NIS-Be通信+(No.9)

《TOPIC》

  • セキュリティのさじ           :海外のサイバー攻撃/日本のサイバーセキュリティ戦略
  • NIS-Be最新情報                :CMMCのFAQ(和訳版提供)
  • コラム(特別寄稿)   :情報管理の認証制度について
  • One TERM(用語解説)        :サイバー防御その1(ゼロトラスト)

【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】

●5月に発生した米国パイプラインへのサイバー攻撃に続いて、6月1日には米国をはじめ世界約190カ国にサービスを提供する食肉大手JBSが、「ランサムウェア」攻撃を受けたと発表しました。「6月2日には操業再開」されたとも報道されていますが、消費者へ直接影響を及ぼすサプライチェーンへの攻撃の怖さを感じます。

 また、米国パイプラインの被害に関しては「身代金の大半奪還」との報道もされていますが、ある意味「米国のメンツ」を賭け、反撃による「抑止力の維持」に向けた特別な対処とも感じられます。

 サイバー攻撃に備えて保険に加入しても欧米では「支払いを禁じる」動きもあると報道されており、まずは地道なセキュリティ対策を実施する重要性に変わりは無いと思います。

参考 「食肉工場がサイバー被害、米「ロシア」から攻撃」              :日経新聞 6/2

ランサムウェア攻撃、生活必需産業が標的 被害2000社超」      :日経新聞 6/3

「パイプラインサイバー攻撃、身代金の大半奪還 米法務省」       :日経新聞 6/8

「サイバー防衛へ 情報開示と結束を(The Economist)」          :日経新聞 6/22

●一方国内でも、情報共有ツールへの不正アクセスにより、空港や中央官庁の情報が流出したとの報道がされています。流出による影響は不明ですが、公共性の高い組織の情報だけに今後の被害の拡大が懸念されます。

 では、日本のサイバー攻撃に対する防護はどうなっているのでしょうか。5月14日には、政府の「サイバーセキュリティ戦略本部」において、今後の新しい戦略の骨子が策定されたと報道されました(NIS-Be通信(第5号)の【セキュリティのさじ】で「3年に一回策定され、新しい戦略の検討が開始された」と記述していた件です)。

 骨子を一読したところ、我々も関係する「重要インフラ」について、従来は「各主体が自律的に対応」との原則から「国は積極支援」にとどまっていた表現が「防護に責任を有する国」と一歩踏み込んだ表現に変化していた点と、「(従来型の)境界型セキュリティが限界」と書かれていたのが印象に残りました。

 骨子の詳細はNISCのサイトで閲覧できますので、興味をお持ちの方は一読してみてください。

参考 「成田空港のシステム関連情報が流出か」           :日経新聞 5/20

「富士通、情報共有ツールに不正アクセス、顧客情報が流出」     :日経新聞 5/25

「内閣セキュリティセンターの情報も漏洩 富士通製」         :日経新聞 5/26

「サイバー攻撃「国家のリスク」 政府、インフラ防護重点」      :日経新聞 5/14

「次期サイバーセキュリティ戦略の骨子について(第28回会合)」 :NISCサイト 5/13

NIS-Be最新情報:更新情報、活動報告、海外最新情報】

更新情報

海外情報(ヘッドライン)※記事の詳細はNIS-Beサイトを参照ください。

NISTの幹部「重要インフラの過去の作業を従来基準でレビュー」と語る    :NextGov       5/26

CMMC-ABCEO「アセッサートレーニングが夏後半以降開始予定」と語る  :FCW          5/27

CMMC-ABが「RedSpin社がC3PAOのレベル3要件を最初に達成」と発表     :FCW          6/9

・防衛ビジネス各社調査では「CMMCは不必要な負担とコストを発生」と危惧  :GovCon Wire  6/15

__________________________________________

【コラム知っていますか!日本独自の「情報管理の認証制度」

  筆者:六畑 方之

 「技術等情報管理認証制度」について紹介します。


 この制度は、産業競争力強化法(平成25年法律第98号)を改正し、事業者が保有する技術等の情報(技術及びこれに関する研究開発の成果、生産方法その他の事業活動に有用な情報)が国の示した「守り方」に即して守られているかどうかについて、国の認定を受けた機関による認証が受けられる制度として平成30年(2018年)9月にスタートしました。この制度は、運用が開始されてから間もなく3年を・・・・・・・

以降をご覧になるには、NIS-Beサイトを参照ください。(会員のみ)

___________________________________________

【One TERM(用語解説)】

●サイバー防御その1(ゼロトラスト)

 前号までは「サイバー攻撃」シリーズをお送りしましたが、今号からは、対極となるサイバー防御シリーズをお送りします。その第一弾として、最近よく目にする「ゼロトラスト」を取り上げます。

【ゼロトラスト】

 「ゼロトラスト」という言葉を最初に知った時は、「なにも信頼(トラスト)しない」とは一体何事だと思い、そういった「性悪説」に染められた世界に住みたくないとも思ったものです。しかし、急速に増大するサイバー空間の危険性に対して・・・・・・

 以降をご覧になるには、NIS-Beサイトを参照ください。

—————————————————————————————————

【編集後記】                 

 「ゼロトラスト」の解説を書きながら、頭に浮かんできたアニメがあります。それは「進撃の巨人」です。(以下は、自分の記憶にある個人的なアニメ第一期のあらすじですが・・)

 圧倒的な力を有し人間を食する「巨人」の脅威から逃れるために、「高い防護壁」で居住区域を取り囲むことで、住民は「安全」を勝ち取ったと過信して「安寧」をむさぼります。

 しかしその「安全」は脆いものであって、巨人は急速な進化をとげ、ついには「防護壁」を破壊し、居住区域に侵入したことで、多くの人はなすすべも無く甚大な被害(食われてしまう!)を受けることになります。

 結局その巨人に対抗できたのは、意思を持ち且つ武装した個々の(自立した)人間たちであったという話で、サイバー空間における「境界型セキュリティ対策の限界」との類似性から思い浮かんだんだと思います。

(佃)