータの実用化の可能性
- 大規模な国際イベント等の開催
2020年改訂版
サイバーセキュリティタスクフォースは、IoT・5G時代にふさわしいサイバーセキュリティ対策の在り方について検討し「IoT・5Gセキュリティ総合対策2020(案)」をまとめました。その後2020年6月6日から同年6月25日まで意見募集を行ったところ、23件の意見が提出されました。総務省は提出された意見を踏まえて同タスクフォースにおいて検討を行い、「IoT・5Gセキュリティ総合対策2020」を策定しました。2020年版には2019年版の6項目に加え、さらに次の4つの課題が新たに盛り込まれました。
- COVID-19への対応を受けたセキュリティ対策の推進
- 5Gの本格開始に伴うセキュリティ対策の強化
- サイバー攻撃に対する電気通信事業者のアクティブな対策の実現
- 我が国のサイバーセキュリティ情報の収集・分析能力の向上に向けた産学官連携の加速
「IoT・5Gセキュリティ総合対策2020」の主要な政策課題
1. COVID-19への対応を受けたセキュリティ対策の推進
日本では現在様々な組織において、テレワークシステムを活用した在宅勤務やクラウド型のWeb 会議システムを活用したミーティングなどが行われています。その際、時間や距離の壁を越えることを可能にするICTの役割はこれまで以上に大きくなっていくと考えられ、同時にそのようなICTを安全・安心に利用するためのサイバーセキュリティの重要性が益々高まることが想定されます。実際にテレワークを導入するに当たっては、約7割の企業が「情報セキュリティの確保」が課題と感じているという調査結果もあり、より一層テレワークを普及させるという観点からも、セキュリティの確保が必要であると述べられています。
COVID-19によりあまりに急激な社会構造の変化が起こったため、中小企業では特には十分なセキュリティ知識を有した担当者がいない場合が多いことが想定されるほか、COVID-19への対応等のため、準備期間が十分とれずにテレワークを導入することとなった企業も多いことが想定されています。
引用:総務省
またテレワークに伴い、組織における情報システムの構築や運用においてクラウドサービスの活用が進むことも変化としてあげられています。クラウドの導入する際には、正しい選択を行えばコスト削減に加え情報システムの迅速な整備、柔軟なリソースの増減、自動化された運用による高度な信頼性、災害対策、テレワーク環境の実現等に寄与する可能性が大きいものとされています。
一方、クラウドサービス利用者・調達者側の設定ミスが原因とされる情報漏えい等も相次いで発生しており、こうした事故の損害については、提供者側は責任を負わず、その多くが利用者・調達者側の責任とされていることが懸念点としてあげられています。
2. 5Gの本格開始に伴うセキュリティ対策の強化
5Gは、4Gなど従来の移動通信システムと比べ「超高速」、「超低遅延」、「多数同時接続」であるという特長を有しており、IoT時代の基盤技術として様々な産業分野での利活用が期待されています。他方、サイバーセキュリティの観点からは、5Gによりモバイルエッジコンピューティング(MEC)の活用に加え、ネットワーク機能の仮想化・ソフトウェア化などが一層進んでいくことが想定されるため、ソフトウェアをはじめとするサプライチェーンリスクへの対応が不可欠であると指摘されています。
5Gのセキュリティを確保するという観点からは、サプライチェーンリスクへの対応を念頭に置きつつ、ハードウェア・ソフトウェアの両面において脆弱性の検証手法等を確立することが必要だと思われます。
3. サイバー攻撃に対する電気通信事業者のアクティブな対策の実現
サイバー攻撃はますます巧妙化・多様化しています、また今般のCOVID-19によるテレワークの普及拡大等によりインターネットに接続される機器が急激に増加し、脆弱でそのセキュリティ対策が困難な機器が増加しています。よって、端末側と通信ネットワーク側の双方から総合的なセキュリティ対策を実施することが求められています。
引用:総務省
IoT機器を狙った攻撃は2016年の1,281億件から2019年には3,279億件と3年で2.6倍にも急増しています。これまでのIoTのセキュリティ対策はIoT機器の機能要件の設定や、パスワードの設定等に不備のあるIoT機器等の調査及び注意喚起の実施など、IoT機器に対する対策が中心でした。しかしこれからは、IoTのセキュリティ対策をより実効的にするため、サイバー攻撃が通過するネットワーク側でより機動的な対処を行う環境整備が必要と考えられています。
4. 我が国のサイバーセキュリティ情報の収集・分析能力の向上に向けた産学官連携の加速
日本のセキュリティ事業者は海外のセキュリティ製品を導入・運用する形態が主流であるため、国内のサイバーセキュリティ対策は海外製品や海外由来の情報に大きく依存しており、国内のサイバー攻撃情報等の収集・分析等が十分にできていない状況であることが指摘されています。日本の企業を支えるセキュリティ技術が過度に海外に依存する状況を回避・脱却し、サイバーセキュリティ人材の育成を今後推進していくことも盛り込まれています。
それでは次回はこれらの課題を軸にした、具体的施策と対策について見ていきたいと思います。
総務省の「IoT・5Gセキュリティ総合対策2020」徹底解説(2)はこちら
