header-white_Research center blog

2017年日本のサイバーセキュリティ予測

2020年の東京五輪に向けて
中小企業のサイバーレジリエンスに
取り組む日本

By 松原 実穗子 , on Thu Dec 22 06:00:00 PST 2016 at Thu Dec 22 06:00:00 PST 2016

本投稿は、米本社で連載されている「短期的展望」と「長期的展望」で探る2017年のサイバーセキュリティ予測シリーズの一部です。本記事は英語版でもご確認いただけます。

日本では2020年に東京で開催される夏季オリンピックが大きな話題になっており、この機会に新たなビジネスチャンスの創出が期待されています。また一方で、サイバー攻撃による東京五輪大会運営の妨害や、国家安全保障に関わる秘密や企業秘密の窃取も懸念されています。この種の攻撃は日本企業の競争力や信用を損なうものです。並行して、IoT (モノのインターネット) の急速な拡大による新たな攻撃経路も生まれてきています。こうした状況に基づき、2017年に短期的に起こりうる予測と長期予測を以下に挙げます。

短期的展望

●  サイバー保険がより一般的に

日本におけるサイバー保険サービスは少なくとも2012年から登場していましたが(参考記事:ZDNet Japan)、国内における市場の成長は米国よりも緩やかでした。サイバー攻撃のように実際に発生するまで被害規模が不明な潜在的リスクについて発生前に回避することへの投資意欲が日本企業にはない一方(参考記事:産経WEST)、米国企業は規模を問わずこうしたリスクを考慮した投資に前向きです。

もう一つの重要な違いとして、日本企業は米国企業よりもサイバーインシデントを自社のサイバー保険会社を含め他の関係者に明かすことを嫌う(参考記事:ScanNetSecurity)傾向がありますが、これは弊社の最近のブログで紹介した「恥の文化」のプレッシャーによるものかもしれません。

この傾向が変わってきたのは、2015年12月に経済産業省およびIPA (独立行政法人情報処理推進機構) が「サイバーセキュリティ経営ガイドライン Ver 1.0」を発表し、企業にサイバー保険の利用を促してからのことです。また、2016年8月にNISC (内閣サイバーセキュリティセンター) が発表した「企業経営のためのサイバーセキュリティの考え方の策定について」では、大手企業や中小企業がサイバーセキュリティを効果的に進める方策について触れられています。同文書では、リソースの限られた企業では高度なセキュリティ製品やソリューションを採用することが難しいことを認めた上で、中小企業はクラウドベースのセキュリティソリューションやサイバー保険を利用することも推奨しています。

大手企業がセキュリティ対策を強化するにつれ、攻撃者はセキュリティ侵害の検出に必要なリソースが不足しがちな中小企業にターゲットを移しています (参考リンク:マイナビニュースの記事) 。日本の経済力や大企業は国内の中小企業に依存しており、一部の中小企業は高い技術力で精密機械や金属加工の部品を供給しているにもかかわらず、こうした状況になってしまっているのです。

日本でも中小企業向けのサイバー保険が生まれており、今後も中小企業に対するサイバー対策推進に向けた動きを受けて、様々なサイバー保険が誕生する可能性があるため、財務面やリソース面で課題を抱える企業にとってこうしたサービスの利用は有益でしょう。中小企業がサイバー防衛技術に積極的に投資できるようになることは重要です。

●  中小企業や非重要インフラ部門にもサイバーセキュリティ対策強化に向けた圧力が高まる

最近の日本政府によるサイバーセキュリティの必要性に関する文書を受け、中小企業や非重要インフラ部門に対しても、サイバーセキュリティ対策の強化に向けた圧力がこれまで以上に高まることが予想されます。この原因として、いくつかの出来事が挙げられます。

1つ目に挙げられるのは、2003年に成立した個人情報保護法の2015年の改正です。以前は、5,000人分以下の個人情報を事業活動に利用している中小企業は個人情報保護や漏えい防止の安全管理措置を講じなければならないという義務の対象外でしたが、これを法改正により撤廃しました。同法の改正は、具体的には2016年1月に導入された「マイナンバー」の導入に合わせて行われました。マイナンバーは社会保障や課税情報のための新しい個人識別システムであり、中小企業を含むすべての企業 は日本居住者に関する個人情報をこれまで以上に多く保有することになります。

