1.内閣サイバーセキュリティセンターとは？

内閣サイバーセキュリティセンターとは、2014年11月に成立した「サイバーセキュリティ基本法」に基づいて、2015年1月に設置されたものです。内閣に「サイバーセキュリティ戦略本部」が設置されたのと時を同じくして、内閣官房に「内閣サイバーセキュリティセンター」が誕生しました。内閣サイバーセキュリティ―センターは、英語で「NISC」と表記されます。これは、National center of Incident readiness and Strategy for Cybersecurityの略です。内閣官房副長官補をセンター長とし、副センター長、内閣審議官、サイバーセキュリティ補佐官の元に、6グループが活動しています。各グループの担当分野は「基本戦略」「国際戦略」「政府機関総合対策」「情報統括」「事業対処分析」「東京2020」「重要インフラ」です。

サイバーセキュリティ政策に関する計画や立案、技術動向などの調査、研究分析は、「基本戦略グループ」が行っています。サイバー攻撃に対する防御は世界各国が協力して行う必要があり、この窓口となるのが「国際戦略グループ」です。「政府機関総合対策グループ」では、情報セキュリティ対策を推し進めるために必要な統一的な基準を作り、運用、監査までを行います。日々進化するサイバー攻撃の情報は「情報統括グループ」によって集められ、セキュリティ対策の官民連携を「重要インフラグループ」、不正プログラムの分析などを「事案対処分析グループ」が行っています。また、オリンピック・パラリンピック東京2020大会への対応も担当しています。

2.内閣サイバーセキュリティセンターの役割

サイバーセキュリティセンターでは、さまざまな活動を通じてサイバーセキュリティ戦略本部を支えています。大きな役割は「情報システムに対する不正活動の監視・分析」「重大事象の原因究明調査」「行政各部に対する監査等」「サイバーセキュリティに関する企画・立案、総合調整」の4つです。

行政各部の情報システムに対する不正活動は、国民生活を脅かす重大な問題です。内閣サイバーセキュリティセンターでは、これらの監視、分析を行っています。また、今後起こりえるサイバー攻撃を想定し、備えることも大切な役割です。サイバー攻撃に対して十分な防御が行えないと考えられる重大事象が見つかった場合、この原因を究明して対策を取ることが急務となります。内閣サイバーセキュリティ―センターでは、こうした重大事象の原因についての調査や、行政各部のサイバーセキュリティの確保のために必要な助言、情報提供、監査などを行い、サイバー攻撃への防御を強めています。そのほかにも、サイバーセキュリティの確保に関して施策の企画や立案、総合調整を行い、日々広がりを見せるさまざまなサイバー攻撃に対応すべく活動しています。

3.内閣サイバーセキュリティセンターによる注意喚起

2018年12月21日に内閣サイバーセキュリティセンターによる注意喚起が発出されました。その内容は、サイバー攻撃に関する外務報道官談話を元になされたものです。イギリス、アメリカが、中国を拠点とするサイバー攻撃グループを感知したこととその攻撃を非難する内容で、自由、公正かつ安全なサイバー空間の創出・発展のための取り組みを進めるとして締めくくられています。

これを受け、注意喚起では、個人、職場に対するサイバー攻撃に対し、各自で十分なセキュリティ対策を行うよう促しています。具体的な例としてあげられているのは「不審なメールや添付ファイルを開かないこと」や「OSやプログラムのパッチやアップデートをできる限り速やかに行うこと」といった基本的な対策です。身近なセキュリティ対策については、内閣サイバーセキュリティ―センターが作成した「インターネットの安全・安心ハンドブック」が紹介されています。このハンドブックは、PDF版や電子書籍版スマートフォンのアプリとしてウェブ上で公開されており、サイバーセキュリティに対する基本的な知識から学べるようになっています。

