連載 第三回 「誰一人取り残さないデジタル社会に向けて」

元内閣サイバーセキュリティセンター副センター長、前経済産業省サイバーセキュリティ・情報化審議官、東海大学情報通信学部/国立情報学研究所 客員教授、三角育生氏が「一人ひとりが安全にデジタルに触れられる環境づくりを」を語ります。

第3回目となります今回は、デジタルの日に合わせて、内閣サイバーセキュリティセンター副センター長、経済産業省サイバーセキュリティ・情報化審議官として日本のサイバーセキュリティ政策を牽引してきました三角育生さんに、サイバーセキュリティの観点から「誰一人取り残さないデジタル社会」についてご寄稿いただきました。来年には警察庁にサイバー局が新設されることからも、社会の一人ひとりが日常生活の基盤としてサイバーセキュリティを捉える意識改革が必要になってきますことより、ぜひ皆様の取り組みにもお役立ていただければ幸いです。

第3回
一人ひとりが安全にデジタルに触れられる環境づくりを

三角育生氏
東海大学情報通信学部/国立情報学研究所 客員教授

今年(2021年)から10月10日/11日はデジタルの日、すなわち「デジタルに触れ、使い方や楽しみ方を見つける日」です。一人ひとりが、デジタルに触れ、チャレンジし、こうしたことを通じて「人に優しいデジタル社会」が進められていくきっかけとなることが、目標として掲げられています。そして、一人ひとりが、安心してデジタルに触れることができるには、安全にデジタルを利活用できる環境を整うことが重要です。

■一人ひとりが直面する情報セキュリティの脅威

しかしながら、例えば2020年度に(独)情報処理推進機構(IPA)が実施した調査[1] によれば、26%以上の人において、実際には不正アクセスは発生していないものの、「何者かがあなたのアカウントに不正アクセスを試みたというメールを受信した」、また、24%以上の人において、「突然ブラウザに『ウイルスに感染した』と警告画面が現れた」といったユーザが不安を感じる場面に遭遇する状況にあります。また、「『あなたのパスワードが漏えいした可能性があります』といった被害を通知する内容のメールに貼られていたURLにアクセスし、ID・パスワードを入力」してしまった、「パソコンに保存していたファイルが暗号化されてしまい利用できなくなった」といった実際の被害に遭ったことのある人は、合わせて数%もいます。

実際に被害に遭うといった経験がなくても、人々は、社会的に影響の大きな事件の報道などに触れれば、仮に被害にあったときの対処方法を知らないときなどに、不安を感じるでしょう。社会的に影響の大きな事件については、毎年IPAが、前年に発生した情報セキュリティ事案とその対策について、「10大脅威」として公表しています。公表までのプロセスは、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定するというものです。今年は1月27日に、「情報セキュリティ10大脅威2021」を公表しました(表1参照)[2] 。

この10大脅威には、個人に係るものと組織に係るものが示されています。そのうち個人に係るものをみると、2020年において社会的に影響が大きかった事件は、その多くが金銭目的で、いわば特殊詐欺のサイバー版のようなものや、クレジット情報などを狙った不正アクセスなどであったといえます。

[1]IPA「2020年度情報セキュリティの脅威に対する意識調査」報告書(脅威調査PC)p28-29から引用。(https://www.ipa.go.jp/files/000088917.pdf)(2021年9月閲覧)

今年になってからも、金銭目的のサイバー犯罪の傾向は、おおむね変わらないようです。例えば、9月の警察庁の発表[3] によると、「インターネットバンキングに係る不正送金事犯は、発生件数が減少したものの、被害額は微減にとどまり引き続き高い水準」であるとしています。その手口は、「SMSや電子メールを用いて金融機関を装ったフィッシングサイトへ誘導する」ものや、「宅配事業者からの荷物の配達連絡を装ったSMSによって、金融機関を装ったフィッシングサイトへ誘導するもの」などであるようです。

表1 情報セキュリティ10大脅威2021 出典:IPA「情報セキュリティ10大脅威 2021」[2]

