病院の給食システムの脆弱性を突いたサイバー攻撃があったのも記憶に新しいところではないでしょうか。(大病院を「修羅場」に変えたサイバー攻撃 異変はひそかに忍び寄った [大阪府]:朝日新聞デジタル)
公立病院のお医者さんって、IT弱いよね、で片付けるのは簡単です。だけど、ここで脆弱性の踏み台になったと言われているものは病院に入れる給食システムで利用していたVPNゲートウェイの脆弱性だと言われています。給食システムの危機なんて、病院が機器を特定して、固定資産として管理しているとは考えにくいです。
つまりIoTの時代になると、人が設置した機器を踏み台にしたサイバー攻撃や情報漏洩も十分にありえる時代になったんです。
こうなると、もうだめだ。セキュリティは難しい。ネット鎖国だ。なんて分けにもいきません。政府の方でも、外部からの検査で、機器の脆弱性を調査し、注意喚起する取り組みが2019年に立ち上がり、プロジェクト運営に参加したことがあります。総務省で進めているNOTICE(NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト)って取り組みです。
外部からスキャンをして、所定の検査手順を行い条件を満たす脆弱性、サイバー攻撃に悪用される危険性が確認できたときは、対象者に「戸締まりを注意してください」という注意喚起する取り組み。
この際、一部メディアが、国による検閲と囃し立てたことで、プロジェクトの進行が非常に阻害されたがあります。(もう記事は削除されていますが)で、検閲って何でしょうか?
もちろん国家権力が国民をはじめとした思想、信教などに不正に介入するのは問題ですし、憲法違反です。しかし、手順を明かした上で、危険と判断したものの「危険性を認識をして戸締まりをしてください」を検閲といって禁じたら、すべてのリスクは各自が守るしかないのでしょうか・
電車に乗るときに、同じ車両に危なそうな人がいたとします。ゴホゴホと咳き込んでいる人、でも構いません。
咳をしたからと言って責めるわけにもいかないし、いいところ、窓を開けて換気をしてみたり、他の車輌に移ってみたり。
しかし、インターネット空間は、車両の連結部分が見えるようなものでもありませんので、どうやったら安全か、危険かもわかりにくいので、その道の専門家が知恵で注意喚起や情報提供をする取り組みを知るのも、大事です。
それで、NOTICEの検査の結果、NOTICEと連携してIoT機器の利用者に注意喚起する仕組みには、サイバーセキュリティ対策の重要性を理解して協力いただいている有志の通信事業者の方々です。
ここでまた事業者を悩ますのは、通信の秘密の侵害って話。(
通信の秘密は憲法21条でも保障されている国民の権利で、所謂通信に関しては、発信者または受信者である当事者の同意なく、通信の中身はもちろん、その通信があったことも含めて、国や事業者である第3者が侵害することを禁じています。
この法律を遵守するために、政府及び事業者は、特定の場合にしか、検査したり、危険性がある利用者をユーザ特定してはいけないとしています。
NOTICEの取組に参加する企業 | NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト
