2024年09月10日
「まずは日本から」サイバー攻撃の標的に日本
経済界、および腰の防衛意識
なぜ狙われるのか?
「どうしてそうなるの?」 一時大ヒットしたコント55号の萩本欽一さんの名セリフを使いたいほどに、困惑させられる。昨年11月、イスラエルとハマスの激しい戦闘が始まった後、親パレスチナ派と思われるサイバー活動家がSNSに「まずは日本から攻撃を始める」と投稿していたそうだ。
どちらかと言えば日本では親イスラエル感情が強い人が多いと思われる気がするが、パレスチナに同情を寄せる人も少なくない、どちらを支持すると旗色鮮明にしない「あいまいな国」が日本の国際的立ち位置だと思う。欧米がイスラエル支持の強い立場をとっているのとはずいぶん違いがある。それなのになぜ? 「まずは日本」なのか。
「次は日本」
親パレスチナのサイバー活動家は横においても、最近は世界のサイバー活動家が「まずは日本」と考えているのでは、と思えるフシがある。あるいは「次の狙いは日本」か。
欧米ではサイバー攻撃への防御が堅くなりつつあるのに対し、日本の防御が甘いと見られるようになっているのではないか。セキュリティ製品を提供しているグローバルな企業が、ユーザーの危機意識を刺激するため、各種の調査を公表しているが、どの調査でも日本企業のセキュリティのスコアが低い。ここ1,2年、日本のランサム被害が目立っているのも、欧米がセキュリティを固めているのに対し、日本が甘いので照準を日本に移していると分析されている。
実際、情報ファイルを暗号化されて使用できなくなると致命的な障害となる医療機関への攻撃が目立ってきている。窮地に陥り、身代金を奪いやすいと判断しているのだろう。
日本全体のサイバー脆弱体質
日本政府も日本行政や企業など、全体に脆弱性を抱えていることに危機意識をもっている。ロシアのウクライナ侵略でサイバー戦の実態が明確になり、重大な国家安全保障の案件となった。重要インフラだけが狙われるわけではない。直近ではKADOKAWAでサイバー攻撃によって事業遂行が長期間停止されるなど、企業経営も危機的状況に追い込まれる。防御の甘い中小企業が攻撃を受け、サプライチェーン全体に被害が広がる危険もある。経済界も協力してサイバー防衛に乗り出して当然である。
しかし、官民挙げてのキャンペーンになるかと思いきや、いつもながら不安な報告もある。サイバー防衛には攻撃する側の兆候をつかみ、「能動的防衛」が必要で、そのために官民学などは攻撃を受ければいち早く「被害報告」を上げなければならない。ところが、企業側には「過度な報告義務が課せられれば対応能力を毀損しかねない」(経団連)と不安視する声もある、というのである。言葉は婉曲だが、「被害報告を義務化されるのは反対」という本音がうかがえる。
「過度」を気にするあいまいな反対論
1999年、後に内閣情報官、国家安全保障局長を務めるが、当時、警察庁参事だった北村滋氏が牽引車となって、不正アクセス禁止法が成立した。当時、筆者は情報化推進国民会議という産・官・学・労・消費者団体からなる組織の特別委員会の幹事で、同法の成立を支援した。
刑事罰もあるので議論は白熱した。海外からのサイバー攻撃が国家や社会にとって安全の著しい脅威となることを見越し、大筋の合意に近づいたが、最後まで抵抗したのが企業側だった。過度に費用負担が発生する恐れがある、という主張だったように記憶する。
「過度に」というのがキーワードである。どこまでが適度でどこからが過度なのか、反対論に基準が示されるわけではない。うがってみれば、「費用負担」が増えるのがいやなのだろうか。ここまで来て、まだ、防衛意識の低さとおよび腰が気になる。
問題は「企業の負担増」と「安全保障」のどちらが重要か、その価値観だろう。コスト増ばかり気にしていると、もっと大きな損失を被ることになりかねない、と肝に銘ずるべきだ。危機はそこまで迫ってきている。
中島洋の「セキュリティの新常識」コラムは、こちら