ホーム > 武藤記念講座(講演会事業)衆議院議員・自由民主党サイバーセキュリティ対策本部長  高市早苗氏>『リスクの最小化に向けた取組』

武藤記念講座(講演会事業)

第1055回武藤記念講座要旨

    2019年2月9日(土)
    於大阪「武藤記念ホール」
    衆議院議員・自由民主党サイバーセキュリティ対策本部長   
    高市早苗氏

 『リスクの最小化に向けた取組』  

セミナー





はじめに
  現在は、衆議院議院運営委員長として、与野党の理事や委員のご意見を伺いながら、内閣提出法案や議員立法案を、どのタイミングでどの委員会に付託するかを決めたり、本会議での議案の審議日程や各会派の国会議員の質問時間を決めたり、来日された諸外国の国会議員団の応接をしたりする仕事をしております。あまり表に出る役職ではなく、縁の下の力持ち的な仕事です。
  一方で、自民党では、サイバーセキュリティ対策本部長を務めております。本日は、サイバー空間における「リスクの最小化に向けた取組」についてのお話をさせていただきます。

第一章 私自身のサイバーセキュリティとの関わり
第1節 世界初の大規模サイバー攻撃事件
  私がICT(情報通信技術)政策に本格的に関わったのは、2006年から2007年にかけて、第一次安倍内閣のイノベーション・科学技術・IT政策担当大臣を務めた時でございます。その頃、安倍内閣では、2011年度には「社会保障カード(仮称)」を導入することを公表しており、年金・医療・介護・雇用の被保険者情報をICチップ搭載のカードに統一するという構想でした。現在のマイナンバーカードに近い計画です。
  ところが、2007年4月から5月にかけて、IT利活用の先進国だったエストニア共和国が世界初の大規模サイバー攻撃を受けるという事件が起きました。日本ではあまり報道されていませんでしたが、私は「同じことが日本で起きたら、大変なことになる」と感じました。エストニア共和国は、1991年にソ連から独立してからは、「IT立国」を国策に掲げて国全体の電子化を進めました。2000年には、『電子署名法』を施行し「e−Tax(確定申告の電子版)」を導入しました。2001年に、新立法の発議もインターネットで提案できるようにしました。2002年には、日本のマイナンバーカードに近い「国民IDカード」を発行しました。このカードを活用して、2005年には、世界で初めて地方選挙でインターネット投票を実施し、2007年には、国政選挙にも導入しました。当然、セキュリティも相当しっかりしていたはずです。しかし、2007年に、大量のアクセスによってウェブサイトやネットワークをダウンさせるサイバー攻撃を受け、多数の政府機関と主要銀行のコンピュータ・ネットワークが使えなくなり、携帯電話網や救急ネットワークも攻撃を受け、長期間、国民生活基盤が大打撃を被りました。
第2節 科学技術・イノベーション・IT政策担当大臣としての緊急提言
  私は早速、安倍総理にエストニア共和国の事件概要を伝え、「社会保障カード」を導入するのであれば、セキュリティ対策を万全にする必要があることから、「厚生労働省が設計・開発に当たる予定だが、政府内に一元的に責任を有する組織体制を構築するべき」「専門家からなる外部評価組織を設け、計画・設計・開発の段階毎に厳しいチェック機能を働かせるべき」「研究開発計画を早急に策定するべき」「導入までには、十分な実証実験を実施するべき」「来年度から、本格的な予算措置と人員措置が必要」などを記した提言書を手交しました。
