昨年末の12月27日、東京都議会議事堂内の都民ホールにて、東京都、警視庁、民間企業、大学など、産学官の垣根を越えたメンバーが集まるイベント「東京のサイバーセキュリティ　さらなる安全・安心に向けて」が開催された。数年後に東京2020オリンピック・パラリンピック競技大会（以下、東京2020大会）を控え、「安全・安心」のレベルが世界中から注視されている東京。来るべき大舞台に向けて、日々巧妙化・複雑化を増すサイバー攻撃に対抗していくにはどのように取り組んでいけばよいのかそれぞれの立場から熱い意見が交わされた。

多様化し複雑化するサイバー攻撃に対抗する方法とは

立場を超えてセキュリティの意識を共有する

　近年、サイバー攻撃は世界中で増加し、かつ多様化している。サイバー攻撃による被害を食い止めるために必要なのは、産学官が一体となった総合的なセキュリティ対策だ。「東京のサイバーセキュリティさらなる安全・安心に向けて」と題されたこの日のイベントは、東京2020大会を2年数カ月後に控えた東京の安全・安心を守るために、立場を超えてセキュリティへの意識を共有することを目指したものだった。

　冒頭の主催者挨拶では、東京都のCISO（最高情報セキュリティ責任者）も務める川澄俊文東京都副知事が登壇。東京が「Safe Cities Index 2017（※）」のサイバーセキュリティ分野で1位になったこと、しかし、引き続きサイバー攻撃に対する危機意識が必要であることを訴えた。その内容を詳しく紹介したのが、続いて「東京のサイバーセキュリティの現状」と題して講演を行ったNEC中央研究所セキュリティ研究所 所長の谷幹也だ。

• ※ Safe Cities Index 2017：英エコノミスト誌の調査機関であるエコノミスト・インテリジェンス・ユニットが世界60都市のセキュリティレベルを4カテゴリー計49指標で評価

サイバー攻撃は5年間で30倍に激増

　「Safe Cities Index 2017」は、「個人の安全性」「医療・健康環境の安全性」「インフラの安全性」「サイバーセキュリティ」の4カテゴリーで世界の都市の安全性を評価している。東京はこのうち「サイバーセキュリティ」カテゴリーでトップとなっただけでなく、2015年の調査に続き、総合ランキングでも連続で1位を獲得した（図１）。

　「サイバーセキュリティのカテゴリーでとくに高評価につながった項目は、国だけでなく、東京都としての取り組みも評価された「官民パートナーシップ」、東京2020大会に向けたサイバーセキュリティへの投資、セキュリティのテクノロジーレベルの高さ、インターネットの普及率などです。一方、相対的に評価が低かったのが、サイバー脅威に対する住民意識や、なりすまし詐欺の発生率でした。このサイバー攻撃に関しては、年々深刻さを増しています。情報通信の公的研究機関である情報通信研究機構（NICT）のレポートによれば、2016年の日本におけるサイバー攻撃の通信件数は、実に1281億件。直近の5年間で30倍にも伸びているのが現状です（図２）」（谷）

　サイバーセキュリティのリスクを増大させている要因の一つがIoT機器の増加だ。総務省は、2020年までに世界のIoT機器数は300億台まで増えると予測している。IoT機器が人々の身近な場所に溢れ、パソコンやルーターといったものだけでなく、ゲーム機やAIスピーカー、見守りカメラ、スマートメーターなどつながるものが増えて脅威の対象となる。つまり、サイバー空間の脅威は現実社会に直結する状況になっており、サイバー攻撃はリアルな世界の被害として現れる。もはやサイバーセキュリティ対策は、企業だけでなく、社会生活を守るためにも不可欠なものになったといえるだろう。

「身代金」を要求するランサムウェア

　「リアルな世界の被害」の実例はすでに数多く報告されている。ATMをハッキングして現金が不正に引き出されるケース、警察用ドローンがハッキングされたケース、インターネットに接続した自動車、いわゆるコネクテッドカーをハッキングして外部から操作することが可能であることが判明したケースなど、世界を見渡せば事例には枚挙にいとまがない。2016年10月には、セキュリティ対策が甘い監視カメラを踏み台にして、インターネットを動かすためのサービス基盤が攻撃され、各種インターネットサービスが利用不能になってしまう大規模なサイバー攻撃も起きている。

　近年とくに増えているのが、利用者のシステムなどへのアクセスを制限し、その解除のための「身代金」（英語でransom）を支払うことを要求するランサムウェアによる被害である。よく知られているのが「WannaCry」と呼ばれているランサムウェアで、海外も含め、医療関係施設、工場の生産ライン、ガソリンスタンドの電子決済などに深刻なダメージを与えているという。

　「業務が止まるくらいなら身代金を払ってしまったほうがいい、と考える企業も少なくありません。米国では、ランサムウェアの被害者の実に65％がお金を支払ったという統計もあります。しかし、そのうちの55％は、お金を払ったにもかかわらずシステムが復旧しませんでした。さらに怖いのは、支払いをしたという事実がブラックマーケットの“カモリスト”に残ってしまい、次々に標的にされ、二次被害が連鎖していくことなのです」（谷）

攻撃の「踏み台」とされるケースも

　企業は、数々の取引先やグループ会社とつながっている。これらサプライチェーンの中でセキュリティ対策が甘い企業を「踏み台」にしてターゲット企業を狙うのが、最近のサイバー攻撃の手口だ。しばしば踏み台にされるのは、中小企業である。踏み台にされた企業は、最終的なターゲット企業に対する「加害者」となってしまう。

　「サイバー攻撃では、事業規模にかかわらず、誰もが被害者にも加害者にもなりえます。また、被害は金銭や情報のみではなく、業務停止、あるいは社会的信用の失墜という事態にまで及ぶこともあります」（谷）

　10年ほど前までは、技術を誇示して目立つことを目的にした愉快犯が多かったサイバー攻撃だが、最近では、政治的・思想的サイバー攻撃者やプロのサイバー犯罪集団、あるいは国家組織や軍事組織が主体となっているケースもある。攻撃の手口も、ターゲットを決めないばらまき型攻撃、ターゲットを絞った高度で執拗な攻撃、IoTを悪用した大規模攻撃など、極めて多様化している（図３）。

　「誰もがサイバー攻撃の危険性を自分の問題として考えなければならない時代になっているということです。しかし、対策は決して難しくはありません。パスワードの更新やソフトのアップデートなど“当たり前”のことをしっかりやること。そして、情報の収集と共有に努めること。その2つによって多くのサイバー攻撃は防げるはずです」（谷）

いかにセキュリティへのモチベーションを高めるか

あらゆる人がサイバー空間につながっている

　イベントの後半では、「さらなる安全・安心に向けて」と題されたパネルディスカッションが行われた。パネラーは、東京商工会議所地域振興部長の上田裕子氏、東京オリンピック・パラリンピック競技大会組織委員会チーフ・インフォメーション・セキュリティ・オフィサーの坂明氏、明治大学経営学部教授の中西晶氏、警視庁サイバーセキュリティ対策本部副本部長の松下整氏、そしてNEC中央研究所セキュリティ研究所 所長代理の武智洋の5人。モデレーターを務めたのは、東京都総務局情報政策担当部長の吉野正則氏である。

　ディスカッションの最初のテーマは「サイバーセキュリティ分野1位、東京に残る課題」だった。東京商工会議所の上田氏は、東京が世界都市安全性指数ランキングで1位に選ばれたことについて関係者の努力に敬意を表しつつも、サイバー脅威に対する住民意識や、なりすまし詐欺の発生率に関してポイントが低かったことに危機感を覚えるとし、とりわけ中小企業のセキュリティ対策が急がれると述べた。

　「東京商工会議所は2016年12月、主に中小企業の会員を対象にICT活用に関する調査を行い、約1000社から回答を得ました。その結果、中小企業、とくにBtoC企業のセキュリティ対策が遅れている実態が明らになっています。セキュリティソフトを使っていても、OSを最新のものにしていなかったり、重要なファイルにパスワードをかけていなかったり、従業員に対するセキュリティ研修を行っていなかったりといった企業がまだまだ多いのが実情です。セキュリティの危機にはどのようなものがあって、それが自社の経営にどういう影響を与えるか。その認識を広めていく必要があります」（上田氏）

　一方、10代からお年寄りまでがスマートフォンを日々活用しているということは、あらゆる人がサイバー空間につながっていることと指摘したのは警視庁の松下氏である。

　「サイバー空間の安全・安心を守ることは、市民一人ひとりの生活の安全・安心を守ることにほかなりません。内閣府の世論調査の結果を見ると、繁華街などの現実空間よりもサイバー空間に不安を感じている人が多いことがわかります。警視庁では、サイバーセキュリティ対策本部や警視庁サイバー攻撃対策センターといった専門組織を設立することで、サイバー犯罪対策を強化しています」（松下氏）

　その1つとして紹介されたのが、都内中小企業のサイバーセキュリティ対策の強化支援を行う「Tcyss（ティーシス／東京中小企業サイバーセキュリティ支援ネットワーク）」だ。これは東京都、警視庁、中小企業支援機関、セキュリティ機関などによって設立された団体。この例からもわかるように、立場を超えた連携が徐々に進んできているという。

　このテーマのまとめとして、明治大学の中西氏は、東京都が掲げる「3つのシティ」の1つであるダイバーシティを引き合いに出しながら、セキュリティの意識、能力のダイバーシティをどう底上げしていくかが課題であること。東京都には、多摩地区や島嶼部などを含む地域のダイバーシティがあると話した。

　「その多様性を踏まえながら、東京をセーフシティにしていくことを目指さなければなりません。私はサイバーセキュリティを“公衆衛生”にしていく必要があると考えています。手を洗ったり、人混みでマスクをしたりするように、ごく当たり前のものとしてセキュリティ対策をしていくこと。それがセーフシティの基盤になると思います」（中西氏）

