日常化するサイバー攻撃、問われる官民の責務

企画に当たって

　サイバー空間のセキュリティについて、その重要性はかなり以前から指摘されてきた。しかし、ここへきて、今までとはかなり違う次元で、さまざまな問題が生じるようになってきている。にもかかわらず、それらについての意識が、まだ社会全体に十分には広まっていないように思われる。そこで今回の「わたしの構想」においては、今、サイバーセキュリティが抱える課題と重要ポイントについて、専門の識者の方々に語っていただいた。

急速なデジタル化を前に、無防備なIoT機器

　官民の別なくデジタル化の重要性が叫ばれ、デジタル・トランスフォーメーション（DX）という言葉が頻繁に聞かれるようになったいま、デジタルデータが安全に管理されることの重要性は言うまでもないだろう。特に、業務に不可欠なデータや、生命の安全性に関わるようなデータのセキュリティ向上は、喫緊の課題だ。例えば、医療データがサイバー攻撃によって盗まれたり、改ざんされたりすれば、それが原因で人の命に関わる重大な事態になりかねない。今後、IoTで多くのモノのネットワーク化がより現実的になると、データの改ざんが、企業ひいては社会に致命的な問題を引き起こす可能性も容易に想像できる。

　株式会社イエラエセキュリティ ペンテスターの村島正浩氏は、IoT機器が生活の利便性や企業の新しいサービスにとって重要であることを指摘する半面、サイバー攻撃の侵入の起点にもなり得ると警告を鳴らす。村島氏によれば、IoT機器の問題点は、そもそも、基本的な対策すら行えていないケースが多々あることであり、それに対するセキュリティ対策の重要性が指摘されている。

国の安全保障や経済を揺るがしかねない

　すべての識者が強調するのが、サイバー攻撃は、いまや、1個人や1組織の被害にとどまらない脅威となっているということだ。

　デジタル庁CISOの坂明氏は、組織や個人、またインフラなどへの直接的なサイバー攻撃に加え、人びとや国の意思決定に影響を与える攻撃が深刻化しているとして、米国政府が、連邦機関、州や地方政府、さらには軍までが連携して、選挙を守る体制を築いている例を挙げている。また、東京オリンピックにおいても、大会運営システムや大会サイトへの攻撃、偽チケットなどの脅威があり、運営システムの強じん化など、さまざまな対応が取られていたことを明らかにし、デジタル庁は今後も、DXとサイバーセキュリティの両立を目指した政策運営をしていくと決意を述べている。

　NTTチーフ・サイバーセキュリティ・ストラテジストの松原実穂子氏は、「ランサムウェア」の脅威が、日本企業にとってまったく人ごとではなく、現実的な課題であると強調する。また、たとえ1社への攻撃でも、国の経済や安全保障への大きな打撃にもつながり得ることが示されたとして、国家安全保障のためにも、日本の政府や企業にとって、今こそ、サイバーセキュリティ対策強化に取り組む絶好のチャンスであるとしている。

日本も、より踏み込んだ対策を検討する時期に

　急速に深刻化するサイバー攻撃の脅威に対し、われわれはどのような対策を検討すべきなのか。

　多摩大学ルール形成戦略研究所客員教授の西尾素己氏は、さらに踏み込んで、これまで日本では、攻撃を受けた側を一律に被害者として扱ってきたが、それを改め、サイバー攻撃への対策をしなかったことに対する責任を問うべきだと主張している。そして、抑止力として攻撃能力を保有する世界の潮流に触れ、日本がいかに合法的に、実践的なサイバー攻撃を学べるかは、国益にもかかわる深刻な課題だとして、より実践的な対策の重要性を指摘している。

　慶應義塾大学総合政策学部教授の神保謙氏は、サイバー攻撃で人命に危害が及べば、武力を伴う戦争に発展する可能性が強まるとして、日本もサイバー攻撃に対して、法的な制裁や自衛隊による物理的な制裁をかける「アクティブ・ディフェンス」体制の整備が必要と強調している。そして、少なくとも、サイバー攻撃に関する自衛権行使の要件については、政府の統一見解をまとめる作業を行っておくべきだと踏み込んでいる。

　サイバー空間でのテロや攻撃の可能性は、経済全体あるいは国家全体を大きな危機に陥れる可能性があるという専門家の危機感は、多くの国民にとっては、なじみのない専門分野だということもあり、あまり共有されてこなかった傾向がある。しかし、今後は、サイバーセキュリティ分野の重要性を、もっと広く国民が認識する必要性があり、そのための対策を考える必要があるだろう。

