経産省伊藤氏が講演「報道が個人情報漏洩に偏りすぎ」

「サーバー攻撃では多種多様な被害が出ている。しかし、実際に報道されるのは個人情報漏洩ばかりだ」。2017年7月12日から14日にかけて開催されているイベント「ガートナー セキュリティ&リスク・マネジメント サミット 2017」で、経済産業省の伊東寛サイバーセキュリティ・情報化審議官がサイバー攻撃の動向について講演。その中で、冒頭に示したような警鐘を鳴らした。なお、講演内容は経済産業省の公式見解ではなく、あくまで同氏の個人的な意見だという。

伊東氏によると、2015年6月以前にはサイバー攻撃に関する報道はほとんどなかったという。この状況が変わったきっかけが、2015年6月1日に報道された日本年金機構の個人情報流出事件だ。それ以降、政府機関などの公的機関に対する攻撃を中心に報道されるようになったという。

その多くは個人情報の漏洩だ。なぜなら、個人情報保護法があるため漏洩が起こると公表しなければならないからだ。実際には個人情報以外の機密情報がサイバー攻撃で漏洩するケースも多いが、企業が公にしないことが多いという。ちなみに同氏は「漏洩」という言葉も不適切だとする。実際にはサイバー攻撃による情報の窃盗であることが多いからだ。

同氏は「個人情報狙い」を強調しすぎるのは問題があるとし、報道では「個人情報漏洩事件」として扱われた、ある大手旅行代理店の例を挙げた。事件が起こった時期は伊勢志摩サミットの直前であり、同時期に警察や中部国際空港セントレアへの攻撃もあった。このため、サミットへのサイバーテロのための事前偵察であった可能性もあるとした。大手旅行代理店はサミット参加者の日程を把握している。日程がわかれば、テロを実行しやすくなる。

次に伊東氏は海外でのサイバー攻撃の事例を紹介した。2008年のトルコのパイプラインの爆発、2010年のイラン核施設への攻撃、2014年のドイツの製鉄所の溶鉱炉損傷、2015年から2016年にかけてのウクライナの変電所への攻撃だ。これらは、社会インフラを狙った攻撃であるのが特徴である。

同氏によると、産業系システムに関しては三つの勘違いがあるという。一つ目が「狙われるはずがない」。これは、海外では産業系システムへの攻撃が相次いでいることから、誤りであることがわかる。

二つ目が「外とつながっていないから攻撃できない」。実際にはUSBメモリーを使って攻撃されることも多いという。また、保守担当者がリモート保守用の回線をこっそり用意している場合もある。外につながっていないシステムは、つながっているシステムよりもセキュリティーを考慮していないことが多く、かえって危険だという。

三つ目が「個別独特のシステムなので強い」。これはある程度は正しいが、最近は産業系システムでも標準的なシステムを使うことが多い。昔の感覚が残っている上司が、「独自システムだから安心なはず」とセキュリティー対策にコストをかけるのを許さない場合もあるという。

最後に同氏はサイバー攻撃を風邪に例え、「風邪を引くことは負けではない。風邪をこじらせ肺炎になるまで放っておいたり人様にうつすこと、それが失敗である」と述べた。風邪と同じように、サイバー攻撃を完璧に防ぐのは不可能だ。しかし、攻撃を受けても、その影響を最小限に留めるのが重要だとした。

（日経NETWORK　大森敏行）

[ITpro 2017年7月12日掲載]