2019年6月5日に開催されたZDNet Japan セキュリティ可視化セミナー「セキュリティ新潮流 ブロック至上主義から可視化&即時対応へ」の特別講演では、「“意義”あり? 誤解? ~IoT脅威を可視化する『NOTICE』プロジェクトの舞台裏」と題したパネルディスカッションが行われた。本稿ではその模様をレポートする。
「国が消費者の機器に無差別侵入」というのは本当か?
2019年2月、脆弱な国内のIoT機器の調査と対応を呼び掛ける国家的プロジェクト「NOTICE」が始まった。NOTICEは「National Operation Towards IoT Clean Environment」の略だが、憲法が定める「通信の秘密」に抵触するのではといった懸念が示され、その実施をめぐって賛否が沸き起こった。パネルディスカッションは、このNOTICEプロジェクトをテーマに据え、情報通信研究機構(NICT)サイバーセキュリティ研究所 サイバーセキュリティ研究室長の井上大介氏、ラックの武田一城氏、駒澤綜合法律事務所長の高橋郁夫氏の3人のパネリストが、プロジェクトの意義、懸念をめぐる見解を議論した。
まず、武田氏がパネルディスカッションを実施するきっかけと経緯を紹介した。同氏は、ZDNet Japanでの連載「企業セキュリティの歩き方」を執筆している。
ラックの武田一城氏
総務省とNICTがNOTICEの取り組みを発表したところ、メディア報道で「プライバシー侵害につながる危険性」「実質的に不正アクセスと変わらない行為」との指摘があり、なかには「通信の秘密に抵触する」との懸念も見られた。武田氏は連載の記事で自身の考えを述べたが、事実関係や法律関係で不明点もあったという。
「どのような調査なのか具体的に知っているわけではなく、また、憲法や法律に詳しいわけでもありません。報道の中には政府のセキュリティに対する取り組みを誤読させるようなものもありました。NICTでの本件の主要人物や法律の専門家を交えて議論することで、深掘りしていきたいと思いました」(武田氏)
それでは、NOTICEの意義や目的は何か。ディスカッションの最初のテーマと「そもそもなぜNOTICEをやるの?」について、NICTでの本件の“主要人物”とされた井上氏は、「国が消費者の機器にむやみに無差別侵入するようなイメージを持たれている方もいらっしゃったようです。SNSでも大きく炎上したこともあり、正しく説明することが難しい状況になっていました」と振り返った。
井上氏によると、NOTICEの背景には、IoT機器へのサイバー攻撃の増加がある。2016年以前はデフォルトのIDとパスワードを悪用されてマルウェアに感染するケースが多く、2017年にはIoT機器の脆弱性を攻撃して感染するケースが増えた。また、2018年にはIoT機器を踏み台にしてその背後にある機器を攻撃するなど脅威の高度化が進んだ。井上氏は「そんななか、NOTICEには、まずは容易に推測されるIDとパスワードで動いているIoT機器をなんとかしなければという発想がありました」と説明した。
総務省、NICT、ISPが連携、IoT機器を調査
NICTにおける研究開発の成果では、インシデント分析センター「NICTER(ニクター)」や、対サイバー攻撃アラートシステム「DAEDALUS(ダイダロス)」、サイバー攻撃統合分析プラットフォーム「NIRVANA改(ニルヴァーナ・カイ)」、サイバー攻撃誘引基盤「STARDUST(スターダスト)」といったセキュリティシステムがよく知られている。こうした取り組みを推進してきたのが井上氏だ。
「NICTERの観測レポートによると、IoTへのポートスキャンの数は増えていて、全体の47.7%を占めています。宛先ポート番号別に見ると23/TCPが最も多く、445/TCP、80/TCPと続きます。IoTで用いられる22/TCP、52869/TCP、81/TCP、8080/TCP、2323/TCPも増えています」(井上氏)
情報通信研究機構 サイバーセキュリティ研究所 サイバーセキュリティ研究室長の井上大介氏
NOTICEについては、「無差別侵入する前に政府にはいろいろやることがあるはずだ」という世論もある。これについて井上氏は、「ご指摘の通りで、実際、2017年10月に総務省のサイバーセキュリティタスクフォースが公表した『IoTセキュリティ総合対策』には、脆弱性対策にかかる体制の整備として、さまざまな取り組みを挙げています。セキュリティ・バイ・デザインの意識啓発や支援、認証マークの付与や比較サイトを通じた推奨、IoTセキュアゲートウェイ、セキュリティ検査の仕組みづくりなどの取り組みの1つとして、今回のNOTICEの取り組みである『サイバー攻撃の踏み台となる恐れがある機器に係る脆弱性調査』があります」と説明した。
こうした取り組みを行うためには法的な根拠が必要になるが、当然のことながらNOTICEのための法改正が行われている。2018年5月23日に交付された「電気通信事業者法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」(電気通信事業法と通称「NICT法」の改正)だ。
高橋氏は、「NICT法では2024年3月31日までの間、NICTが特定アクセス行為を行い、通信履歴などの電磁的記録を作成することを目的に掲げています。特定アクセス行為は2条4項で決められており、NICTからネット上の機器に一定の識別符号を入力しアクセスする行為を指します。このように組織法上の根拠と、特定アクセス行為の概念の定めのある取り組みです」と解説した。
NOTICEは、NICT単独のプロジェクトというわけではない。法的に根拠があり、総務省、NICT、インターネットサービスプロバイダー(ISP)が連携し、IoT機器の調査やその利用者への注意喚起を行う取り組みということだ。