■中小企業も一人ひとりの場合と同様に

IPAの「10大脅威2021」では、2020年の組織にとっての脅威として、ランサムウェアがトップに挙げられました。ランサムウェアは、「日本人を標的にしたランサムウェアが日本上陸」といわれた2015年に関してから「10大脅威」の圏内に入っています[4] 。ただし、2019年に関するものから個人については圏外となり、組織についてのみ圏内にあります(表2参照)。これは、「従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的であったが、現在では、VPN機器からの侵入等、特定の個人や企業・団体等を標的とした手口に変化しており、企業のネットワーク等のインフラを狙うようになっている」 [5]といったことが理由の一つかと思われます。ランサムウェアの脅威の傾向は今年になっても、上半期には2020年下半期に比べて3倍程度と大幅に増加しています[6] 。そしてその件数の2/3が中小企業でした[7] 。

表2 IPA「10大脅威」におけるランサムウェアの順位[8] (注)「10大脅威」は前年の状況についての評価であるので、その年を西暦として表記。 出典:IPA、「情報セキュリティ10大脅威2016」から「同2021」まで。

中小企業の情報セキュリティに係る対策状況をみると、専門の人材などを十分に有しておらず、また、ITや情報セキュリティに資金を充てることができないことも多い[9]、他の経営課題の優先度が高く、4社に1社はサイバー攻撃への対策をしていない[10] ことがわかります。このような中小企業では、組織的な対策が十分に進まず、従業員一人ひとりが脅威にさらされる可能性も高くなるといえるでしょう。

_[3] 警察庁、「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」令和3年9月9日(以下、「警察庁R3上資料」と表記する。)、p1、p20から引用。
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf)(2021年9月閲覧)
[4]IPA、「情報セキュリティ10大脅威2016」p23参照。(https://www.ipa.go.jp/files/000051691.pdf)(2021年9月閲覧)
[5]警察庁、「警察庁R3上資料」、p4から引用。
[6]警察庁、「警察庁R3上資料」p4参照。都道府県警察から警察庁に報告のあった件数の比較。
[7]警察庁、「警察庁R3上資料」p5を参照。
[8]IPA、「情報セキュリティ10大脅威2016」から「同2021」までの内容に基づき作成。(https://www.ipa.go.jp/security/vuln/index.html)(2021年9月閲覧)
[9] IPA、「サイバーセキュリティお助け隊(令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業)の報告書について」全体まとめ参照。
https://www.ipa.go.jp/security/fy2020/reports/sme/otasuketai_houkoku.html)(2021年9月閲覧)
[10](一社)日本損害保険協会、「『中小企業の経営者のサイバーリスク意識調査2019』を発表」を参照。(https://www.sonpo.or.jp/news/release/2019/2001_02.html)(2021年9月閲覧)
_

■サイバーハイジーンを推進

それでは、一人ひとりが安全にデジタルを利用できるためにはどうあるべきでしょうか。

新たなサイバーセキュリティ戦略では、「実空間における防犯対策や交通安全対策と同様に、サイバー空間における公衆衛生活動として、国民一人ひとりがサイバーセキュリティに対する意識・理解を醸成し」、「リテラシーを身に付け、自らの判断で脅威から身を守れるよう」普及啓発・情報発信が重要であるとしています。そして、一人ひとりが「自らの役割を主体的に自覚しサイバーセキュリティに取り組む」ことを含めて、「『全員参加による協働』に向けた具体的なアクションプランを策定し、地域・中小・若年層を重点対象として、取組推進」を図ることを、「Cybersecurity for All」の一環として、強調しています[11] 。

ここでキーワードとして「サイバー空間における公衆衛生」という言葉が挙げられています。これは、”Cyber hygiene[12]” という考え方に同じと考えてよいでしょう[13] 。例えば、EUの組織であるEuropean Union Agency For Network and Information Security (ENISA)は、2017年2月7日に公開したCyber hygieneの実施状況をとりまとめた文書において、サイバーハイジーンは、個人の衛生(personal hygiene)とのアナロジーで、サイバーの脅威によるリスクを最小化すべく単純なルーティンを確立することに等しいとしており、ベストプラクティスの提示や啓発活動の必要性などを示しています[14] 。

