 |
| 政府の情報セキュリティ対策の流れ |
―日本にはNISC(内閣官房情報セキュリティセンター)などがありますが、機能しているのでしょうか?
西川氏:2009年に内閣官房では第2次情報セキュリティ基本計画を定めまし
たが、2010年からは「国民を守る情報セキュリティ戦略」というものになりました。サイバー攻撃によって、現実の世界に影響がある場合、内閣官房の危機管理室が対応することになっています。
また、省庁などの政府機関が情報セキュリティに対応する際の統一基準も打ち出しました。これは、最初に出てきたものがぶ厚いペーパーで出されていたので、技術部分と管理部分を区別し、使い勝手のいいものにしました。
とかく省庁横断のプロジェクトは立ち消えになることが多いですが、情報セキュリティについては一本化ができていると思います。
―実際に政府が出した政策に、省庁の情報セキュリティは追いついているのでしょうか?
西川氏:以前に比べたらずいぶん良くなっていると思いますよ。「このような対応をする」という発表をしてから、省庁にあるPCなどの機器の更新時期でシステムのレベルアップをする、というタイムラグはありますが。
日本もゼロデイ(ソフトウェアに脆弱性が発見された際、公表される前に行われる攻撃)などの新しい攻撃を受ける度に「セキュリティが脆弱だ」という声が上がってきますが、米国もかなり攻撃を受けているのです。最初にも申し上げましたが、日本人はPCのウイルス感染率が低い割に、ウイルスに対して必要以上に脅威を抱いている、というところも関係しているのではないでしょうか。
―国としてサイバー攻撃に臨む際、どのような対応が望ましいものなのでしょうか。
西川氏:インシデント対応と政策立案、この両方を大事にしていかなければ、と思います。ガンブラー*にWEBサイトが感染している時に、何もできないようでは困ります。また、クラッカーは様々な攻撃手法を用いてきますから、その都度柔軟な対応ができなければいけません。
また、サイバー攻撃を受けた際に、「このように対応する」という政策を盛り込んだ上で法律化したり、ブタペスト条約のような国際条約への批准に向けての作業を行ったりするなどの対応も必要です。
そうすれば、国としての情報セキュリティのレベルアップにつながりますから。1度受けた攻撃を教訓として、政策に逐次加えていくことが肝要かと思います。
 |
【西川徹矢氏 プロフィール】にしかわ てつや |
|---|
注釈
*:ガンブラー
正常なWEBサイトを改ざんし、閲覧したユーザを偽サイトへ誘導し、マルウェアに感染させる方法。