2017年12月19日

経産省、サイバー防衛の経営指針を
改定 情報資産保護 ~ 第2の防衛ラインを

セキュリティ・コラム by MM総研所長 中島洋

 経済産業省が企業向けに策定しているサイバー攻撃から情報資産を守るための「経営指針(ガイドライン)」を根本的な視点から改定する。この経営指針2015年12月に初めて策定したものだが、早くも改定である。サイバー攻撃の進展が急すぎる、ということを示しているが、実際、改訂版の新経営指針も、刻々と変わってゆく実態に追いつけているかどうか、疑問に思うところがある。

 報道によると、改定の要点は「現在は攻撃を未然に防ぐことに重点を置いているが、攻撃が巧妙化して感染企業が増えている現状に合わせて、感染初期に早めに検知したり、被害から早期に復旧したりすることを企業に求める」ところにある。つまり、「未然防止」は難しい、という判断に立ったという。従来の「侵入を防ぐ」という観点から、「完全には防げない」と現実を認識したことは前進である。

 セキュリティソフトの大手メーカーが「完全な防御は難しい」と表明したのはすでに2、3年も前である。それではセキュリティソフトが無意味かというとそうではない。最新のソフトはこれまでに発見された攻撃に対して効果はある。ただ、次々と巧妙な攻撃手法が編み出されて来るため、新しい攻撃の対策を講じるまでに「隙」ができるので、「完全だと油断しては困る」というわけである。過去の攻撃手法は防げる。もしソフトを入れて置かなければ、膨大な古い攻撃も防げずに、サンドバックのように攻撃を受け続ける羽目に陥る。

 経産省の経営指針もようやく「防ぎきれない隙がある」という認識に立ったわけだが、それでも、まだ、認識不足なところがある。

 情報資産の防衛技術の発達によって、情報資産によっては、第2の防衛ラインを敷くことが可能になって来ている。残念ながら、DDoS攻撃のように大量のデータを浴びせかけてWebサイトの機能をマヒさせるような攻撃は第2の防衛ラインでも難しいかもしれないが、「情報資産の改ざん」や「情報資産の窃盗・流出」のような攻撃については第2の防衛ラインが登場している。たとえば、「ブロックチェーン」のように記録台帳を分散させる方法もある。あるいは情報を盗む攻撃に対しては「秘密分散処理」のように情報を分割保管する技術も近年、急速に発達してきた。

 情報の種類によっては、「完全に守る」ことも可能である。経産省の新しい経営指針では「完全に守り切れない」という方向に振り子が振れ過ぎてしまったような気がする。新しい防御技術の進展があることを理解して、きめ細かな指針にしてもらうと、情報資産を守る使命を帯びた情報管理者にはありがたい。

ZenmuTech からのコメント by CTO 友村清

 経済産業省が情報セキュリティ対策として、従来の「侵入を防ぐ」という観点から、 「完全には防げない」と 現実を認識したことは大きな変革である。これからは、「情報を守る」から、「情報を守らない」へ考えを 変えていくことが重要である。 「情報を守らない」というと、大半の方々がダメだしをするだろう。 しかし、秘密分散などの技術がこれを可能にする。情報を意味のないデータに変換・分割し、無意味化するのである。すなわち、無意味化された情報は、それ自体ではゴミ・データであるので、「守らない」を実現できる。

ZENMUから始まる未来は、こちら

Inquiry
Inquiry

Request documents
Request documents

CONTACT

Inquiries

Feel free to contact us.
Online seminars are also held as needed.