徳丸浩氏が総務省に聞く　脆弱性チェック「NOTICE」で、国は一体何をしたいのか？：徳丸浩氏×総務省サイバーセキュリティ統括官室　特別対談【前編】

あらゆるものがインターネットを介してつながり、これまでにない量の情報を多くの人が日々活用する――。そんな「Society 5.0」が現実的になりつつある中、多くの組織にとって課題になるのがセキュリティだ。そんな中、総務省は2019年にIoT機器の脆弱性をチェックする「NOTICE」を開始した。開始当時は一部で物議を呼んだ同施策だが、そもそもどのような効果を期待して始められたのか？　NOTICEが始まった背景や現状について、セキュリティ専門家の徳丸浩氏が総務省のサイバーセキュリティ統括官室に切り込んだ。

　あらゆるものがインターネットにつながるIoT（モノのインターネット）時代。SNSを通じた人々のつながりや購買経路、移動経路など、これまで見えなかったものが見えるようになったり、状況に合わせて工場やエネルギー施設、交通設備などのよりきめ細かなコントロールが可能になったりと、新しい可能性が広がりつつある。一方で浮上しているのが、サイバーセキュリティ面での懸念だ。現に、インターネットにつながるIoT機器のマルウェア感染や不正アクセスなどの事例がたびたび報じられている。

　この状況を変えていくために、私たちは、また国は何ができるのか――。そんな視点で注目を集めるのが、総務省が2019年2月から開始した取り組み「NOTICE」だ。これは、民間のIoT機器にアクセスを試み、サイバー攻撃に悪用される恐れがあると判断された機器のユーザーに、プロバイダーを通じて注意を喚起するものだ。開始から1年がたつが、NOTICEはなぜ始まり、日本のサイバーセキュリティのどのような課題を明らかにしているのか。また、それを受けて私たちに何ができるのか。

　以前からこの取り組みに注目してきたITmedia エンタープライズ編集部は、『体系的に学ぶ 安全なWebアプリケーションの作り方』の著者であり、サイバーセキュリティ企業EGセキュアソリューションズの代表取締役でもある徳丸浩氏に協力を依頼した。また、総務省サイバーセキュリティ統括官付参事官である赤阪晋介氏にも参加いただき、NOTICEの目的や状況、その結果見えてきた日本のサイバーセキュリティの課題について、両氏の対談を実施した。その模様を、前後編にわたってお届けする。

対談に参加したEGセキュアソリューションズの徳丸浩代表取締役（左）と、総務省の赤阪晋介サイバーセキュリティ統括官付参事官（右）

IoT機器のセキュリティを調査すべき2つの理由

EGセキュアソリューションズの徳丸浩氏

徳丸浩氏（以下、徳丸）：　本日はありがとうございます。まず、赤阪様の現在の役割について教えていただけますか。

赤阪晋介氏（以下、赤阪）：　私の今の仕事は、総務省のサイバーセキュリティ対策に関する政策立案です。特に大きなトピックはIoT機器のセキュリティ対策ですが、それ以外にセキュリティ人材の育成や、データの信頼性、完全性を確保するためのトラストサービスなどにも取り組んでいます。

徳丸：　早速ですが、今日お伺いしたいテーマであるIoTのセキュリティについて、どのような課題があると認識されていますか？

赤阪：　今、インターネットにつながるIoT機器の数はものすごい勢いで増えています。これに伴って、IoT機器を狙った攻撃も増えているのが現状です。総務省所管の国立研究開発法人である情報通信研究機構（NICT）は、「NICTER」というセンサーを用いてサイバー攻撃関連パケットを観測しています。2018年の調査結果では、全体の約半数がIoT機器を狙ったものでした。つまり、インターネットを飛び交っている無差別攻撃の約半数がIoT機器を狙っており、それらをいかに守るかが重要な課題になっています。

総務省の赤阪晋介氏

徳丸：　IoT機器自体が重要な情報を持っているからという理由もありますが、それらが踏み台にされて悪用される恐れもあり、その両面から対策が必要ということですね。

赤阪：　おっしゃる通りです。IoT機器そのものが攻撃対象になることも問題ですが、そのIoT機器が攻撃者の踏み台になってDDoS攻撃につながる恐れがあります。2016年には、多数のIoT機器が「Mirai」と呼ばれるマルウェアに感染し、アメリカの主要なインターネットサービスにDDoS攻撃を行った結果、大規模な障害が発生する事例がありました。

他国にも例がない取り組み「NOTICE」はなぜ始まった？