NIS-Be通信+(No.10)

《TOPIC》

  • セキュリティのさじ           :続く海外のサイバー攻撃/日本のセキュリティ対策への評価
  • NIS-Be最新情報                :CMMC関連(CMMC迷走中等)
  • コラム         :eシール
  • One TERM(用語解説)        :サイバー防御その2(フォレンジック前編)

【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】

●7月も、米国で大規模なサイバー攻撃が発生したと報道されています。今回はソフトウェア製品を使ったサイバー攻撃で、昨年末の「ソーラーウィンズ事件」と類似性を感じますが、ロシア系のハッカー集団が犯行声明をすでに出しているようで、暗号資産で7000万ドル(77億)の要求をしている模様です。

 後を絶たないサイバー攻撃に、6月16日の米ロ首脳会談でバイデン大統領から「重要インフラへのサイバー攻撃の禁止」との主張がされ、ロシア側も「米国からの攻撃が最多」と反論したと報道されていますが、今回の「サイバー攻撃」や「闇サイト消失」は、米・露の様々なせめぎ合い結果の現れとも思われ、引き続き目が離せません。

参考「米ロ首脳会談、バイデン・プーチン両氏の記者会見要旨」:日経新聞 6/18
 「米でまたサイバー攻撃、1000社影響も ITサービス狙う」:日経新聞 7/ 5
 「米サイバー攻撃、ロシア系集団が声明 『100万超が感染』」:日経新聞 7/ 5
 「米サイバー被害、最大1500社に 身代金77億要求」 :日経新聞 7/ 7
 「米企業攻撃のロシア系集団、闇ウェブサイト消失:日経新聞 7/14

●最近発表された英国シンクタンク(IISS:国際戦略研究所)の7つのカテゴリーによる評価では「現在の日本のセキュリティ対策レベルは3段階の一番下」とのことです。評価が低かったのは「情報収集」や「攻撃能力」で、憲法上の制約がネックとの記事も出ています。評価対象となった欧米やアジアの主要15カ国の中で後塵を拝したかたちですが、前号紹介の新しい「サイバーセキュリティ戦略」の策定だけでは、他の諸国に追いついていくのは難しいのかもしれません。

 この事態を強く問題視する記事も出ており、「サイバー敗戦」といういささか刺激的な見出しとともに、憲法21条「通信の秘密」の改正も視野に検討を進める必要があるのではという問題提起がなされています。

 ただ、憲法改正は大きな政治テーマになることが必然ですぐに実現するとは思えなく、まずは現行の枠内で、新しい戦略に沿って対応する必要があると政府も考えている節があります。7月7日の戦略本部の会議で「中国、ロシア、北朝鮮を脅威」と明記した「サイバーセキュリティ戦略(案)」を確定させるのに合わせて、セキュリティ統一基準(案)と2022年度予算での重点項目(案)もまとめています。

 ところで、先のシンクタンクの発表でトップはどこかと言えば、予想通り米国です(ちなみに中国、ロシアは第二グループ)。その米国でさえ大規模なサイバー攻撃にさらされ続けており、より厳しい対応を盛り込んだ大統領令が5月12日に発出されています。

 その内容を読むと、最新の技術動向(多要素認証やゼロトラストアーキテクチャ)にも目を配りながら、スピード感をもった具体的な対応を求めていることに驚かされます。NIS-Beサイト「5月の大統領令CMMCの行方は?」の記事の中で、大統領令の和訳版(機械翻訳)が登録されていますので、ご覧になってみてください。

参考「日本のサイバー能力『最下位グループ』 情報収集に弱点」:日経新聞  6/31
 「サイバー大規模攻撃へ対策強化 政府、予算の重点案決定」:日経新聞  7/5
 「不作為のサイバー敗戦 憲法が映す日本の死角」:日経新聞  7/9
 「次期サイバーセキュリティ戦略(案)」:NISC     7/7
 「わが国のサイバーセキュリティの改善に関する大統領令」(和訳)NIS-Beサイト

