重要インフラの防御にはSIEMを活用した官民の情報連携が重要に

　「サイバーセキュリティを一国だけで対策するのは難しい。インターネット経由のサイバー攻撃に国境はなく、対策には国家間の連携が必要になるからだ。その国家間連携には官民連携が不可欠である。なぜなら連携の窓口になる政府が民間を含む国全体のサイバーセキュリティ対応状況をある程度把握していなければ効率的・効果的な連携が望めないからだ」−−。ログ分析基盤を提供する米Splunkの日本法人Splunk Services Japanで政府渉外部 公共政策統括部長を務める仲間 力 氏は、こう指摘する（写真1）。

写真1：Splunk Services Japan政府渉外部 公共政策統括部長の仲間 力 氏

サイバーセキュリティ対策としての国家間・官民の連携に向けた状況把握が重要に

　世界経済フォーラム（WEF：World Economic Forum）が毎年発表している『グローバルリスクレポート』では、異常気象などと並んで安全保障関連のリスクが何点も挙げられている。安全保障関連グローバルリスクの1つに挙がるのが「Cyber insecurity」である。この課題に対応するために西欧諸国は団結を強化しようとしている。

　各国において重要インフラのサイバーセキュリティ防御の重要性が高まっている。「国際連携の前提として、自国内状況の把握、公共部門と民間部門との協力の重要性も高まっている」と仲間氏は強調したうえで、次のように説明する。

　「国際連携の前に国内状況の把握、つまり国内のリソースや重要システムの健全性・被攻撃情報を把握する必要がある。次いで、必要に応じてインシデント情報等の国際的な収集と共有が必要になる。リソースと専門知識の共有も重要で、公共部門が持つ大規模なデータや分析能力と、民間が持つ技術的専門知識や革新的な解決策を組み合わせることで、より効果的なサイバーセキュリティ対策が実施可能になる。国際連携においては、統合された事案対応戦略・計画も立案する必要になるが、そこでも国内組織の合意形成がなされたうえでの国際連携が望ましく、これは国内の官民連携ができて初めて実現可能になる」

　大規模企業が多い重要インフラのサイバーセキュリティ対策についても同様に、「官側と連携する上で、子会社のことは分からないではすまない。グループ会社を含む全社的状況把握が必要になってくるだろう」と仲間氏は話す。「組織間連携も国際連携も、まずは、自組織の状況把握が基本。先進的な取り組みを実践している国では『SIEM（Security Information & Event Management）』を活用して状況把握及び情報連携を実現している」（同）という。

　SIEMは、組織内に点在する、さまざまなシステムのログを集約しデータベース化・可視化する仕組みである。ダッシュボードなどを使って人間が理解できるように可視化・検出し、その分析からインシデントに自動で対応できるようにする（図1）。

図1：SIEM（Security Information & Event Management）はシステムログの可視化・検出から自動対応までを可能にする