鉄道のサイバー攻撃防御態勢は万全なのか 外部だけでなく｢内部｣からの攻撃も課題

画像を拡大
サイバーセキュリティのもろさを説明する谷脇康彦副センター長

「我が国のサイバーセキュリティ戦略」について講演した谷脇康彦・内閣サイバーセキュリティセンター副センター長は、日本年金機構の情報漏えい事件を例に挙げ「実際に手を動かせる人がいなかった」とセキュリティの人材不足を指摘した。谷脇氏は「重要なものを重点的に守る。割り切り、メリハリが必要だ」と話し、その上で「国家安全保障の一環としてサイバーセキュリティが必要であり、セキュリティ情報の共有によりこの国を守りたい」と訴えた。

だが、いくら防御の体制を充実させても、攻撃を完全にやめさせることはできないだろう。サイバーテロというのは、テロを起こす側にとっては「目的」ではなく「手段」であり、テロリストにはテロを起こす側の論理がある。

とくに今回のシンポジウムでは、「内部犯行」の問題が課題となった。たとえば、会社の労働環境に対してうらみを持った人間が、システムに穴をしかける、ということもありうる話だ。

内部攻撃を起こさせない社会

米・英・仏のサイバーテロ対策についての調査を行った、宮麻里子・株式会社サイバーディフェンス研究所情報調査部主任分析官は「米国では『何も信用するな！』を原則としてセキュリティシステムが組まれている。英国では『基本を正す』ことを第一としている。フランスでは政府が主導権を握って対応している」と述べた。とくに米英では、内部犯行によるサイバー攻撃に危機感を抱いているという。

岩井博樹・デロイトトーマツリスクサービスのシニアマネージャーは、過去のサイバー攻撃の事案分析をし、クローズドなシステムであっても、業務委託先の元社員が不正プログラムを入力した事件もあったことを説明した。「社員が買収されることもありうる」という。

今後のサイバーテロ対策としては、内部犯行による攻撃を起こさせないような組織作りや対応策が、社会全体や企業内で不可欠となってきそうだ。

幸いにして、鉄道会社には「ブラック企業」と批判される会社は見当たらないものの、下請けや孫請け、外注先の中には、労働環境への不満などが原因で会社にうらみを持つ人間が現れる可能性はないとはいえない。「手段」としてのサイバーテロを「目的」化させない社会の構築が、求められている。