  その後、安倍総理が病気で退陣され、2年後には民主党に政権交代となりましたので、カードの話も頓挫してしまいました。ところが2012年、再び安倍内閣が発足し、「マイナンバーカード」として計画が動き出しました。エストニア共和国の事件にも学び、現在のマイナンバーカードは世界最高水準のセキュリティを誇っています。ICチップ搭載で、2種類のパスワード設定、高度な技術の特殊加工で偽造は出来ず、個人情報は分散管理されています。万が一マイナンバーカードを失くしたとか、盗まれた時には、24時間365日対応のコールセンターがあり、そこに電話をすれば全ての機能を停めてくれます。
第3節 総務大臣時代
  前回、自民党政調会長として國民會館で講演させていただいた翌月に、総務大臣に就任しました。総務省は、2000年の省庁再編で自治省、郵政省、総務庁が合体した巨大官庁で、情報通信や電波行政も所管していますが、私が大臣に就任した2014年9月時点では、サイバーセキュリティ課すら存在しておらず、驚きました。政府機関や地方公共団体、企業や学術機関にもリスクが迫る中で、サイバー攻撃リスクを最小化する為の法律案の起草も出来る局レベルの部署を作ることが必要だと考えました。安倍総理を始め、菅官房長官、杉田副長官、麻生財務大臣にサイバーセキュリティ対策を専門とする局の新設の必要性について説明に回りました。麻生財務大臣は賛同して下さいましたが、官邸からは「新たな局の設置は認められない。サイバーセキュリティ局を作るのであれば、総務省の他の局を1つ廃止するように」と言われました。しかし、それぞれの局に重要な仕事があるわけで、簡単になくすわけにはまいりません。そうした中で「局長級ポストを1つ増やすことなら構わない」という話になりました。早速、霞が関で最もサイバーセキュリティに詳しいと評される局長に「サイバーセキュリティ統括官」に異動してもらい、彼の下に専門知識を持つスタッフも置くことが出来ました。例えば現在の総務省では、法改正を行い、所管するNICT(国立研究開発法人 情報通信研究機構)が「IoT機器に疑似攻撃をして、脆弱なIoT機器を洗い出し、事業者や利用者に通知をする」という取組に着手しており、サイバーセキュリティ対策でかなり機動的に動けるようになったと思います。
第4節 直近の選挙公約は「サイバーセキュリティ対策の強化」
  現在、NICTの観測によると、海外送信元から日本国内に向けて行われているサイバー攻撃は、1日に約4億7千万回です。NISC(内閣サイバーセキュリティセンター)が政府機関に設置したセンサーでも、4.4秒に1回の脅威を認知しており、尋常な数ではありません。
  2017年10月の衆議院議員選挙の政見放送で、私は「重要インフラ、政府機関、企業などを狙うサイバー攻撃の数は、1日におよそ3億5千万回(2017年当時の数)」「私は、日本を守る為に、様々な『リスクの最小化』に向けた対策の強化に最優先で取り組みます」と語りかけ、「サイバーセキュリティ対策の強化」を第1の公約に選挙を戦いました。選挙翌月、安倍総理から「自民党本部に総裁直轄機関としてサイバーセキュリティ対策本部を新たに設置するので、初代本部長をお願いしたい」と声をかけていただき、お引き受けし、今も頑張っている次第です。