4.サイバー攻撃に合わないための企業での取り組み

サイバー攻撃は、高度な専門知識がなくても、ダークウェブ上で手に入るツールを用いて行うことができるため、犯罪グループやハッカー集団が金銭目的で行うだけでなく、愉快犯的な犯行も多いといわれています。ウェブサイトは常に危険にさらされているといっても過言ではありません。企業が攻撃を受けた場合、顧客情報の漏洩から情報の不正利用などが引き起こされ、企業は大きな金銭的損害とイメージダウンを余儀なくされます。これまでに一般企業、大学、官庁などで不正アクセスやサイバー攻撃による個人情報漏洩事件が起きていますが、注意しなければならないのは、攻撃を受ける団体に大小の区別はないということです。どの企業でも攻撃を受ける可能性があり、どの企業にもサイバーセキュリティが必要不可欠です。

サイバー攻撃に対抗するためには、企業内でセキュリティの担当者を決めておく必要があります。サイバーセキュリティは片手間にできるものではなく、責任を持って対策を推し進めていかなければなりません。担当者が中心となり、セキュリティ対策をルール化して社員に徹底させ、現場の情報と内閣サイバーセキュリティ―センターなどから発信される最新情報をすりあわせていく必要があります。確実に対策が行われているかどうかを定期的に責任者がチェックすることで、次々に出現するサイバー攻撃の手口に対抗していくことも可能になります。実際には、こうした脅威に対応するための情報セキュリティ人材が不足していることが独立行政法人情報処理推進機構が2018年4月に発表した調査で報告されており、セキュリティ人材を育成することの必要性も高まっています。

5.実施すべきセキュリティ対策とは

5-1.セキュリティ対策1：安全なインターネット環境の確立

企業活動にインターネットは欠かせません。サイバーセキュリティの確立には、まず、インターネット環境を常に安全なものにしておくことが必要です。インターネット環境に関する対策として最もよく知られているものといえば、ウイルス対策ソフトを思い浮かべる人が多いでしょう。ウイルス対策ソフトのインストールは有効な方法ですが、導入しただけで安心してしまうようでは、十分な効果は発揮されません。定期的な更新を行ったり、機能を正しく把握、活用することで効果を高めることができます。

社内で利用しているOSやソフトを常に最新の状態に保つことも大切です。最新のバージョンに更新することで、脆弱性が解消され、より強固なセキュリティ対策を施せるようになります。古いバージョンのまま使用していると、隙をついてサイバー攻撃を仕掛けられる可能性が高くなるため、定期的に更新が行われる設定にしたり、更新の通知を見逃さないようにしたりするなど、取り決めとして社員に周知しておくとよいでしょう。企業のパソコンでは許可されているソフトだけを使用することも重要です。パソコン利用の公私混同はサイバーセキュリティの観点からいっても避けるべきポイントであり、ソフト利用を制限することによってパソコンの安全を守ることができます。

5-2.セキュリティ対策2：パスワード設定

パスワードの設定は、セキュリティ対策の基本です。パスワードを設定していない状態は鍵をかけていないドアと同じで、サイバー攻撃が容易な状態になっています。複雑で分かりにくいパスワードを設定し、簡単には侵入できない状態にしましょう。「パスワードをいちいち覚えるのは大変だから」と同じものを使いまわす人がいますが、これは、同じ鍵を使いまわしているのと同じです。1つの鍵を奪われてしまうとすべてのドアが開いてしまいます。パスワードは大文字と小文字を使い、数字や記号を混在させて、簡単に破られないものにしましょう。最低でも8文字以上のものにするとよいです。設定した後も定期的にパスワードを変更し、サイバー攻撃に備えましょう。

