公共インフラもサイバー攻撃の対象に 自治体・事業者の双方が対策を

サイバー攻撃の手法が多様化、複雑化、巧妙化する中、重要インフラに関わる自治体や事業者の対策は急務だ。サイバーセキュリティをめぐる環境変化への対応を求められる当事者は、何か参考にできるものが必要だ。そこで総務省では、テレワークやクラウドワークに関するガイドラインの策定や改定を進めている。

廣瀬 一朗(総務省サイバーセキュリティ統括官室 参事官補佐)

「サイバー攻撃では、次第に目的や対策が変化しています。攻撃の手法は多様化、複雑化、巧妙化し、地政学的な国家による関与も見えて対策は安全保障にも関わるものになっています」。総務省サイバーセキュリティ統括官室参事官補佐の廣瀬一朗氏は、こう語る。

2021年11月には徳島県の町立病院がランサムウェアの攻撃を受け、電子カルテのシステムが暗号化されて予約受け入れを一時停止することになった。また、地方公共団体におけるマルウェア「Emotet(エモテット)」の感染事例では、メールの添付ファイルを開封した際に感染し、Emotetのメールがさらに送信されて感染が拡大した。

海外でも多くの国で、重要インフラや社会基盤へのサイバー攻撃が起きている。政府や大企業だけでなく地方公共団体や中小企業、医療機関などでも、他人事ではなくなっている。

コロナ禍にテレワークのガイドラインを全面改定

このような中、総務省は関係省庁と連携し、電気通信事業者や放送事業者、地方公共団体に対し、対策の見直しや強化を呼びかけている。また、政府の「サイバーセキュリティ戦略本部」では「サイバーセキュリティ戦略」を策定・改定し、特に守らなければいけない14分野のインフラを「重要インフラ」に指定している。総務省の所管では、電気通信や放送、地方公共団体がこれに指定されている。

2021年9月に閣議決定されたサイバーセキュリティ戦略では、①デジタルトランスフォーメーション(DX)とサイバーセキュリティの同時推進、②公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保、③安全保障の観点からの取組強化、という3つが柱になっている。

これらを受けた総務省の取り組みの大枠として、情報通信分野におけるサイバーセキュリティの確保がある(図参照)。「総務省では安全で信頼できる情報通信インフラ機器サービスを実現する観点から、様々な施策を推進しています。また、情報通信に加え、地方公共団体の情報セキュリティポリシーでもガイドラインを作っています。今回の改定内容には、クラウドサービスやテレワーク関係が含まれます」と廣瀬氏はいう。

図 総務省のサイバーセキュリティに関する取組の大枠

今回のウェビナーではテレワークとクラウドサービスのセキュリティについて重点的に解説した

 

総務省は従来からテレワークのセキュリティガイドラインを策定していたが、2020年以来のコロナ禍でテレワークが広がったこともあり、2021年5月に全面改定した。また、専任のセキュリティ担当者がいない中小企業も対応できるよう、チェックリストを作成した。

「改定ではまず、テレワークの方式を再整理しました。そして経営者・システム管理者・勤務者の役割を、それぞれの立場で明確化しています。また、トラブルについて具体的事例も含めて全面的に見直しました。さらに、テレワークで活用される代表的なソフトの設定で、解説資料も作成しています」と廣瀬氏は説明した。

ガイドラインにおける立場に応じた役割は、以下のようなものだ。まず、経営者はリスクを検討して対応方針を示し、責任者を決定する。システムセキュリティの管理者は、それを具体化してポリシールールを作る。さらにテレワークの勤務者は、ルールをしっかり理解して、それに従うことが求められる

クラウドサービスの適切な設定に関する指針も策定

一方、総務省では2014年に「クラウドサービス提供における情報セキュリティ対策ガイドライン」を策定し、2018年に改定した。さらに、コロナ禍におけるクラウドサービス利用の高まりや環境の変化を踏まえて改定を検討し、2021年9月に第3版を取りまとめた。

「クラウドサービスではデータセンターの中にクラウドのシステムやサーバがあり、クラウドもIaaS/PaaS/SaaSのように色々な種類があります。このような中、提供者側とユーザー側、利用者側がどこまで責任を持つのかという点で注意が必要になっています」。

総務省ではまた、2022年夏頃までに「クラウドサービス利用・提供における適切な設定のためのガイドライン(仮称)」を策定し、公表する予定だ。廣瀬氏は、「地方公共団体の関係でもあるSaaSのサービスで必ずしも適切な設定が行われておらず、意図しない情報漏洩が起きる事案がありました。そのような事故の原因を分析し、様々な提供者の先進的な事例を整理した上でガイドラインを策定します」と話した。

クラウドサービスに関しては、「政府情報システムのためのセキュリティ評価制度(ISMAP)」がある。「共通する基準は政府全体で一元化してISMAPのサービスリストに登録し、各省庁が独自に要件を追加したければ追加できる仕組みです。ISMAPには一昨年以来、34サービスが登録されています。今年4月からは独立行政法人等の調達も、その対象です。今後はセキュリティリスクの小さい業務情報を扱うシステムが利用するクラウドサービス、SaaSに対する仕組みも策定する方針です」。

情報セキュリティに関する総務省の政策には、人材育成の取り組みもある。例えば、情報通信研究機構(NICT)における高度なセキュリティ人材育成の一環として、実践的サイバー防御演習の「CYDER(サイダー)」を行っている。国だけでなく地方公共団体の職員も対象になっており、全都道府県で開催している。

また、「スマートシティセキュリティガイドライン」はスマートシティの推進で、多様な関係主体が講じるべきセキュリティ対策や留意事項などを示している。2020年に第1.0版が、翌年には改定した第2.0版が公表された。

このほか、総務省では経済産業省と連携し、地域セキュリティコミュニティの形成にも取り組んでいる。「例えば、中小企業や医療機関など、個別ではセキュリティ対策が難しい団体の皆様をコミュニティという形でまとめ、情報共有の枠組みを作ります。コミュニティで行われるセミナーや、インシデント演習の支援も行っています。総務省の地方局である総合通信局が事務局で、関心をお持ちの方はそちらにご連絡いただきたいです」。