半径300メートルのIT：政府がセキュリティ対策に「緊急提言」……えっこのレベル？　と思ったあなたへ (1/2)

国際イベントに向け、サイバー攻撃への警戒が高まっています。先日総務省から発表された「緊急提言」には、各事業者がサイバーセキュリティ強化に向けて速やかに取り組むべき事項が述べられていましたが、その内容に拍子抜けした方もいるのではないでしょうか？

　2020年以降、日本ではさまざまな国際イベントが控えています。国際イベントの開催に併せてサイバー攻撃が増加するのは世界共通。日本でも同様の被害に備え、政府主導でサイバーセキュリティを見直す動きが進められています。

　2020年1月28日、総務省は「わが国のサイバーセキュリティ強化に向け速やかに取り組むべき事項［緊急提言］」を発表しました。今回はこの発表内容と、そこから私たちがなにを考え直すべきかをチェックしてみましょう。

緊急提言！　今、国民が考えるべき総合セキュリティ対策とは？

　今回の文書は総務省の「サイバーセキュリティタスクフォース」における成果物で、2020年の夏に“間に合う”レベルの施策を含む、5つの提言が行われています。「その時」まで残り5カ月でも対応できるポイントがまとめられていますので、ITmediaエンタープライズの読者である、多くの企業にとってもプラスになるはずです。

総務省｜「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表

　緊急提言の中で示された具体的施策は、以下の5つ。ここからは「つまり何をすれば良いのか」を解説します。

1. IoT 機器のセキュリティ対策の拡充

　これは広義の「IoT（モノのインターネット）機器」への対策を意味します。インターネットに接続する機器のセキュリティ対策は、PCやスマートフォンを除けば「機器のベンダーが製造段階からセキュリティを考慮していること」が大原則です。逆に言えば、利用者側でできることは「安全な製品の選定」程度。しかし、IoT機器の見えるところだけを見ても、それが安全かどうかは分かりません。

　そこで政府は今回の文書で、情報通信研究機構（NICT）の取り組み「NOTICE」などの拡大を短期的に採るべき対策としています。NOTICEとは、IoT機器のパスワードが初期パスワードや弱いパスワードなど容易に侵入できるものである場合に、インターネットサービスプロバイダー（ISP）を通して注意喚起するプロジェクトのこと。利用者目線ではNOTICEによって、組織が管理する機器に初期パスワード／弱いパスワードが残っていないかがチェックできます。利用者はNOTICEの注意喚起がISPから来たときにはしっかり対応することと、そして「ISP以外」からの偽の注意喚起に気を付けましょう。

政府主導の“対民間”サイバー攻撃？　物議を生む「NOTICE」を実行せざるを得ない、国内の深刻な事情 - ITmedia エンタープライズ

2.地方公共団体向け実践的サイバー防御演習（CYDER）の繰り上げ実施等

　緊急提言では「地方公共団体はセキュリティ人材を育成するために、NICTによるサイバー防御演習『CYDER』を受講せよ」と書かれています。もちろんこれまでも、さまざまな方法で人材育成が行われてきましたが、これを「7月までに推し進めよ」と強く推奨しています。

　では、一般企業はどうすべきでしょうか。一般向けにも無料で素晴らしい資料がたくさん存在します。中には小学生に向けたまんが本もありますので、ご家族で読んでも良いでしょう。

「お金を払ってセキュリティを学ぶ」のは平成で終わり？　ある無料教本が神レベルで優れている件 - ITmedia エンタープライズ

3.サイバーセキュリティに関する情報共有体制の強化

　3つ目は「情報共有」です。銀行や情報通信などの業界では、情報を共有する「ISAC（Information Sharing and Analysis Center）」と呼ばれる組織を作り、ビジネスでは競合する企業同士がサイバー攻撃の情報を共有しています。以前お話をうかがった「金融ISAC」では、定期的に合宿形式で実践的な演習を行う「サイバークエスト」を開催し、金融業界以外でも参考になる取り組みを実施しているとのことでした。

社長へのメールを秘書が開いてマルウェアに感染！？　標的型攻撃の実践演習「サイバークエスト」を模擬体験 - ITmedia エンタープライズ

　一般企業にできる取り組みとしては、まずは自社の事業に近いISACが存在しないかをチェックすること。もし該当するものがなければ、ぜひ立ち上げを考えてみてください。始めから大きな組織にする必要はありません。「近しい企業、近しい立ち位置の人とチャットで話し合う」といったことでも、立派にISAC的な取り組みになるはずです。