用語の意味みると、Hygieneは、”Principles of maintaining health; practice of these, e.g. by cleanliness [15]”です。日本語では「衛生」であり、「健康の保全・増進をはかり、疾病の予防・治療につとめること」 [16]です。私たちは、健康を維持し、疾病を予防などするために、日々のルーティンとして、例えば、規則正しい生活、食事、休養、手洗い、うがいなどに心掛けているでしょう。また、必要なときにはマスクを着用しますし、予防接種などもします。こうした習慣や行動、知識は、教育・学習や、キャンペーンなど様々な機会で習得します。

サイバーセキュリティについても同様の考え方が適用できます。例えば、我が国政府では、2010年から毎年2月(2015年からは2月1日~3月18日(サイバーの語呂合わせ))をサイバーセキュリティ月間[17] として、様々な参加者を募り、「国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していくこと」についての普及啓発活動を行ってきています。

こうした啓発活動などを通じて、一人ひとりが習慣とすべき日々のルーティンを学ぶことができます。例えば、内閣サイバーセキュリティセンター(NISC)は、わかりやすいハンドブックを公表しており、そこで基本的な対策を示しています。具体的には、

1.システムを最新に保つ。セキュリティソフトを入れて防ぐ。
2.複雑なパスワードと多要素認証で侵入されにくくする。
3.攻撃されにくくするには侵入に手間(コスト)がかかるようにする。
4.心の隙を作らないようにする(対ソーシャルエンジニアリング)。

ということをまず取り組むべきポイントとして示しています[18] 。

また、前述のIPAの「10大脅威」では、基本的な対策として、被害に遭わないようにするべく、騙したり脅したりする手口と相談先を知っておくことであったり、セキュリティソフトの利用、十分な長さのパスワードとして使いまわしなどはしないといったパスワードの管理、二要素認証などを利用可能なときにはそれを用いるといった認証の強化、ソフトウェアのアップデートを着実に行うなどの対策実施を示しています[19] 。

こうした基本的な対策を一人ひとりが理解して、実施していくことは自らを守るという点から重要です。サイバーセキュリティについての普及啓発活動、キャンペーンや教育の実施、推進などは、デジタル化の進展につれ、ますます重要になっていくでしょう。

_[11]内閣、「サイバーセキュリティ戦略」、2021年9月28日閣議決定 p41から引用。(https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021.pdf)(2021年9月閲覧)
[12]初めて使われたのはStatement of Dr. Vinton G. Cerf, Senior Vice President of Internet Architecture & Technology, MCI WorldCom for the Joint Economic Committee, February 23, 2000(https://www.jec.senate.gov/archive/Documents/Hearings/cerf22300.htm)(2021年9月閲覧)においてと言われている。
[13]サイバーセキュリティ戦略では、「サイバーハイジーン」という用語はp31の国際協力・連携-能力開発支援の節で登場するが、その定義は示されていない。国際的な用例に同じと考えてよいと思われる。
[14] ENISA、「Review of Cyber hygiene practices」 p14を参照。なお、この文書の主たる対象は中小企業である。(https://www.enisa.europa.eu/publications/cyber-hygiene)(2021年9月閲覧)
[15]著者が所有するThe Concise Oxford Dictionary new editionの記述を引用。
[16]著者が所有する広辞苑第二版の記述を引用。
[17] NISC、「サイバーセキュリティ月間」参照。2014年までは、「情報セキュリティ月間」であった。(https://www.nisc.go.jp/security-site/month/index.html)(2021年9月閲覧
なお、2007年~2009年は、毎年2月2日を、「情報セキュリティの日」としていた。(https://www.nisc.go.jp/isd/index.html参照。(2021年9月閲覧))
[18] NISC、「インターネットの安全・安心ハンドブック」第1章から引用。(https://www.nisc.go.jp/security-site/handbook/index.html)(2021年9月閲覧)
[19] IPA「情報セキュリティ10大脅威 2021」のp9「情報セキュリティ対策の基本」などを参照。
_

■交通安全対策の例

サイバーセキュリティ戦略では、実空間における「交通安全対策」というキーワードも出てきます。自動車という20世紀を代表するテクノロジーと、今日及びこれからの社会を変革するデジタルテクノロジーとのアナロジーという点で大変興味深いものです。

