HIROSHI ENDO
<日本におけるサイバーセキュリティーの第一人者である専門家2人が語る、社会と企業に求められる最新対策と意識変革>
近年、サイバー攻撃が世界で猛威を振るい、個人の生活ばかりか、企業活動や国家の安全保障にまで打撃を与える深刻なリスク要因となっている。日本でもメディア大手のKADOKAWAがランサムウエア攻撃で企業活動の停止に追い込まれたケースは記憶に新しいが、表面化していないものも含めサイバー攻撃被害は後を絶たない。そしていまだに多くの人たちが、十分に脅威に適応できていないのも現実だ。
日本はサイバー脅威との戦いにどこまで準備ができているのか──。国際刑事警察機構(インターポール)のサイバー部門初代総局長で現在は民間から日本のサイバーセキュリティー対策に貢献する中谷昇と、サイバーセキュリティーに精通した弁護士の第一人者で、官民連携にも貢献している山岡裕明に、最新のサイバー事情を語ってもらった。
◇ ◇ ◇
──現在、サイバー空間上のトレンドとして何に注目しているか。
中谷 サイバー犯罪のステージが変わってきていると感じます。いまサイバー犯罪の規模は、およそ8兆ドルと言われています。日本のGDPが約4.2兆ドルですから、そのスケールの大きさが分かります。
警察庁外事第一課在職時の1994年に北朝鮮が最初にノドンミサイルを日本海に向けて数発発射して大騒ぎになりましたが、2023年に北朝鮮は何十発ものミサイル発射実験を行いました。国連の経済制裁措置を受けている北朝鮮のどこに資金があるのか。国連安全保障理事会の専門家パネルが24年3月に公表した報告書によれば、北朝鮮は外貨収入の約50%をサイバー攻撃で得ているとされています。また、北朝鮮は国家予算の2割をサイバー攻撃などに充てているとも推定されており、北朝鮮のサイバー攻撃の動向には注目しています。
現在のサイバー犯罪の状況は制御不能で、産業化したサイバー犯罪攻撃のエコシステムが出来上がり、世界のサイバー攻撃の被害総額はドイツや日本のGDPを超える8兆ドルという推計もあります。特に最近問題となっているランサムウエア(身代金要求型ウイルス)攻撃では、ゼロデイ脆弱性(ソフトウエアなどに存在する未知の脆弱性)や、遠隔で会社などのサーバーにアクセスする際に使うVPN(バーチャル・プライベート・ネットワーク)の認証情報といったイニシャル・アクセス(標的のネットワークなどへの侵入のための手段)は、デジタル地下マーケットで手に入る。つまり、お金を出せば、自分で開発しなくても相当に精度の高い攻撃ソフトが入手できるわけです。
山岡 ランサムウエアの問題は深刻だと考えています。サイバーリスクというとまだ情報漏洩にフォーカスされがちですが、ランサムウエアの真の脅威は事業継続を中断に追い込むリスクだという点に注意が必要です。事業は今、ITシステムによって運用されています。例えば、物流管理システム、会計シス、工場管理システム、ビル管理システム、送電システム、送金システム。それらが暗号化されて破壊されると事業が止まることは想像に難くないでしょう。
サイバーリスクは、企業にとって深刻度が高く、最優先で対策に当たるべきリスクになってきました。
──KADOKAWAの事件では出版取次システムとドワンゴの動画配信システムが暗号化されて事業が止まったのは記憶に新しい。ビジネスサイドではサイバー攻撃に対する意識は変わってきているのか。
中谷 サイバー攻撃は技術的なことなのでCISO(最高情報セキュリティー責任者)が対応すれば十分という考え方から、もはや経営の問題だと認識する人が増えています。サイバー攻撃は金銭目的や破壊目的もある地政学の問題であり、今後も被害が続くので対策についてはコンプライアンスとして扱うのではなく、事業継続の問題として経営陣が主体となって対応する必要があります。
ただし現状では、サイバー攻撃の被害はどうしても「不祥事」に見られるという意識があるため、企業はサイバー攻撃の被害を公表すると評判が下がったり、株主などからの訴訟が起きたりするのを恐れてきたように見えます。そうではなく、サイバー攻撃の本質は犯罪行為であり、(相応のサイバーセキュリティ対策を行なっている)企業は犯罪の被害者でもあるという認識を持つことで、被害をきちんと報告し、さらなる攻撃の対応につなげていくべきだと思います。
