政府・行政サービス分野のサイバーセキュリティ
更新日:
今週の自民党サイバーセキュリティ対策本部では、「重要インフラ13分野」のうち、「政府・行政サービス」の分野について、内閣官房(NISC)と総務省から説明を聴取し、議論をしました。
行政サービス分野では、経済社会の持続的発展や国民生活の利便性向上などを目的とした「行政システムのオンライン化」が進み、防災対策や少子高齢化対策など行政課題に対応する為の「情報提供システムの整備」も加速しています。
他方、行政サービスの特性上、「国民全員向け」から「特定の対象者向け」のサービスサイトまで、多数のカテゴリの公開サーバが存在していますから、サイバー攻撃の対象になりやすく、国民生活に大きな影響を与えるリスクも存在します。
近年、日本国内で発生した主なインシデントを紹介します。
第1に、サイバー攻撃による「サービス停止」です。
昨年(2017年)の3月に、東京都の「都税支払いサイト」に不正アクセスがあり、1ヶ月半のサービス停止となりました。
4月には、東京都の「宅地建物取引業者情報のインターネット情報提供システム」に不正アクセスがあり、5ヶ月以上の停止となりました。
また、昨年4月には、警視庁、参議院、国会図書館のWebサイトが、数時間、閲覧できなくなりました。
昨年11月には、千代田区立図書館のホームページがサイバー攻撃を受け、不正にログインされて改竄が発生。現在まで約4ヶ月間、停止中だということです。
第2に、サイバー攻撃による「個人情報の流出」です。
2015年5月に、日本年金機構のマルウェア感染により、125万件もの個人情報が流出してしまった事件は、深刻なものでした。
マイナンバーカードの利便性向上には、厚生労働省が所管する行政サービスとの連携が不可欠でしたが、この事件により、大きな遅れが出ました。
昨年(2017年)4月には、日本語能力試験システム「MyJLPT」に不正アクセスがあり、顔写真データが流出しました。
第3に、「行政サービスへのハッキング」などです。
2016年6月に、群馬県、栃木県、静岡県が、ウィルス感染を公表しました。ばらまき型メールを開封してしまった可能性があります。
2016年10月には、国税庁を騙ったばらまき型メールが確認され、添付ファイルを開くことによってバンキングマルウェアに感染するというものでした。
同月、総務省を騙ったばらまき型メールが確認され、これも、添付ファイルを開くことによってランサムウェアに感染するというものでした。
昨年(2017年)6月には、国土交通省「土地総合情報システム」のアンケートサイトに不正アクセスがあり、悪意のあるプログラムが仕込まれました。
昨年7月には、「長野県河川水位情報」に不正アクセスがあり、サイト閲覧によってマルウェア感染の恐れがあるというものでした。
これまで、政府では、様々な対策を講じてきており、関係法律の整備とともに、政府機関や地方公共団体向けに各種の指針やガイドラインが策定されました。
2015年には、『重要インフラの情報セキュリティ対策に係る 第3次行動計画』が公表され、「政府・行政サービス分野」を含む「重要インフラ」を13分野に拡大し、「安全基準等の整備及び浸透」、「情報共有体制の強化」、「障害対応体制の強化」、「リスクマネジメント」、「防護基盤の強化」の5つの施策が発表されました。
各府省庁では、大量の個人情報を取り扱うシステムの「多重防御」を加速化する取組みを推進しており、システム構築を行う為の基準の改善(適用範囲の拡大含む)、監査の強化、外部から起用するCIO補佐官・CISOアドバイザーの積極的な活用などによる対処態勢の整備を進めています。
また、地方公共団体の情報セキュリティ強化については、「自治体情報セキュリティクラウド」によるサイバーセキュリティ対策の強化が推進され、行政に重大な影響を与えるリスク軽減対策を講じています。
私自身は、2014年9月から2017年8月まで総務大臣を務めましたが、その間は、総務省で対応できる取組みを懸命に進めていました。
2016年4月には、21年ぶりに「G7情報通信大臣会合」の開催を各国に呼びかけて実現。
同会合では、議長を務め、サイバーセキュリティ強化向けた国際連係を含む「憲章」、「共同宣言」、「協調行動集」を採択しました。
サイバー攻撃観測・分析・対策システム(NICTER)の連携や、情報共有・分析センター(ISAC)の連携を促進することとしました。
また、中央省庁、独立行政法人、重要インフラ事業者などのサイバー攻撃への対応能力向上を目的として、大規模演習環境を用いた実践的なサイバー防御演習「CYDER」(Cyber Defense with Recurrence)が実施されていたのですが、この事業主体を、2016年4月からは、総務省所管の国立研究開発法人であるNICT(情報通信研究機構)に変更し、安定的・継続的な運用を可能にするとともに、演習実施体制の大幅な強化を実施しました。
更に、同年9月から、「CYDER」の受講枠を拡大し、地方公共団体を主な対象として、全ての総合通信局・所の管区内(全国11ブロック)で実施することとしました。
翌2017年の7月からは、全国47都道府県の国の行政機関、地方公共団体などを対象として「CYDER」を実施しています。
そして、情報通信官庁でありながらサイバーセキュリティ課さえ存在しなかった総務省の組織改革にも着手し、現在では、サイバーセキュリティを担当する政策統括官(局長級)やサイバーセキュリティ課が設置され、情報通信の専門知識や海外の事情にも詳しい職員達が国や地方公共団体、関連事業者のセキュリティ向上の為に活躍して下さっています。
今後、「政府・行政サービス」の分野でも、他分野同様、「多層的な防御と対処態勢の整備」「情報の共有」「人材の育成」を、更に進めていかなければなりません。
「標的型攻撃」に対する防御策については、マルウェア感染の完全防止が困難であることを前提に、悪意のある不正プログラムによる遠隔操作の早期検知、対処能力の向上、外部からの不正侵入範囲の拡大を防止する為のシステムの設計と運用対処が重要になります。
インシデントに対応する体制の強化だけでなく、不審な通信を検知した際には速やかに独立行政法人などの専門機関と連携して分析し、各府省庁や関連機関に迅速に情報提供する為の対処態勢基盤も必要です。
行政機関においても、セキュリティ対策を実施する人材を充足させる必要があり、引き続き、各レイヤの人材に対するセキュリティ教育の底上げと対処態勢能力の強化を図らなければなりません。
行政システムの運用管理者に対するセキュリティ対策知識や経験の向上を目的とした研修教育に加え、行政サービスに関わる一般職員の情報リテラシー能力の向上についても対応が必要です。
