「日本はサイバー攻撃への防御能力が脆弱」は本当か? 国内外の組織の何割がランサムウェアに感染した経験があり、そのうち何割が身代金を払うのか? サイバー攻撃への対策として一般社員ができることは何か? 企業のサイバー担当者が「仕事を辞めたい」と思う理由の第1位は? 防衛省出身でサイバーセキュリティの専門家であり、『ウクライナのサイバー戦争』の著者でもある、NTTチーフ・サイバーセキュリティ・ストラテジストの松原実穂子氏に話をきいた。(インタビュー:Art of Communication代表・田中慶子、ダイヤモンド社 編集委員 長谷川幸光、文・構成:奥田由意)
毎年、サイバー攻撃は
どの国でも増え続けている
田中慶子(以下、田中) 以前、サイバー攻撃について、「サイバー空間での攻撃のような『理解されにくいこと』を社員や人々へ伝えるにはどうしたらよいのか」など、人とのコミュニケーションを軸にお話いただきました。今回は、サイバー攻撃の現状について伺いたいと思います。
長谷川幸光(以下、長谷川) 日本は米国に次いで世界で2番目に多くサイバー攻撃を受けているという調査(※)がありますが、最前線で研究されている松原さんの実感値としてそのように感じますか?
※BlackBerry Japan「グローバル脅威インテリジェンスレポート 日本語版」(2023年2月発行)
NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省にて9年間勤務。フルブライト奨学金を得て、米ジョンズ・ホプキンス大学高等国際問題研究大学院(SAIS)に留学し、国際経済および国際関係の修士号取得。修了後、ハワイのシンクタンク、パシフィック・フォーラムCSISにて研究員として勤務。日本に帰国後、(株)日立システムズでサイバーセキュリティのアナリスト、インテル(株)でサイバーセキュリティ政策部長、パロアルトネットワークスのアジア太平洋地域拠点における公共担当の最高セキュリティ責任者兼副社長を歴任した後、現職。サイバーセキュリティに関する情報発信と提言に努める。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』『ウクライナのサイバー戦争』(共に新潮社)
松原実穂子(以下、松原) 日本は、経済規模に比例し、保有するIT機器の数というのは世界トップクラスです。そうすると、生活、業務、経済などでIT機器を使うシーンも多くなりますし、使っているIT機器の数が増えれば増えるほど、サイバー攻撃を受ける事例が増えるというのは、残念ながら当然といえます。
国別のサイバー攻撃を受けた数は、調査を担当した企業の手法や守備範囲によって、検知できる数が異なります。ただ確実に言えることは、どの国も毎年、サイバー攻撃を受ける数が増え続けているということです。
長谷川 日本はサイバー攻撃への防御能力が脆弱だ、ということをよく耳にします。こちらも実際はどうなのでしょうか?
松原 国別のサイバー能力のランキング表を出している組織は、現在、世界で3機関あります。ITU(国際電気通信連合)、IISS(国際戦略研究所)、ハーバード大学ベルファー・センターです。
この中でもっとも大規模な調査を実施しているのはITUで、190カ国以上を対象としています。調査対象国中、日本のサイバーセキュリティの能力は7位です(※)。
※ITU「Global Cybersecurity Index」(25ページ目)
長谷川 思ったより上位ですね。
松原 ITUは国連系の組織であるため、国際貢献や、関連する法律や制度の有無などが、調査項目となっており、日本はそれらの項目ではほぼ満点なのです。一方、まったく違う視点からサイバー能力調査をしている組織もあります。
例えば、ハーバード大学ベルファー・センターは、世界の主要30カ国のサイバー能力のランキングを過去2回出しています。2022年に出した2回目の調査では、日本は16位でした(※)。
※BELFER CENTER「National Cyber Power Index 2022」(10ページ目)
ベルファー・センターが見ているのは、業務妨害型のサイバー攻撃能力、金銭目的のサイバー犯罪能力、自国民の監視能力、インテリジェンス収集能力などです。ただし、自ら手の内を明かし、「攻撃をした」とサイバー攻撃能力について公表する国はありません。そうすると、新聞報道などの「公開情報」でしか判断のしようがないのです。10位以内に入っているアメリカ、中国、ロシア、北朝鮮は、サイバー攻撃能力についての関連報道を多く出している国々です。
近隣諸国とは対象的に、日本がサイバー攻撃をしたとの報道は聞いたことがないですよね。攻撃能力がたとえあったとしても、英語で情報発信されていない限り、能力があると見なされないのです。
また、世界の主要15カ国を調査したIISSの報告書では、アメリカは唯一、「レベル1」と分類され、日本はイランや北朝鮮と同じ「レベル3」に位置付けられています。こうしたランキング表が出ると、順位に目が行きがちです。自国民の監視やサイバー攻撃をすれば順位は上がるかもしれませんが、果たしてそれでいいのか。「日本は何をめざしたいのか」もきちんと考えるべきです。
実際の統計値や事例を鑑みれば、日本はかなりサイバー攻撃を防御できていると思います。アメリカのサイバーセキュリティの会社であるProofpoint(プルーフポイント)が、ランサムウェア(※)攻撃の被害について、主要国を対象に報告書を出しています。ランサムウェアに感染するとデータが暗号化されて、業務や工場が止まってしまいます。つまり、「業務継続性」を人質に取った上で、復号化のための鍵と引き換えに身代金を要求する、恐ろしいサイバー攻撃です。
※ 身代金を意味する「Ransom」と「Software」を組み合わせた造語
プルーフポイントによる2021年の調査(※)によると、アメリカ、フランス、オーストラリア、イギリスでアンケートに答えた組織の約6〜7割がランサムウェアに感染した経験があり、そのうち、6〜8割が身代金を払っています。
※参考:プルーフポイント、フィッシング攻撃の現状を明らかにした年次レポート「2022 State of the Phish」を発表(2022年4月11日)