経団連(中西宏明会長)は9月25日、東京・大手町の経団連会館で4月13日に続いて2回目となる「サイバーセキュリティ経営トップセミナー」を開催し、経営トップら約330名が出席した。2017年に世界中で大きな被害をもたらしたランサムウェア(注1)WannaCryの事例(注2)から得られた教訓等について、講演とパネルディスカッション(モデレーター=梶浦敏範経団連サイバーセキュリティに関する懇談会座長)を通じて、政府・企業の立場からそれぞれ振り返るとともに、米国のサイバーセキュリティ専門家からサイバー攻撃への防御について説明を聞いた。講演の概要は次のとおり。
■ 村山厚 日立製作所サイバーセキュリティ技術本部長
ウイルスに感染したことにより、社内ネットワークへ接続しているシステムに障害が発生した。セキュリティパッチ適用が常習化しているパソコンでは被害がなかったが、業務都合でタイムリーなセキュリティパッチ適用ができない業務サーバーや、汎用OSが組み込まれている設備機器の一部が感染した。
感染被害への対応を通じ、必要に応じたネットワークの分離や開発・製造現場を含めたIoT/OT(Operational Technology)環境へのセキュリティ対策を徹底することの重要性を痛感した。
今回の事案を踏まえ、最高情報セキュリティ責任者(CISO、Chief Information Security Officer)の創設等の組織改革、リスクや対策状況の可視化、脅威情報の収集・分析能力の強化等のセキュリティ対策を実施している。各企業がこうした取り組みを強化することは重要だが、一企業だけの対策では効果が限定的になる。社会全体におけるサイバーセキュリティエコシステムの確立に向け、産学官の連携強化が極めて重要である。
■ 三角育生 内閣審議官
わが国においては今回の事案で人命や重要サービスに影響を及ぼす被害は発生しなかったが、諸外国では医療サービスが中断するなどの被害があった。政府としては、20年の東京オリンピック・パラリンピック競技大会等の開催に向け、サイバーセキュリティの確保のため、万全の対策を講ずる予定である。その一環として、サイバーセキュリティ基本法の一部改正案を国会に提出している。改正法案には、官民が連携して情報共有を図り、必要な対策等について協議するための「サイバーセキュリティ協議会」の創設や、協議会の構成員に対する秘密保持や情報提供等の遵守事項が盛り込まれている。20年の東京大会だけでなく、19年のG20等のサイバーセキュリティの確保に万全を期すため、早期の法案成立が不可欠である。
あわせて政府は、サイバーセキュリティ戦略を7月に閣議決定し、関係機関の一層の能力強化を図っている。
■ ライジーア・ゼルート IronNet Cybersecurity社ヴァイスプレジデント(IPA国際トレーニング講師)
世界中でサイバー攻撃が激しさを増すなか、日本に対する攻撃も、14年から16年にかけ毎年倍増している。オリンピック・パラリンピック東京大会の開催時期が近づくにつれ、送電網や鉄道等、物理的なアセットを持つ企業への攻撃の危険性が高まると考えられる。
対策として、AI等を活用した技術的な対応や人材育成に加え、国内における官民での情報共有やグローバルレベルでの情報共有体制を確立する必要がある。さらに、あらゆる部門やレベルでのセキュリティ人材に対する教育・訓練の実施が欠かせず、IPA産業サイバーセキュリティセンターで「国際トレーニング」を実施している。
(注1)ランサムウェア=感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にした後、元に戻すことと引き換えに「身代金」を要求する不正プログラム
(注2)WannaCry=Microsoft Windowsを対象に、17年5月12日から大規模な攻撃が開始され、150カ国の23万台以上に感染するなど世界中を混乱に陥れた
【産業技術本部】