外国製の監視カメラへの深刻な懸念

2023年1月中旬以降なんですけれども、洪水被害などを防ぐ目的で設置されている国土交通省の河川監視カメラ337台が不正アクセスを受けた疑いが確認されて、その時国土交通省は稼働を停止しました。
幸い出水期ではなかったので水防活動には影響がございませんでした。
2023年3月31日には国土交通省から「配信を停止している簡易型河川監視カメラの再開について」というプレスリリースが発出されました。

国土交通省｜報道資料｜配信を停止している簡易型河川監視カメラの再開について

原因は工場から出荷した時の平易なパスワード、これを変更していなかったということによって不正アクセスをされて、サイバー攻撃の踏み台に使用された可能性があったということです。
国土交通省の河川監視カメラのことだけじゃなくて、この他の日本国内における被害事例としましても、初期設定のパスワードをそのまま利用していた監視カメラの映像がインターネット経由で閲覧可能になっていたものもあります。
ですから職場やご家庭で監視カメラのパスワード設定、是非とも皆様にはご留意をお願いしたいと思っています。

監視カメラにつきましては不正アクセスの可能性もありますことから、私自身は日本国内で使用されている監視カメラの半導体チップやファームウェア、また製造販売の状況について関心を持って調べてまいりました。
米国では皆様ご承知かと思いますが、2019年NDAA、日本語では国防授権法とか国防権限法と訳されていますが、法律によって中国のハイクビジョンやダーファが製造するビデオ監視機器、これを排除対象機器として、2019年8月13日からは政府調達の禁止、つまりハイクビジョンやダーファが製造するビデオ監視機器は政府調達で入れませんということが始まり、2020年8月13日からはその排除対象機器やサービスを利用している企業とも政府は契約しません、と契約締結禁止というものを実施しています。

我が国では特定の国や企業を名指しして排除するような法体系にはなっておりませんけれども、ただ最新の注意をしておく必要はあると考えています。
日本の監視カメラを作っておられる大手メーカーの中には、非常に規制が厳しい米国向けの製品については日本国内で製造し、それ以外、要は米国向け以外の製品、これは国内で使われるものも含まれますけれども、こういったものは中国の工場で製造しているというところもあります。
ただ、その日本の大手・複数社についてお話を伺いましたら、その中国の工場で製造した監視カメラであっても、製品の検査そのものは日本国内でやっていると。
つまりバックドアのリスクがないということをちゃんと日本国内でチェックをしている。
それから日本メーカーが指定をした使用書通りに作られているか。
日本のメーカーが指定した納入部品を用いて生産されているか。
ここもしっかりと検査でチェックをしているということですので、これは概ね安心できる体制だと私は考えています。

ただ私が懸念を抱いたケースとしましては、日本企業ブランドのAIカメラの中にはハイクビジョンとダーファによるOEM、つまり製造委託でしたり、ODM、これは開発・設計・製造委託の製品が存在しているということです。
皆様がお買い求めになるときに「これ日本企業制だよね」と言っても、実はそうではない作られ方をしているものも含まれているということです。

監視カメラの卸売をしている大手の事業者さん数社によりますと、2018年にNDAAが成立してますので、2018年以降は基本的にはハイクビジョンやそのダーファーを含む中国製の監視カメラというのは顧客に納入しないようにしているということでした。
しかしながら顧客の方から強い要望があったら中国製を販売する可能性はある。
または1割程度は中国製を扱っているという事業者もありました。
これはやはり価格が安いからお客様から求められたら、それを納入するということになっているんだろうと思います。
この他にも交番や警察署でハイクビジョン社制のカメラが使用されている例があるという話を聞いたと言ったことも、そのヒアリングの中で教えていただきました。

それからの地方公共団体の庁舎の監視カメラシステム、この調達仕様書におきまして、ハイクビジョン社制のネットワーク機器と日本企業が販売するノンブランド製品なんですけれども実はハイクビジョン社で製造していると考えられる監視カメラを規格として記載している事例もありました。
ここは心配をしているところです。

監視カメラの対応年数というのは7年から10年程度と言われています。
ハイクビジョンやダーファの製品は対応年数が短いと言われていますので、もしも卸売事業者の方々やまたユーザーの皆様がご理解を深めていただき「日本国内でちゃんとバックドアとかチェックしていないかもしれない製品だと気をつけた方がいいかな」といういうことになりましたら、徐々に日本国内から中国製の監視カメラというのは減っていくのではないかと思っています。

監視カメラだけではなくて、IoT製品というのは急増しています。
その脆弱性を狙ったサイバー攻撃の脅威というのは増していると思われます。
AIカメラなどのこのIoT製品にはそれぞれIPアドレスがあります。
国立研究開発法人のNICT、あそこはNICTERというのでずっとサイバー攻撃の観測を続けています。
この最新の観測データを見ますと、最新ですから2023年1月から12月までに受けたサイバー攻撃なんですが、一つのIPアドレスあたり約14秒に1回攻撃を受けていると。
10年前のデータ、つまり2013年のデータでは約8.3分に1回だったんです。
それが今14秒に1回ですから、いかにサイバー攻撃が増えているかということについてはお分かりをいただけると思います。

皆様におかれましては監視カメラのパスワード設定、出荷したままのじゃなくて自分でちゃんと設定をしていただくということ、またお手元に様々なデバイスがあると思うんですけれども、セキュリティソフトもしっかりとバージョンアップも含めて対応していただくということが大切じゃないかなと思っています。

電力・ガス・水道・航空・鉄道とか重要なインフラのシステムを厳重に守るということは必須で、これに向けては国としても取り組みを進めています。
私自身が担当している期間インフラ制度、これにおいても経済安全保障推進法の枠内で、いよいよ2024年5月1日から制度が動き出しまして保護する取り組みが始まっています。

ただ最近スマートホームもずいぶん普及してきていますし、あと職場のビルとか、それから工場のシステムとか、割と私たちの暮らしに身近なところのIoT製品のセキュリティの水準を向上させていくというのがすごい大事な時代になってきていると思っています。

アメリカでもイギリスでもEUでもシンガポールでも、この諸外国の制度で様々求められているセキュリティの要件というのは様々です。
割とバラバラです。
ただIoT機器を日本から輸出する場合にも、相手国で求められているセキュリティ水準をちゃんと満たしていなければ、日本メーカーが市場を失う可能性もあります。
ですから今後海外のメーカーであれ日本のメーカーのものであれ、国民の皆様の安全に関わるようなIoT製品につきましては、国がもっと前に出て積極的にリスクの点検を行うということも大事です。
それから日本製品が高いセキュリティ水準を保てるように、しっかりと支援策を講ずるということも大事だと考えています。
今経済産業省を中心に「IoT製品に対するセキュリティ適合性評価制度」というものを構築していこうという取り組みが始まっています。
少し先のことになるんですけれども、私は大いに期待をしていますし、皆様も是非とも注視をしていただきたいなと思います。

私たちの暮らしの安全、お互いに注意をしながら守ってまいりましょう。
私は政府の方でできることを次々見つけてやっていきたいなと思っています。