研究データをサイバー攻撃から守る

－近年、日本年金機構などの公共機関が、相次ぐサイバー攻撃を受けているため、政府はセキュリティ対策に多くの予算を付けるようになりました。

三角　サイバーセキュリティへの意識が高まることは望ましいのですが、セキュリティ対策自体が目的化し、本来守るべきものは何か、の議論がおろそかになっていないかと懸念しています。目的と手段を混同してはいけません。例えば大学や研究機関にとって、学術研究の目的は、世界に先駆けて研究成果を挙げることでしょう。それを世の中の役に立てることができれば、とても素晴らしいことです。

研究成果に関するデータは、特に自然科学系の場合、大半がコンピュータ上にあります。そのデータがサイバー攻撃で盗まれたり、改ざんされたりすると、研究が止まってしまいます。いつ研究の成果を発表するのかといった研究者の研究の自由を含め、研究を守り、学問の自由を守るための「手段」としてサイバーセキュリティの確保が重要なのです。

　研究成果は個々の研究者の努力の賜物ですが、その研究環境の多くは国民の税金で支えられています。共同研究であれば、契約上発生するデータを守る義務があります。研究者一人一人が、サイバーセキュリティの確保に対する意識を高める必要があります。

─セキュリティの向上や人材育成に向けた、内閣サイバーセキュリティセンターの役割を教えて下さい。

三角　私が副センター長を務める内閣サイバーセキュリティセンターは、その英語名を「National center of Incident readiness and Strategy for Cybersecurity（NISC）」といいます。この英語名の通り、サイバー攻撃などのセキュリティインシデントに備えて、各省庁のネットワークの監視・監査、サイバーセキュリティ戦略の企画立案を担っています。行政官等の公務員と民間出身者の混成部隊で、当初は70～80人ほどだったのが、ここ2年で大幅に増員し、平成28（2016）年度中に180人規模になる見込みです。

　各省庁でセキュリティを担う人材の育成にも力を入れています。各省庁には平成28年4月から審議官クラスのセキュリティ担当を置き、夏には人材確保・育成の計画をつくってもらいました。この計画をもとに職員への教育や訓練を実施し、セキュリティへの知見を高めます。

　NISCは、平成27（2015）年、厚生労働省のネットワークを経由した外部への不審な通信を検知し、厚労省に対応を促しました。これが日本年金機構への標的型攻撃の発見につながりました。この事案を受け、サイバーセキュリティ基本法が改正され、NISCの監査・監視の対象が、中央省庁から独立行政法人、一部特殊法人などに広がりました。

─一連のサイバー攻撃事案を受けて、セキュリティの必要性への理解は進んだ一方、具体的な対策には、そのコストをどう捻出するかという問題が立ちはだかっています。

三角　公共機関にせよ民間企業にせよ、サイバーセキュリティはコストではなく、目的を達成するための投資と捉えるべきです。

　例えば米国の産業界は、経済発展という目的のためにセキュリティをどう使うか、という問題意識を持っていると承知しています。実は米国では、景気が悪いと企業のIT投資が増えます。これは、米企業はITを、新たな事業を生み出すビジネスイノベーションの道具であり、利益を生み出す投資とみているからだろうと考えます。セキュリティへの出費も、製品やサービスへの信頼を生み、利益に貢献する点で、投資と捉えることができる。一方、日本企業の多くは、ITを主として業務の自動化などによるコスト削減の手段として見ている印象があります。

ITと経営の「橋渡し」をする 人材を育てる

三角　なぜ、米国はITをビジネスイノベーションに結びつけられるのか。理由の一つに、企業の幹部候補生の多くが、大学院でMBA（経営学修士）とITのダブルメジャーを取得している点が考えられます。ITと経営の橋渡しをする人材をシステマティックに育成する仕組みがあるのです。このため、サイバーセキュリティについても経営層に適切な助言ができます。

日本では、このような橋渡し人材が不足しています。ビジネス戦略を立案し、その基礎としてサイバーセキュリティを位置付けるようなものを経営層に進言できる人材を育てる必要があります。

─日本でもセキュリティ人材の不足が叫ばれていますが、エンジニアの話に偏っている印象がありますね。

三角　私が考えるセキュリティ人材は3種類あります。ITを管理する現場のエンジニア、セキュリティへの投資を決める経営層、そして現場のITと経営層とをつなぐ橋渡し人材です。

　このうち現場のエンジニアのスキルを高める施策の一つとして、3年で更新となる国家資格「情報処理安全確保支援士」が平成28年10月に新設されました。かつての情報セキュリティスペシャリスト試験の後継となるものです。また、経営層向けには、セキュリティへの意識改革を促す目的で、経済産業省が「サイバーセキュリティ経営ガイドライン」の改訂版を同年12月に公開しました。

　その一方、経営層とエンジニアなどの実務者をつなぐ橋渡し人材は、育成が難しく、慢性的に不足しています。米国のように、経営とITに詳しい人材をシステマティックに育てる仕組みもありません。企業や組織の中で橋渡し人材をどう育てていくか、今後の課題になりそうです。

─セキュリティ人材の育成において、NIIや学術情報ネットワーク「SINET」にはどのような役割を期待していますか。

三角　SINETは、学術研究のツールであるとともに、それ自体が高速通信の研究対象でもあります。研究者にとっての使い勝手の良さを維持しつつ、高速通信という先端研究を守るための取り組みが必要になります。

　特に、SINETを運営するNIIが果たす役割には期待しています。SINETは常にリアルなデータが流れるため、大学のネットワーク管理者などに向けた実践的なサイバーセキュリティの研修に使えそうです。

学術界は具体的な検討の加速を

三角　残念ながら平成28年後半に、富山大学など学術機関を対象にしたセキュリティインシデントが相次ぎました^［1］。

　学術研究をサイバー攻撃の脅威から守るため、人材、資金などのリソースをどこにどれだけ投入するか。どのようにセキュリティ人材を育成するか。まずは学術界で、自主的な検討を加速させることを期待します。

　例えば施設面では、東京と大阪にあるSINETとインターネットとの接続点については、重点的に監視する必要があるでしょう。

　人材面では、セキュリティの専門家だけでなく、ネットワークの専門家、法律の専門家、それら専門家をチームとして束ねて方針を決める人など、さまざまなスキルを持つ人が求められます。セキュリティに精通した「トップガン」が一人いればセキュリティを保てるわけではありません。こうした具体的な検討を進めていくことが必要になります。

（取材・文＝浅川直輝　写真＝池田亜希子）

［1］富山大学では、水素同位体科学研究センターのPCが標的型攻撃でウイルスに感染し、研究関連ファイルが流出した。防衛医科大学は、大学内のPCがSINET経由で不正アクセスを受けたと報じられた。