伊勢志摩サミットや東京五輪など、今年以降、国際的な大イベントが目白押しですが、サイバー攻撃を企む者にとっては、格好の狙いどころ。
近年、公的機関へのサイバー攻撃が右肩上がりで増えていますが、警察が捜査を進めると、「簡単な漢字の方の中国語」が必ずと言っていいぐらい、お目見えしているようです。(苦笑)
先日、サイバー攻撃対処訓練という場に参加しました。
香川県警察本部が主催。
香川県、高松市の広報担当と情報システム担当などがメンバー。
私たちは、香川県公式サイトの開発・保守担当として、民間から唯一参加しました。
今年サンポートで開催される関係閣僚会議にあたり想定される攻撃に対する訓練ということです。
講演とアドバイザーとして、内閣サイバーセキュリティセンターの方が同席。
その講演は、終始大変有意義な内容でしたが、その中でも最も興味深いポイントを紹介します。
サイバー攻撃対策に対するリスクマネジメントについてです。
そもそもコンピューターの成り立ちは、手作業でしていた作業の負担軽減(コスト削減)が目的だったはず。
サイバー攻撃対策のために湯水のごときコストをかけては本末転倒であるという考え方。
ある程度はあきらめも肝心だと。
次のような例え話がありました。
電車の改札機がハッキングされ不能になっても、鉄道職員の努力で、人が運べるのなら良しである。
自治体ウェブサイトがDDOS攻撃などを受け、閲覧不能に陥ることが考えられますが、リスクに対してどれだけコストをかけられるかを検討し、攻撃を防げない可能性がある場合は、攻撃された後の復旧までの対処策をあらかじめ練っておくことが重要であるとのこと。
なるほど、ごもっともです。
民間で、ウェブにあまりコストがかけられない会社などにも応用できる考え方です。
また、不信メールによる感染や情報漏えい問題にも触れられ、国としては、メールとウェブ閲覧を同じパソコンですることを「あきらめた」ということも印象深かったことのひとつ。
メールは、メール専用パソコンで行い、ウェブ閲覧パソコンと分離するというのです。
不信メールを開くという人災を全廃することは、不可能だとのことでした。
これも、各自治体のガイドラインになるかもしれません。
それにしても、改めて私たちの責任の重さを再認識した一日でした。