2019年5月号
IoTセキュリティに新技術基準
経営者の横並び意識を打破
竹内 芳明 氏
(たけうち・よしあき)
1962年香川県生まれ。1985年3月東北大学工学部卒業後、同年4月に郵政省(現総務省)入省。2006年7月宇宙通信政策課長、2007年7月電気通信技術システム課長、2008年7月移動通信課長、2010年7月技術政策課長、2011年7月電波政策課長、2014年7月東北総合通信局長を経て、2015年7月に経済産業省大臣官房審議官(IT戦略担当)、2017年7月に総務省総合通信基盤局電波部長。2018年7月から現職
総務省
サイバーセキュリティ統括官
竹内 芳明 氏
サイバー空間と現実空間を融合させた「Society 5.0」の実現を目指す日本政府。そのうえで必要不可欠なのがサイバーセキュリティの確保だが、総務省で今、注目の取り組みが進んでいる。IoT機器にセキュリティ機能の搭載を義務付ける新技術基準、経営者のセキュリティ対策への投資インセンティブを高めるための情報開示の促進などだ。総務省 サイバーセキュリティ統括官の竹内芳明氏に話を聞いた。
●IoT/5G時代、サイバーセキュリティの重要性はますます高まりますが、どのような問題意識をお持ちですか。
竹内 一番重要な問題は、サイバーセキュリティ対策に関して、企業経営層の“横並び”意識が強いことです。「やむを得ない費用」と捉えられがちであり、「投資」としての対策がなかなかできていません。サイバーセキュリティ対策の“出発点”として、経営層のマインドセットを変えていく必要があると思っています。
一方、中小企業や地方の企業・組織になると、“思い”はあっても、人材不足などを理由にサイバーセキュリティ対策をしっかり実行できていない面もあります。そのサポート体制をどうするかも大きな課題です。
また、IoT/5G時代になると、さらに多くの企業がIoTデバイスを活用した事業展開を進めていくことになりますが、現状ではセキュリティ機能のないIoTデバイスが運用されている例も多く見受けられます。
一般のユーザーや利用企業が、セキュリティ機能のない、または不十分なIoTデバイスのメンテナンスをしていくことは困難です。このため、設計段階からセキュリティ機能を埋め込む「セキュリティ・バイ・デザイン」の考え方で開発されたIoTデバイスを普及させていくという発想が、これからは非常に大事になってきます。
●そうした問題意識の中、政府はどういう体制で、サイバーセキュリティに取り組んでいるのでしょうか。
竹内 まず、内閣官房長官が本部長を務める「サイバーセキュリティ戦略本部」があります。政府が指定する重要インフラ14分野を所管する5省庁の大臣や民間有識者などで構成され、ここで政府全体としての大きな戦略を作っています。そして、その下に設置されているのが「内閣サイバーセキュリティセンター(NISC)」です。NISCでは、全体戦略に基づいて各省庁が実施する個々の施策の取りまとめを行っています。
こうした体制の中、総務省も「情報通信」と「地方公共団体」を担当する省として重要な役割を担っています。総務省は昨年7月、サイバーセキュリティ統括官という組織を新たに作り、その下に1名の審議官と3名の参事官を置いて、サイバーセキュリティ政策の立案・実行に取り組んでいます。
IoT認証マークは今年度早期
●総務省では具体的にどんな取り組みをされているのか、まずはIoTセキュリティに関して教えてください。
竹内 総務省は2017年10月、「IoTセキュリティ総合対策」を取りまとめ、5本柱の政策に取り組んでいます。そのうちの1つがIoTデバイスの脆弱性調査及び注意喚起を行うプロジェクト「NOTICE」で今年2月20日に開始しました。
近年、攻撃者がマルウェアを使ってIoTデバイスを乗っ取って実行されるサイバー攻撃が、深刻な脅威になっています。3年前には「Mirai」というマルウェアが10万台以上のIoTデバイスを乗っ取ってDNSサーバーに対して大規模なDDoS攻撃を実施し、アメリカの大手企業のWebサイトが長時間にわたってアクセスできなくなるという大きな被害を受けました。
Miraiに乗っ取られたIoTデバイスは、出荷時のID/パスワードのまま運用されていたと言われています。そこでNOTICEでは、ID/パスワードがデフォルトの設定のままになっているデバイスを実際に調査し、パスワード変更等の対策が必要なデバイスのユーザーに対して、ISPを介して注意喚起を実施します。
●NOTICEはずっと続くのですか。
竹内 法律上は5年間の暫定業務ですが、5年間メリハリなく続けるのではなく、途中で見直しが必要かどうかをレビューする予定です。
将来にわたって、ずっと調査を継続するというのは、効率的ではありません。ですから、新しく導入するIoTデバイスについては、セキュリティ・バイ・デザインの考え方で開発されたものを購入して運用していただくことが必要だと考えています。
そのための施策として、来年4月から新しい技術基準を適用します。(1)アクセス制御機能、(2)デフォルトパスワードのまま運用している場合に変更を促す機能、(3)ファームウェアのアップデート機能を備えていないデバイスは2020年4月以降、通信事業者のネットワークに接続するための技術基準適合証明(技適)を取得できなくなります。
●それは非常に大きな変更ですね。
(聞き手・太田智晴)
続きは本誌をご覧下さい