第458号コラム:湯淺 墾道 理事
(情報セキュリティ大学院大学 学長補佐、情報セキュリティ研究科 教授)
題:「シンガポールにおけるデジタル・フォレンジックの近時の動き」
シンガポールは、インターポール(国際刑事警察機構)のIGCI(INTERPOL Global Complex for Innovation)を2015年に誘致するなど、サイバーセキュリティやデジタル・フォレンジックに関する世界的な拠点となることに力を入れていることでも有名である。インターポールのIGCIは、フランスに本部が置かれている事務総局の機能を補完する総局として位置づけられているが、シンガポール政府が敷地をインターポールに提供したものであり、総局長は日本の警察庁出身の中谷 昇 氏である。サイバー犯罪対策を実施するデジタル犯罪センター、サイバーセキュリティを取り扱うサイバー革新アウトリーチ局、加盟国の警察官やICPO職員の研修や訓練を行う能力開発・訓練局等が設置されている。
IGCIは、世界の100万台以上のパソコンがマルウェアに感染したDorkbotによるボットネット除去をカナダ、アメリカ、ロシア、インド、トルコの政府機関やユーロポール(欧州警察組織)にも参加を要請して実施するなど、国際的な活動を行っている。世界各国の民間企業とも連携を進めており、日本からも企業が社員を派遣しているとのことである。
ところで、2017年3月、シンガポール政府は新たなサイバー防衛組織を国防軍の中に組織することを表明した。その背景にあるのは、2017年2月に国防省の内部のネットワークへのサイバー攻撃により850名の軍人等の個人情報が窃取されるという事案が発生したことである。この攻撃は明らかな標的型攻撃であり、シンガポールの軍事秘密を窃取することを目的としていたという。
国防省の新たなサイバー防衛組織に関するプレスリリースによれば、国防軍のネットワークを防護するため、ナショナル・サービス(国民役務)の中に、正式にサイバーセキュリティに関する職を設けるという。ナショナル・サービスへのサイバーセキュリティ人材の配置は、2017年8月以降に行うとしている。
ナショナル・サービスというのは、シンガポールの義務役のことである。
シンガポール国民の男子は、18歳から2年間のフルタイムの義務役と、その後最低13年間にわたって予備役招集(1年から3年に1回程度)への参加を義務づけられる。ただしシンガポールの義務役(国民役務)は「国への奉仕(ナショナル・サービス)」であるので、必ずしも国防軍への兵役だけを指すものではない。実際に、軍事以外の消防等の公共機関にも義務役として配属されている。ただし、その場合は自分の希望で選択できるわけではないので、ヨーロッパ諸国の徴兵制度に導入されている「良心的兵役拒否」のように自分の意思で非軍事的役務を選ぶということはできない。このため、世界各国の徴兵制度と比較してみてもかなり厳しい制度であるとされている。
今回、そのナショナル・サービスの配属先の中に、サイバーセキュリティも含めることになった。国防省のプレスリリースによれば、ナショナル・サービスでは次のような職務が想定されるとのことであり、デジタル・フォレンジックも重要視されている。
*セキュリティ・オペレーション・センターにおけるモニタリング業務
SOCにおいて、24時間の重要なネットワーク及びシステムへの外部からの攻撃及び内部から情報流出を監視する。
*インシデント・レスポンス
インシデントが発生した場合、インシデントによる国防軍のネットワークの平常運用に対する影響を極力、抑える。
*フォレンジック分析
インシデントの後、データを分析し、攻撃行動のパターンを発見するための技能を修得する。これによって同様の将来の攻撃に対処できるようになる。
なお、これまでナショナル・サービスとしてサイバーセキュリティに従事する場合が全くなかったというわけではない。従来も、学費と生活費の全額給付型奨学金の給付を受けたようなごく一部のエリート人材が、ナショナル・サービスとして修学後にサイバーセキュリティに関する職に就くこととされていた。しかし今後は、義務役として直接、サイバーセキュリティを選択することができるようになったわけである。その目的は人員増にあるらしく、ナショナル・サービスとしてサイバーセキュリティを選ぶことができるようにすることで、国防軍のサイバーセキュリティ人員を現在の2倍にまで拡大するとしている。
また人員の強化によって、サイバーセキュリティ庁が規定する民間事業者の重要インフラ(電力網、通信網)へのサイバー攻撃への対処に、国防軍が支援することも可能となるということである。
興味深いのは、ナショナル・サービスでサイバーセキュリティ領域に配置する人材の選抜方法である。
前述したように、シンガポールのナショナル・サービスには良心的兵役拒否のような制度は設けられていないので、原則として自分の希望で非軍事的役務を選択することはできない。しかし、サイバーセキュリティに関しては、希望者の志望制度が設けられるようである。この場合、希望者はサイバーセキュリティに関する能力、経験及び学歴を申告する必要があり、志願者の中から選抜されることになるという。フルタイムの義務役と予備役の両方にサイバーセキュリティ職種を導入するが、選抜にあたっては各種のハッキングコンテストの入賞実績や職務経験なども考慮するという。
フルタイムの義務役の場合は、職務経験がないので、高校生までの時点におけるサイバーセキュリティに関する技能をもとに選抜することになるだろう。このため若年層向けのハッキングコンテストの開催がさらに活発になるかもしれない。その際、デジタル・フォレンジックはどのようにコンテスト内容の中に取り込んでいくのだろうか。あるいは、コンテスト以外の方法でデジタル・フォレンジックに関する技能を測定して選抜することになるのだろうか。今後の動向が注目されるところである。
【著作権は、湯淺氏に属します】