第二章 サイバー攻撃の実情
第1節 「重要インフラ」の追加指定を
  政府内には「サイバーセキュリティ戦略本部」があります。本部長は菅官房長官です。この本部に情報通信に関係する総務大臣、経済産業大臣などの閣僚や事務方が加わり、国全体のサイバーセキュリティ戦略を決めています。現在、サイバーセキュリティ戦略本部が指定している「重要インフラ」は14分野です。「航空」「鉄道」「医療」「電力」「ガス」「水道」「物流」「情報通信」「石油」「化学」「金融」「クレジット」「政府・行政サービス」の13分野に、去年の夏から、自民党サイバーセキュリティ対策本部の提言を反映して「空港」も加わりました。「重要インフラ」に指定されますと、重要インフラ事業者は内閣官房のNISCなど政府機関や他分野の重要インフラ事業者と情報共有をして、大規模訓練にも参加し、攻撃を受けた時の初動も含め、様々な対策を進めることができるというメリットがあります。しかし、私は、14分野では足りないと思っています。例えば「物流」の分野では、貨物を積んでいでる船は「重要インフラ」に入るのですが、客船は入りません。荷物を運んでいるトラックは「重要インフラ」に入るのですが、公共交通機関であるバスやタクシーは入りません。「重要インフラ」の分野を増やす検討が必要です。
第2節 インシデント事例の紹介
(1)自動車・自動運転分野
  ICT分野における「インシデント」とは、システム運用やセキュリティ管理における保安上の脅威となる現象や事案のことを云います。
  「自動車」は「重要インフラ」に入っていませんが、サイバー攻撃を受けた場合、重大な事故を招く恐れがあります。現在の追突防止機能を備えたレベル1、2の車は「運転支援車」ですが、レベル3の「自動運転車」は、「加速・操舵・制動を全てシステムが行い、システムが要請した時のみドライバーが対応する」もので、2020年から高速道路での走行が実現する予定です。更に国内外の自動車メーカー各社は、レベル4、レベル5の自動運転車の研究開発を競っています。レベル4は「特定の場所で、システムが全てを操作する」もので、レベル5は「場所の限定なく、システムが全てを操作する」ものです。つまり、無人運転自動車の実現が目の前に来ており、ご高齢の方や障害をお持ちの方の移動や過疎地の交通手段などに活用すると、世の中は便利になると思います。しかし、サイバー攻撃を受けた場合のリスクもあります。現在の普通の自動車でも約100個のコンピュータが搭載されていますので、自動車メーカーには、サイバー攻撃リスクへの最大限の対応が求められています。
  2015年、アメリカのラスベガスで開催されている世界最大級の情報セキュリティカンファレンスである「ブラックハット」で、2名の研究者が、クライスラー社(現FCAUS社)の2014年式ジープについて、遠隔地から主要搭載部をハッキングする手法を発表しました。攻撃者が、自宅のリビングからの遠隔操作により、走行中の自動車のエンジン停止、ブレーキの無効化、ハンドル操作、ワイパーやエアコンの操作、ドアロックの解除などを行うことが可能だということが明らかになり、クライスラー社は、約140万台をリコールしました。同年、ゼネラルモータース社のドライバー向けサービスでも、無線通信偽装によって第三者が遠隔操作をすることが可能だという脆弱性が発見されました。ジャガーランドローバー社のソフトウェアにも欠陥があり、キーレス車の鍵が意図せずに開くと報じられました。日本では、大手通信会社の研究所のホワイトハッカー(善良な専門技術者)が日本車に疑似攻撃を仕掛け、判明した脆弱性を自動車メーカーに通知して改善をする活動が行われています。
  しかし、自動車と外部との通信機能だけを守れば完全だというわけではありません。自動車整備時やカーシェアリング時に悪意を持った者にチップ1個を埋め込まれるだけで、車の機能を不全にすることが出来ます。また今の車にはGPS機能などの車載センサーが付いていますが、この位置情報を補正する準天頂衛星システムについても、偽の管制コマンドの発信や、ジャミング(妨害電波の放射)によって、位置情報の不具合が発生する可能性を見落としてはなりません。
  自動車業界を所管する経済産業省や国土交通省、電波行政を所管する総務省が連携して、リスクを軽減し、「世界で一番高度なサイバーセキュリティを保証できる日本車」が開発されたなら、日本経済を長期的に牽引する原動力となるでしょう。