では、交通安全対策はどうであったかをみるべく、交通事故死者数を指標としてみましょう。昭和30年代、40年代、そして平成当初の時期にはピークがたっており(図1参照)、「交通戦争」とまで言われて社会問題となりました。その後、死者数は大きく着実に減少しています。交通戦争に対して、社会が確固たる姿勢で取り組み、功を奏しているわけです。

図1 人口10万人・自動車保有台数1万台当たりの交通事故死者数の推移 出典:内閣府、「令和2年交通安全白書」から作成[20]

こうした交通事故死者数の減少の原因は[21] 、交通安全対策基本法・交通安全基本計画などにより,歩道,信号機等の整備充実、交通規制の推進、車両の安全性の向上、交通指導取締りの強化、運転者対策の充実、交通安全運転・交通教育の普及等の交通安全対策が進められたこと、一人ひとりがそれぞれの立場で積極的な協力や自主的活動を行ったことがあると考えられるとされています。また、平成「5年以降、シートベルト装着率が大きく向上したこと、エアバック、ABSなどがほぼ標準装備となるなど車両の安全性能が向上したこと等の貢献も大きかった」ともされています。言い換えると、自動車というテクノロジーを社会で人々が安全に利活用できるようになるためには、ルール履行の徹底、安全教育の普及などによって、一人ひとりが安全な行動をとることの促進に加えて、安全に資するインフラの整備や自動車自体の安全性の向上が図られてきたことが重要であったと言えるでしょう。

■一人ひとりにとってのサイバーセキュリティ

前述の様に、サイバーセキュリティ戦略は、一人ひとりがサイバーセキュリティの重要性を自覚して自ら取り組むできるように、対策などを普及啓発、教育等を推進することとしています。一人ひとりがサイバーセキュリティの基本的な対策を着実に実施することは、デジタルを安全に利活用していくために不可欠です。

一方、新しいテクノロジーを安全に使うには、交通安全の例のように、一人ひとりが自覚して対策をすることのみでは十分ではありません。やはり、安全なインフラの整備や、テクノロジー(自動車)自体の安全性の向上も重要です。この点デジタルについては、最近では、PCやスマートフォンなどのデバイスのOSやアプリケーションソフトウェアなどにおけるサイバーセキュリティ対策機能が強化されてきています。また、インフラともいえるクラウドサービスも、サイバーセキュリティが強化されてきていることは望ましい方向性です。

ただし残念ながら、クラウドの設定ミスによる情報漏えい事案、不正アプリなどによる被害など、サイバーセキュリティ事象は日々発生しています。老若男女すべての人が新たなテクノロジーを理解して適切な行動をすることは無理です。したがって、サービスプロバイダーやデバイスベンダーなどが、デフォルトでサイバーセキュリティ設定をしておく、自動でサイバーセキュリティ機能を動作させるなど、より安全な環境作りに努力しつづけること、そして、そうしたプロバーダー等の取り組みをサイバーセキュリティ政策として一層強力に推進することが大切でしょう。そうした環境整備の推進によって、一人ひとりがより安全にデジタルに触れられるようになると考えます。

[20]内閣府、「令和2年交通安全白書」第1編第1部第1章第1節「道路交通事故の長期的推移」のデータから作成。(https://www8.cao.go.jp/koutu/taisaku/r02kou_haku/zenbun/genkyo/h1/h1b1s1_1.html)(2021年9月閲覧)
[21] 内閣府、「令和元年交通安全白書」特集「交通安全対策の歩み~交通事故のない社会を目指して~」第1章「交通安全対策の取組の経緯と交通事故の減少」を参照及び引用。(https://www8.cao.go.jp/koutu/taisaku/r01kou_haku/zenbun/genkyo/feature/feature_01.html)(2021年9月閲覧)

[執筆者]

スーツを着ている男はスマイルしている
自動的に生成された説明

三角育生 氏(みすみ いくお)

2005年以来サイバーセキュリティ政策分野等の行政に携わり、サイバーセキュリティ基本法制定・改正、サイバーセキュリティ戦略策定、日本年金機構の不正アクセスによる情報流出事件等重大インシデント対応等を担当。元内閣サイバーセキュリティセンター副センター長、前経済産業省サイバーセキュリティ・情報化審議官。2020年に退官し、現在に至る。博士(工学)。

行政サービスのデジタライゼーションを支援するアドビのソリューション