山岡:日本企業において、サイバーセキュリティは技術の問題から組織の問題へと移行しつつあるように感じます。すなわち、どういったセキュリティ対策をすべきかはある程度定まってきたため、次の課題はどれだけセキュリティ対策を組織として徹底できるかの問題になってきました。
組織の内部統制システムの構築や運用のために、グローバルスタンダードとしても確立されている実効的な手段として「3線ディフェンス」といわれるものがあります。第1線の事業部門、第2線の専門性を備えた管理部門、そして第3線の内部監査部門で構成されます。これをサイバーセキュリティにも応用されつつあります。セキュリティ部門がまさに第2線で、セキュリティのアーキテクチャを作りルールを作る、そしてそのルールに基づき第1線が職務を執行し、それを第3線が監視するという仕組みです。
ここで一つ問題が生じます。そもそもサイバーセキュリティと利便性は相反することが多い。そこで、第1線事業部門は第2線が構築したセキュリティ対策をやりたがらず、組織としてセキュリティ対策の徹底が進まない。例えば、多要素認証(認証の3要素である「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせたもの)は非常に重要で、サイバーリスクを大幅に減らせると考えています。しかしながら、入力が面倒だということやりたがらない人が多い。その結果、組織レベルでのセキュリティ対策が進まないことになります。
そこで重要となってくるのは、サイバーセキュリティについての第一線による理解と協力、そして組織にサイバーセキュリティを浸透させるための経営層の働き掛けだと感じています。
――企業の方から、認証の強化などユーザーが逃げるじゃないか、とセキュリティ部門が怒られるという話もある。最近の企業の意識は変わっているか。
山岡 以前はほとんどの企業が、利益を生まないサイバーセキュリティーが事業の足を引っ張るとは何事か、という見方でしたが、最近はサイバーセキュリティーの重要性が根付いてきて、事業継続の観点からは業務がやや不便になってもセキュリティー対策はやむを得ないと受け入れる企業も増えている。特に金融機関などはそうした傾向が顕著です。
中谷 サイバー攻撃の被害を直接受けてきた金融業界のサイバーセキュリティー対策は相対的に進んでいると思います。現在の金融業は、オンラインで安全にサービスを提供できることを前提にしているので、まさに経営課題の1丁目1番地になっていると思います。他方、全体的には、まだまだ費用対効果が出ているのかわからないという企業や、サイバーセキュリティ対策に力を入れているが切りがないので困っているという企業の声も聞きます。Wise Spendingが重要なのはその通りですが、やはりこれは地政学的リスクやレピュテーションリスク等のリスクを判断軸にするのではなく、金額基準で考えてしまうからだと思います。
また、日本では企業がインテリジェンス(分析情報)をベースにリスクを議論して経営陣が判断していくプロセスがまだ確立されていないように思いますが、これから進んでいくように感じています。
山岡 サイバーセキュリティーにインセンティブと制裁とをひも付けることも一案です。例えば、セキュリティーレベルが高い企業はサイバー保険の保険料が安くなったり、逆にサイバーセキュリティー対策を十分にしていない企業は公共工事への入札やサプライチェーンへの参加ができなかったりと。
中谷 アメリカでは国防総省がサイバーセキュリティーの水準を調達案件の条件にしています。まさに、インセンティブとサンクションを紐付けています。決められたセキュリティーの水準を満たしていないと国防総省とはビジネスはできないとなるわけです。しかも直接の契約者だけでなく、そのサプライヤーにも同じ基準の遵守を求めていますので、サプライチェーン全体のサイバーセキュリティ強化に大きなプラス効果を生んでいると思います。
──日本は中小企業が圧倒的に多いが、そこまで対応できるのか。
