記事  /  ARTICLE

日常的にサイバー攻撃はおこなわれている。そうしたなか、かつて日本のサイバーセキュリティ対策の現状について取り上げた。（参考：「急増するサイバー攻撃、純国産サイバーセキュリティで対抗」2023.12.19）

いまや、サイバーセキュリティ対策は、企業にとっても政府にとっても最大の関心事といってもいいだろう。

ただ、1企業、1組織だけで対応するには限界もある。お互いの知見を共有して相互のセキュリティ対策の質が向上するならよいことだ。

実際に地域でサイバーセキュリティ対策を強化しようという取り組みが中部地区でおこなわれていると聞き、取材した。

それが、CCSC（中部サイバーセキュリティコミュニティ）だ。

CCSCとは

CCSCは、中部地区のサイバーセキュリティに関しての脅威などの動向や訓練などの取り組みについて情報共有を図るコミュニティだ。具体的な活動は、大きくわけて2つある。

1つ目が、情報共有。コミュニティの中で、産官学の連携の中でサイバーセキュリティの情報をやり取りし、それぞれがレベルアップしていくことを目指している。共有のためのルールづくりや定期的に有事の際はそれぞれが手を取り合って対処していく。

2つ目が、訓練。実際に情報共有のためのルールやサイバー攻撃発生時の連携が機能するか検証するために、年に一回、関係者が一堂に会して実践的な訓練をおこなっている。

今回はCCSCを運営する中部電力株式会社ITシステムセンターIT基盤・セキュリティグループ副長の鈴木康人氏、中部電力パワーグリッド株式会社本社システム部総括グループ副長の長谷川弘幸氏、そして「学」の側面から協力している慶應義塾大学大学院メディアデザイン研究所所員の花田経子氏に話を聞いた。

CCSC誕生の背景

実は、CCSCは自然発生的に生まれたという。

いまから7年前の2017年のこと。名古屋工業大学の渡辺研司教授など、中部地域でサイバーセキュリティ対策の活動に強い想いを持った人たちがいた。彼らは、さまざまな勉強会や他のコミュニティ活動で会い、そのつながりで「地域の重要インフラ・産業のセキュリティコミュニティの必要性」について議論した。それらの活動を通して自然と、今のコアとなるメンバーが集まり始めた。

長谷川氏が述懐する。

「日本地図を書いて、我々は日本の真ん中から産官学の重要インフラ・産業コミュニティを興さなければいけない、と（中部地域を）指差しながら、ここから発信していかなければいけないなどと、みんなで飲みながら熱く語っていましたね（笑）」。

その場にいた中部電力を含むインフラ企業の社員や、愛知県警の職員など多岐に渡る人々が、産官学の垣根を超えて集まっていた。

「（当時）、警察関係のサイバーテロ対策協議会みたいなものはあったと思いますが、民間が自発的につくったコミュニティは多分初めてだと思います」と花田氏も話す。

こうして生まれたCCSC。名付け親の渡辺教授は、サイバーセキュリティコミュニティの頭に「名古屋」ではなく、「中部」を持ってきた。地理的にも日本の中心にある「中部」を前面に打ち出したい、という思いがその名前に込められたのだ。そのおかげか、岐阜など他県にも参加者を広げることができた。

そのCCSC、どう活動を発展させていったのだろうか。

© エネフロ編集部

CCSCの特徴と機能

CCSCのひとつの特徴として参加形式がある。多くの勉強会によくあるような個人の資格で参加するのではなく、団体・組織を代表して参加している人が多いのだ。

「集まった人の中には、愛知県警のサイバーテロの担当の方がいたのですが、私は県警の中小事業のサイバー犯罪対策の担当の方を知っていたので、そちらも呼ぼうとなり、次々に声掛けすることになったのです」。

そうして組織を代表する人の輪が徐々に広がっていった。

現在は警察なども含む20団体ほどが参加しているという。

ここで、ふと疑問に思ったことがある。どうやらCCSCは、社団法人のようなかちっとした組織ではないようなのだ。どうやって運営しているのだろうか。

そこについて長谷川氏は、社団法人の方がやりやすいケースもある、としながらも、「CCSCが緩やかなつながりのコミュニティであることがすごく大事」だと言い切る。

社団法人のように組織をカッチリとしたものにしてしまうと、運営体制の構築や情報のやり取りなど、さまざまなハードルが上がってしまうからだ。

「大事なサイバー攻撃に関する情報はその人のことが信頼できて初めて渡せると思うので、人と人との関係構築をまずは大切にしたいと考えました。ですから、しっかりした枠組みよりも先に人間関係を構築できる場をつくっていくところにフォーカスしたのです。ルールは並行して検討し、参加者の皆さんが話しやすい土壌を整えています」。

「あうんの呼吸で、みんな顔が分かり合って話せる、組織を超えた関係」だという。

そこについての花田氏の見解は興味深い。

「東京とかだとすごく形式を大事にする文化があると思うのですが、中部地区は、とにかく一定の成果が上がれれば何でもいいじゃないかという気質があるのかなとは、ちょっと思っています」。

