JPCERT コーディネーションセンター

海外セキュリティ関連機関・組織の動向 台湾行政院

重要インフラの包括的なセキュリティ政策に取り組む-台湾行政院

本インタビューは、2013年1月25日に取材したものです。

TWCERT1.jpg

 話手:(左から)
 台湾行政院 情報セキュリティ室 王弘儒氏
 台湾行政院 国土安全室 林俊甫博士
 国立中山大学 范俊逸教授(TWCERT/CC)


1月24日に開催された「制御システムセキュリティカンファレンス 2013」に台湾から3名の参加者があった。そのうち、林博士と王氏は、台湾行政院でセキュリティ政策を担う専門家であり、范教授は、TWCERT/CCにおいてインシデント対応やコーディネーション活動を行っている。カンファレンスの翌日、制御システムセキュリティへの対応や現状などについて情報交換を行うためにJPCERT/CCを訪れた3人に、台湾での制御システムセキュリティに関する取り組みについてインタビューをお願いすることができた。

―本日はインタビューのお時間いただきありがとうございます。さっそくですが、台湾での制御システムセキュリティ政策の現状についてお話いただけますか。

范教授:ご存じのとおり、台湾には多くの製造業が集まっており、重要な産業セクターを構成しています。しかし、製造業界におけるセキュリティ対策は、情報システムとそのデータに対するものがほとんどでした。近年、制御システムに対するサイバー攻撃が注目されるようになり、政府も制御システムセキュリティに関する本格的な議論を始め、業界も、製造ラインへの攻撃リスクを認識して対策に取り組み始めています。

林博士:現在、台湾の政府である行政院において、CIP(Critical Infrastructure Protection)という取り組みの中で重要インフラのセキュリティ対策を研究しています。CIPの活動では、次の8つの分野をカバーします。

1. エネルギー
2. 水
3. 情報通信
4. 交通
5. 銀行・金融
6. 医療機関・緊急医療
7. 主要省庁
8. ハイテクパーク

これらの施設や機関に対する、物理空間における組織の人員管理、事故・災害への対策までを対象とする総合的な保護政策を担当しています。

―CIPの活動は行政院の中でどのような位置づけになりますか。

王氏:CIPの研究対象は石油、水、電力などの事故や災害対策など広範に及び、関連する省庁も複数になるので、行政院が所管しており、林博士が所属する国土安全室が担当しています。CIPの研究の他に、CIIP(Critical Information Infrastructure Protection)と呼んでいる、重要情報インフラの防護に特化した取り組みもあります。CIIPの活動は、行政院に設置された国家情報通信セキュリティタスクフォースが立案する政策や提言の中に組み込まれています。タスクフォースは、政務委員(実権のある無任所大臣に相当)によって組織されているので、省庁に対する一定の権限も持っています。そのタスクフォースが定めた政策案を、具体的なプロジェクトや活動に落とし込んで実業務を行うのが、私が所属する情報セキュリティ室となります。

―台湾では、他に制御システムセキュリティ関連でどのような活動が行われてきましたか。

林博士:先ほど述べた8分野の管轄省庁に対して、それぞれの事業者に事前の保護対策、インシデント発生時の対応、事後のレポートなどのプランを作らせるという指示を行いました。また、重要インフラにおける事故や災害に対する訓練や演習を定期的に実施しています。たとえば、金山にある原子力発電所でこのような演習が行われたこともあります。このときは、主に施設や設備の事故やトラブルに対する演習でしたが、今後は制御システムの情報セキュリティに関する演習も増えていくはずです。

范教授:一例ですが、照明を制御するシステムをWindows XPをベースにしている組織がいくつかあります。OSのセキュリティを考えると、あまり安全とはいえない状態です。制御システムでは、このような古いシステムがしばしば問題になります。古いシステムに対しては、事後対応していくしかありませんが、今後のシステムについては、TPM(Trusted Platform Module)のような考え方を制御機器にも導入して、プロセッサレベルから信頼性の高いコンピュータシステムを作り上げることも重要だと思っています。

―原子力発電の話がでましたが、台湾に原子力発電所はいくつあるのでしょうか。

林博士:現在は3か所です。4か所目を現在建設中ですが、台湾も地震がある国ですので、原子力発電所建設の是非についての議論も行われています。CIPでは包括的な設備保護を考えますので、人災や自然災害への対策や対応も考えなければなりません。

―台湾では、制御システムが関連するどのようなサイバーインシデントが発生していますか。可能な範囲で事例など教えてください。

范教授:申し訳ありませんが、詳細はお話できません。しかし、サイバーインシデントは台湾でも問題になってきています。

―台湾国内での制御システムセキュリティに対する意識はどうでしょうか。例えばStuxnetの問題は新聞などで大きく取り上げられたりしたのでしょうか。

范教授:残念ながら、新聞などではあまり大きく扱われませんでしたが、政府や業界では、制御システムセキュリティに対する関心は高まっています。今後は業界へのセキュリティ啓発や教育、トレーニング、情報共有の強化が重要になると考えています。

―本日はお忙しいところお時間いただきありがとうございました。

Topへ

Topへ
最新情報(RSSメーリングリストTwitter