2023/10/04
インタビュー
ITは普通に止まる。備えがなければ業務も止まる
東洋大学情報連携学部准教授 満永拓邦氏に聞く
東洋大学情報連携学部准教授
満永拓邦氏 みつなが・たくほう
東洋大学情報連携学部准教授。博士(情報学)。独立行政法人情報処理推進機構産業サイバーセキュリティセンター専門委員。京都大学大学院情報学研究科修了後、民間企業でセキュリティーインシデント対応に従事、その後JPCERT/CC早期警戒グループに着任し、サイバー攻撃の分析などを行う。東京大学大学院情報学環特任准教授を経て現職。セキュリティー人材の育成やAI・DXの調査研究に取り組む傍ら「制御システムセキュリティ入門 : Society 5.0/Industry 4.0時代に向けて社会インフラをいかに守るか」(NTT出版)など、監修執筆も多数。
デジタル技術の進歩に合わせて社会をよりよく変えていくには、ITサービスの高度化が不可欠だ。いまこそイノベーションを起こそうと、官民あげてDXが叫ばれている。が、一方でセキュリティーインシデントも後を絶たない。取り扱うデータの質と量が上がり、サービスレベルが上がれば、求められるセキュリティーレベルも上がる。のみならず、サービスのIT依存が高まるほど、停止したときの影響は大きい。DX時代のセキュリティーインシデント対応について、東洋大学情報連携学部の満永拓邦准教授に聞いた。
マイナンバートラブルで露呈した開発と運用の問題
――官民問わず、セキュリティーインシデントが多発しています。政府のマイナンバー制度をめぐるトラブルでは、カードの返納運動も起きました。昨今の状況をどう見ていますか?
一つ言えるのは、いま発生しているITセキュリティーインシデントの多くは、ものすごく高度なサイバー攻撃とか、防ぐことができないミスとかによって起きているわけではないこと。もちろんそのような事象もありますが、大半は基本的な対策ができていない。そこをしっかりやれば、八割方は防げると思っています。
マイナンバートラブルなどは、その典型です。例えばコンビニのプリンターで他人の証明書が発行されるミスがありましたが、通常はコンピューターに複数のポイントから印刷依頼が来たとき、印刷が前後しないよう正しい順番で処理をするプログラムを組みます。セキュリティー以前の基本的なシステム設計ですが、それがしっかりできていなかった。
コンピューター対プリンターのやり取りなので、コンピューター対コンピューターに比べると、処理能力に限界はあるかもしれません。とはいえ、それも踏まえて設計するのが設計者や開発者の役割です。基礎的な技術力の底上げが、一つ大きな問題だと思っています。
――マイナンバートラブルでは、システムの運用管理とインシデント対応のずさんさも問題になりました。
先に開発面の問題を申し上げましたが、システムをつくったからには放置してよいわけはありません。正常に動いているか、不具合はないか、常に監視するとともに、異常が発生したら適切にエスカレーションする。それは当然必要です。
企業であれば、システムの運用を一元的に監視できる仕組みをつくって常時目を凝らす。そこで内部不正を検知したら総務に報告、情報漏えい事案が発生したら広報に上げてプレスリリース、事業に大きな影響を与えるサイバー攻撃を受けたら役員を招集して危機対応と、例えばそんな具合です。
ただ、現在は組織構造が多層化し、ご指摘のように設計・運用・管理とインシデント対応の仕組みができていないケースも多い。先ほど話にあがったマイナンバーに関するシステム設計や運用でいえば、本来は1700を超える自治体がそれぞれでシステムを考えるのではなく、デジタル庁がすべて取りまとめるべきでしょう。ただ、国が個人のマイナンバーに関連するデータを一元的に運用管理することへの抵抗もあって、国民の合意を取り付けるのが難しい事情もあります。
では自治体が頑張ればよいのかというと、市町村にはITに詳しい人材が多くはいませんから、現実的には困難でしょう。かといって、マイナンバーは国の制度ですから、何かあったときの責任についてITベンダーだけが表に立たされるのはおかしな話です。このように、組織構造によって運用管理と対応の仕組みがあいまいになるのも一つ大きな問題です。
インタビューの他の記事
おすすめ記事
-
情報セキュリティーは個人のリスク目線では通用しない
学生時代からパソコンを使いこなしてきた人が新入社員に多くいる昨今ですが、当然、個人と会社ではセキュリティーの重心が違います。また、人事異動で新たに着任した社員も、業務が変われば情報資産との関わり方が変わり、以前と同じ意識でのぞめばよいとは限りません。新年度にあたり、情報セキュリティーのルールは特に徹底したいところです。
2024/05/10
-
-
サイバーインシデント対応の基本知識と準備
本勉強会では、一般的な情報セキュリティインシデントとサイバーインシデントの違いや、その初動対応について事前に準備すべきことと合わせて、自社で手軽に訓練・演習を実施するためのポイントを解説します。2024年5月8日開催。
2024/05/09
-
-
炎上の原因はSNS上の振る舞いのみにあらず
新年度から仲間に加わった新入社員は「デジタルネイティブ」と呼ばれ、友人とSNS で交流するのがあたり前の世代です。が、学生時代と違い、社会人になれば取り巻く環境が変わり、自身の立場も変わる。うかつな投稿が「炎上」につながるケースは少なくありません。新人研修のテーマにSNSリスクを組み込むなどして教育を徹底したいところです。
2024/05/08
-
リスク対策.com編集長が斬る!【2024年5月7日配信アーカイブ】
【5月7日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:令和5年度企業の事業継続及び防災に関する実態調査
2024/05/07
-
-
-
家庭の防災は企業BCPとつながっている
昨今は社員の自主防災力向上に努めている企業も多いでしょう。この時期は災害時のルール周知に余念がないと思いますが、ポイントとして提案したいのが、家庭の防災と企業BCP のつながりをしっかり伝えること。「家庭と会社は別」と考えがちですが、家庭の防災力を上げないと企業の事業継続力も上がりません。メッセージを出すよいタイミングです。
2024/05/02
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方