識者に問う

サイバー空間でどのような脅威が起きているのか。検討すべき対策は何か。

　急速に増加するIoT機器は、生活の利便性を高める一方、サイバー攻撃の侵入起点にもなる。攻撃によって製品のリコールが起きれば、株価が下落し、企業はダメージを負う。ランサムウェアによる攻撃で大量のデータが暗号化され、決算を出せずに決算発表を延期した事例もある。端末やファイルサーバーを目的にWindowsの脆弱性を突くだけでなく、今後はIoT機器のデータ保存場所であるNAS（Network Attached Storage）がランサムウェアの標的となり、企業が攻撃者との取引に応じてしまう事例が出てくる可能性がある。

　攻撃者は攻撃に膨大な時間を掛けており、攻撃者優位といわれる現状を崩すのは難しい。しかし、攻撃者が有利であるから対策をしなくてよいという話ではない。狙われるリスクを事前に想定して、メーカーは対策を実装していく必要がある。IoT機器のセキュリティの観点からまず確認するポイントは、ハードウェアの実装、ファームウェア、機器やクラウドと通信するプロトコルなどだが、1台のIoT機器に投資できる開発予算やセキュリティ予算には限りがあり、全て防御するのは不可能である。サイバー攻撃では、特定の会社の知的財産を狙うケースが多い。家電など家庭用のIoT機器は、機器単体に攻撃するメリットはボットネット化を除いて少ないが、今後、IoT機器を通じて収集されたセンシングデータが市場での価値を高めると、そのデータが狙われる可能性がある。

　IoT機器の問題は、そもそも、基本的な対策すら行えていないケースが多々あることだ。例えば、私が過去に見つけた脆弱性で、複数のIoT機器に、クラウドに接続する認証の際に同一の証明書（クライアント証明書や「秘密鍵」）を使っているケースがよく見られた。1つの製品を複数社のブランド名で生産しているOEM製品でも、ブランドをまたいで同一の証明書を使っていることがある。犯罪者がそのうちの1台の証明書を取得してしまえば、IoT機器の実装次第で他の全ての機器を攻撃することが可能になり、深刻な被害を招く。例えば自動車の制御に関連する箇所にこのような脆弱性が存在すれば、運転中の全車両のシステムを停止することもできてしまう。

　しかし、読者はお気づきかもしれないが、攻撃を受けても阻止することは可能だ。証明書を機器ごとに変えれば、他の機器への攻撃という最も重大な脅威を防ぐことができる。セキュリティ対策において、攻撃者がどこから攻撃を行うのか想定して投資する必要がある。

識者に問う

サイバー空間でどのような脅威が起きているのか。検討すべき対策は何か。

　サイバー空間の脅威について、注視すべき最近の変化を3点指摘したい。1つ目は、サイバー攻撃の「マフィアビジネス化」である。かつての政治的主張や自己顕示欲による攻撃から、今では、資金目当てに、組織化された犯罪グループが攻撃を仕掛けるものに変わっている。技術力がなくてもランサムウェア攻撃ができるプラットフォームサービスが広く使われており、元手資金も要らない。稼いだ資金を洗浄する闇の換金所も存在する。金銭を取れさえすれば、企業規模に拘わらず攻撃の対象となる。

　2つ目は、大国の経済安全保障―エコノミック・ステイトクラフト―との絡みだ。トランプ政権は中国ファーウェイの製品を米国から締め出した。こうした間接的な経済制裁を行うだけでなく、米国はサイバーセキュリティを自国の経済圏を拡大する戦略にしている。すなわち、米国企業とビジネスをする外国企業にも、安全保障に関わる製品や設備、情報を扱う場合は、米国が策定したサイバーセキュリティ基準に準拠することを義務付けた。この基準に対応できない企業は、米国と取引ができなくなってしまう。

　3つ目は、サイバー攻撃の背後に国家が控える「ネーションバック」といわれるものだ。相手国の国力を削ぐ目的で、国家が攻撃を仕掛ける。サイバー攻撃は攻撃元の特定と証明が難しいため、国家による他国への攻撃が、実はやりたい放題で行われている。米国、中国、ロシア政府などは、自国攻撃しない限りはサイバー空間のマフィアビジネスを黙認し、また、サイバー犯罪者と司法取引をして、そこからサイバー活動に投入する人材を獲得している。世界の潮流は、抑止力として攻撃能力を保持しており、日本がいかに合法的に、実践的なサイバー攻撃を学べるかは、国益にもかかわる深刻な課題に発展している。