組織の形態にはこだわらず、「情報共有」という実をとったということのようだ。

© エネフロ編集部

7年の軌跡

CCSCの転機となったのが、2021年の夏に開催された東京オリンピック・パラリンピックだ。開催地は東京だったものの、「日本全体を見た時に、中部地域が狙われないとも限らない」という危機感から情報共有の強化を図り、より密な連携が生まれた。

その際にルールや情報共有のやり方など、運用が整えられた。それ以降、2ヶ月に一度、必ず情報共有がおこなわれるようになっている。

「7年前よりさらにレベルアップして情報共有できていますし、成功体験もどんどん積み重ねています」と長谷川氏はこの7年の成果を評価した。

演習

CCSCは、各社の窓口が参加する活動意思決定の場である「総合会議」、情報共有をおこなう「情報共有WG（ワーキンググループ）」、組織の訓練をおこなう「演習検討WG」の3つの組織で構成されている。参加者は自ら必要だと感じる活動を取捨選択して参加することが可能なところも特徴だ。フレキシブルな運営のため、参加しやすくなっている。

提供）中部電力株式会社

演習検討WGは、12月初旬に開催される国の演習を一つのターゲットとして検討をおこなう。夏頃から参加企業を集め、実施日まで話し合いを重ね、内容を詰めていく。

例えば、犯罪者の集まるサイトに自社の情報が漏洩していることを発見した場合を想定した情報連携や、Emotet（エモテット）という強力なウイルスに関する情報共有など、演習内容は多岐にわたる。

コロナ禍では実施できなかったが、対面で実施するからこそ、愛知県警が民間企業に聴取しに行く想定の演習などもある。

実際にサイバー攻撃で重要インフラに被害が出ているのに、警察への対応に時間を割きすぎては本末転倒なことになる、ということも演習を通じて、参加者が得た気づきの一つだ。

鈴木氏によると、逆に警察の方は、実際に被害が起きてパニックになっている企業に聴取しに行くと、企業側対応者の時間を拘束することとなるため、いかに的確に必要なことを確認するか、また警察から提供する情報があれば企業側にもメリットが生まれるため協力関係を築きやすい、ということを学んだりするのだという。

「そのような気づきから、警察側で聞きたい内容を取りまとめてフォーマットをつくり、企業に事前に伝えることで、円滑な聴取をおこなえるように工夫しています」。

むろん、国レベルでもサイバーセキュリティ関連の演習はある。しかし、国の演習は、各企業が自分の所轄官庁経由で国のトップまで情報が集まるという縦の訓練が主目的となっているため、隣の企業がどう動いているかはあまり気にしていないという。

「だからこそ、中部地域では横同士でやりましょう、と言っています」。

© エネフロ編集部

興味深いのは、全体が1つのテーマで演習をおこなうのではなく、企業ごとにおこなうこと。

基本的には各社が自社として演習を通して確認したいことや強化したいことなど目標があるはずです。それを踏まえた上で、CCSCとして横連携のタイミングを持てるか、例えば参加企業共通の主となるインシデントを設定するか、それともA社のサーバが乗っ取られてB社に攻撃しているといった一部の企業間連携が生まれるインシデントを入れるかなどを決めておいて、あとは実際に各社が各社のシナリオに沿って演習を進め、ゴールまでちゃんとたどり着けるか、演習を通じて検討していく。参加者たちが各社の目標に達したのかどうか、各社ごとにまとめるのだという。

企業間の情報共有を主軸とした演習ではなく、各企業がおこなう演習の合間にCCSC企業間で情報共有ができればいいという発想だ。共通のシナリオで共通の成果物を出さなければいけないということになると、演習自体が目的になってしまい、おそらく長続きしなかっただろう。そういう意味で、よくできた仕組みだと感じる。

提供）中部サイバーセキュリティコミュニティ

これからのCCSC

ここまで着実に発展してきたCCSC。今回、３人が繰り返し強調していたのは、「信頼関係」だった。

コロナ禍で対面でのコミュニケーションが激減した際にも、長谷川氏らが中心となってまめにオンライン会議やメールで情報を共有した。メーリングリストにリレー形式で投稿をおこない、趣味や日常を共有するなど、地道にメンバー間に親近感や一体感が生まれるように工夫したことが今のCCSCを形づくっている。

© エネフロ編集部

鈴木氏は、メンバー間に信頼関係が醸成されたことで、業務上の対応に関する相談だけでなく、「互いの組織に問題があるかもしれないポイントについて指摘しあうようなこともできている」と話す。

だからこそ各社・団体は、担当者が変わっても次の人をCCSCに出し続けている。継続性がしっかりと担保されているのだ。

高度化するサイバー攻撃。それに対抗するために必要なのは、結局、人と人との信頼関係だということが強く印象に残った。

CCSCは着々と中部地域のサイバーレジリエンスを高めているといえよう。