内閣府のSIP第二期には「IoT社会に対応したサイバー・フィジカル・セキュリティ」という研究課題がある。Program Dirctorは情報セキュリティ大学院大学の後藤学長で、今回ある会合で直接お話を伺う機会があった。
昨年末の「Solarwinds事件」や石油パイプライン、食肉大手への攻撃などを見ていると、2つの大きなリスクが見えてくる。
1)IoTリスク:サイバー攻撃脅威が、あらゆる産業活動に潜む
2)サプライチェーンリスク:サイバー攻撃と寸断による経済活動停止
現在進行中のSIPは、これら2つのリスクに対応できるものだという。ではどうするかと言うと「IoT機器やサプライチェーンの各構成要素について,セキュリティの確保(信頼の創出)とその確認(信頼の証明)を繰り返し行い,信頼のチェーンを構築・維持することで,IoTシステム・サービス及びサプライチェーン全体のセキュリティを確保」するのである。
具体的には、IoT機器やそれを組み込んだシステムについて、
・信頼の起点となる暗号モジュール
・IoT機器ソフトウェアの真贋判定機能
・情報の安全な流通スキーム
・サプライチェーン全体でルールに対応していることを証明できるスキーム
・インシデント検知機能
を研究開発中である。「安全な流通」については、信用できる情報流通の場を構築することが必要でそれを支えるのは「精選接続技術」だとある。以前紹介した<eシール>のようなものも含まれるだろう。「ルール対応の証明」については、手続き・人・データの適合性検証技術を開発し現在実証実験中だという。
学長によればSIPのテーマ以外にも日本で研究開発すべきものは多く、以下が重点整備項目だとのこと。
・信頼の起点と真贋判定技術
・ハード、ソフト、ネットワークでの異常検知技術
・システムソフトウェアの中核をなすカーネルソフトウェア
・導入した技術の中身を確認できる検証技術
僕は「次期戦略で攻撃者優位を覆すという方針が示されているが、それに必要な技術は?」と聞いた。すると「上記の4技術などはその中核だが、技術だけでは不十分だ。未知の脆弱性データベースやマルウェア情報の整備も必要だし、それ以外のインテリジェンスがないと攻撃者優位は続く」との答えだった。
そう、SIPは大事なんだけれど、技術だけでは解決しないのが経済安全保障にかかわるサイバーセキュリティ課題なのですね。