  • (2)航空分野
  •   航空分野のインシデントとしては、2015年、LOTポーランド航空の地上システムがサイバー攻撃を受け、飛行計画が作れなくなり、出発便20便が欠航になりました。飛行計画は、各便のルート把握や運航安全管理の目的で管制塔も使用しており、事故が起きた時の捜索活動にも使われる重要な情報です。2016年、オーストラリアのパース空港へのハッキングにより、大量の機密情報が漏洩したそうです。2017年、ウクライナのオデッサ空港のシステムがランサムウェア(データを暗号化して、身代金を要求するマルウェア)に感染し、搭乗手続きが大幅に遅れました。2018年8月、「飛行中の飛行機の乗客の通信記録や飛行経路データを、衛星通信経由でハッキング出来る」ということが明らかになり、世界中に衝撃が走りました。衛星経由のハッキングは、命を危険に晒す事態を招きかねません。
  • (3)鉄道分野
  •   鉄道分野では、2008年、ポーランドで、14歳の少年が、テレビのリモコンで路面電車の分岐点と合流点を制御する装置を作り、不正アクセスをして、列車4車両が脱線、12名の方が負傷するという事件が起きました。2016年、アメリカのサンフランシスコ市交通局のシステムがランサムウェア攻撃を受け、乗車券が発行できない、駅の表示板にハッカーのメッセージが出るという事件が起きています。2017年、ウクライナのキエフ地下鉄で、システムがランサムウェアに感染し、決済システムへの影響が発生しました。日本でも、ポイントの不正交換や会員情報が流出した事件が起きています。
  • (4)医療分野
  •   医療分野では、深刻なインシデントが続いています。2016年2月〜3月、アメリカとカナダの医療機関で、ランサムウェア攻撃による暗号化被害が相次ぎました。院内ネットワークに侵入したマルウェアがローカルサーバーを介して院内パソコンに感染し、パソコンを使った業務が一切出来なくなるというものです。アメリカのプレスビタリアン病院では、身代金を払うまでの10日間、患者のメディカルレコード(医療記録)に一切アクセスができず、手術を控えた患者の検査結果も見られず、CTスキャンも薬局もオフラインになりました。後日、「患者の命に関わる重要データのバックアップを取っていなかった」ことが問題化しました。2017年1月にも、アメリカテキサス州の病院でランサムウェア感染があり、27万9千人以上の患者情報に被害が発生しました。2017年5月には、世界約150カ国で、「ワナクライ」というランサムウェアに感染する事件が相次ぎました。これは、マイクロソフトウィンドウズの脆弱性を悪用した攻撃でした。イギリスでは、NHS(国民保健サービス)を提供する各団体でパソコンが使えなくなり、病院は予約、診断、手術、救急搬送の受け入れを中止しました。特にMRI、CT、レントゲンなど、画像データをコンピュータでやりとりする病理診断部門で深刻な被害が出ました。「NHSが、サイバー攻撃に対する演習を行っていなかったこと」が、被害を拡げた原因だとされました。日本でも、「ワナクライ」によって院内メールに異常が発生した病院がありましたが、診療系システムに影響はありませんでした。2018年7月、ロシアのチュメニ脳神経外科センターがサイバー攻撃を受け、全てのコンピュータシステム及び手術に使用する計器類が使用不可能になりました。この時、13歳の少女が難度の高い脳手術を受けていました。幸いにも医師たちが計器類に頼らずに手術を成功させ、少女は無事だったそうです。
      私は、サイバー攻撃に対する医療機器の脆弱性にも強い問題意識を持っています。2011年、アメリカの「ブラックハット」で、「糖尿病患者用インスリンポンプに、無線機能の脆弱性を悪用して侵入し、インスリン投与量を外部から操作することが出来る」と発表されました。2012年には、医療機器遠隔操作用のソフトウェアに脆弱性が見つかり、アメリカのFDA(食品医薬品局)が製品回収情報を公表しました。2013年6月、アメリカのICS−CERT(国土安全保障省傘下の機関)は、医療機器のパスワードの脆弱性について警告しました。麻酔器、人工呼吸器、薬物注入ポンプなど命に関わる様々な医療機器約300について、遠隔操作が可能だということでした。2017年1月、アボット社の医療機器の脆弱性が公表されました。日本のホワイトハッカーによると、ペースメーカーや植込み型除細動器を遠隔操作し、心臓に致命傷を与える830ボルトの電流を流すことも可能だそうです。
