総務省の「IoT・5Gセキュリティ総合対策2020」徹底解説(2)

総務省の「IoT・5Gセキュリティ総合対策2020」徹底解説(2)

前回の記事「総務省の「IoT・5Gセキュリティ総合対策2020」徹底解説(1)」では2020年7月17日に策定された「IoT・5Gセキュリティ総合対策2020」の背景や、盛り込まれた政策課題の概要について解説しました。今回は政策課題についての具体的施策についてまとめてみました。

 

情報通信サービス・ネットワークの個別分野のセキュリティに関する具体的施策

IoT のセキュリティ対策

社会基盤としてのIoT化が進展する中で、IoT機器のサイバー攻撃に対する対策を強化する必要性が指摘されてきました。IoT機器は管理が行き届きにくい、ウイルス駆除ソフトのインストールなどの対策が困難、利用者等においてインターネットにつながっている意識が低いなどの理由から、サイバー攻撃の脅威にさらされることが多い状況です。そのため、2018年11月から「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案」が施行されました。官民連携によるボット撲滅に向けた体制を構築して対策を推進するとともに、実態調査等ができるよう必要となる法的整理を行うことが目的です。

さらには、同改正法により改正された「電気通信事業法」において、「電気通信事業者の取り得るDDoS攻撃等の防止措置」が義務化されています。今回の総合対策でも改めて、今後当該技術基準の適切な運用を行っていくことが必要であると述べられています。今後はこうした技術基準に加え、民間団体がセキュリティ要件のガイドラインを策定し、当該要件に適合したIoT機器にマークを付与する認証(Certification)の仕組みを構築していく予定です。

同改正法に基づき2019年2月より、国立研究開発法人情報通信研究機構NICT)による、サイバー攻撃に悪用されるおそれのある機器の調査及び電気通信事業者による利用者への注意喚起を行う取組「NOTICE」も実施されています。また2019 年6月より、既にマルウェアに感染しているIoT機器をNICTの「NICTER」プロジェクトで得られた情報を基に特定し、ISPを通じて利用者へ注意喚起を行う取組も実施されています。今後はこれらの注意喚起の取組を引き続き実施するとともに、取組に参加するISPの拡大を図り、脆弱な状態にあるIoT機器を増やさないよう積極的に働きかける事が総合対策に盛り込まれています。

総務省は、電気通信事業者間においてサイバー攻撃の情報共有や調査研究業務を行う第三者機関としてICT-ISACを認定しています。同協会はサイバー攻撃に対処する電気通信事業者を支援するため、攻撃送信元に関する情報共有やC&Cサーバを特定するための調査研究などを展開しています。今後総務省は、マルウェアに感染している可能性の高いIoT 端末等やC&Cサーバの検知、利用者への注意喚起等の ICT-ISACが行う事業につき、円滑な実施のための支援を行うなどの取組をさらに促進していく方針です。

 

5Gのセキュリティ対策

5Gのネットワークに関しては、仮想化・ソフトウェア化が進むことから、サプライチェーンリスクを含む新たなサイバーセキュリティ上の課題が懸念されています。ソフトウェアを中心としたネットワークの脆弱性については、(a)オープンソースソフトウェア等の解析、(b)多種多様なパターンのデータ入力による異常動作確認(ファジング)、(c)エシカルハッカーによる脆弱性調査・脅威分析を実施し、対策を検討しています。

一方ハードウェアの脆弱性については、5G 等のネットワークを構成するハードウェア上に故意に組み込まれた不正なチップによってセキュリティ上の課題が発生することが危惧されています。そのため、AI を活用し(a)回路情報から不正に改変された回路を検知する技術や、(b)電子機器外部で観測される情報から不正動作を検知する技術を開発し、対策を検証していきます。

5Gのセキュリティを確保していく上ではこうした脆弱性の検証と合わせ、5Gのネットワークを運用している事業者・運用者やベンダー、利用者等の間での脆弱性情報や脅威情報、さらにこれらの対処の在り方に関する情報共有の取組も重要視されています。2020年2月、一般社団法人ICT-ISACで「5G セキュリティ推進グループ」が設立されており、それらの民間での取組を踏まえつつ、引き続き5Gのセキュリティの確保に向け、情報共有の取組を促進していきます。

2020年5月には、全国5G及びローカル5Gの導入事業者に対する税制優遇措置や導入事業者及び開発供給事業者に対する金融支援の実施を盛り込んだ「特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律」が成立しています。5Gの安全性・信頼性を確保しつつその適切な開発供給及び導入を促進することが目的です。携帯電話事業者に対してサプライチェーンリスク対応を含む十分なサイバーセキュリティ対策を講ずることを条件としています。

 

クラウドサービスのセキュリティ対策

COVID-19の影響でクラウド型のWeb会議システムなどの利用も増大しており、今後社会・経済の様々な分野でクラウドサービスの利用が加速していくと思われます。クラウドサービスのセキュリティについては、既に様々な認証・認定制度が存在しています。また、サービスにおける対策の可視化の取組がなされており、クラウドが普及していく時代においては、利用者・調達者の側においてこのような既存の認証・認定制度を参照していくことが期待されています。

