サイバー攻撃は国家の存亡を揺るがす脅威になり得る
先日トヨタのサプライチェーン企業がサイバー攻撃を受け自動車生産の日本の月産の5%にあたる13000台の生産に影響が出ました。その後の日本ならでは素早い復旧体制は素晴らしかったですが、そもそも日本のサイバー空間はどの程度守られているのか。守るために何をやっていていて何をやっていないのかを理解しておく必要があります。
6人で世界すべての人が繋がるように、企業同士の関係を辿ると驚くほど短い関係性で日本の主要企業に結びついていたりします。
日本は回線が速く素早く仕事ができる上、悪用可能なツールがたくさん入っていて脆弱性も放置されバレずに攻撃可能です。世界で1日3万サイトが攻撃されている統計なので日本のこのニュースの無さや個人情報保護法改正により公示条件が定められたのも気づいていないか隠蔽していたかと考える方が自然です。とはいえ国としてのサイバー防衛体制がしっかりしていて法による抑止も効いているなら騒ぐほどではないはずです。
日本のサイバー防衛の体制や法律のヤバさはみなさんの盲点になっていないでしょうか。
少し世界の話をします。
ウクライナが注目を集めていますが、2014年のクリミア併合時ウクライナが軍のシステムがダウンさせられロシア軍侵入の警報が鳴り、復帰したPCから「偽」の招集命令が届き殲滅されたサイバー攻撃がありました。2021年米国コロニアル・パイプラインへのサイバー攻撃は東海岸で消費されるディーゼル、ガソリン、ジェット燃料の45%に影響を与え、2021年水道施設がサイバー攻撃を受け薬品の濃度を100倍にされる攻撃を受けました。攻撃者の滞在時間はたった5分でした。サイバー攻撃は国家の存亡を揺るがす脅威となりつつあります。日本国がどこまで防衛できていてどこからできていないのか見極めないと事業への大きな損害や組織の存亡に関わる可能性も十分にあり得ます。
セキュリティー‐クリアランス(security clearance)がない日本
NISTが運営するNVD(National Vulnerability Database)のゼロデイ情報はセキュリティークリアランス保有者に閲覧制限されています。
日本にはセキュリティークリアランス制度が存在しないため、例え世界のセキュリティ担当者であれば知っている情報を日本の担当者は知らず対処が遅れる事態になります。
自社の知らない脆弱性と攻撃方法が世界は知っていて、日本は知らない状態で組織防衛しなければなりません。これは大いに制度の遅れが脅威になっている例ではないでしょうか。「経済安全保障」を担当する閣僚ポストが新設されましたが、「経済安全保障推進法案」の罰則削除がニュースになるなど法律の目的を見失った議論がなされ早くも雲行きが怪しくなっています。
次のスパイ防止法(防諜法)はセキュリティー‐クリアランス(security clearance)で入口対策とセットになっていない限りスパイ行為への直接的な抑止につながりません。
スパイ防止法自体は恐れられていない、議論されることが恐れられている
スパイ防止法(防諜法)自体は、事後の罰則に過ぎず対応する国際調査能力が伴わなければ意味がありません。従ってスパイ防止法(防諜法)自体が成立してもこれだけではスパイ行為には限定的な抑止力に留まり大騒ぎになるのは不思議に思えるはずです。
よくある反論に特定秘密の保護に関する法律(2013年12月)があるじゃないかなどと反論頂きそうですが、防衛、外交、スパイ、テロかかる情報を国民に知らさない情報を「官僚が」勝手に判断せずに国会決議させるといった法律で毛色がまるで異なります。実際、国際的にはスパイ防止法がない認識だからこそファイブアイズへの加盟ができない状態にあります。
国家公務員法,地方公務員法は守秘義務違反は1年以下の懲役、教唆、共謀した民間人も処罰可とありますが非常に刑が軽く、民間の産業スパイは現行法では間接的に適用する他なくやりたい放題な状態が現実です。
「スパイ防止法」は、国連憲章第51条で認められた独立国の固有の権利であることはご存知でしょうか。