      個人情報漏洩では、2016年6月、アメリカで、医療保険情報1千万件が流出し、ダークウェブで販売されていたと報じられました。2017年5月、リトアニアでは、美容外科クリニックが2万5千件以上の患者情報を公開されてしまいました。
  • (5)放送・情報通信分野
  •   放送・情報通信分野では、2015年、フランスの国営テレビが、テレビチャンネルとウェブサイトを乗っ取られ、「ISの犯行」を主張するメッセージが表示されました。2016年、アメリカで、911緊急通報システムに大量の通信が殺到し、オペレーターが正しい緊急通報も受け付けることが出来なくなりました。逮捕されたのは18歳の若者でした。2017年、アメリカのテレビ局HBOがサイバー攻撃を受け、未放送ドラマの情報を盗られ、金銭を要求されました。2017年、国営カタール通信のウェブサイトがハッキングされ、偽の首長声明文が掲載されました。2016年、中国の上海ADUPSテクノロジーが開発したファームウェア(電子機器に具体的な仕事をさせる制御用プログラム)を組み込んだ格安スマホから、72時間おきに、ユーザーの位置情報、通話履歴、連絡先情報、テキストメッセージが中国のサーバーに送信されていたことが明らかになりました。このファームウェアは、中国のファーウェイとZTEが採用し、大量に出荷されていました。
        現在の日本では、莫大な数のIoT機器が利用されています。帰宅前にエアコンをつけ、お風呂も沸かしておく、朝起きるとコーヒーが準備出来ているなど、便利なサービスが始まっています。しかし、セキュリティが脆弱な機器も多数あります。AIスピーカー、見守り型ロボット、監視カメラ、スマート家電などを通して、家の中の様子や会話が流出するリスクもあります。悪意をもった仕掛けがあると情報の流出が起きる時代であると思わなければなりません。
  • (6)電力分野
  •   電力は、生活や医療や産業の基盤となる「重要インフラ」です。しかし、プエルトリコでは、2009年、電力会社がスマートメーターを配置した地域で電力消費記録設定が改竄される事件が起きました。ウクライナでは、2015年と2016年に変電所へのサイバー攻撃による停電が発生し、2017年には、電力会社のデータが破壊され、チェルノブイリの放射線レベル測定システムにも異常が出ました。セキュリティ先進国であるイスラエルでも、2016年に電力公社が大規模なサイバー攻撃を受け、多数のコンピュータが使用不能になりました。2017年は、欧州、ロシア、アメリカと、非常に幅広い地域で電力会社が攻撃を受けました。アメリカでは、原子力発電所やエネルギー関係の企業がサイバー攻撃を受け、FBIと国土安全保障省が共同で緊急報告を発しています。幸い日本では、サイバー攻撃による大停電は発生していませんが、ポイントの不正交換事件が起きています。
    (7)安全保障分野   サイバーセキュリティの専門知識と技術を持った人材が日本に足りないことは、安全保障分野を見ればよく分かります。中国では、通信傍受などによる諜報活動を行うシギント部隊だけでも約13万人規模だそうです。防衛省によると、サイバー部隊の要員数は、ドイツが約1万2千人、フランスが約7千6百人、アメリカが約6千2百人です。北朝鮮は約6千8百人と推定されていますが、日本の自衛隊では2019年3月末で430人になる予定です。
    インシデント事例ですが、2008年、アメリカ中央軍の秘密情報を取り扱うネットワークがウイルス感染しました。2010年には、イランの核施設がウラン濃縮制御システムを標的とした攻撃を受け、遠心分離機が制御不能になりました。この攻撃でイランの核開発計画は大幅に遅れたとされています。2015年、オーストラリアで、気象局が保有し国防省のネットワークにも繋がっている国内最大のスーパーコンピュータが、大規模なサイバー攻撃を受けました。オーストラリア政府は、中国の関与を示唆しました。2016年、韓国軍の内部ネットワークにサイバー攻撃があり、対北朝鮮の作戦計画が流出したとされています。2018年、アメリカでは、海軍の契約事業者へのハッキングにより、潜水艦搭載の超音速対艦ミサイルに関する極秘情報が流出しました。中国政府に関係のあるハッカーによるものだという指摘がありました。

