特集

NICTのNOTICEを前に我々がすべきこと

総務省と国立研究開発法人情報通信研究機構(NICT)が実施する、IoT機器等に適切なセキュリティ対策が行われているかを全数調査する「NOTICE」が2月20日から始まっています。

実は昨年5月に成立、11月に施行された改正国立研究開発法人情報通信研究機構法を受ける形でNICTが実施に関するプレスリリースを出しており、年末年始にかけて事前調査が行われていたため、一部のセキュリティ関係者界隈では話題になっていましたが、直前の今年2月になってNHKなどが報道を始めたことで再注目されているという背景があります。

立法の趣旨や解釈については高木浩光氏の見解が詳しいところで、そもそもの違法性の阻却については一定程度の措置が取られた上での取り組みだというところは押さえておきたいところでしょうか。
その一方で不正アクセス禁止法の第8条で「(前略)管理者は(略)符号の適正な管理に努めるとともに(略)必要があると認めるときは(略)不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。」と定められており、努力規定ではあるものの管理者に対して適切な管理を求めています。
つまりインターネットに接続する機器を設置したり管理している人は、パスワードを初期設定のものから複雑なものへの変更やアクセス制御を行わなければならないところ、それが適切に行われていない機器がどの程度あるのかを統計的にあぶり出そうというのがこの取り組みの趣旨です。
そのような機器が大量に存在するという点はまことしやかに囁かれていますが、その実態を調査してさらなる注意喚起を行い対策を促すことが目的のはずです。何かゴールがあるものではなく、継続的な意識付けと取り組みが必要ではありますが、ひとまずは「東京オリンピックを乗り切る」ことが一定のゴールでしょう。
そういった意味では調査が終わった後にどのような取り組みが行われるか、意識の醸成が行われるかということの方が重要ではないかと思います。

取り組みそのものに対する不安や批判もある程度は一理ありますが、ではこの「適切に管理されないIoT機器」の問題に対する「銀の弾丸」があるのかという点は考えてみたいところです。
ただ結局の所、国が旗を振って調査と注意喚起を行うくらいしかないのではないかとも思えてしまうのが残念な点です。

総務省とNICTもそれなりに周到な計画を練って実施しているのだろうなとは感じますが、広報のタイミングややり方に若干の疑問は残ります。さらに言うと、国会での議論はこの辺りがそうなのだと思いますが、充実した議論がされてるのかというとどうなのでしょうか…。

この記事を目にした方々におかれましては、仕事上でも自宅などでも、自分の手の届く範囲にある、インターネット上からアクセスできる機器のパスワードやアクセス制御が正しく行われているかを確認していただければと思います。

「みんなそういったところをきちんとやろうぜ!」が目的であり、広がるべき意識なわけですから。