サイバー・セキュリティ:防衛省の契約企業との特約事項見直しについて
今般、防衛省は、防衛関連企業との特約事項を見直し、サイバー対策の強化を決定しましたが、本対策は小生からの指摘が反映されたものでありました。
10月27日、小生は内閣委員会における官房長官および国家公安委員長の所信を受けた一般質問において、連日新聞紙上を賑わすいわゆるサイバー攻撃に対する政府の体制について以下の通り指摘をいたしました。
① 報告の義務の見直しについて
防衛省によれば、防衛関連企業との特約事項では、「保護を要する情報の漏えい、紛失、破壊等の事故が発生し又はそれらの疑い若しくはおそれがあったときには速やかに防衛省に報告しなければならない」となっている。しかし、実際には今回報じられた事案では報告が大幅に遅れた。8月17日にコンピューターに異常が認められたにもかかわらず、防衛省への報告は読売新聞の「すっぱ抜き」があった後の9月19日、警察への被害届提出は9月30日であった。それどころか、9月初頭には社内の人物と見られるものが、感染に関して2ちゃんねるで書き込みを行っているのである。
この遅れの背景には、「保護を要する情報の漏洩等の有無」の判断を企業側に任せていること、企業側は発生した事案に対し「恥」の意識を抱き、可能な限り伏せようとしたこと、等があるのではないか。異常が感知されれば直ちに報告が行われるよう改めると同時に、情報漏洩が疑われた場合の対処の詳細なフローを定めるべきである。
② 政府部内の協力態勢の抜本的見直しについて
警察の情報漏洩事件に関連し、アクセスした記録(ログ)の保全に万全を期するべく、政府全体としての見直しが必要である。政府全体のサイバー・セキュリティについては、対処療法ではなく抜本的な見直しを行う時期に来ている。マルウイルスの動き等については、内閣官房の内閣官房情報センター(NISC)の下にある情報収集分析システム(GSOC)や警察庁のサイバー・セキュリティ・センターのリアルタイム分析、情報処理推進機構(IPA)の情報分析、あるいは総務省所管のネットワーク・インシデント対策センター(NICTER)等が重なり合って、縦割り行政の中で友好的に連携できていないと考えるところ、政府として実効的な体制を整えるべきである。海外との窓口についても同様で、政府として実質的で一体となった協力態勢を構築すべきである。
これに対し、NHKのネット版による報道によれば、防衛省による新たな対策は以下の通りです。
防衛省 サイバー攻撃対策発表 11月15日 23時28分
三菱重工業などがサイバー攻撃を受けた問題を踏まえ、防衛省は、防衛関連企業に対し、情報漏えいがないか24時間監視することや、サーバーなどがウイルスに感染した場合は、直ちに報告することなどを義務づける対策をまとめました。
防衛省は、先に、三菱重工業の防衛や原発関連の生産拠点などで、サーバーやパソコンがサイバー攻撃を受けてウイルスに感染したことを重くみて、サイバー攻撃への対策をまとめました。この中では、装備品の調達などで契約を結んでいる防衛関連企業に対し、▽保護すべき情報が漏えいしていないか、24時間監視することや、▽情報にアクセスした記録を3か月以上保存することを求めています。さらに、▽サーバーなどがウイルスに感染した場合は、防衛省に直ちに報告するよう義務づけるとともに、▽関係者になりすましてウイルスを送りつける、いわゆる「標的型メール」攻撃については、社員に対処方法を教育させ、対処できているかどうかを、防衛省が監査するとしています。防衛省は、今月24日に防衛関連企業を集めて説明会を開き、契約の「特約条項」を改正し、こうした対策を徹底する方針を伝えることにしています。これについて、一川防衛大臣は、記者団に対し、「情報管理が厳しく問われている時代に、防衛省は、どの官庁よりもしっかりと管理しなければならないと思っている」と述べました。
私の指摘が活かされ、早急な対策が講じられたことは多としますが、サイバー・セキュリティについては、まだまだ政府の対策は不十分であり、抜本的且ついっそうの対策が望まれるところであり、私としても、今後とも本件について力を注いでまいります。
なお、詳細な議事録は以下のURLから10月27日の内閣委員会へどうぞ。
http://miteiko.sangiin.go.jp/KJSS/UIClass/KAS_0010.aspx