エストニアのサイバー演習とセキュリティ事情

エストニアのタリンで、政府の協力の下、CybExer Technologiesなどの民間企業が開催するサイバー演習「CYBER CoRe 2019 (Cooperative Resilience)」が、2019年3月28日から31日まで行われています。

Unique cyber exercise for the private sector is taking place in Tallinn

演習に参加するのは、オランダのハイネケンや英国のアーンスト・アンド・ヤング（会計コンサルティング企業）などグローバル企業のサイバーセキュリティ専門家、エストニアの重要な情報インフラストラクチャ企業（電力会社のEleringとEesti Energia、トラストサービスを提供するSK ID Solutions AS、銀行など）、オランダのサイバー警察、エストニア財務省の情報技術センター、タルトゥ市などです。また、米国の防衛産業企業であるRaytheon Internationalの上級エキスパートがオブザーバーとして参加します。

電力会社が参加しているのは、電気事業者のITシステムのサイバーセキュリティを担う民間企業が、セキュリティ基準が低いEU非加盟国の小規模ソフトウェア開発会社を買収しているといった事情が背景にあるようです。

関係者は、情報インフラ企業に、複雑で不明確なサプライチェーンや調達メカニズムがあると、コスト削減のために、監視が及ばず信頼できない国からセキュリティソリューションを購入することがあるとしています。

また、今回の演習より少し前の2019年3月25日に、エネルギー会社へのサイバー攻撃を想定したエストニアとフィンランドの共同演習も実施されています。

エストニアのセキュリティ事情については、2007年に大規模なサイバー攻撃を受けたこと、ブロックチェーンの技術が政府の情報システムで採用されていること、NATO共同サイバーディフェンスセンターの本部があることなどが説明されますが、実際にやっているのは、かなり地味で地道な作業の積み重ねです。

政府が保有する情報システムやデータベースについては、公共情報法や関係法令で定めるセキュリティ基準を満たすことが義務付けられており、定期的な監査を受けることになっています。

例えば、エストニア国内の医療データを共有・交換する「健康情報システム」の「医療データ」については、セキュリティレベルは「高」で、データの完全性についてはT3（最高クラス）となっています。

​
T3というのは、法令で定義する「完全性」を「リアルタイムで保証する」というものです。このような基準に従って、「データの完全性をリアルタイムで保証するためには、どのような技術を使ったソリューションを採用すれば良いか」と考え、費用対効果を含めた最適な手法を採用し実装することになります。

エストニアの政府情報システムについては、標準化も進んでいます。標準化については、エストニア標準化センター（EVS）が重要な役割を担っています。