イメージ画像(提供:アフロ)

(山田敏弘・国際ジャーナリスト)

 2023年8月4日、内閣サイバーセキュリティセンター(NISC=ニスク)がデータ漏洩を報告した。5000通ほどの電子メールが漏洩した可能性があると報じられている。

 NISCによる公式サイトでの発表を見てみると、こういう顛末だった。

「内閣サイバーセキュリティセンター(NISC)の電子メール関連システムに対し、不正通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明しました」

 その上で、「これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されています」としている。

被害者はサイバーセキュリティ対策の「司令塔」

 NISCは公表していないが、このメーカーとは、アメリカの「Barracuda Networks(バラクーダ・ネットワークス)」で、同社が提供している「Barracuda Email Security Gateway(ESG)」にあった脆弱性が原因となっている。

 この漏洩事件は、NISC以外にも情報漏洩を引き起こす可能性がある。そこで、今回のケースを少し深掘りしてみたい。

 まず被害に遭ったNISCだが、日本でサイバーセキュリティ対策の「司令塔」のような役割をしてきた政府の組織だ。

 まずNISCの歴史を紐解いてみよう。もともと2000年に設置された内閣官房情報セキュリティ対策推進室として情報セキュリティ対策を議論する目的でスタートし、2005年に内閣官房情報セキュリティセンターに組織を改編した。サイバー対策が本格化した2014年、日本では初めて「サイバーセキュリティ基本法」が制定。それに伴って2015年1月、内閣官房情報セキュリティセンターがNISCに変わった。そこから、サイバーセキュリティ戦略が閣議決定されるなど日本のサイバー攻撃対策が活性化してきた。

 ただ専門家らのなかには、その役割に批判的な声も少なくない。というのも、NISCの主な仕事は、政策の検討や省庁に対するサイバー対策のアドバイス、業界団体などへの情報提供などで、例えば重要インフラ企業が実際にサイバー攻撃を受けても、その対処などはしてくれないからだ。