過去大会の経験に学ぶことが必要

　続いて、ディスカッションは2つ目のテーマ「東京2020大会開催時における脅威」に移っていった。その冒頭で東京2020組織委員会の坂氏は次のように語った。

　「これまでの過去の大会においても、サイバー攻撃はありました。政府や州政府に対する攻撃や、世界アンチ・ドーピング機構のような周辺のところが狙われたこともありました。世界的イベントでは、イベント運営の主体に対する攻撃だけではなく、イベントに関わる企業などに対する攻撃が行われる可能性があります。過去大会における事例を踏まえ、脅威を想定して東京2020大会に臨む必要があります」（坂氏）

　これに関して、インフラ防衛の重要性を指摘したのは、NECの武智だ。

　「大会運営に直接関連する競技場周辺や交通などのインフラを守ることはもちろん大切です。しかし重要なのはそれだけではありません。電気、ガス、水道、鉄道といった日本の重要インフラの9割以上は民間企業が管理運営しています。そこをどう守っていくかを考える必要があります」（武智）

　インフラ企業の制御システムが攻撃されると、社会システムが機能不全に陥ったり、人々の生命にかかわるような事態を招いたりする可能性がある。場合によっては、東京都の都市機能が失われてしまう可能性すらあるわけだ。重要インフラに関するセキュリティの指針を明確にし、官民を越えた情報共有を実現していくことが急務となっているといえるだろう。

セキュリティへの取り組みをレガシーに

　ディスカッションの最後のテーマは、「今後に向けた取り組み」だ。「警察ではサイバー犯罪の強力な取り締まりを推進して行きますが、サイバー犯罪の被害をなくすには、それに加えて被害を減らすための都民一人ひとりの取り組みを促していかなければなりません」と警視庁の松下氏は指摘する。

　「現実社会では、外出時に鍵をかけるとか、危険な場所に近寄らないといった犯罪にあわないための行動を誰もがしています。サイバー犯罪への対策もまた、そのようなごく普通の行動となるべきです。必要なのは、何をすればよいかが誰にでも理解できる、わかりやすいメッセージを発信していくことです。私たちも引き続き、サイバーセキュリティ対策の広報啓発に力を入れていきたいと思います」（松下氏）

　この日のディスカッションでは、「サイバーセキュリティに対する企業や都民一人ひとりのモチベーションをいかに高めていくか」が各パネラーに共通する問題意識であることが明らかになった。

　NECの武智は、「中小企業の中には、人材や予算が不足しているためにサイバーセキュリティ対策ができないと考える経営者も少なくありません。そのため、セキュリティへのモチベーションを醸成していく必要がありますが、その特効薬はありません。あきらめずに、繰り返し、地道に必要性を伝えていくことが大事だと思います」と述べる。

　また、セキュリティに対する自覚とモチベーションを高めるためには「ポジティブな目標設定」が必要と話したのは、明治大学の中西氏だ。「東京2020大会は、日本のセキュリティの技術力や対応力を世界中にアピールしていく、いい機会だと思います。そのようなポジティブな目標を設定できれば、人々のモチベーションは上がっていくのではないでしょうか」（中西氏）

　一方、「セキュリティ対策は“コスト”ではなく、必要な“投資”である」ことを経営者が認識するのが対策の第一歩であり、そのために必要な官民連携の取り組みは3つあると東京商工会議所の上田氏は指摘する。

　1つ目が、企業のセキュリティへの投資拡大に向けた環境整備、2つ目が、20数万人が不足しているといわれているサイバーセキュリティ人材の育成、3つ目が、情報の提供と共有である。経営者はサイバー攻撃の被害を受けたことを、つい隠したいと考えてしまう。今後は、被害を貴重な経験として広く共有していくことが求められる。

　「場合によっては、被害情報を自動的に共有化できるような仕組みも必要でしょう。官民連携によって、サイバー対策への取り組みのムーブメントを起こし、世論を喚起することで、経営者の背中を後押しすべきであると思います。私たちも、東京都が作成したセキュリティガイドブックを全会員に発送しました。今後も東京都の中小企業のセキュリティレベルの向上に貢献していきたいと考えています」（上田氏）

　東京2020組織委員会の坂氏は、サイバー空間と現実空間を一体のものとしてとらえ、安全を確保していくための枠組みの必要性を語った。「空間を越えたセキュリティチームをつくっていくことが求められていると思います。大会を守ることは、大会に関係する企業や団体の安全を守ることであり、都民の生活を守ることでもあります。オール東京、オールジャパンによるサイバーセキュリティへの取り組みを、東京2020大会の1つのレガシーにすることを目指していくべきだと思います」（坂氏）。

　こうした発言を受け、モデレーターを務めた吉野氏は「今回のイベント通じて、大会の成功、中小企業支援、市民生活や企業活動の継続、インフラ防衛など、あらゆる側面でサイバーセキュリティが最重要課題であることが共有できました」と産学官が力を合わせていくことの重要性を訴えてパネルディスカッションを締めくくった。

　2020年、世界の視線が東京に集まることになる。それまでに「世界都市安全性指数ランキング1位」の名に恥じないセキュリティレベルをいかに実現していくか。東京2020大会まであと2年と数カ月。東京の、そして日本の底力が試されることになりそうだ。

• ※ NECは東京2020ゴールドパートナー（パブリックセーフティ先進製品、ネットワーク製品）です。