　危険性が増すサイバー攻撃への対応を、企業や社会に義務付けなければ、やがては日本全体の国力が削がれる。これまで日本では、攻撃を受けた側を一律に被害者として扱ってきたが、それを改め、サイバー攻撃への対策をしなかったことへの責任を問うべきだ。そのためには、責任の基準を「善管注意義務」として定義し、その範囲を明確にする必要がある。まずは政府が各省庁向けに制定し、その後、民間に波及させるのがよい。範囲が明確になれば、それがサイバーセキュリティへの投資額の目安ともなる。

識者に問う

サイバー空間でどのような脅威が起きているのか。検討すべき対策は何か。

　ランサムウェアの被害が急拡大している。今年、世界を震撼させる事件が立て続けに起きた。5月上旬、米東海岸の燃料供給の45%を担うコロニアル・パイプラインが攻撃を受け、ガソリン不足を巡る暴力沙汰やアメリカン航空の航路変更など、東海岸を中心に大混乱に陥った。同月末には食肉大手のJBSが攻撃され、北米とオーストラリアの食肉処理工場が一時操業停止した。ランサムウェアはこれまで金銭目的の犯罪と思われてきたが、たとえ1社への攻撃でも、国の経済や安全保障に大打撃を与え得ることが示された。

　そのため、米国政府は、ランサムウェア攻撃への対応を根本的に見直している。6月初め、国家安全保障担当副補佐官から企業の経営層に、サイバーセキュリティ対策の強化を要請する異例の書簡が送られた。コロニアル社が怠っていた「多要素認証」の利用や、サイバー攻撃を受けた際の対応要領の作成など、取るべきアクションが具体的に列挙されている。驚いた企業の経営層は、自社のCISO（最高情報セキュリティ責任者）に必要な補完策を至急確認し、サイバーセキュリティ強化に取り組んだ。米国企業から取引先の他国の企業にも対策の確認が今後あれば、サプライチェーン全体のセキュリティ向上につながるであろう。

　さらに10月には、ランサムウェア攻撃への対処策と国際協力について話し合う国際会議が、米ホワイトハウス主催で2日間、オンラインで行われた。日本を含む30もの国から閣僚クラスが招かれ、この種の会議では前代未聞の陣容だ。米国政府の強い意気込みが窺える。

　「サイバー攻撃に屈しない」という米国の断固たる決意は「人」と「予算」の数にも示されている。7月、マヨルカス国土安全保障長官は、短期雇用の500人を含む計800人ものサイバーセキュリティに特化した人材を雇用すると宣言した。また、2022年度の米国政府のサイバーセキュリティ予算は、国防部門を除いても1兆円を超える。日本政府の同年度概算要求額の919億円とは桁違いだ。

　日本企業も、北米など海外拠点を含め、さまざまな業種でランサムウェア攻撃の被害に遭っている。米国などの各国の官民と、攻撃の手口や対策などについて緊密な情報共有を行い、被害の最小化を目指していかなければならない。国家安全保障のためにも、日本の政府や企業にとって、今こそサイバーセキュリティ対策強化の絶好のチャンスである。

識者に問う

サイバー空間でどのような脅威が起きているのか。検討すべき対策は何か。

　社会のデジタル化の進展に加え、コロナ禍でオンラインの利用が一気に高まる中、サイバー攻撃の脅威が増大していることが、あらためて浮き彫りになった。社会の情報セキュリティの強化に取り組む「情報処理推進機構（IPA）」は、脅威のトップに、組織に対するランサムウェア攻撃と、個人に対するスマホ決済の不正利用を挙げた。現実世界で、刑法犯などの犯罪数が減少してきている一方で、サイバー犯罪は増えており、脅威が現実世界からサイバー空間へと移ってきた。攻撃者はあらゆるレベル、分野、ターゲットに対して、常に攻撃を仕掛けており、攻める側と守る側の力がぶつかり合っているのが現状だ。

