2023/10/04
インタビュー
ITは普通に止まる。備えがなければ業務も止まる
東洋大学情報連携学部准教授 満永拓邦氏に聞く
東洋大学情報連携学部准教授
満永拓邦氏 みつなが・たくほう
東洋大学情報連携学部准教授。博士(情報学)。独立行政法人情報処理推進機構産業サイバーセキュリティセンター専門委員。京都大学大学院情報学研究科修了後、民間企業でセキュリティーインシデント対応に従事、その後JPCERT/CC早期警戒グループに着任し、サイバー攻撃の分析などを行う。東京大学大学院情報学環特任准教授を経て現職。セキュリティー人材の育成やAI・DXの調査研究に取り組む傍ら「制御システムセキュリティ入門 : Society 5.0/Industry 4.0時代に向けて社会インフラをいかに守るか」(NTT出版)など、監修執筆も多数。
デジタル技術の進歩に合わせて社会をよりよく変えていくには、ITサービスの高度化が不可欠だ。いまこそイノベーションを起こそうと、官民あげてDXが叫ばれている。が、一方でセキュリティーインシデントも後を絶たない。取り扱うデータの質と量が上がり、サービスレベルが上がれば、求められるセキュリティーレベルも上がる。のみならず、サービスのIT依存が高まるほど、停止したときの影響は大きい。DX時代のセキュリティーインシデント対応について、東洋大学情報連携学部の満永拓邦准教授に聞いた。
マイナンバートラブルで露呈した開発と運用の問題
――官民問わず、セキュリティーインシデントが多発しています。政府のマイナンバー制度をめぐるトラブルでは、カードの返納運動も起きました。昨今の状況をどう見ていますか?
一つ言えるのは、いま発生しているITセキュリティーインシデントの多くは、ものすごく高度なサイバー攻撃とか、防ぐことができないミスとかによって起きているわけではないこと。もちろんそのような事象もありますが、大半は基本的な対策ができていない。そこをしっかりやれば、八割方は防げると思っています。
マイナンバートラブルなどは、その典型です。例えばコンビニのプリンターで他人の証明書が発行されるミスがありましたが、通常はコンピューターに複数のポイントから印刷依頼が来たとき、印刷が前後しないよう正しい順番で処理をするプログラムを組みます。セキュリティー以前の基本的なシステム設計ですが、それがしっかりできていなかった。
コンピューター対プリンターのやり取りなので、コンピューター対コンピューターに比べると、処理能力に限界はあるかもしれません。とはいえ、それも踏まえて設計するのが設計者や開発者の役割です。基礎的な技術力の底上げが、一つ大きな問題だと思っています。
――マイナンバートラブルでは、システムの運用管理とインシデント対応のずさんさも問題になりました。
先に開発面の問題を申し上げましたが、システムをつくったからには放置してよいわけはありません。正常に動いているか、不具合はないか、常に監視するとともに、異常が発生したら適切にエスカレーションする。それは当然必要です。
企業であれば、システムの運用を一元的に監視できる仕組みをつくって常時目を凝らす。そこで内部不正を検知したら総務に報告、情報漏えい事案が発生したら広報に上げてプレスリリース、事業に大きな影響を与えるサイバー攻撃を受けたら役員を招集して危機対応と、例えばそんな具合です。
ただ、現在は組織構造が多層化し、ご指摘のように設計・運用・管理とインシデント対応の仕組みができていないケースも多い。先ほど話にあがったマイナンバーに関するシステム設計や運用でいえば、本来は1700を超える自治体がそれぞれでシステムを考えるのではなく、デジタル庁がすべて取りまとめるべきでしょう。ただ、国が個人のマイナンバーに関連するデータを一元的に運用管理することへの抵抗もあって、国民の合意を取り付けるのが難しい事情もあります。
では自治体が頑張ればよいのかというと、市町村にはITに詳しい人材が多くはいませんから、現実的には困難でしょう。かといって、マイナンバーは国の制度ですから、何かあったときの責任についてITベンダーだけが表に立たされるのはおかしな話です。このように、組織構造によって運用管理と対応の仕組みがあいまいになるのも一つ大きな問題です。
インタビューの他の記事
おすすめ記事
-
-
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
-
-
-
2023年防災・BCP・リスクマネジメント事例集【永久保存版】
リスク対策.comは、PDF媒体「月刊BCPリーダーズ」2023年1月号~12月号に掲載した企業事例記事を抜粋し、テーマ別にまとめました。合計16社の取り組みを読むことができます。さまざまな業種・規模の企業事例は、防災・BCP、リスクマネジメントの実践イメージをつかむうえで有効。自社の学びや振り返り、改善にお役立てください。
2024/04/22
-
-
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
-
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
-
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
-
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方