アメリカ合衆国→連邦法典794条、イギリス→国家機密法1条、ロシア→刑法典64条などはわかりますが北朝鮮ですら、北朝鮮→刑法65条と定めています。死刑を最高刑にする国も珍しくはありません。
現在日本ではソフトバンク、JAXA、三菱電機防衛部門へのサイバー攻撃とスパイ事案は多数存在します。スパイは割りに合わないと明確に抑止につながる罰則規定とセキュリティクリアランス、カウンターインテリジェンスと一連の体制としての法律・制度体制の構築を願いたいところです。
日本には2012年まで司令塔、国家安全保障会議がなかった
有事に外交と軍事を総括、調整する司令塔の国家安全保障会議ができたのは第二次安倍政権下です。国家安全保障会議の真髄はDIMEを外交(Diplomacy)、インフォメーション&インテリジェンス(Imformation & Intelligence)、軍事(Military)、経済(Economy)の4つの柱とされます。
この内のインフォメーション&インテリジェンスに対し2014年11月、サイバーセキュリティ基本法が成立、内閣サイバーセキュリティセンターは、2015年1月9日に日本国政府が内閣官房に設置されました。インフォメーション&インテリジェンスは大事な概念なので説明を加えますと、インフォメーションは戦略的コミュニケーションであり、情報戦(プロパガンダ)等に対し集団に対し正当性に関する支持を獲得する目的が据えられます。インテリジェンスは最終意識決定要因になり得る情報体系とその運用実態です。
それまで何も無かったのかと問われれば情報セキュリティ対策推進室は2000年から設置されていましたが位置付けや体制は全く異なります。
NISCの業務対象は現時点では政府機関(中央省庁)に加え、独立行政法人のみです。民間には手引き、ガイドラインを出しているぐらいであり、基本的に民間では自分の組織は自分で守る他ありません。
ではどのように対策の方針を立てていけばいいか。全てはかけませんが脅威インテリジェンスへのアプローチ方法とサプライチェーンマネジメントに関する情報を紹介させて頂きます。
対抗策は脅威ベース型アプローチによる体制構築とサプライチェーンの情報セキュリティマネジメント
多くの日本企業では自組織の資産とリスク(脆弱性)が管理統制できる前提で対応するコンプライアンス型のアプローチがとられていますが、現場ではSaaSサービスやOSS、APIや第三者委託など自組織の管理統制を必ずしも前提にできず実態と管理体制が乖離している状態がみられます。
脅威こそセキュリティリスクを発生させる起点と捉え、攻撃者は最も攻撃が成功すると考える時間・対象・手法(TTPs:Tactics, Techniques and Procedures)を見定め必要なセーフガードを設置しサイバーセキュリティ・サイバーレジリエンス共同作業で多層防御する視点の防衛が実体に対処できると言えるでしょう。アクティブディフェンスの議論が進めばとり得る戦略が広がるので今後に注視しましょう。
サプライチェーンの情報セキュリティマネジメントはまずビジネスのサプライチェーンとサービスのサプライチェーンの2つがある認識の元情報を洗い出しましょう。サービスのサプライチェーンリスクはソーラーウィンドの事件やセールスフォースの脆弱な設定の問題、Codedevなど利用サービスやツールに起因する繋がりのリスクです。
サプライチェーンではリスクマネジメントといえばNIST SP 800-30ではなくNIST SP800-161を参照しましょう。プロセスはリスク管理の枠組み(Framing)、リスク評価(Assessment)、リスク対応(Response)、リスク監視(Monitoring)となっており、リスク管理の枠組み(Framing)をリスク管理の戦略に基づいて管理の制約、レジリエンス、代替策とトレードオフの見極めなどで差異が生まれます。
全ての安全は担保できない中、何を守るべきか優先すべきかを平時に定め訓練し、練習は本番のように本番は練習のようにシステムと連動して組織一丸となって真の脅威に対応できる体制と仕組みづくりを行い、日本の仕組みで足りない部分を自衛できるよう頑張っていきましょう。
以上です。参考になれば幸いです。