5-3.セキュリティ対策3：バックアップを取っておく

十分なセキュリティ対策を行っていたとしても、セキュリティが破られてパソコンに侵入されてしまう可能性はあります。厄介なのは、ランサムウェアと呼ばれるソフトウェアに侵入された場合です。多くのランサムウェアは、侵入後にファイルを暗号化したり、パスワードを勝手に変更したりするため、感染すると自分が作成したデータであっても開くことができなくなります。データにアクセスすると「復元をするには対価が必要」と金銭を要求されることから「ランサム（人質）」という名前がつきました。たとえ、このようなサイバー攻撃を受けたとしても、定期的にバックアップを取っていれば焦る必要はありません。「週に1度」などタイミングを決め、習慣づけてバックアップをとるとよいでしょう。災害やウイルス対策としても有効です。

5-4.セキュリティ対策4：不審なメールを見極める

ウイルスの侵入経路として多いのがメールによるものです。不審なメールを見極められるように、日ごろから疑いの目をもってメールを確認するようにしましょう。不審なメールの中には、巧妙に作られたものもありますが、一見しておかしいと気づくことができるものも多数あります。例えば、文章が不自然なものや、差出人が不明といったメールは、不審メールの可能性が高いです。少しでも不審に思う点があったら作業を中断し、システム管理者に連絡してください。

不審なメールによるサイバー攻撃としてよく知られているのが「標的型攻撃」です。これは、メールに添付したファイルや、リンクを貼ったURLへの訪問によってウイルスに感染させる方法で、愉快犯的犯行は少ないといわれています。金銭的被害が多発している手法なので注意が必要です。標的型攻撃の場合、メールの文章が自然で、差出人が明記されていても、添付ファイルの拡張子やアイコンが通常と違うことによって不審なメールかどうかを判断できます。不審なメールであることを見抜き、簡単にファイルを開いたりURLをクリックしたりしなければ防げるものでもあるため、各人のサイバーセキュリティに対する意識の高さが防御に繋がります。

5-5.セキュリティ対策5：情報は極力持ち出さない

「社内にあるものの多くは秘密事項だから外部には持ち出さない」と意識を高く持っていられればよいのですが、安易な気持ちで情報を持ち出してしまい、情報が流出した事例は多くあります。会社での仕事が終わらず自宅に持ち帰って仕事をする、といったことはよくあることかもしれません。しかし、もしデータの入ったUSBを紛失してしまったら、その情報が不正に使用されてしまうかもしれないと想像することができれば、情報を安易に持ち出すことは減るでしょう。自宅のパソコンがウイルスに感染していた場合は、持ち帰った仕事のデータを通じて社内のネットワークにウイルスをばらまくことにもなりかねません。

情報の持ち出しは、こうした人為的なミスに繋がる可能性が高いです。必要のない情報持ち出しは避け、どうしても持ち出す必要がある場合は許可を得ることにし、企業側は情報の内容や持ち出した人物を把握しておくようにしましょう。情報の暗号化やファイルにパスワードを駆けることも有効です。データの持ち出しに報告が必要だったり、データの暗号化が求められたりすることは、社員一人ひとりの意識を高めることにも繋がるでしょう。

6.サイバー攻撃の脅威から身を守ろう！

インターネット上に国境はありません。サイバー攻撃は今や一部の特別な人が行うものではなく、全世界から多くの悪意のある実行者によって無差別に向けられるものとなりました。個人か、企業か、また、企業の場合は規模がどれくらいかなどといったことは問われず、インターネットを利用していれば、誰でもサイバー攻撃を受ける可能性があります。攻撃から身を守るために最も有効なのは自衛をすることといえるでしょう。企業の場合は使用しているパソコンの台数が多く、働いている人のサイバーセキュリティに対する意識もさまざまです。企業のサイバーセキュリティ対策では、十人十色の意識を一定レベルに統一し、すべてのパソコンに対して同じようにセキュリティ対策を施さなければなりません。

セキュリティソフトの導入やパスワードの設定は以前からあるセキュリティ対策ですが、しっかりと活用することでサイバー攻撃を受けるリスクを下げることができます。不審メールを見抜く方法などは社員教育によって周知することが可能です。今すぐできる対策から始めて、自分の身は自分で守る意識を高めていきましょう。