2017-05-31 第193回国会 衆議院 経済産業委員会 第17号
また、有名な話ですが、ロンドン・オリンピックでは、二〇一二年、毎秒一万件の不正通信を受けて、最後は手動で切りかえた。これは有名な話であるわけでありますが、まさにこうしたこと。 社会インフラが毀損すれば人命にもかかわるということでありますから、経済活動のストップ、経済活動へのテロだけではなくて、人命にかかわるテロにもなるということですし、これは大変な社会的な混乱をするわけであります。
また、有名な話ですが、ロンドン・オリンピックでは、二〇一二年、毎秒一万件の不正通信を受けて、最後は手動で切りかえた。これは有名な話であるわけでありますが、まさにこうしたこと。 社会インフラが毀損すれば人命にもかかわるということでありますから、経済活動のストップ、経済活動へのテロだけではなくて、人命にかかわるテロにもなるということですし、これは大変な社会的な混乱をするわけであります。
こうした新しい攻撃手法に対応するためには、システムの防護面におきましては、不審なプログラムの検出など内部に侵入されないための対策に加えまして、内部に侵入された後も機密情報にアクセスできない仕組みでありますとか、あるいは外部との不正通信をできるだけ早く検出してそれを撃退するというような仕組みなど、我々多層防御と申し上げておりますけれども、複数の対策を組み合わせてシステムを守るということが必要になってくるというふうに
○政府参考人(猿渡知之君) 今いろいろやっていることと検討中のものがあるわけでありますが、一つはやはり、不正監視、不正通信の防止対策等々につきまして、ある程度ノウハウあるいは設備投資が必要なものというものについては、共同化というような方向も含めて検討チームの方からいただいておりますし、そういう形でやっていくとともに、あと、それぞれの段階、まずやるべきこと、あと二年先までにやるべきこと、そういうことを
つまり、五月八日に発生した時点、NISCが厚生労働省統合ネットワークから不正通信、外部への、関知した時点で、NISCは、それが年金機構のシステムが今回統合ネットワークに入っていたことについて一切知らなかった。それが我々は一つ大きな問題点だと思っているわけです。 政府の内閣サイバーセキュリティセンターとして、厚生労働省統合ネットワークシステムのシステム構成自体知らなかった。
○国務大臣(菅義偉君) NISCは、まさにこのサイバー攻撃への政府機関の緊急対応能力、これを強化するために、各府省の情報システムのインターネット接続口にセンサーを実は設置をしまして、不正通信等を二十四時間体制で実は監視しています。ちなみに、平成二十五年度には、約五百八万件の攻撃を検出をして、百三十九件、これを通報しました。
○石橋通宏君 この辺ちょっと曖昧ですが、それ以上、つまりどこからの不正通信の発信だったかという解析以上の解析は今回しなかったということが判明をいたしました。これ、大変僕は残念な話だと思います。どこまで分かるかは別にしまして、常時SOCでいろんな解析をされております。
その時点でなぜログの解析を、不正通信、NISCのGSOCではそれは分からないんですね、どんなそれが不正通信の全容かというのは。それは厚生労働省統合ネットワーク側のSOCでちゃんとログの解析、分析をしないと分からないわけです、出どころがどこかだけじゃなくて。
○石橋通宏君 安藤審議官、それを受けて統計情報部に、不正通信の出どころだけではなく、詳細なログの解析を含む、不正通信がいかなるものか、それを分析、解析して報告するように統計情報部に指示は出しているでしょうか。
そのレベルを上げたり下げたりもできるわけでありますが、いずれにしても、ファイアウオールというのは、不正通信を遮断するというふうなことで、セキュリティーの確保に大変重要な役割を果たしております。政府統一基準におきまして、ファイアウオールによる不正な通信のアクセス制御を基本的な対策の一つというふうに位置づけをしております。
ですから、厚生労働省全体のネットワーク、これを監視をしておりまして、いわゆる不正通信、これを認めたがために厚生労働省の方に話をした。厚生労働省の方で、じゃ、どこなんだということで調査をして、かつ、どういうことがあったのかと。被害が分かったのは警察への通報の後、警察の方から調査をして、ある程度これは漏えい事件があったという段階で私の方に報告が上がったということであります。
そういう外部との不正通信があったといっても、今後もただワクチンをつくるだけで終わりにしてしまうのか。ちょっと、その八日の対応が私は本当に問題だと思っておりますから、その点についてだけ一言お願いいたします。
まず、ユーザーの意識向上のための議員等を対象とした情報セキュリティ研修や、システムの脆弱性についての第三者によるシステム監査を実施しているほか、不正通信の二十四時間監視体制の整備等の対策を講じております。このほか、抜本的なセキュリティシステムの在り方についても外部の調査、協力を求め、検討しているところでございます。