2023/10/04
インタビュー
ITは普通に止まる。備えがなければ業務も止まる
東洋大学情報連携学部准教授 満永拓邦氏に聞く

東洋大学情報連携学部准教授
満永拓邦氏 みつなが・たくほう
東洋大学情報連携学部准教授。博士(情報学)。独立行政法人情報処理推進機構産業サイバーセキュリティセンター専門委員。京都大学大学院情報学研究科修了後、民間企業でセキュリティーインシデント対応に従事、その後JPCERT/CC早期警戒グループに着任し、サイバー攻撃の分析などを行う。東京大学大学院情報学環特任准教授を経て現職。セキュリティー人材の育成やAI・DXの調査研究に取り組む傍ら「制御システムセキュリティ入門 : Society 5.0/Industry 4.0時代に向けて社会インフラをいかに守るか」(NTT出版)など、監修執筆も多数。
デジタル技術の進歩に合わせて社会をよりよく変えていくには、ITサービスの高度化が不可欠だ。いまこそイノベーションを起こそうと、官民あげてDXが叫ばれている。が、一方でセキュリティーインシデントも後を絶たない。取り扱うデータの質と量が上がり、サービスレベルが上がれば、求められるセキュリティーレベルも上がる。のみならず、サービスのIT依存が高まるほど、停止したときの影響は大きい。DX時代のセキュリティーインシデント対応について、東洋大学情報連携学部の満永拓邦准教授に聞いた。
マイナンバートラブルで露呈した開発と運用の問題
――官民問わず、セキュリティーインシデントが多発しています。政府のマイナンバー制度をめぐるトラブルでは、カードの返納運動も起きました。昨今の状況をどう見ていますか?
一つ言えるのは、いま発生しているITセキュリティーインシデントの多くは、ものすごく高度なサイバー攻撃とか、防ぐことができないミスとかによって起きているわけではないこと。もちろんそのような事象もありますが、大半は基本的な対策ができていない。そこをしっかりやれば、八割方は防げると思っています。

マイナンバートラブルなどは、その典型です。例えばコンビニのプリンターで他人の証明書が発行されるミスがありましたが、通常はコンピューターに複数のポイントから印刷依頼が来たとき、印刷が前後しないよう正しい順番で処理をするプログラムを組みます。セキュリティー以前の基本的なシステム設計ですが、それがしっかりできていなかった。
コンピューター対プリンターのやり取りなので、コンピューター対コンピューターに比べると、処理能力に限界はあるかもしれません。とはいえ、それも踏まえて設計するのが設計者や開発者の役割です。基礎的な技術力の底上げが、一つ大きな問題だと思っています。
――マイナンバートラブルでは、システムの運用管理とインシデント対応のずさんさも問題になりました。
先に開発面の問題を申し上げましたが、システムをつくったからには放置してよいわけはありません。正常に動いているか、不具合はないか、常に監視するとともに、異常が発生したら適切にエスカレーションする。それは当然必要です。
企業であれば、システムの運用を一元的に監視できる仕組みをつくって常時目を凝らす。そこで内部不正を検知したら総務に報告、情報漏えい事案が発生したら広報に上げてプレスリリース、事業に大きな影響を与えるサイバー攻撃を受けたら役員を招集して危機対応と、例えばそんな具合です。
ただ、現在は組織構造が多層化し、ご指摘のように設計・運用・管理とインシデント対応の仕組みができていないケースも多い。先ほど話にあがったマイナンバーに関するシステム設計や運用でいえば、本来は1700を超える自治体がそれぞれでシステムを考えるのではなく、デジタル庁がすべて取りまとめるべきでしょう。ただ、国が個人のマイナンバーに関連するデータを一元的に運用管理することへの抵抗もあって、国民の合意を取り付けるのが難しい事情もあります。

では自治体が頑張ればよいのかというと、市町村にはITに詳しい人材が多くはいませんから、現実的には困難でしょう。かといって、マイナンバーは国の制度ですから、何かあったときの責任についてITベンダーだけが表に立たされるのはおかしな話です。このように、組織構造によって運用管理と対応の仕組みがあいまいになるのも一つ大きな問題です。
インタビューの他の記事
おすすめ記事
-
自社の危機管理の進捗管理表を公開
食品スーパーの西友では、危機管理の進捗を独自に制作したテンプレートで管理している。人事総務本部 リスク・コンプライアンス部リスクマネジメントダイレクターの村上邦彦氏らが中心となってつくったもので、現状の危機管理上の課題に対して、いつまでに誰が何をするのか、どこまで進んだのかが一目で確認できる。
2025/04/24
-
-
常識をくつがえす山火事世界各地で増える森林火災
2025年、日本各地で発生した大規模な山火事は、これまでの常識をくつがえした。山火事に詳しい日本大学の串田圭司教授は「かつてないほどの面積が燃え、被害が拡大した」と語る。なぜ、山火事は広がったのだろうか。
2025/04/23
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/22
-
帰宅困難者へ寄り添い安心を提供する
BCPを「非常時だけの取り組み」ととらえると、対策もコストも必要最小限になりがち。しかし「企業価値向上の取り組み」ととらえると、可能性は大きく広がります。西武鉄道は2025年度、災害直後に帰宅困難者・滞留者に駅のスペースを開放。立ち寄りサービスや一時待機場所を提供する「駅まちレジリエンス」プロジェクトを本格化します。
2025/04/21
-
-
大阪・関西万博 多難なスタート会場外のリスクにも注視
4月13日、大阪・関西万博が開幕した。約14万1000人が訪れた初日は、通信障害により入場チケットであるQRコード表示に手間取り、入場のために長蛇の列が続いた。インドなど5カ国のパビリオンは工事の遅れで未完成のまま。雨にも見舞われる、多難なスタートとなった。東京オリンピックに続くこの大規模イベントは、開催期間が半年間にもおよぶ。大阪・関西万博のリスクについて、テロ対策や危機管理が専門の板橋功氏に聞いた。
2025/04/15
-
BCMSで社会的供給責任を果たせる体制づくり能登半島地震を機に見直し図り新規訓練を導入
日本精工(東京都品川区、市井明俊代表執行役社長・CEO)は、2024年元日に発生した能登半島地震で、直接的な被害を受けたわけではない。しかし、増加した製品ニーズに応え、社会的供給責任を果たした。また、被害がなくとも明らかになった課題を直視し、対策を進めている。
2025/04/15
-
-
生コン・アスファルト工場の早期再稼働を支援
能登半島地震では、初動や支援における道路の重要性が再認識されました。寸断箇所の啓開にあたる建設業者の尽力はもちろんですが、その後の応急復旧には補修資材が欠かせません。大手プラントメーカーの日工は2025年度、取引先の生コン・アスファルト工場が資材供給を継続するための支援強化に乗り出します。
2025/04/14
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方