ロンドン2億回、リオ数千万件というサイバー攻撃

　オリンピック開催地に東京が候補地として選ばれたあたりから、英国やロシアなど過去オリンピックのサイバー攻撃対策に注目が集まるようになった。ロシアでは、カスペルスキーが対策チームに社員を動員し、ロンドンではBT（British Telecom）がオリンピック委員会、政府機関と連携して大会のサイバー防御にかかわった。

　ロンドン大会では2億回のサイバー攻撃が記録された、リオでは4000万件のサイバー攻撃が確認された、などの報道がなされ、東京大会でも同様なサイバー攻撃が予想されるため、早急な対策、体制づくりが必要と言われている。

　2億回といった数字の根拠や、何を攻撃とみなしての回数なのか、といった議論はある。ポートスキャンを含めた件数なのか、ログファイルに記録されたイベント件数なのか、アラートが上がった回数なのか、それによって、単純な件数ではサイバー攻撃の規模は判断できない。

　ただ、オリンピックという一大イベントに対して、サイバー攻撃が発生しないという事態はあり得ない。対策が必要なのは事実だ。特に、過去の大会事例から、日本に足りていない部分や施策があるならなおさらだ。

サイバーセキュリティ基本法改正の趣旨

　一連の報道や、各業界、および社会のオリンピック気運が高まる中、2016年ごろには本格的なオリンピックのサイバー攻撃対策の検討が始まった。

　まず叫ばれたのは人材不足だが、これはオリンピック以前から叫ばれていた課題だ。サイバーセキュリティ基本法とは別の動きとして、企業が独自にセキュリティ人材教育を強化したり、情報処理促進法の改正により情報処理安全確保支援士制度が導入されたり、一応の対策は進んでいた。

　次にNISC（サイバーセキュリティセンター）の資料では、サイバーセキュリティ基本法（以下、基本法）改正の主旨は、オリンピック開催に向けたセキュリティ対策の産学官の連絡機能強化だ。そのため次の3つの施策を柱としている。

1. サイバーセキュリティ協議会の設置
2. サイバーセキュリティ戦略本部にセクター横断のコーディネーション機能の明文化
3. 公布から1年以内に施行

　それぞれの具体的な狙いはこうだ。まず、オリンピックのような大規模な大会となると、関連業種も広く、省庁・政府機関だろうが民間だろうがサイバー攻撃の情報、兆候をいち早くつかむ必要がある。また、インシデント発生後、適切な対応が取られているかの確認と、そして必要ならば業界への通達・指導などが必要になってくる。

　そのため、現状、省庁関連はNISC、産学はIPA/JPCERT/CCほか、各セクターごとの団体等、複数の組織に分散しているセキュリティ関連のつながりを統合できる枠組みが必要だということだ。

　その枠組みとしてサイバーセキュリティ協議会をつくる。また、情報収集と連携についてある程度の強制力を持たせるため、根拠としてサイバーセキュリティ戦略本部に、インシデント対応の調整業務を明記する。なお、このような情報収集や調整業務を明文化するのは、省庁や企業はインシデント情報を公開したがらない場合があるからだ。もちろん、その場合でも、共有情報には守秘義務が課され、個人情報の扱いに注意するるように配慮されている。

　そして、目的はオリンピックの東京大会のサイバーセキュリティ対策なので、2020年から逆算すると1年以内という施行期日を設定する。

オリンピックは基本法改正の主目的ではない？

　今回の改正案の主旨は明確で、合理性もある。オリンピックに向けた特別な対サイバー攻撃体制も絶対に必要である。しかし、それだけだろうか。あるいは単発のイベントのために基本法まで変える必要があるのだろうか。

　NISCの資料では、改正の主旨に「オリンピックに向けて」との記載があるが、提出されている法案の改正文章には、「オリンピック」やそれに関係する記載はない。つまり、基本法改正は、オリンピック開催だけを目的としたものではないと見るほうが自然だ。

　法律の施行日期日の附則はあるが、時限的な法律である記述はない。ということは、オリンピックが終わっても協議会は存続し、業界を越えた情報収集とインシデント対応・コーディネーション機能を担っていくことが改正の目的だろう。

　産学官のサイバー攻撃情報を一元管理できるしくみ・枠組みは、海外ではそれほど珍しくない。多くの先進国がセクターごとのセキュリティ機関やCSIRT、関連団体以外に、国防や国家安全保障にかかわる領域を担当するCSIRTを持っている。現NISCは国・政府のセキュリティを強化するという役割を持っているが、その強化の一貫と考えられる。

　だとしても、気になる点もある。

【次ページ】桜田五輪相の「PC使わない」問題よりも懸念される「法案成立後の課題」