2020年10月号
サイバー大災害はあり得る
セキュリティの自給構造を
後藤厚宏 氏
(ごとう・あつひろ)
1984年東京大学大学院工学系研究科情報工学専攻博士課程修了(工学博士)。NTT研究所にて研究開発等に従事。2007年よりNTT情報流通プラットフォーム研究所長、2010年よりNTTサイバースペース研究所長。IEEE Computer SocietyのBoard of Governor、情報処理学会理事、enPiTセキュリティ分野代表を歴任。2011年7月より情報セキュリティ大学院大学教授。2015年11月より内閣府SIPプログラムディレクター、2019年2月よりサイバーセキュリティ戦略本部員を併任。2017年4月より学長
情報セキュリティ大学院大学
学長
後藤厚宏 氏
「コロナはDXにとって強風の追い風。このまま走ろう」。情報セキュリティ大学院大学の後藤学長は、DXの加速にこう大きな期待を寄せるが、その上で欠かせないのがセキュリティの強化だ。サイバー攻撃がフィジカル空間に到達する今後、「サイバー攻撃に起因する大規模災害もあり得る」と後藤学長は警告する。ポストコロナ時代のセキュリティの「ニューノーマル」を聞いた。
●新型コロナウイルスの感染拡大により、社会のオンライン化が急速に進みました。Society 5.0のようなサイバー・フィジカル・システム(CPS)への移行も加速するかと思いますが、サイバーセキュリティをめぐる状況に変化は起きていますか。
後藤 フィジカルとサイバーの両方の世界が連携し合い、大きな価値を創造していくのがSociety 5.0なわけですが、フィジカルとサイバーの融合が進めば当然、サイバー攻撃がフィジカル空間まで到達することになります。
今すでにサイバー犯罪による被害は、非常に大きなものとなっています。ある統計によれば、世界のGDPの0.8%相当、年間6000億米ドルもの損失が生じています。日本では約3兆円の損失です。こうした経済損失が、Society 5.0に向けて、さらに拡大していくリスクがあるわけです。
そこで私は、サイバー・フィジカルのエコシステムを守るためには、次の2つのリスクに対処する必要があると考えてきました。
1つはコネクテッドカーやスマートシティといったIoTのリスクです。例えばコネクテッドカーがサイバー犯罪者によって操作されたら、大変な被害が出てしまいます。
もう1つはサプライチェーンリスクです。米国政府は、特定の中国メーカーの製品を利用する企業を、政府調達から排除すると決めました。今、サプライチェーン全体のセキュリティをマネージすることが大事になっているわけです。
こうした大きく2つの課題がコロナ前からあったわけですが、コロナによって、私たちの「宿題」はさらに増えてしまったと認識しています。コロナで、サイバー犯罪は拡大する可能性があると見ています。
●一体どういうことでしょうか。
後藤 私どもの大学院もそうですが、コロナの感染拡大を受けて急遽、多くの企業が在宅勤務に切り替えました。しかし現状は急ごしらえなので、数多くのセキュリティ課題が生じています。
例えば先日、大手新聞が国内企業のVPNのパスワード漏えいを大きく報じました。また、クラウドの利用が急増するなか、クラウドのセキュリティリスクを指摘する声もあります。
とはいえ、VPNやクラウド自身が悪いわけではありません。ほとんどは、ユーザーの設定ミスや誤操作が原因です。慌てて在宅勤務などを進めなければならなかったため、コロナはこうしたヒューマンエラーを拡大させることになりました。
また、コロナで明らかになった課題としては、サプライチェーンの寸断リスクもあります。中国有数の工業エリアである武漢が都市封鎖されると、日本への輸入も止まりました。以前からサプライチェーンリスクは重要と考えてきましたが、パンデミックなどで経済活動をストップさせないためには、セキュアなサプライチェーンをいかに迅速に復旧できるかがカギだと痛感させられました。
●コロナで、新たなセキュリティ課題が浮き彫りになったわけですね。
後藤 とはいえ、前向きに捉えられる面もあります。私は「テレワーク雪崩」と言っているのですが、デジタルトランスフォーメーション(DX)の推進という意味では、今回のコロナは強風の追い風です。
コロナ前は、「ゆっくりDXをやろう」という風潮だったと思うのですね。レガシーITからの脱却や社内業務の効率化といった「Pre-DX」を経て、本番のDXに取り組もうという2ステップのDXでした。
ところが今回のコロナで、突如DXを強制されました。そして遠隔授業や在宅勤務などを一気にやってみたところ、相当できることが分かったわけです。正直に言えば、私どもも最初はドタバタしました。しかし今では、教職員も学生もかなり慣れました。コロナ前の働き方に戻している企業もあるようですが、多くの企業は同じように感じられていると思います。「だったら、このまま走ろうよ」というのが私の考えです。
ただし、です。そのためには、セキュリティにしっかりと取り組む必要もあります。
「暗黙の信頼」に依存しない
●では、ポストコロナのサイバーセキュリティの「ニューノーマル」はどうあるべきですか。
(聞き手・太田智晴)
続きは本誌をご覧下さい