　私が非常に大きな問題と認識しているのが、組織や個人、またインフラなどへの直接的なサイバー攻撃に加え、人びとや国の意思決定に影響を与える攻撃が深刻化していることだ。例えば、米国の大統領選挙では、選挙システムに対する攻撃のほか、フェイクニュースやフェイク動画といったサイバーツールを用いて世論操作を行う動きが見られた。米国政府は国土安全保障省、財務省などの連邦機関、州や地方政府、さらには軍までが連携して、選挙を守る体制を築いている。日本においても、政府機関間の連携は、今後の課題となるだろう。

　2021年の東京オリンピックは、大会運営システムや大会サイトへの攻撃、偽チケットなどの脅威がある中で、運営システムの強じん化、政府の対応体制・関係者との情報共有基盤の構築、国際的な協力などによって、大会運営に影響を出すことなく、大会を終えることができた。課題として、国内外の多くの企業・組織と共にシステムを構築・運用するため、それら関係者のセキュリティを確保すること、また、開催会場について、組織委員会が設置するシステムのみならず、既存施設のレガシーシステムも守る必要があったことなどが挙げられる。こうした経験はオリンピック・レガシーとして、今後の参考になるだろう。

　サイバーセキュリティの前線にいる担当者は、常に相手が攻めてきている状況におかれ、戦場にいるような気持ちで戦っている。2021年9月に発足したデジタル庁は、「誰1人取り残さない」というミッションを掲げ、多くの方々が安心してデジタルを利用できる社会を目指している。また、9月に閣議決定した新たな「サイバーセキュリティ戦略」では、安全保障的な観点と、1人ひとりの国民を守る「公共空間化したサイバー空間の安全安心の確保」という考えのもと、国全体のDX化とサイバーセキュリティの両立を目指している。

識者に問う

サイバー空間でどのような脅威が起きているのか。検討すべき対策は何か。

　サイバー攻撃が人的被害を引き起こす可能性が高まっており、安全保障の領域に拡大している。DX化が進み、工場やインフラなどさまざまな施設を、ネットワークを介してリモートで制御できるようになると、システムの乗っ取りや重要インフラへの攻撃、さらに軍のオペレーションへの妨害などが可能になる。実際に、米国のガスパイプライン会社や水道局、ウクライナの電力会社の制御システムが、サイバー攻撃で被害を受けた。水道に薬品を混入されたり、大停電が引き起こされたりすれば、多数の犠牲者が出る恐れもある。サイバー攻撃で武力行使に等しい被害が出る可能性が、現実のものとなってきた。

　サイバー攻撃で人命に危害が及べば、武力を伴う戦争に発展する可能性が強まる。したがって、各国が個々のサイバー攻撃を安全保障上のどのような危険度に位置付けるかという判断が、重要な局面となりつつある。これ以上の攻撃は軍事的対処を可能にするという「越えてはならない一線」を、国際的に合意することが重要だ。それが、攻撃の激化を抑止することにもつながる。基準となる「一線」について、「タリン・マニュアル」という国際規範では、原発の溶融やダムの破壊といった大規模な被害を想定しているが、もっと昨今のサイバー攻撃の事例に沿って基準を見直す必要がある。

　日本も、サイバー攻撃に対して、法的な制裁や、自衛隊による物理的な制裁をかける「アクティブ・ディフェンス」体制の整備が必要と考える。アクティブ・ディフェンスは、まず、攻撃者・攻撃内容を把握していると相手に示す活動を行い、それにより、さらなる攻撃を防御、抑止する。ここまでは、日本政府もオリンピック開催などで実績を積んだ。次の段階では、攻撃で奪われた財産、資産を取り戻し、敵の攻撃手段を奪い取るといったアクションをとる。これは、米国などが行っているが、現在の日本には難しい。少なくとも、サイバー攻撃に対し自衛権を行使する要件について、政府の統一見解をまとめる作業は行っておくべきだ。

　日本では現在、内閣サイバーセキュリティセンター（NISC）、警察庁、総務省、経済産業省のサイバー部門が個別に対応しているが、これらの各省庁の部署に、横串を刺す必要がある。また、サイバー攻撃に対し世界各国との協力的枠組みを作るため、各国代表との協議のカウンターパートとなる、閣僚級のサイバーセキュリティ専門の責任者が必要だ。

用語集

引用を行う際には、以下を参考に出典の明記をお願いいたします。
（出典）NIRA総合研究開発機構（2021）「日常化するサイバー攻撃、問われる官民の責務」わたしの構想No.57