ITは普通に止まる。備えがなければ業務も止まる
東洋大学情報連携学部准教授 満永拓邦氏に聞く

 

東洋大学情報連携学部准教授

満永拓邦氏 みつなが・たくほう

東洋大学情報連携学部准教授。博士(情報学)。独立行政法人情報処理推進機構産業サイバーセキュリティセンター専門委員。京都大学大学院情報学研究科修了後、民間企業でセキュリティーインシデント対応に従事、その後JPCERT/CC早期警戒グループに着任し、サイバー攻撃の分析などを行う。東京大学大学院情報学環特任准教授を経て現職。セキュリティー人材の育成やAI・DXの調査研究に取り組む傍ら「制御システムセキュリティ入門 : Society 5.0/Industry 4.0時代に向けて社会インフラをいかに守るか」(NTT出版)など、監修執筆も多数。


デジタル技術の進歩に合わせて社会をよりよく変えていくには、ITサービスの高度化が不可欠だ。いまこそイノベーションを起こそうと、官民あげてDXが叫ばれている。が、一方でセキュリティーインシデントも後を絶たない。取り扱うデータの質と量が上がり、サービスレベルが上がれば、求められるセキュリティーレベルも上がる。のみならず、サービスのIT依存が高まるほど、停止したときの影響は大きい。DX時代のセキュリティーインシデント対応について、東洋大学情報連携学部の満永拓邦准教授に聞いた。

マイナンバートラブルで露呈した開発と運用の問題

――官民問わず、セキュリティーインシデントが多発しています。政府のマイナンバー制度をめぐるトラブルでは、カードの返納運動も起きました。昨今の状況をどう見ていますか?
一つ言えるのは、いま発生しているITセキュリティーインシデントの多くは、ものすごく高度なサイバー攻撃とか、防ぐことができないミスとかによって起きているわけではないこと。もちろんそのような事象もありますが、大半は基本的な対策ができていない。そこをしっかりやれば、八割方は防げると思っています。

マイナンバーをめぐるセキュリティーインシデントはカードの返納運動に発展した(イメージ:写真AC)

マイナンバートラブルなどは、その典型です。例えばコンビニのプリンターで他人の証明書が発行されるミスがありましたが、通常はコンピューターに複数のポイントから印刷依頼が来たとき、印刷が前後しないよう正しい順番で処理をするプログラムを組みます。セキュリティー以前の基本的なシステム設計ですが、それがしっかりできていなかった。

コンピューター対プリンターのやり取りなので、コンピューター対コンピューターに比べると、処理能力に限界はあるかもしれません。とはいえ、それも踏まえて設計するのが設計者や開発者の役割です。基礎的な技術力の底上げが、一つ大きな問題だと思っています。

――マイナンバートラブルでは、システムの運用管理とインシデント対応のずさんさも問題になりました。
先に開発面の問題を申し上げましたが、システムをつくったからには放置してよいわけはありません。正常に動いているか、不具合はないか、常に監視するとともに、異常が発生したら適切にエスカレーションする。それは当然必要です。

企業であれば、システムの運用を一元的に監視できる仕組みをつくって常時目を凝らす。そこで内部不正を検知したら総務に報告、情報漏えい事案が発生したら広報に上げてプレスリリース、事業に大きな影響を与えるサイバー攻撃を受けたら役員を招集して危機対応と、例えばそんな具合です。

ただ、現在は組織構造が多層化し、ご指摘のように設計・運用・管理とインシデント対応の仕組みができていないケースも多い。先ほど話にあがったマイナンバーに関するシステム設計や運用でいえば、本来は1700を超える自治体がそれぞれでシステムを考えるのではなく、デジタル庁がすべて取りまとめるべきでしょう。ただ、国が個人のマイナンバーに関連するデータを一元的に運用管理することへの抵抗もあって、国民の合意を取り付けるのが難しい事情もあります。

基本的な技術力の問題とシステム運用管理の問題が浮き彫りに(イメージ:写真AC)

では自治体が頑張ればよいのかというと、市町村にはITに詳しい人材が多くはいませんから、現実的には困難でしょう。かといって、マイナンバーは国の制度ですから、何かあったときの責任についてITベンダーだけが表に立たされるのはおかしな話です。このように、組織構造によって運用管理と対応の仕組みがあいまいになるのも一つ大きな問題です。