2つ目として、旅行業界情報流出事案検討会が2016年7月に「中間とりまとめ」を公表し、内閣サイバーセキュリティセンター (NISC) が2016年8月に「企業経営のためのサイバーセキュリティの考え方の策定について」という文書を発表しました。「中間とりまとめ」では観光業界に加えて、航空、物流、鉄道という国土交通省管轄の重要インフラにおけるサイバーセキュリティ対策の強化が奨励されています。2020年の東京五輪で日本を訪れる観光客の増加が望まれるとともに、大会の円滑な運営が重要となるため、便利かつ安全な交通サービスに支えられた観光はきわめて重要です。だからこそ、両文書で中小企業によるサイバーセキュリティ対策の強化が必要であることが取り込まれたのです。2017年にはフォローアップのガイドラインが出る可能性があります。

3つ目として、NISCが2016年8月に出した「安全なIoTシステムのためのセキュリティに関する一般的枠組」では、現在日本で重要インフラとして分類されていない製造業に対するIoTのセキュリティ・バイ・デザインの必要性が示されています。管轄官庁が関連ガイドラインの起案を始める必要があるということです。

●  サイバー脅威インテリジェンスと分析の共有が企業間でより活発に

東京五輪熱は確かに、経済成長を促進する斬新なデザインや技術をもたらす革新への大きな期待を抱かせます。ただし、東京五輪に伴う革新はすべて、ユーザーの利便性と安心のために安全に行わなければなりません。任意のサイバー脅威インテリジェンス共有は、最新の脅威状況を理解し、適切なサイバー防衛を適用する上で重要です。活発なサイバー脅威インテリジェンス共有は、2015年12月の「サイバーセキュリティ経営ガイドラインVer 1.0」で奨励されています。

実際、自動車業界と電力業界は情報共有の枠組みを始める予定です。安倍晋三首相は、2015年10月に開催された科学技術と人類の未来に関する国際フォーラム (STSフォーラム) の第12回年次総会で2020年の東京五輪・パラリンピックまでに自動運転技術の実用化を実現したい考えを示しました。したがって自動車業界を含む製造業者には、新しい安全な自動車の革新への圧力が高まることになります。そこで自動車メーカーと自動車部品メーカーは2017年1月にサイバー脅威インテリジェンス共有のためのフォーラムを立ち上げる予定です。また、東京電力を含む日本の電力会社は電力ISACの設立を計画し、サイバー脅威インテリジェンスとベストプラクティスを共有し、海外事業体、特に米国のElectricity ISACと欧州のEnergy-ISACとの連携を予定しています。

2020年の東京五輪への流れと、製造業、観光業、交通関連サービスの重要性を考えると、これまで以上に多くのサイバー脅威インテリジェンス共有の枠組みが各業界で生まれることでしょう。旅行会社は大規模な個人情報漏えいを防止するために定期的な情報共有会議を開始し、2016年9月の第3回会合ではゲスト講師が旅行業ISACの設立を推奨しました。このように、ISACのような米国や他国のサイバー脅威インテリジェンス共有のベストプラクティスを日本政府は高く評価しており、技術的分析に地政学的情報を加え、政府や民間企業のリスク管理のための意思決定プロセスに貢献するサイバー脅威インテリジェンスの確立に関心を持っています。2015年9月のサイバーセキュリティ戦略では、サイバーセキュリティ分析を技術的、法律、国際関係、安全保障、社会科学的視点と融合させることの重要性が指摘されています。NISCは2016年度に東京五輪の潜在的サイバーリスクのリストアップを開始し、その後もリストのレビューを続け、リスクに対処するためのサイバーセキュリティ対策を講じていく予定です。この取り組みには、様々な専門知識から優れたサイバー脅威インテリジェンスおよび分析のサポートが必要となります。

日本企業の従来の調達制度の下では、目に見えて数えられるものしか調達できなかったため、「数えられる」形に必ずしもなっていないサイバー脅威インテリジェンスをは困難です。しかし、東京五輪に向けたサイバー対策の必要性に対する圧力のため、こうした日本ならではの考え方が次第に変わりつつあります。様々なフォーマットのサイバー脅威インテリジェンスや分析 に対する関心が日本では着実に高まっています。