NIS-Be最新情報:更新情報、活動報告、海外最新情報】

更新情報

 6月1日にリニューアルしたNIS-Beサイトは、順次内容の充実を図っています。

 7月は、CMMC関連の記事や解説を集中して取り上げました(「CMMC迷走中?」「5月の大統領令CMMCの行方は?」「CMMCプログラムの行方に変更はあるのか?」)。

 当通信の「海外情報」でも、CMMC関連で混乱を感じさせる記事や否定的なトーンの記事が目立ちますが、「生みの苦しみ」のさ中にあるCMMCを、期待感を込めつつ見定める必要があるという思いからまとめております。下記URLから、是非一読ください。

海外情報(ヘッドライン)※記事の詳細はNIS-Beサイトを参照ください。

IPCの幹部「CMMCは産業基盤の縮小を加速する可能性有り」と語るFNN           6/21
中小企業オーナ「CMMCの不確実性が企業の防衛活動を脅かしている」と報告FedScoop      6/24
NISTは「サイバーセキュリティの新リスク管理案」のパブリックコメントを求めるExecutiveBiz    7/8
国防省の幹部が公聴会で「CMMC実施の遅れ」を示唆 JD Supra        7/9
NISTが、ソフトウェアセキュリティ強化にゼロトラストの実装を推奨BreakingDefence 7/14
NISTが、ソフトウェアセキュリティ対策の標準を公開NextGov         7/16

【コラム:eシール】

 筆者:濱口 総志

 本年6月25日に総務省より「eシールに係る指針(以下、指針)」が公表されました。これは、2020年4月から2021年6月までに14回に渡って開催された「組織が発行するデータの信頼性を確保する制度に関する検討会」で検討された「eシールに係る指針(案)」に対して、パブリックコメントを反映した最終版として公表されています。本稿ではこの指針の内容をベースに、この分野で先行する欧州の制度(eIDAS規則)や我が国のデータ戦略タスクフォース、包括的データ戦略(案)におけるトラストに関する検討内容を踏まえつつ、eシールについて解説します。

 eシールは、EUで2014年に批准されたeIDAS規則で・・・・・・・

以降をご覧になるには、NIS-Beサイトを参照ください。

___________________

【One TERM(用語解説)】

●サイバー防御その2(フォレンジック)

 前号では、サイバー防御シリーズの第一弾として、「ゼロトラスト」を取り上げましたが、第二弾として「フォレンジック」を取り上げます。

【フォレンジック:前編】

  「フォレンジック」とは、もともとラテン語由来で、争い事の黒白を決める公開の場であった「フォーラム(広場)」という言葉から来ているそうです。裁判制度が確立した・・・・・・・・・、

 以降をご覧になるには、NIS-Beサイトを参照ください。

—————————————————————————————————

【編集後記】                 

 いよいよ、2020東京オリンピックが始まりました。開会式への筆者の印象は「長いなあ」でしたが、最後の長島さんの登場にはうれしくなりました。皆さんはどう感じられたでしょうか?

 直前までの各種の世論調査では、今の時期の開催に否定的な意見が多かった様ですが、筆者は一貫して開催賛成派でした。

 それは、オリンピックという言葉から、小学校4年生だった1964年の東京オリンピックでの記憶(白黒TVで見た開会式、学校の視聴覚室で見たアベベの快走、無茶苦茶だけど楽しそうな閉会式等々)が呼び覚まされるからかもしれません。

 今の状況では前回の祝祭的な雰囲気は難しいと思われますが、一方で余分な虚飾を排したトップアスリート同士の戦いが見られるのではとの期待があります。また、セキュリティ面では、数年前から各種対策を練り様々な訓練も実施してきたと言われる中、同様に数年前から準備をしていると思われる攻撃側との「裏のオリンピック」の争いにも興味があり、無事に大会を終わらせる事ができれば、日本のセキュリティ対策レベルの評価も2番目程度には向上するかも知れません。

(佃)