山岡 中小企業で言えば、警察庁のデータで分かるサイバー攻撃の傾向を把握し、優先順位を付けて対策を進めることが有用でしょう。例えば警察庁のデータによると、ランサムウエア攻撃ではVPNが最大の侵入経路です。リモートワークの普及に伴って導入されたVPNが不正アクセスの侵入経路に使われる。そうであればVPN機器の管理を重点的に進めることが有用です。
中谷 VPN対策は単純ですが、国を挙げて行えば、中小企業は数が300万以上あり規模のメリットが働くので、効果は絶大だと思います。中小企業の対策では、イギリス型が参考になります。イギリスでは、国家サイバーセキュリティーセンターが、国として中小企業にサイバーセキュリティーの支援を行っています。セキュリティサービスも提供しています。
ただ全ての企業が難しいなら、重要インフラ15業種とそのサプライチェーンを国で支援する形でもいいでしょう。
ただし、現在のサイバーセキュリティの主流の考え方は、VPNなどによる境界型の防御から、多層防御に移っていますので、リスクが高い事業や企業はいわゆるゼロトラストセキュリティを実装することが不可欠です。簡単に言えば、ネットワーク、エンドポイント(サーバーやパソコン)、そしてクラウドのセキュリティ対策をリスクに応じて実装するものです。たまたまですが、この3つの英語にして(Network、Endpoint、Cloud Security)、頭文字を繋げるとNEC Securityになるんですよね(笑)。
──いま企業がまずやるべき対策はどのようなものか。
山岡 多要素認証の徹底と脆弱性対応の2点だと思います。これらは先ほどのVPN機器の対策にも当てはまります。これらを徹底するだけで大幅にサイバーリスクを減らせます。
中谷 ネットに対する見方を変えたほうがいいと思います。インターネットにつなぐと「盗まれる」「だまされる」「脅される」「邪魔される」のです。それを理解しておくことは大事です。例えば学校で防犯教育をするように、デジタルセキュリティー教育もやるべきだと思います。
──いまランサムウエア攻撃について関係者の間で大きな話題になっていることの1つに、ランサム(身代金)を支払うかどうかがある。
山岡 ランサムウエアの身代金を支払うことの適法性が問題になります。アメリカの場合は、財務省外国資産管理局が重要です。日本では、現在のところ外為法規制も関わってくる。いずれにも共通するのは、そこに列記された集団に対して身代金を払ってはいけないということです。
仮に支払うことが法律に抵触しないとして、次に問題となるのは支払いをするかどうかですが、テロや戦争に資金が流れる危険があるため反社会的勢力に金銭的な価値を提供するのは望ましくありません。
ただ、懸念しているのは、現状ここで議論が止まっていることです。これまでどちらかと言うと、「身代金を支払うことはけしからん、議論すること自体あり得ない」という感じで、身代金を支払うかどうかについて議論することも憚られる状況でした。
しかしながらが、身代金の支払い関する受け止め方は少しずつ変わりつつある印象です。米パロアルト社の調査結果によると、身代金について10%が「支払いはやむを得ない」、49%が「その状況にならないと分からない」という回答でした。
そのためか、ランサムウエア攻撃を受けて身代金を要求されたときに備え、どう対応すべきかを検討する企業が増えてきました。事業継続に関わるリスクである以上、少なからず平時から議論しておこうという変化を感じます。
大原則として身代金は支払わないとした上で、仮に支払わざるを得ない場合があるとしたらどういう場合か、人命が関わる場合か、社会インフラが停止する場合か、基幹システムが停止する場合か、そして支払わざるを得ない場合は捜査当局とどのように連携すべきか、といった点が議論されるようになってきました。
中谷 インシデントが発生した際には、企業は個人情報の漏洩があったかどうかに関係なく、攻撃に起因する被害についてまず政府に報告するというのが大前提ではないでしょうか。アメリカのように、この報告については義務化したほうがいいでしょう。特定のテロリスト集団に身代金を支払うのは法律上NGですが、LockBit等のサイバー犯罪集団に身代金を支払うかどうかは、支払わないで解決する方法を考えることを前提に経営判断、事業継続の問題として考えることが重要です。