    第三章 今後のサイバーセキュリティ対策
    第1節 対策の3本柱
      サイバーセキュリティ対策の柱は、「知ること」「守ること」「牽制すること」の3本だと思います。
      第1の「知ること」とは、サイバー空間の動きを把握することです。匿名性が高く攻撃者の確証を得にくいのがサイバー空間の特徴ですが、攻撃者や意図の特定を試みる為には、多くの情報を組み合わせた総合的分析が必要です。また、被害の拡大を防ぐ為にも、産学官による迅速な情報共有が重要です。先にご紹介しました世界約150カ国の政府機関、医療機関、金融機関などが被害に遭った「ワナクライ」は、マイクロソフトウィンドウズの脆弱性を狙った攻撃でした。しかし、マイクロソフト社は、攻撃発生の2カ月前に脆弱性修正プログラムを公開していました。この修正プログラム未適用のパソコンが、起動した瞬間にネットワーク経由で「ワナクライ」に感染し、ロックされてしまったのです。日本でも、最初に被害を受けた企業が、すぐに政府や他社に連絡していれば被害の拡大は防げたと思います。一方、被害企業の立場で考えると、個社単独の分析内容に確証が持てない状況で、秘密保持が担保されない他組織に情報を提供してしまうと、誤った情報だった場合には責任を追及されたり風評被害を受けたりするリスクがありました。近年、イギリス、ドイツ、フランスでは、サイバー攻撃を受けた場合、サイバーセキュリティ庁に報告することを罰則付きで義務付けています。そして役所は報告を受けるとすぐに注意喚起する仕組みになっています。先日『サイバーセキュリティ基本法』の改正がようやく実現しましたが、インシデントの報告は努力義務レベルです。産学官が迅速に情報共有する「知る為の体制作り」が重要です。また、サイバー攻撃に対する脆弱性が判明した時点で直ちにリコールをした企業が市場で高く評価される風土を作るべきだと思います。
      第2の「守ること」とは、サイバー攻撃への防御を固めることです。国内のサイバー空間を安全なものにすること、国際連携を推進すること、人材育成と研究開発を強化することが必要です。
      第3の「牽制すること」とは、攻撃者に対して、日本に向けてサイバー攻撃を行うことのリスクやコストを認識させることです。攻撃者への非難を行い、対抗策を講ずる意思と能力を示すことが必要ですが、攻撃者特定能力の確立と対抗策を担保する法制度整備が出来ていません。
    第2節 議論を進めている『第二次提言』
      昨年4月に、自民党サイバーセキュリティ対策本部では『第一次提言』を取りまとめ、安倍総理と菅官房長官にお届けし、提言内容の多くが政府の『サイバーセキュリティ戦略』に反映され、政府全体のサイバーセキュリティ対策予算も増額されました。サイバーセキュリティ対策本部長としては、今年も『第二次提言』を作成し、昨年よりも深掘りした要請を政府に対して行いたいと考えております。まだ、議論の段階ですので、あくまでも私案ですが、幾つかの項目を考えています。
      第1に、NISCを日本の一元的サイバーセキュリティ実務機関として強化し、「サイバーセキュリティ庁(仮称)」とすることです。企業や地方公共団体などがサイバー攻撃を受けた場合、迅速に報告を受け、被害拡大を防ぐ為の対応をすることが重要です。
      第2に、「サイバーセキュリティ保険の普及」と「中小企業等のサイバーセキュリティ強化への支援策の拡充」が必要です。サイバーセキュリティ対策の実施状況に応じて保険料が変動するといった商品設計の保険に多くの企業に加入していただくべきだと思います。中小企業や小規模事業者にとっては、サイバーセキュリティ対策にコストをかけることは負担だと思いますが、サイバー攻撃を受けて納期に遅れたり、取引先にウイルスに感染したパソコンから通信を行って被害を拡大させたりした場合の信用低下は、経営に大きなダメージを与えます。サイバーセキュリティ保険への加入やセキュリティ強化を促進する税制の拡充など、検討を進めていきたいと考えます。
      第3に、先ほど申し上げた「重要インフラの指定対象の拡大」を提言したいと思います。
