2023/10/04
インタビュー
ITは普通に止まる。備えがなければ業務も止まる
東洋大学情報連携学部准教授 満永拓邦氏に聞く

東洋大学情報連携学部准教授
満永拓邦氏 みつなが・たくほう
東洋大学情報連携学部准教授。博士(情報学)。独立行政法人情報処理推進機構産業サイバーセキュリティセンター専門委員。京都大学大学院情報学研究科修了後、民間企業でセキュリティーインシデント対応に従事、その後JPCERT/CC早期警戒グループに着任し、サイバー攻撃の分析などを行う。東京大学大学院情報学環特任准教授を経て現職。セキュリティー人材の育成やAI・DXの調査研究に取り組む傍ら「制御システムセキュリティ入門 : Society 5.0/Industry 4.0時代に向けて社会インフラをいかに守るか」(NTT出版)など、監修執筆も多数。
デジタル技術の進歩に合わせて社会をよりよく変えていくには、ITサービスの高度化が不可欠だ。いまこそイノベーションを起こそうと、官民あげてDXが叫ばれている。が、一方でセキュリティーインシデントも後を絶たない。取り扱うデータの質と量が上がり、サービスレベルが上がれば、求められるセキュリティーレベルも上がる。のみならず、サービスのIT依存が高まるほど、停止したときの影響は大きい。DX時代のセキュリティーインシデント対応について、東洋大学情報連携学部の満永拓邦准教授に聞いた。
マイナンバートラブルで露呈した開発と運用の問題
――官民問わず、セキュリティーインシデントが多発しています。政府のマイナンバー制度をめぐるトラブルでは、カードの返納運動も起きました。昨今の状況をどう見ていますか?
一つ言えるのは、いま発生しているITセキュリティーインシデントの多くは、ものすごく高度なサイバー攻撃とか、防ぐことができないミスとかによって起きているわけではないこと。もちろんそのような事象もありますが、大半は基本的な対策ができていない。そこをしっかりやれば、八割方は防げると思っています。

マイナンバートラブルなどは、その典型です。例えばコンビニのプリンターで他人の証明書が発行されるミスがありましたが、通常はコンピューターに複数のポイントから印刷依頼が来たとき、印刷が前後しないよう正しい順番で処理をするプログラムを組みます。セキュリティー以前の基本的なシステム設計ですが、それがしっかりできていなかった。
コンピューター対プリンターのやり取りなので、コンピューター対コンピューターに比べると、処理能力に限界はあるかもしれません。とはいえ、それも踏まえて設計するのが設計者や開発者の役割です。基礎的な技術力の底上げが、一つ大きな問題だと思っています。
――マイナンバートラブルでは、システムの運用管理とインシデント対応のずさんさも問題になりました。
先に開発面の問題を申し上げましたが、システムをつくったからには放置してよいわけはありません。正常に動いているか、不具合はないか、常に監視するとともに、異常が発生したら適切にエスカレーションする。それは当然必要です。
企業であれば、システムの運用を一元的に監視できる仕組みをつくって常時目を凝らす。そこで内部不正を検知したら総務に報告、情報漏えい事案が発生したら広報に上げてプレスリリース、事業に大きな影響を与えるサイバー攻撃を受けたら役員を招集して危機対応と、例えばそんな具合です。
ただ、現在は組織構造が多層化し、ご指摘のように設計・運用・管理とインシデント対応の仕組みができていないケースも多い。先ほど話にあがったマイナンバーに関するシステム設計や運用でいえば、本来は1700を超える自治体がそれぞれでシステムを考えるのではなく、デジタル庁がすべて取りまとめるべきでしょう。ただ、国が個人のマイナンバーに関連するデータを一元的に運用管理することへの抵抗もあって、国民の合意を取り付けるのが難しい事情もあります。

では自治体が頑張ればよいのかというと、市町村にはITに詳しい人材が多くはいませんから、現実的には困難でしょう。かといって、マイナンバーは国の制度ですから、何かあったときの責任についてITベンダーだけが表に立たされるのはおかしな話です。このように、組織構造によって運用管理と対応の仕組みがあいまいになるのも一つ大きな問題です。
インタビューの他の記事
おすすめ記事
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/01
-
-
-
-
-
全社員が「リスクオーナー」リーダーに実践教育
エイブルホールディングス(東京都港区、平田竜史代表取締役社長)は、組織的なリスクマネジメント文化を育むために、土台となる組織風土の構築を進める。全役職員をリスクオーナーに位置づけてリスクマネジメントの自覚を高め、多彩な研修で役職に合致したレベルアップを目指す。
2025/03/18
-
ソリューションを提示しても経営には響かない
企業を取り巻くデジタルリスクはますます多様化。サイバー攻撃や内部からの情報漏えいのような従来型リスクが進展の様相を見せる一方で、生成 AI のような最新テクノロジーの登場や、国際政治の再編による世界的なパワーバランスの変動への対応が求められている。2025 年のデジタルリスク管理における重要ポイントはどこか。ガートナージャパンでセキュリティーとプライバシー領域の調査、分析を担当する礒田優一氏に聞いた。
2025/03/17
-
-
-
なぜ下請法の勧告が急増しているのか?公取委が注視する金型の無料保管と下請代金の減額
2024年度は下請法の勧告件数が17件と、直近10年で最多を昨年に続き更新している。急増しているのが金型の保管に関する勧告だ。大手ポンプメーカーの荏原製作所、自動車メーカーのトヨタや日産の子会社などへの勧告が相次いだ。また、家電量販店のビックカメラは支払代金の不当な減額で、出版ではKADOKAWAが買いたたきで勧告を受けた。なぜ、下請法による勧告が増えているのか。独占禁止法と下請法に詳しい日比谷総合法律事務所の多田敏明弁護士に聞いた。
2025/03/14
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方