サイバーテロが日常に潜む時代に、社会や事業をどう守ればいいのか?山口英教授が語る情報セキュリティの現在・未来

テクノロジーの急速な発展と普及に伴い、 ネットは人々の生活の隅々まで浸透し、社会基盤として必要不可欠のものとなりました。その反面、サーバーやシステムが攻撃を受けたり、障害が発生した場合、国民生活や経済活動へ大きな打撃を与えます。また、官公庁や企業からの情報流出も大きな事件になっており、情報セキュリティの強化が世界的に叫ばれています。

このような状況において、2014年11月、サイバーセキュリティ基本法が成立しました。同法に基づき、2015年1月、内閣に「サイバーセキュリティ戦略本部」が設置され、同時に、内閣官房に「内閣サイバーセキュリティセンター(NISC)が設置されました。これは国家レベルでサイバーセキュリティを強化する体制を構築する法的根拠を持つ戦略本部として、政府や関係省庁のサイバーセキュリティ対策を指揮することを意味します。

このNISCの前身である、内閣官房情報セキュリティ対策推進室の情報セキュリティ補佐官として、政策面から日本のセキュリティ向上に尽力してきたのが、奈良先端科学技術大学院大学教授の山口英氏です。今回、山口教授に現在の日本の情報セキュリティの現状や問題点についてお話をうかがいました。

情報セキュリティをめぐる「自助・共助・公助」という考え方

――山口教授が情報セキュリティ補佐官に就かれてから10年以上経ちました。日本の情報セキュリティに関する問題意識という点については、10年でどう変わったと考えられていますか?

山口 一番大きいのは実害が出ているということです。私たち専門家は随分前から「実害が出ますよ」と言ってきたのに、「まだそんなことないよ」と長らく多くの人が言っていました。でも、実害が出た時、その被害を抑えるのは誰かというのが問題で、それを考えなければいけないわけです。

――ネット上の犯罪や被害は、政府や企業といった大きな組織だけでなく、普通の日常生活を送っている一般市民にとっても大きな脅威となっています。山口教授は以前、政府や企業のシステムやセキュリティの整備に加えて、個人も強さを持たなければいけないと以前おっしゃっていましたね。

山口 サイバーアタックがあったとき、どうすればよいかという問いに対して私は「自助・共助・公助」ということを考えます。まずは多くの方は官による「公助」を叫ぶんですが、本当は「自助」が強くないといけません。自助が強くあるためにはユーザーが強く、賢く、自分でいろんなことを考えられる頭を持っていないといけない。そのための強くなるためのステップをユーザーが踏める社会であってほしいという意味で「個が強くあるべきだ」と私は言っていたんですね。

インターネットは誰もが使っている経済基盤

――今の日本の情報セキュリティに関して一番問題だなと感じられているのはどういったところですか?

サイバーテロが日常に潜む時代に、社会や事業をどう守ればいいのか?山口英教授が語る情報セキュリティの現在・未来

山口 先ほども申し上げたように、最初から公助を期待するのは間違いだということです。でも、民間による「共助」の力というのは非常に強いんです。しかし、それを生み出すことに対して意外にも多くの人が否定的です。例えば、金融業界は、一般社団法人金融ISACを作って共助の基盤を作り始めました。しかし、電力に関してのセキュリティもまだできていませんし、それ以外の分野でも共助はなかなか始まっていません。要は昔の行政統治構造と今の共助を作り出す基盤にズレがあり、そこをどうやって埋めいくのかという課題があるのです。

それから、サイバーアタックというと皆、政府に対するテロと思うでしょうが、最も重要なのは「インターネットは誰もが使っている経済基盤なんだ」ということです。その信頼性を落とさないためには民間企業はがんばらないといけません。しかしながら、1社や1人じゃ何もできません。ですから、業界の中で共助が必要だと思うんです。

――共助という概念は、東日本大震災を体験した日本にとっては大きなものですね。

山口 はい。災害対策で最も必要なのは共助です。災害対策で助けるものは三つあって、自助=自分で自分を助ける、それから共助=業界の中で助ける。そして、どっちもうまくいかなかった場合に公助に頼るという考え方です。また、サイバーアタックというのは災害と同じフレームワークに入ると考えています。

必要なのは技術だけでなくスピード感

――情報セキュリティ分野に関して、日本は世界に比べるとどのような位置にあるとお考えですか? 遅れているのでしょうか?

山口 いえ、遅れているわけではなく技術はいろいろと持っているんですが、問題はスピード感がないということです。何か事が起きたときに合理的な判断ができるスピードが弱い。そして、もう1つは制度がうまく働いていないという点です。制度というのは事が起きたら政府が動くとか、その際、個人の権利を停止しないということです。

――日本では、情報セキュリティ研究者や技術者が不足していると長らく言われています。有事の際は組織や事業の継続に深く関係するセキュリティ分野の人材の育成に関してはどう思われますか?

山口 技術者は幾らでも必要ですが、もっと欲しいのはマネジメントに関わる人材です。でも、少ないですね。育てていないですし。

――山口先生が奈良先端大学で教えられていることの1つは、マネジメントもわかる情報セキュリティの分野のプロを育てるということですか?

山口 少なくともCISO(Chief Information Security Officer。最高情報セキュリティ責任者)の助手になれるぐらいの人材を育てようと思っています。技術ばかり教えてもしょうがないですから、マネジメントがある程度できる人がもっと育ってほしいですね。

システムというのは、知恵を明文化してそこに溜めていくための能力を持つもの

――サイバーセキュリティ基本法は、2015年の1月から完全施行されましたが、これについてはいかがお考えですか?

サイバーテロが日常に潜む時代に、社会や事業をどう守ればいいのか?山口英教授が語る情報セキュリティの現在・未来

山口 法律ができることはいいことですが、基本法の役割というのは誰がどういう責任を持っているかを明記してある点なので、それを受けて政府がつくる施行法とか実施法が出てこないと本当の意味の有効かどうかは分かりません。つまり、基本法だけだと祝詞(のりと)と同じ存在になってしまうので、新しいことが起きたときの対応能力が本当にあるかどうかはこれからの課題だと思います。

――危機に対してシステムの維持だけでは対応できません。システム偏重からどのように行政や企業は意識改革していけばいいのでしょう?

山口 企業は損害が出たときに初めて「損害をなくしたい」と考えるんです。そこを真面目にやるということは本当に必要なことで、まずはシステムを直すということです。システムというのは、知恵を明文化してそこに溜めていくための能力を持っているもの。システム偏重と批判する人もいるけど、システムの価値はゼロではありません。しかし、システムだけやっているというのも問題なんですね。

さらに言えば、セキュリティやそのシステムについてきちんとビジネスの言葉で語ることが必要なのに、それをやっていないんです。大企業の個人情報の漏洩事件を例に出すと、企業はシステムの欠陥ばかりを言いますが、本当の問題は、会社に損害が出ていることですし。もっと言えば、ユーザーや消費者の名簿が売られていることですよね。じゃあどうやって直すか? まずはシステムを直せば直るわけです。そこの部分をどうビジネスの言葉で表現して伝えていくかということを経営者は考えなくてはいけませんし、システムをやっている人間もどうやってそれを経営の言葉に変えていくかっていうことをやらないとダメですね。これからは、そういったシステムと経営の両方に通じた人材を育成しなくてはいけないと強く感じています。

12

関連記事