「国家サイバーセキュリティー機関」がない日本のお粗末な現状
現在の日本は、サイバーディフェンスに関して、世界一重いハンディキャップを背負っているような国です。国が、本来やるべきことをやっていません。
まず、行政機関ではなく、インテリジェンス機関と緊密連携する「国家サイバーセキュリティー機関」がないのは日本くらいです。アジア圏内でも、韓国に台湾、インドネシア、タイにはあります。そもそも、日本ではサイバー攻撃から国民を守るということが法律で定められていないのです。
だから、サイバー攻撃についての情報を適切かつ迅速に伝える仕組みが整備されないのです。デジタルシフトが進んでサイバー攻撃の対象領域が広がっているのに、それを網羅的に観察してリスク予測やアラートを発する国家機関がない。情報も得られないし、万一被害を受けたときに適切な支援も受けられません。
関係省庁は何もしていないわけではありません。それぞれの任務や所掌事務の範囲で、相応の努力をされていますが、いずれも、昨今のサイバー脅威に適合した施策と言えず、予算も人的リソースも限られています。省庁間の連携努力も始まっていますが、担当となった幹部の認識や方針に大きく影響を受けていますので、人事異動毎に大きく変化します。
海外は違います。関連情報を提供するだけでなく、ランサムウェア被害を受けてデータが暗号化等により重要サービスに影響が出た場合、国家が積極的な初動対処の支援を行う仕組みの整備を進めています。民間企業におけるサイバー攻撃の報告やその情報の共有を促進するための体制と信頼を構築する「不断の努力」が法的に示されています。
これは、実世界の中で、私たちが緊急時に迅速かつ適切な対応の提供を受けることできる110番/119番の緊急通報に似ています。このような仕組みを実現させるには、まず、通報を受ける通信司令員に対して十分なトレーニングを行い、その実務ができることを保証する環境を維持します。サイバー領域において、国家サイバーセキュリティ機関が、このような仕組みを作ることで、サイバー脅威からの国民や企業を守るという任務を果たしていくのです。
――残念ながら、現状の日本は「公助」に期待できない状況ということですね。
はい。公助を待っていては間に合いません。だからこそ自社でしっかりと取り組む必要があります。とりわけ日本は、他国よりもサプライチェーンが格段に大規模かつ複雑です。私の支援している企業の中には、下請け構造が多層化し、サプライチェーン全体でパソコンが数万台以上あります。セキュリティー体制を整えるのは容易ではありません。
加えて経営者は、サイバー攻撃以上に売り上げや利益を上げることにプレッシャーを感じることが多いようです。ひとかたならぬ苦労をしてようやく黒字になったのに、一見、収益に直接貢献しないように思える情報セキュリティー対策にコストは掛けられないと判断しても不思議はありません。
――しかし、情報セキュリティ専門チーム「CSIRT(シーサート)」を設置している企業は増えていると聞きます。
もちろん、レピュテーションの毀損は避けたいので、当局の要請には従っています(※)。逆にいえば、それさえ対応しておけばいいと勘違いしている経営者が大半です。CSIRTを設置しても、ほとんどのメンバーがサイバーセキュリティーにおけるキャリアがゼロというケースも少なくない。社内の都合で配属されただけということもあります。
※筆者注 経済産業省は「サイバーセキュリティ経営ガイドライン」でCSIRTの整備を呼びかけている。
――日本にはサイバーセキュリティー人材がいないということでしょうか。
必要とされる知識や経験を有している人材がCSIRTなどに属していないだけで、能力を持っている人はたくさんいます。サイバーセキュリティに関心を持ち、それぞれの知識や経験を共有し合うオンラインコミュニティーには、かなりの人数にのぼる日本の社会人が参画しています。客観的に見て即戦力なると思える方が多くいらっしゃいますが、大半の方々がサイバーセキュリティの職に就ていません。
ではなぜ彼ら彼女らは適所に配置されないのか。