次のサイバー攻撃に対抗するためにEUがすべきこと

科学技術 : , , ,
2017年11月24日 ヌノ・ロペス 国連大学, ホセ・ファリア
malware
Photo: medithIT, Creative Commons BY 2.0

最新のランサムウェア攻撃「バッドラビット」がヨーロッパを中心に広がったことで、マルウェアがインターネットを介していとも簡単に世界中に広がることを、改めて目のあたりにした。

ウクライナのインフラ省とキエフの公共交通システムを当初の標的とした最新のランサムウェア攻撃は、トルコやドイツへと急速な広がりを見せ、国際企業や政府関連、さらには何千もの個人用コンピュータに次々と被害を及ぼしている。

クラウドベースシステムやオンデマンドデータシステムの爆発的な成長によって、ビジネス、銀行、医療などの重要分野はITインフラへの依存を余儀なくされ、予期せぬ脅威にさらされるようになった。しかし、政府はさらに危険な状態にある。慎重な取り扱いを要する国民のデータを保管するとともに、国家の安全を守る必要があることから、政府はサイバー攻撃の格好の標的となっているのである。

多くの国では、積極的にeガバナンス戦略を策定している。サービスの効率性、生産性、透明性、技術革新の促進を目的とする、国民のニーズに焦点を絞ったデジタルイニシアチブである。しかし、こうした動きからもさまざまな潜在的セキュリティリスクが生まれており、協調的なサイバーセキュリティの枠組みによる対応が必要とされる。

アメリカ連邦人事管理局のデータベースから2,200万人を超える職員の情報(機密情報取扱者の認定に関するファイルおよび職員の経歴を含む)が漏洩した2015年の事件など、世間の注目を集めた政府関連のハッキング事案は、サイバー犯罪者や国家ぐるみのハッカーによってセキュリティ上の欠陥が悪用されている憂慮すべき例である。

自らのデータシステムと国民を守り、グローバルな「電子感染症」の拡散を抑えるために、政府はどのような方策を講じることができるだろうか。

3つのステップ

第一に、ファイアウォール、侵入検知システム、スパムフィルタといった一連のツールの域を超えた、総体的アプローチに転換するべきである。そのためには、組織構造および行動指針に対する変革を取り入れる必要があるだろう。「予防は治療に勝る」という方針を取り入れることで、政府主導のもと、知識ネットワーク(各機関の間で知識共有のできるネットワーク)を構築し、

コンピュータ利用者に対して、サイバーリスクへの認識やその回避法、攻撃発生時に初動対処する方法などにおける研修を強化することが可能になる。

その一例がオーストラリアサイバーセキュリティセンター(ACSC)であり、これは政府主導による「サイバーセキュリティ脅威への対抗を目的とした官民の協力および情報共有のためのハブ」である。このセンターは、政府各機関、警察の各部門、犯罪委員会、民間企業、学術界、地方自治体、国際的パートナーといった各方面から、サイバーセキュリティとサイバー防衛の機能を集約したものである。

サイバーセキュリティ問題への意識を高め、事案を報告し、攻撃や脅威の分析と調査を行い、サイバー攻撃に対応する国家安全保障業務を調整するといった取り組みにおいて、ACSCは重要な役割を果たしている。

第二に、政府はサイバーセキュリティに対する戦略を明確にし、サイバー犯罪対処能力の構築に向けた投資を計画的に行う必要がある。そのためにはまず、各政府機関におけるサイバースペースでの業務の全側面(データ公開、データの機密レベル、ユーザー認証、機密データの暗号化など)を完全に理解するところから始める。この広範囲な分析を経て初めて、全体にわたるサイバーセキュリティ防衛を効果的に策定し、重要な情報およびインフラの保護を確実なものとする、包括的なセキュリティ政策やベストプラクティスの指針を打ち出すことができる。

しかし、戦略を構築するにあたり、関連する政府機関、当局、市民社会それぞれにおいて、信頼のできる連絡調整担当者というしっかりした土台が必要になる。こうした人的資源は、サイバー攻撃の幅広い検出や攻撃からの回復を目指すうえでの重要な橋渡し役である。

第三に、サイバー攻撃を阻む強力な法を制定するのは政府の責任ではあるが、一方で、サイバーセキュリティ文化の強化と政策レベルでの意識向上に尽力する国連やその他国際組織など、中立的なアドバイザーの力を借りるべきである。

解決策へと導くうえで、国連大学の研究所をはじめとする国連の研究施設は、サイバー攻撃への取り組みに感心を寄せるパートナー企業や団体を集め、ネットワークを構築するのに最適な立場にある。たとえば、著作権侵害、詐欺、児童ポルノ、ヘイトクライム、サイバーセキュリティ侵害といったサイバー犯罪に対する各国の法規制を、関連国連機関による監視と関連づけた、インターネットガバナンスモデルの開発および国際条約の制定といった試みは、加盟国に歓迎されるであろう。

効果的なサイバーセキュリティは国境を越えた複雑な課題であり、複数国家間の、あらゆるレベルにおける戦略と協力を必要とする。コンピュータ犯罪に対する組織的対応の構築は長い道のりとなるが、新たな手口は日々開発されており、立ち止まっている暇はない。世界規模のサイバー攻撃と戦うための協調的な取り組みの基盤となるような、短期的な解決策を策定する必要がある。

•••

本稿で述べた見解は著者個人のものであり、必ずしも国連大学の見解を示すものではない。

この記事の初出はEUobserverに掲載されたものである。

Copyright EUobserver. All rights reserved.

著者