トピックス 2022.01.06 「感染症BCP対策」から「プロバイダ責任制限法改正」まで。サイバー犯罪のスペシャリストが「2022年のセキュリティトレンド」を徹底解説。

3回目となる今回は「AIを用いた防犯システム」によって、サイバー犯罪から社会を守る文教大学情報学部の池辺正典教授にお話をお伺いしました。

昨年は、2020年に引き続き、新型コロナウイルスの影響から大きな変革を迫られた方も多かったのではないでしょうか。

テレワークやオンライン授業が浸透する一方で、個人がサイバー犯罪の標的となる可能性が高まり「自分たちが利用するインターネットの安全は自分たちで守る」意識と行動変容が求められます。

このインタビューでは全4回にわたって、ITCセキュリティという観点から、SNSに起因するサイバー犯罪の現状、神奈川県警と連携したサイバー防犯ボランティアの取組み、セキュリティ人材の育成について分かりやすく説明します。

第1回目となる今回は「2022年のセキュリティトレンド」について詳しく解説していただきました。

セキュリティ通信：
新型コロナウイルスの感染拡大という未曽有の事態を受け「BCP（業務継続計画）」の重要性が再認識されています。ITC(情報技術)分野におけるBCPのあり方についてどのようにお考えでしょうか。

池辺教授：
BCPとは、危機管理の重要な要素である「business continuity(ビジネスコンティニュイティ)」のために策定される計画で、災害時に資産の損害を最小限に止め、事業の継続と早期復旧を可能にすることを目的とし、日本全国市区町村レベルで進められています。

もともとは地震などの自然災害を対象としていましたが、2009年の新型インフルエンザ以降は「感染症BCP」についても検討すべきという動きがみられました。

ICT分野（情報通信技術)では自然災害によってサーバーがダウンした場合、わずかな時間であっても甚大な被害につながる恐れがあり、いかに短いスパンでシステムを復旧できるかが鍵を握ります。

今回の新型コロナウイルスにおけるBCPでは、人と人との接触機会を減らす観点から、政府主導によるテレワークやオンライン授業への迅速な対応が求められました。

セキュリティ通信：
このコロナ禍で、事前準備が不十分なままテレワークの運用を始めた企業も多く、特に、中小企業を中心とした課題が浮き彫りになっています。今後、中小企業に必要なセキュリティ対策について教えてください。

池辺教授：
中小企業への対策に関しては、私が所属している文教大学でも「神奈川県企業サイバーセキュリティ対策官民合同プロジェクト」への参画を通して、情報リテラシーの向上に取り組んできました。

具体的には、独立行政法人 情報処理推進機構 （IPA）が毎年公開している「情報セキュリティ10大脅威」の認識からスタートし、ソフトウェアのアップデートとセキュリティソフトの導入、個人端末の管理など当たり前のことを当たり前にできるような教育が行われています。

セキュリティ通信：
セキュリティが比較的磐石であると考えられる大企業においても意識すべきことはありますか？

池辺教授：
一般的に、ランサムウェアなどのセキュリティ攻撃は、プログラムの不具合や設計上のミスが原因となって発生した「セキュリティホール」を突いて仕掛けられます。

敵からの攻撃に気がついた時に、いかに迅速にパッチと呼ばれる修正プログラムを適応するかにかかっているのですが、これらの対応が遅れた場合、被害が拡大しかねません。

最近問題になっているのは、中小企業の脆弱性をついたウイルス感染を発端とする取引先である大企業への被害拡大です。

昔から言われていることですが、知り合いや友人からのメールには疑いを持たないのと同様に、取引先からのメールに対しては警戒心が薄れるものです。大企業であっても油断は禁物と考えましょう。

セキュリティ通信：
今後の感染状況にもよりますが、2022年も引き続きテレワークは継続されることが予測されます。テレワークにおいて個人が注意すべきポイントを教えてください。

池辺教授：
先程申し上げたように、企業と同様に個人でも「当たり前のことを徹底する」という姿勢がより一層求められるでしょう。

今まで社内で完結していた仕事を自宅など社外で行う場合、端末の管理を遠隔でケアできない企業にとっては大きなリスクが発生します。

社内であれば「困ったことがあれば聞けば良い」と情報システム部門に頼ることもできましたが、テレワークではそうはいきません。

また、自宅で仕事をする場合、会社では開かないはずのSNSを無意識で閲覧してしまう方もいるのではないでしょうか。

SNSからの情報漏洩が発生し、そのまま社内の被害に直結するかもしれません。

今こそ基本に戻って、個人と業務用のパソコンのすみ分けを徹底して頂きたいと思います。

特に、最近は一般人による誹謗中傷にも焦点があてられていることを念頭に置き、慎重な発言を心がけましょう。

セキュリティ通信：
テレワーク中のチャットやメールによる愚痴や批判などが会社に筒抜けになることを懸念する人が多いようです。会社側は社員同士の通信情報についてどこまで把握しているのでしょうか？