クラウドサービスを活用した情報システムについては、クラウドサービスの提供者と利用者・調達者による「責任共有モデル」が採用されることが一般的です。よって、利用者・調達者が自ら採るべき対策についても認識をした上でサービスを利用する必要があります。パブリッククラウド上にシステムを展開して利用する際、まずはクラウドベンダーが責任を持ってセキュリティ対策を実装する範囲と、ユーザー側が責任を持ってセキュリティ対策を実装する範囲を正しく理解する必要があります。例えばAWSでは、以下のように責任共有モデルを定義づけています。

総務省の「IoT・5Gセキュリティ総合対策2020」徹底解説(2)

引用:AWS

政府は、クラウドサービスの利用やテレワークの普及の進展などを念頭に、ネットワーク維持・管理の在り方や対応するセキュリティ対策の在り方が今後徐々に変化していくと想定しています。例えば、それぞれの組織においてオフィスの内外をまたがるアクセスが増加し、境界の概念がなくなっていくなどの場合を挙げることができるでしょう。政府は今後必要に応じ、そうした変化を政策にも盛り込んでいくとしています。

 

スマートシティのセキュリティ対策

スマートシティとは、IoTの先端技術を用いて基礎インフラと生活インフラ・サービスを効率的に管理・運営し、環境に配慮しながら人々の生活の質を高め、継続的な経済発展を目的とする新しい都市のことです。総務省は都市や地域が抱える様々な課題の解決や地域活性化・地方創生を目的として、ICTを活用した分野横断的なスマートシティ型の街づくりに取り組む「データ利活用型スマートシティ推進事業」を2017年度から実施しています。

スマートシティではインターネットに接続するセンサー・カメラ等が散在し、多様なデータが流通することが想定されるので、常にサイバー攻撃の脅威にさらされるおそれがあります。スマートシティのセキュリティ確保の在り方についても、多様な関係者間で一定の共通認識を醸成する必要があるされています。そのためスマートシティ官民連携プラットフォームの「スマートシティセキュリティ・セーフティ分科会」等を通じ、官民の検討の場において、スマートシティのセキュリティ確保の観点から留意すべき要件やチェックすべき事項などについて検討を行い、明確化を図ることを盛り込んでいます。

 

テレワークシステムのセキュリティ対策

COVID-19の流行から爆発的に広がりを見せたテレワークセキュリティ対策についても提言されています。総務省では既に、2018年4月に「テレワークセキュリティガイドライン(第4版)」を作成しています。COVID-19 への対応等のため中小企業等においてもテレワークの導入が拡大する中、当該ガイドラインをより具体的に分かりやすく整備して行く予定です。これからテレワーク環境を導入しようとする場合には適切なセキュリティ対策を採り、既にテレワーク環境を導入している場合にはセキュリティ対策の自己点検等を行うことが重要です。

COVID-19へ緊急に対応するため多くの企業では準備期間が十分とれずにテレワークを導入・検討している状況です。しかし、特に中小企業等においては十分なセキュリティ知識を有した担当者がいない場合が多いと想定されるため、テレワーク導入時及び導入後においてセキュリティ対策の専門家が相談を受け付ける体制を提供する必要性について言及しています。

 

研究開発や人材育成等の横断的施策

横断的施策では、研究開発の推進、人材育成・普及啓発の推進、国際連携の推進、情報共有・情報開示の促進が掲げられています。サイバー空間における攻撃の態様は常に変化しています。インターネットをはじめとするネットワークに接続される機器の更なる増加に伴い、サイバー攻撃の対象が拡大するとともに、AIの進展やサプライチェーンの複雑化等により攻撃手法・能力が巧妙化・大規模化していくことが想定されています。こうした中、サイバーセキュリティに関する研究開発が重要な政策課題と位置づけられています。研究課題には量子コンピュータ時代に向けた暗号の在り方の検討といった、新しい技術もあげられています。

国境を越えて行われるサイバー攻撃についても、脅威情報(攻撃情報)等の国際的な共有を行うことにより、国際レベルでの早期の攻撃挙動等の把握が必要不可欠としています。そのため、サイバー空間における国際ルールを巡る議論へ積極的に参画しています。また、国内の産業分野ごとに設立されるサイバーセキュリティに関する脅威情報等を共有・分析する組織であるISAC(Information Sharing and Analysis Center)においても、国際的な ISAC間等の連携を引き続き促進していく予定です。

 

さいごに

政府は「IoT・5G セキュリティ総合対策2020」の推進に際して定期的に検証を行い、必要に応じて改定していくとしています。目まぐるしく変わるサイバーセキュリティの環境で、常に法改正の情報や、それに伴う事業者や利用者の責任や罰則規定等に敏感になる必要があるでしょう。