コラム第８３８号：「身近なセキュリティ2024　～自然災害とセキュリティ～」

第８３８号コラム：宮坂　肇 理事（ＮＴＴデータ先端技術株式会社　
セキュリティ＆テクノロジーコンサルティング事業本部サイバーセキュリティ
インテリジェンスセンター　センター長　Principal Scientist）
題：「身近なセキュリティ2024　～自然災害とセキュリティ～」

　9月1日は「防災の日」として各種団体をはじめとして広く国民が災害（台風、豪雨、豪雪、洪水、高潮、津波等）についての認識を深めるとともに備えを充実することにより災害の未然防止と被害軽減等に資するために制定された日である。この日は、1923年9月1日午前11時58分に関東地方一帯が襲われ大規模な被害が発生した関東大震災が起こった日である。防災の日には全国各地で防災訓練が行われており、筆者の居住している地域の自治会でも、各家の安否確認や避難所へ集合するなどの相互扶助の取り組みを実施している。
　本コラムでは、昨今発生している災害について振り返りながら、セキュリティに関連する備えについて記してみたい。

　この1ヶ月、地震や豪雨、台風など災害が多く発生している。8月8日は宮崎県発生した日向灘を震源とするマグニチュード7.1の地震、8月22日にマリアナ諸島近海で発生した台風10号（SHANSHAN）や日々のように関東を含めて全国規模でゲリラ雷雨など、災害をもたらす自然現象が多数発生している。
　宮崎県の地震では、気象庁は初の「南海トラフ地震臨時情報」にて1週間の巨大地震の注意喚起を発している。南海トラフ地震は今回の震源地である日向灘から駿河湾のプレート境界を震源域として概ね100年間隔で繰り返して起きる大規模地震を指す。前回の南海トラフ地震から70年以上経ているため、この境界域を震源とした大きな地震が引き金となり大規模地震につながる可能性があり警戒している。政府は、常日頃の地震の備えの再確認や万が一の発生時に直ちに避難できる態勢をとるように呼びかけた。今回の臨時情報により、各種イベント中止、海水浴場は閉鎖、国内旅行の中止など経済的に悪い影響を与えている。
　台風10号は8月22日にマリアナ諸島近海で発生・発達しながら北上、その後進路を西北西に変えて強い勢力を維持しつつ九州に上陸、九州を横断し四国を通過して太平洋に進み9月1日に熱帯低気圧へと変化した。この台風は全国で災害をもたらしている。全国規模で線状降水帯による豪雨、大雨による河川氾濫や大規模な冠水、竜巻の発生による被害、全国各地で停電が引き起こされた。交通機関の乱れもおき、新幹線も一部区間で数日にわたり運転停止、航空も運航停止、JRや私鉄など在来線も運転見合わせ、高速道路を含め道路も封鎖、土砂崩れによる通行止めなど移動手段も被害を受けた。
　線状降水帯などによる全国的に「ゲリラ雷雨」の発生も全国的に被害をもたらしている。これは局所的に短時間で雷を伴う激しい大雨で、散発的かつ突発的に起こっている。台風による影響で線状降水帯が発生して全国で豪雨が起き、ダウンバーストや竜巻、雷が発生し水害なども起きている。

　さて、このような自然災害が発生した際に、迷惑な行為が起きている。災害に便乗したような詐欺メールや真偽不明のデマ情報、チェーンメールやチェーンメッセージなどである。誤った情報の拡散などにより、救援活動に支障がでる、一般国民に混乱や不安を引き起こす、情報の拡散行為により通信障害など影響を及ぼす、などさまざまな弊害が起きている。さらに不審なメールやメッセージなどの添付ファイル開封や書かれたURLなどをクリックすることで悪質なサイトに誘導されることや、マルウェアに感染するなどの被害が出ることもある。東日本大震災後にも同様な事象が散見されており、災害時の情報の信頼性の確保と情報の発信には注意することなど本コラムで記させて頂いた。当時から技術進歩ともに、通信インフラが高度化しており、スマートフォン機能の向上や普及、ソーシャルネットワークシステム（SNS）なども多種多様に提供されている現在、災害発生時の情報についてはより注意する必要がでてきている。一般的には一次情報を必ずあたる、情報の発信源には注意深くするなど、より注意することを深く浸透することが大切かと感じている。一方、行政機関や報道なども情報については真偽を含めて確認すること、不審な情報には注意すること、などを呼びかけ続けている。スマートフォンなどでは行政等の公的機関や民間企業においても「防災アプリ」を配布しており、情報の正確性や緊急情報などの提供、地域特性に応じた情報伝達などが可能であり、このアプリなどを利用することも推奨される。ただし、非常時では通信インフラの制限なども想定され入手が困難になるため、平常時に予め入手し、操作方法などを確認しておくことをお勧めする。

　だいぶ前になるが、英国のセキュリティ有識者と打ち合わせした際に聞かれたことに強い印象が残っている。当時（20年少し前）はまだ日本にISMS（Information Security Management System）が入り始めた頃であり、日本の企業等はQMS(Quality Management System)が主流であった時代である。有識者はISMSの専門家であり、当時BS7799の要求事項の一つの管理策の”事業継続計画”の議論をしていた時である。彼からの質問は、「日本は地震が多く、活火山なども多い。夏に発生する台風もある。これらを起因とした大規模災害などに備えて情報セキュリティのき損が生じる可能性がある。例えば、地震による建物の崩壊、津波、液状化現象などによりITシステムがダメージを受ける可能性が高い、これらの機能を維持する、復旧するなどの事業を継続することはどう考えているのか？」である。当時の情報セキュリティの実装においても、不正アクセスやマルウェア、ヒューマンエラーなどに加えて自然災害なども考慮はしていた。海外の有識者ではあるが、日本の自然災害に対して影響を含めて知見を有し、具体的な指摘されたことは驚いた。さまざまな起きうる事象を想定してマネジメントシステムを構築することの重要性について気づかされたときでもある。もう一つは事業を継続するために情報セキュリティの確保は組織として重要なことであることを再認識した。

　昨今では、上述したように自然災害時の混乱に便乗しデマ情報等が流れるなどに加え、サイバー攻撃の発生なども観測されている。情報混乱や攻撃によっては組織等のITシステム等の故障などにより事業の継続に影響がでる、ひいては人命を脅かす状況になりかねない。このような緊急事態を想定した仕組みづくりが必要となる。例えば、ITシステムなどは、サービス復旧させるために別なサイトへ再配置、代替機器に置き換えるなどにより、ITサービスの機能の復旧を行う手段を確保しておくことが肝要である。現在では、クラウドにその機能などを配置も検討することが必要である。さらに、緊急事態に準備した仕組みが正しく実行できるように手順などを整備し、要員や資材の確保が困難な場合の対応等についても考慮して置くことも必要となる。さらに、平時にデータ復旧などの仕組みなどが正しく機能するかを確認する、要員を含めて「防災訓練」と同様に模擬的な訓練を行うなども行う必要がある。

　本コラムでは自然災害を主に取り上げて記してきたが、昨今の組織を狙ったランサムウェアなどのサイバー攻撃も多発しており、組織として事業を継続するという観点からも緊急事態を想定して仕組みなどを点検したらいかがであろうか。「備えあれば憂いなし」である。

【著作権は、宮坂氏に属します】