      第4に、最もハードルが高い課題ですが、「技術革新に後れを取らない法制度整備」です。例えば、サイバー攻撃によって自動車が事故を起こす、スマート家電が火事を起こす、と色々なことが考えられます。そういう時、まず罰せられなければならないのは攻撃者です。しかし、犯人特定が困難なのがサイバー空間です。そこで、次に責任を問われるのが、既知の脆弱性を放置した製造者や安全管理義務を怠った運用者です。責任分界点を明らかにするなどの法整備をしておかなければ、様々な問題が起きると思います。また、セキュリティ技術者が困っていることは、攻撃者の特定や推定につながる解析や結果の公表が、『刑法』のウイルス作成罪とウイルス保管罪や『個人情報保護法』に抵触してしまう可能性です。善意の技術者や研究者が実験を行う場合には免責することを法律やガイドラインに明記することも必要です。そして、政治的に最も難しいのが「サイバー反撃権」や「サイバー自衛権」を行使せざるを得ない場合の法的な備えをすることです。仮に日本の政府機関や重要インフラ事業者が外国政府の関与が認められるサイバー攻撃を受けた場合に、政府の対応として「名指しで非難声明を発表する。それでも止まなかった場合は経済制裁をする。最後はインターネット上で反撃を行う」という体制を整えていなければ、日本は最も攻撃しやすい国になってしまうという危機感をもっています。
      第5に、『第一次提言』にも記しましたが、「国際海底ケーブルの物理的防御」「サプライチェーンリスクの軽減」「人材育成」などに資する政策の深掘りです。私は、部品の国産化を主張してきました。今年から「5G」(次世代型高速通信)の本格的な実証展開が行われますが、2018年8月、オーストラリア政府は、「5G」のシステムに中国のZTEとファーウェイを参入させないことを決めました。アメリカ政府も、同月に成立した『国防権限法』により、政府機関に対して、ZTEとファーウェイの情報通信機器やそれらを用いたサービスの調達を禁止し、両社の製品を購入する企業との契約も禁止しました。日本では、2018年12月に、安全保障に関わるもの等で、情報の漏洩、改竄などが懸念されるものなどについて、NISCが助言をすることになりました。そして、サイバーセキュリティ対策を強化する為には、多数の優秀な人材が必要です。アメリカやイギリスでは攻撃者を特定する能力をほぼ確立していますが、残念ながら日本は未だです。少数ながら日本にも存在する攻撃者特定能力を有する技術者に、高い処遇で日本全体のセキュリティ向上に貢献していただける環境を作るとともに、初等中等教育段階からの高度な情報教育や、社会人の高度演習参加者拡大などによってセキュリティ技術者を増やす取組が急務です
    第3節 国民の皆様一人一人が「サイバー空間の当事者」
      今や、国民の皆様一人一人が「サイバー空間の当事者」です。
      日常生活で注意するべきことから申し上げますと、私自身は、スマホを買い替える時に、部品メーカーを詳細にチェックしました。「スマホにアプリを取り込む時には、信頼性を確認すること」「情報通信機器のセキュリティソフトの更新を怠らないこと」「フリーWi?Fiは、セキュリティ対策を確認した上で利用すること」「不審なメールの添付ファイルを開かないこと」「不審なメールに記されたURLをクリックしないこと」も必要です。
      また、職場では、「拾ったUSBメモリは、絶対に自分のパソコンに挿し込まないこと」です。悪意ある人が置いていったUSBメモリをパソコンに挿したことによって、多くの深刻な事件が発生しています。「内部犯行や業務委託先の従業員による犯行の可能性」にも十分注意をしなければいけません。ある企業では、重要エリアに入る時には、勤続年数10年以上で信頼性が高いと考える職員を2人セットで入れることを徹底しているというお話でした。

    結びに
      サイバーセキュリティ対策の強化は、日本にとって「チャンス」でもあります。日本企業が、世界一高度なセキュリティを誇る製品やサービスを作り出せれば、日本経済は成長します。安倍内閣が注力しているインフラシステム輸出案件の殆どにIoTが使われています。「日本の製品はセキュリティが高度で、買った後もセキュリティソフトの更新や人材育成までケアしてくれる」ということになれば、国際市場で強い競争力を持つことが出来ます。今後、損保会社も、サイバーセキュリティ保険の普及で成長していくでしょう。経営陣の皆様には、サイバーセキュリティ対策については、「コスト」から「投資」へと発想を転換して、取り組んでいただきたいと考えます。

    以上は、衆議院議員・自由民主党サイバーセキュリティ対策本部長 高市早苗氏の講演を、國民會館が要約、編集したものです。文章の全責任は國民會館が負うものです。



    お問い合わせ

    イベント情報や館内のご利用についてなど、お気軽にお問い合わせください。

    ※メールソフトが開きます

    お問い合わせ