長期的展望

●  高齢化社会における災害救助での遠隔医療サービスのセキュリティ

日本は地震や台風などの自然災害が多いことで知られ、かつ高齢化社会の現実にも直面しています。こうした課題を受け、ドローンのようなITやIoTを活用した災害救助や高齢者向けの遠隔医療サービスの需要がもたらされました。また、こうしたサービスの利便性と人々の生命を守るためのサイバーセキュリティサービスも必要になります。

熊本大震災や東日本を襲った台風など、日本は2016年に大きな自然災害をいくつか経験しました。高齢者の人口は2013年には25パーセントを超えており、日本政府の予想では、2060年にはこの値が39.9パーセントに達し、5人のうち2人が65歳以上になります。同時に、人口は地方から大都市へと移っています。日本政府の2012年の見込みでは、過疎化が進む地域では2005年の289万人から2050年には114万人へと61パーセントもの大幅な人口減が発生します。これは、地方の医師不足にも影響します。2016年5月に公表された日本病院会の「地域医療再生に関するアンケート調査報告書」では、勤務医が不足していると答えた病院は日本全体で80.0パーセントであったのに対し、指定都市と中核市ではその数は72.7パーセント、郡部・町村では92.5パーセントであり、都市と地方との差の大きさが分かります。

対面診療が物理的に困難である離島やへき地のような特別な場合を除き、日本政府は遠隔診療を禁止していたため、災害救助活動の際には医師不足はさらに深刻な問題となります。最終的に厚生労働省は遠隔診療のニーズとメリットを認識し、対面診療と組み合わされているときは遠隔診療を2015年8月に解禁、(直接の対面診療を行った上でさらに遠隔医療を行わなければならないものではないとしました。それ以降、新しい医療サービスが利用可能となり、災害救援の最初の事例として、2016年4月に熊本大震災の被災者支援のため、スマートフォンとボランティア医師による無料の遠隔健康相談を国内企業2社が行いました。こうした新たな災害救援活動は今後も大きな需要があります。

ドローンによる医薬品の配送も遠隔医療サービスの範囲を広げることになります。2015年12月に改正航空法が施行されてから、兵庫県養父市 (参考記事:日経デジタルヘルス) など地方の指定地域では実証実験が始まっています。

こうしたサービスの利便性を確保し、サイバー攻撃によるサービス中断から患者を守るためには、サイバーセキュリティサービスが求められることになります。攻めの防止のサイバーセキュリティが必要なのです。

●  大量のマイナンバー個人情報漏えいが発生

2015年5月と2016年6月に大規模なセキュリティ侵害が日本で発生しました。前者の事件では政府関連機関から125万件の個人情報の漏えいが確認され、後者の事件では旅行代理店から793万人分の個人情報が漏えいしました。2017年7月には、日本政府は福祉サービス向けにマイナンバーに関する情報を地方公共団体と共有し始めます。すべての組織がマイナンバー導入により従業員の個人情報をより多く所有するようになり、潜在的な漏えいリスクの懸念も高まります。

2016年5月から6月にかけて東証一部の上場企業1,917社を対象 (うち105社が回答) にしたアビームコンサルティングの調査によると、従業員からのマイナンバー情報の収集はほとんどの企業で終了しているものの、ほとんどの場合、マイナンバーの安全管理措置が依然として急場しのぎの対応にとどまっています。たとえば、同調査によれば、定期的にデータをチェックするための監査ポリシーを用意している企業は49パーセントにとどまっています。72パーセントがマイナンバー情報を管理するシステムへのアクセス権限を強化したと回答する一方、潜在的なハッキングの防止と検知を強化すると回答したのは16パーセントにすぎませんでした。半数の企業はマイナンバー取扱担当者になった人に教育研修を実施する予定ですが、定期的に繰り返し教育研修を実施する予定の企業は32パーセントという結果になりました。

こうした課題が未解決のままでは、近い将来日本はさらに大規模な個人情報の漏えいに直面する可能性が高くなります。もちろん、サイバーセキュリティの取り組みは一朝一夕にはできません。10月に弊社のブログで指摘したように、コーポレートガバナンスの改革を伴うため時間がかかります。しかし、日本がマイナンバーのセキュリティ対策と東京五輪の成功のためのセキュリティ対策を結び付けられれば、個人情報の窃取や漏えいの発生をもたらしかねないサイバー攻撃による被害の防止につながるでしょう。