池辺教授：
オンライン会議システムを利用した場合はログが残る設定もあります。メールは原則としては会社側から把握されることはありませんが、チャットは利用するサービスによります。

また、チャットのようなサーバー側に文字情報が残るものは後から編集することも可能ですのでメールと違い記録にならないこともありますので注意が必要です。

そのため、テレワークで議論を行う場合、メーリングリストとチャットでは全く意味合いが違いますが、それを認識できていない人が多いように感じます。

いずれの機能もビジネスにおいて非常に有効なツールですから、リスクを認識した上で、いかに効率的に活用するかという「情報リテラシー」が試されていると考えてよいでしょう。

セキュリティ通信：
昨年の「情報セキュリティ10大脅威」のなかで、2022年に引き続き注視すべきトピックがあれば教えてください。

池辺教授：
2021年4月に可決し、2022年末までに改正法が施行される「プロバイダ責任制限法」も含めて「ネット上の誹謗中傷・デマ」がトレンドのひとつになることが予測されます。

現在の法律では、被害が発生したとしても発信者特定までに、コンテンツプロバイダー（CP）とインターネット接続サービス提供やアクセスプロバイダー（AP)の双方への2段階の手順が必要となるため、国内事業者で1年弱、海外ではさらに数ヶ月を要していました。

このタイムラグを利用して、コンテンツサーバーごと削除されるケースもあったので、今回の法改正は大きな意味があると考えています。

さらに、誹謗中傷に関して、個人だけでなく、サービス提供者にとっての責任が問われる時代になったことを企業は自覚する必要があるでしょう。

セキュリティ通信：
「プロバイダ責任制限法」への期待が高まる一方で、情報を提供する企業への負担も懸念されていますがどのようにお考えですか？

池辺教授：
確かに情報を開示する側の企業は、開示請求をされた場合、速やかにログイン情報を提供しなければいけません。

保管期間も定められているため、膨大なデータを蓄積するサーバーを維持するコストも必要となります。

近年では、地震発生のリスクを想定して海外のデータセンターを使うケースも増えていました。

しかし、今回の法改正やコロナ禍、2021年3月に発覚したLINEの中国子会社委託問題の影響により、今後2～3年のうちに、サーバーの国内回帰に関する議論がトレンドになっていくでしょう。

セキュリティ通信：
コロナ禍ではネット利用者増加によるサーバー負荷が問題となりました。自然災害のリスク軽減のためにも、首都一極集中を回避し、地方創世を実現する必要性が高まっていますが、どのようにお考えでしょうか？

池辺教授：
地方創生に関しては長い間従事してきましたが、順調に進んでいる地方自治体は少ないのが現状ではないでしょうか。

ITCという観点からみた場合、地方自治体が保持する価値のあるものは、インターネットを通じて容易に加工、編集、再配布等できる形で公開された「オープンデータ」です。

例えば、オープンデータへの取組みが最も進んでいる地方自治体の一つである静岡県では地形のCGモデルを容易に作成することが可能な点群データが公開されている地域もあります。

ですから、高いレベルのオープンデータを地方自治体が開示できれば、民間の参入やアプリ開発がより盛んになり、地方創生の起爆剤となるでしょう。

もちろん、どの地方自治体も災害時の避難所に関するデータなどは公開しているかもしれません。

しかし、地図に避難所が記載されただけの静的データとCGやアプリケーションを起こせる動的データまで自治体によって大きな差が生じています。

このようなオープンデータの格差が民間企業の参入、地方創生にも影響を与えるのではないでしょうか。

セキュリティ通信：
今後、地方自治体が「オープンデータ」を整備していくためには何が必要とお考えですか？

池辺教授：
「オープンデータ」先進には静岡県のような「自治体主導」と「民間主導」の2つのパターンがあります。

「オープンデータ」で最も有名な地方自治体の一つが福井県の鯖江市ですが、この自治体では「民間主導」により取り組みが進んだと言われています。

一般的に、都市部ほど「自治体主導」、地方部に近づくほど「民間主導」の傾向が強くなりますが、最終的には、その地域特性に応じた推進を行うことが重要です。

今回のテレワークをきっかけとして、地方にビジネス拠点の基盤を持つことの重要性が再認識され「オープンデータ」の整備と地方創生実現を目指す動きに期待が寄せられるでしょう。

