~~
「日本のサイバーセキュリティ能力は低いと言われていることをどう思いますか?」と日本人からも海外の方からも度々問われる。
世界の被害例を見ると
しかし、最近の世界の被害例を見る限り、日本の防御力が著しく低いとは言えない。むしろ大規模な被害は、コロニアル・パイプラインへのランサムウエア攻撃事件を含め、米国の方が多い。
例えば、米セキュリティ企業「プルーフポイント」が昨年、日米英豪仏独西の7カ国のランサムウエア被害を調べたところ、回答組織のうち感染したのは、米国で72%、英国で78%、豪で80%に対し、日本は最も低い50%だった。
また身代金を払った組織の割合で見ると、米国は64%、英国は82%、豪で80%なのに対し、日本は20%と著しく低い。
しかも、近年の五輪大会が妨害型のサイバー攻撃に悩まされてきたのに、昨年の東京五輪は大会運営に影響を及ぼすような被害を出さなかった。ロンドン五輪大会期間中に検知されたサイバー攻撃の2倍以上の4・5億回ものサイバー攻撃を受けたにもかかわらずだ。
関係者は、8年間の準備期間中、関連システムのリスク評価とセキュリティの穴の確認を繰り返し実施、先取りして対策を強化した。また、膨大な数の国内外の関係機関と連携し、研修を重ね、基本動作を徹底させたのである。
米メリービル大学のブライアン・ガント助教(サイバーセキュリティ)は、東京五輪のサイバーセキュリティが真の成功事例と指摘、全てのイベントの開催者が手本とすべき模範と絶賛している。
各国のサイバーセキュリティ能力を正確に測るのは難しい。政府は戦略的理由から自らの能力、特に攻撃能力の全ては明かさないため、ごく限られた公開情報から各国の能力を推測するしかない。
しかも、サイバーセキュリティの能力は、防御力、攻撃力、インテリジェンス、法律や国家戦略の整備、国際規範や国際標準作りへの貢献度、関連産業の競争力などで総合的に測られるものだ。複数の機関が国別のサイバーセキュリティ能力のランキング表を作成しているが、どの分野に力点を置くかで順位は大きく変わる。
ランキング表にはそうした課題があるものの、国際電気通信連合(ITU)が昨年6月に出した「国際サイバーセキュリティ指標」では、日本は97・82点で総合7位だ。
日本の評価が低い理由
日本のサイバーセキュリティ能力が低いと思われがちなのには、主に4つの理由が考えられる。
1つには、そもそも日本人でさえ東京五輪のサイバーセキュリティの成功を含め、日本の防御の実態をあまり知らないからだろう。
2つ目は、サイバー部隊の規模である。米サイバー軍は約6000人、北朝鮮は約6800人、中国のサイバー攻撃部隊は約3万人、ロシアは約1000人と言われているが、自衛隊サイバー防衛隊は540人だ。
3つ目は、国家予算である。日本政府の今年度のサイバーセキュリティに関する概算要求額は919・3億円、米連邦政府は軍事予算を除いても1・5兆円弱に上る。
サイバー部隊の規模や国家予算は限られてはいるが、防衛省・自衛隊は内閣サイバーセキュリティセンターなどの他省庁や重要インフラ企業と組んで、昨年も今年も国際サイバー演習に参加し官民の能力底上げを図っている。
4つ目は、情報機関の発信力である。英米の情報機関の長官は、積極的に世界の主要な国際サイバーセキュリティ会議に登壇し、ウクライナ情勢分析や国際貢献について発言している。さらに、英米の情報機関は国内外の関連機関と連携し、世界に度々サイバー脅威について注意喚起してきた。
情報発信不足は、インテリジェンス能力不足を必ずしも意味しない。だが、適切な発信なくして、攻撃者への牽制(けんせい)も国内外での信頼獲得、関係強化も難しい。
日本のサイバーセキュリティは決して完璧ではなく、憲法を含め法制度など様々な制約がある。だが、コロナ禍の困難にあってさえ、東京五輪を成功させるだけの実力があるのも事実だ。自信を持って、今後もサイバーセキュリティ強化に努めるとともに、世界に英語でも発信すべきである。
根拠を示さない不当なレッテル貼りや、不正確な批判への反論の欠如は、国家間や事業上の協力の相手として見くびられるだけだ。日本は認知戦で負けている。
ロシアによるウクライナへの軍事侵攻やインド太平洋での緊張の高まりを受け、国々は国際協力強化を急ピッチで進め始めた。
今求められているのは、日本や他の国のサイバーセキュリティの総合力を正当に理解し、強化策と必要な予算を構築し、行動に移すことだ。自らの取り組みに関する正確な情報の国内外への発信増なくして、国内のセキュリティ強化の意欲や国際協力への機運も高まるまい。
筆者:松原実穂子(NTT サイバー専門家)
◇
2022年7月7日付産経新聞【正論】を転載しています