2016年8月末に内閣サイバーセキュリティセンター(NISC)から、「政府機関の情報セキュリティ対策のための統一基準(平成28年度版) 」(以下、「H28政府統一基準」)が発行された。政府統一基準は、国内の政府機関が実施すべきセキュリティ対策を定めたものであり、2014年に発行された旧版が2年ぶりに改定されたことになる。
今回は、このH28政府統一基準の改定内容を眺めつつ、政府機関におけるサイバーセキュリティ対策の現状を考えてみる。
2年で大きく変わるセキュリティリスク
この2年で、サイバーセキュリティの世界はめまぐるしく変化している。情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」で2014年から2016年への変化を見ると、「標的型メール攻撃」などは引き続き上位を占めているものの、ランサムウェアなど新たな脅威も登場している。
政府機関にとって、この2年で一番インパクトがあったのは、やはり2015年5月に発生した日本年金機構における情報漏えい事件だろう。標的型メール攻撃に起因する約125万件の個人情報漏えいであったが、被害が拡大した主な要因として、日本年金機構の情報システムの不適切な管理体制と、インシデント発生時の初動ミスが指摘されている。
トレンドマイクロ社の調査結果によると、セキュリティインシデント発生時の被害総額についても、2014年から2015年の1年間で約1.6倍に増加した(平均2億1,050万円)。特に官公庁や自治体におけるインシデント発生時の被害総額(平均2億9,589万円)は、民間企業の場合(平均1億9,180万円)にくらべて1.5倍多いという結果が出ている。
H28政府統一基準の改定のポイントはクラウドと内部不正
H28政府統一基準では、上述した環境変化に合わせて、随所に変更が加えられているが、大きな改定のポイントは「クラウドサービスの利用」と「データベースの管理」に関する要件の追加だろう。
政府機関でもクラウドサービスの利用が増えてきたことを背景に、情報システム毎に、クラウドサービス利用可否の判断、選定要件、セキュリティ要件、第三者認証などによる信頼性の評価、等の基準が追加された。
データベースの管理については、昨今の内部不正などの事案を踏まえて、管理者権限管理の厳格化などが加えられた。
政府統一基準の課題はタイムラグと思考停止
時代の変化に合わせて改定されたH28政府統一基準ではあるが、政府機関がこの基準に従っていれば、セキュリティ対策が万全になるかというと、そういうことでは無い。政府統一基準の改定までには長い検討期間が必要であり、仮にH28政府統一基準が次に改定されるのが2年後だとすると、そこに大きなタイムラグが生じる。その間にも新たなセキュリティリスクは必ず生み出されるだろう。
また、政府統一基準が示されることで思考停止が起こり、その基準に示された事項のみにセキュリティ対策を限定してしまいがちである。その結果、個々の情報システムに固有のセキュリティリスクを見逃してしまうことにもなりかねない。
加えて、政府機関におけるセキュリティ投資は年度毎に策定される予算に依存するため、サイバーセキュリティリスクの急激な変化に、予算が足りずに十分な対応できないという課題もある。
政府統一基準の目指すものは自らリスクを判断すること
翻って、政府統一基準の位置づけを確認すると、その冒頭には次のように記載されている。
情報セキュリティの基本は、… それぞれの府省庁が自らの責任において情報セキュリティ対策を講じていくことが原則である。しかし、… 統一的な枠組みを構築し、それぞれの府省庁の情報セキュリティ水準の斉一的な引上げを図ることが必要である。本統一基準は、… 統一的な枠組みの中で、それぞれの府省庁が情報セキュリティの確保のために採るべき対策、及びその水準を更に高めるための対策の基準を定めたものである。つまり、政府統一基準はあくまで統一的な「水準」を示したものであり、本来は個々の情報システムの固有の守るべき(確保すべき)ものを吟味する必要があるということだ。政府機関で情報システムに対応する組織では、この政府統一基準の位置づけを十分に理解して、率先してリスク分析などを行うべきである。
とはいえ、変化の激しいサイバーセキュリティ環境の現状を鑑みると、「自らの責任」で情報セキュリティ対策を講じることが困難な時代であることも事実だろう。各政府機関が保有する情報システムには、それぞれ個別の目的や機能があり、確保すべきものもリスクも情報システム毎に異なる。そうした情報システムの特徴と最新のサイバーセキュリティ環境を組み合わせて思考し続けなければ、適切なセキュリティ対策を取ることができないだろう。
適切なセキュリティ対策を取るためには、政府機関の中に「自らの責任」でリスクを判断できる人材を育てることが大事であり、中長期的に解決すべき課題である。
本文中のリンク・関連リンク:
- 政府機関の情報セキュリティ対策のための統一基準(平成28年度版)は、2016年8月31日に開催されたサイバーセキュリティ戦略本部第9回会合にて公表された。
- IPA「情報セキュリティ10大脅威」 2016年度版 / 2014年度版
- 日本年金機構プレスリリース(2015年8月20日)「不正アクセスによる情報流出事案に関する調査結果報告について」
- トレンドマイクロ社のプレスリリース(2016年9月12日)「法人組織におけるセキュリティ対策 実態調査 2016年版を発表」