本連載「松岡功の『今週の明言』」では毎週、ICT業界のキーパーソンたちが記者会見やイベントなどで明言した言葉をいくつか取り上げ、その意味や背景などを解説している。今週は、アドビシステムズのイベントで基調講演を行った内閣官房情報セキュリティセンターの木本裕司 内閣参事官と、新たな電力削減ソリューションを発表した大塚商会の後藤和彦 上席執行役員の言葉を紹介する。(ZDNet Japan編集部)
「100%セキュアな仕組みをつくることは難しい。それを前提とした情報セキュリティ対策を講じる必要がある」
(内閣官房情報セキュリティセンター 木本裕司 内閣参事官)
アドビシステムズが6月21日、「PDFファイルの改ざんによるサイバー攻撃を防ぐ~待ったなしのセキュリティ対策~」をテーマとしたプライベートイベント「Adobeセキュリティフォーラム」を開催した。木本氏の発言は、そのフォーラムのゲストスピーカーとして基調講演を行った際に、セキュリティ対策への取り組み姿勢を語ったものである。
内閣官房情報セキュリティセンター 木本裕司 内閣参事官
昨年来、日本の政府機関や大手企業でもサイバー攻撃への対処が問題となっている。中でもビジネス文書形式としてPDFファイルを活用するケースが増えるにつれ、関係者を装ったメールへウイルスを仕込んだPDFファイルを添付して送りつけ、受信者が感染するという被害が目立ってきている。
そうした中でアドビシステムズは4月25日、国の情報セキュリティ政策を担う内閣官房情報セキュリティセンター(NISC)が取り組む、日本におけるPDFファイルの改ざんによるサイバー攻撃への対策において協力要請を受け、NISCの取り組みに賛同し協力することを表明した。
その一環として、アドビシステムズは米国本社と連携し、PDFファイル閲覧・編集ソフトウェア「Adobe Reader / Acrobat」において、日本の政府認証基盤(GPKI)の認証による電子署名が付与されたPDFファイルを、利用者が簡単に検証できるように機能強化した。
これを受けて、NISCがPDFファイルを安全・安心に活用するための方針を策定し、同日に発表した。今回のAdobeセキュリティフォーラムでの木本氏の講演は、そうした経緯から実現したものである。
木本氏は講演で、昨年秋に中央省庁で働く約6万人の職員を対象として、標的型不審メールの教育訓練を行った結果を披露。NISCからウイルス入りを想定したPDFファイルを添付した模擬メールを各職員に送り、もし添付のPDFファイルを開けば注意を促すという訓練だが、実際におよそ1割の職員が添付のPDFファイルを開いたという。
こうした訓練を通じて木本氏は「不審な添付ファイルは開かないように一層注意を促していかないといけないが、まずは各職員とも身近にサイバー攻撃の脅威を感じてもらえたと思う。ただ、実際に1割の職員が添付ファイルを開いたことを考えると、その後、ウイルスに感染する可能性を前提とした対策もしっかりと講じておく必要がある」との教訓を得たという。この言葉を繰り返すように語ったのが、冒頭の発言である。
そして木本氏は最後に、PDFファイルの取り扱いについて、「政府内での適切な取り扱いのための標準的なマニュアル、つまり基準が必要だ。これは企業も同じだろう」と訴えて講演を締めくくった。