大事なのは、同じ被害の発生を防止するために、サイバー攻撃の被害にあった企業が攻撃者とのコミュニケーションを被害者として捜査当局に共有して、犯人逮捕に向けて協力をすることです。アメリカでは身代金を支払う企業は少なくないと言われますが、捜査機関等関係当局に報告をしていると聞いています。ただし、考慮すべきは、一度身代金を支払うとサイバー攻撃者の間で流通しているいわゆる顧客リストに載ってしまい、他の犯罪組織集団に情報共有され、何度もサイバー攻撃を受ける危険性はあります。
山岡 万が一支払わざるを得ない場合に黙って支払いをすると、さらに犯罪を助長する可能性があります。例えば、ハッカーに支払いをするために外部のエージェントに依頼する。すると、そのエージェントとハッカーがつながっていたりするケースもある。そういう意味でも、警察と情報を共有して連携することは非常に重要です。
中谷:まさに、その通りだと思います。企業にとっては社会的価値が問われる場面ではないかと。犯罪者に身代金を渡すというのは本質的には反倫理的なことです。それゆえ、経済的価値と社会的価値を比較考慮した上で、事業の中断という企業の存続や医療上の人命に関わるものであり、緊急避難として支払いをするという判断を攻撃者とのやり取り情報を含めて事前に捜査当局に共有すれば、将来の同種事案の対策に資することになるので、多くの人から理解を得られるのではないでしょうか。
──いま日本ではアクティブ・サイバー・ディフェンス(能動的サイバー防御=ACD)の議論が深まってきており、石破茂政権も法案を国会提出に向けて作業を加速するよう指示している。ACDをどう見ているか。
中谷 まず、ACDの前提となる日本のサイバー空間に入ってくるパケット(データ)監視は「サイバー空間の国境管理」と見るべきだと思います。人が入国する際にはパスポートチェックがある、モノが到着するときには税関、検疫がある。海外からの送金でも日本の銀行がチェックする体制があります。ところが国外から来るパケットには悪意があるものが多数あるにもかかわらず、ノーチェックで自由に日本のサイバー空間に入ってくるのが現状ではないでしょうか。
海外から来るパケットは他の主要国並みにチェックし、悪意あるものを見つけましょう。パケット攻撃が国内に着弾したら、どこから来たのか後からトレースできるような体制を整備しましょう。そして、どこから来るのかが分かる場合には、事前に対策を立てて防御できるようにしましょう、ということだと思います。また、日本から海外に出ていくパケット監視も同様に考えられると思います。
山岡 ACDの議論が始まったことによる副次的効果は感じています。各種メディアで、国がサイバー防御やサイバーセキュリティーを議論しているという報道が増えたため、経営層の意識は向上したと思います。サイバーセキュリティーについて国レベルでいかに取り組むのか、民間企業として何をすべきなのか、自分たちとして何を考えるべきなのかといったきっかけは、この1年で加速したと思います。
中谷 昇
NEC 執行役 Corporate EVP 兼 Chief Security Officer
1993年警察庁入庁後、インターポール(国際刑事警察機構本部)で、ITシステム局長兼CISO、INTERPOL Global Complex for Innovation初代総局長(2012)を歴任。2019年警察庁退官後、ヤフー執行役員やZホールディングス常務執行役員Chief Trust& Safety Officerを経て。2024年5月から現職。
山岡裕明
弁護士
八雲法律事務所 弁護士(日本・カリフォルニア州)。University of California, Berkeley, School of Information修了。内閣サイバーセキュリティセンター(NISC) タスクフォース構成員(2019〜20、21〜22)。「サイバー安全保障分野での対応能力の向上に向けた有識者会議」構成員(2024)。
鄭重声明:本文の著作権は原作者に帰属します。記事の転載は情報の伝達のみを目的としており、投資の助言を構成するものではありません。もし侵害行為があれば、すぐにご連絡ください。修正または削除いたします。ありがとうございます。