セキュリティ通信：
昨年末に登場した新たな変異株により収束の兆しが見えない状況ですが、今後、テレワークを中心とした企業や教育機関はどのように変容するとお考えですか？

池辺教授：
仮に新型コロナウイルスが終息したとしても、完全にテレワークがなくなることはないでしょう。

約2年に及ぶコロナ禍の経験を通じて、テレワークによるメリットとデメリットがあらゆる分野で明らかになりました。

例えば、大学などの教育機関では、知識を教授する座学は何度でも視聴可能なオンライン、双方向が必要なゼミナールや実習は対面というすみ分けがなされていくでしょう。

また、緊急事態宣言が発令された場合「イベントの収容人数5割」などが定められますが、それは大学の授業にも適応されます。

授業の定員を確保する意味でも、大学におけるオンライン授業は今後も継続されるでしょう。

企業においても、オンライン会議や人事面接の利便性を痛感した方は多いのではないでしょうか。

ただ、オンラインによる利便性が高まる一方で、大学ではオンラインに適応できない学生に対する心身のケアが大きな問題となっています。

教育機関と企業それぞれが、セキュリティ対策を含めた個人のケアにどう向き合うかが2022年以降の大きな課題の一つとなるでしょう。

・危機管理の重要な要素である「business continuity」のために策定される計画で「感染症BCP対策」としてテレワークの推進が加速化している。

・中小企業のセキュリティ対策としては「情報セキュリティ10大脅威」の認識、ソフトウェアのアップデートとセキュリティソフトの導入及び情報リテラシー教育の徹底が有効である。

・大企業であっても取引先の中小企業からのウイルス感染が増加しているため油断は禁物

・SNSからの情報漏洩が会社の被害に直結する可能性もあるため、個人と業務用パソコンのすみ分けを徹底する。

・「プロバイダ責任制限法」への期待が高まる一方で、情報を提供する企業の負担増大やサーバーの国内回帰への課題が今後のトレンドになる。

・ITCという観点から地方創生を考えた場合に鍵を握るのは「オープンデータ」の環境整備をいかに行うかである。

・約2年に及ぶテレワークやオンライン授業で得た経験を糧として、最適な選択を行うと共に、セキュリティ含めた個人のケアを徹底することが2022の課題になる。

いかがでしたでしょうか？

昨年は、2020年に引き続き新型コロナウイルスの影響により、あらゆる分野でさまざまな変革を余儀なくされました。

今回の未曾有の感染症によるパンデミックを機に、巨大地震や台風などの自然災害に火事や停電などの事故、犯罪、テロなどのリスク管理を目的としたビジネスコンティニュイティの重要性が高まっています。

帝国データバンクによる調査によれば、日本における「事業規模別BCP策定率」は大企業が32.0％ 、中小企業は14.7％。今後、中小企業を中心としたBCPへの取組みが急務といえるでしょう。

さらに、誹謗・中傷被害増加に伴う「プロバイダ責任制限法」改正に伴い、インターネット上であっても、個人とサービス提供者である企業それぞれの責任が問われる時代がやってきました。

約2年に及ぶコロナ禍で得たそれぞれの教訓を糧に、2022年は個人の情報リテラシーが試されているという緊張感を持った、フレキシブルな行動変が求められるでしょう。

intervieweeプロフィール

池辺正典

文教大学情報学部情報システム学科教授

インターネットの違法有害情報を収集・分析し、サイバー空間の浄化活動を支援するためのシステムの提供を行うプロジェクトを推進。

近隣の小中学校に向けて警察と連携したサイバー防犯教室開催などの活動が評価され、2019年10月には「安全安心なまちづくり関係功労者」として内閣総理大臣表彰を授与。地方自治体や警察と連携し「SNSに起因する児童ポルノ、児童買春、重要犯罪等」から児童を守る。

経歴：
関西大学大学院総合情報学研究科博士後期課程修了/文教大学情報学部情報システム学科専任講師/同准教授を経て現職

文教大学サイバー防犯ボランティア代表/情報システム学会理事

専門分野：
ウェブ情報学/サービス情報学/子ども学（子ども環境学）

研究キーワード：
Webマイニング/情報システム開発/サイバー防犯ボランティア/違法有害情報対策/行政評価/地域情報化

社会貢献活動：
・東京都　インターネット広告　監修2021/04-2022/03
・茅ヶ崎市地域情報化計画　中間評価報告書　有識者評価担当2018/10-2019/02

TEXT：セキュリティ通信 編集部
PHOTO：iStock