日常化するサイバー攻撃、 問われる官民の責務

公益財団法人NIRA総合研究開発機構（理事長 谷口将紀）は、学者や研究者、専門家のネットワークを活かして、公正・中立な立場から政策提言を行うシンクタンク。深刻化するサイバー攻撃の脅威に対し、何を検討すべきか、考える。

 

企画に当たって

ＤＸ下のサイバー攻撃、対策急務―経済や社会に致命的な影響の恐れ

柳川範之　　ＮＩＲＡ総合研究開発機構 理事／東京大学大学院経済学研究科 教授

　サイバーセキュリティの重要性は、かなり以前から指摘されてきたが、ここへきて、今までとはかなり違う次元で、さまざまな問題が生じるようになってきている。にもかかわらず、それらについての意識が、まだ社会全体に十分には広まっていないように思われる。

　官民の別なく、デジタル・トランスフォーメーション（DX）を進めようとしている現在、デジタルデータが安全に管理されることの重要性は言うまでもない。特に、業務に不可欠なデータや、生命の安全性に関わるようなデータのセキュリティが確保されなければ、企業ひいては社会に致命的な問題を引き起こしかねない。すべての識者が強調するのが、サイバー攻撃は、いまや一個人や一組織の被害にとどまらず、国の安全保障や経済を揺るがしかねない脅威となっているということだ。

　こうした専門家の危機感は、多くの国民にとっては、なじみのない専門分野だということもあり、あまり共有されてこなかった傾向がある。しかし、今後は、サイバーセキュリティ分野の重要性を、もっと広く国民が認識する必要性がある。日本も、より踏み込んだ対策を検討する時期にきている。

　また、本号で識者が指摘している課題には、人材がいなければ、応えることはできない。今後は、サイバーセキュリティ人材の育成に、もっと力を注いでいくべきだろう。

（一部抜粋）

識者に問う

サイバー空間でどのような脅威が起きているのか。
検討すべき課題は何か。

 

「攻撃の起点になり得るＩｏＴ機器、備えを怠るな」

村島正浩　株式会社イエラエセキュリティ ペンテスター

急速に増加するIoT機器は、サイバー攻撃の侵入起点になり得る。IoT機器の問題は、そもそも基本的な対策すら行えていないケースが多々あることだが、そこから深刻な被害を招きかねない。攻撃者がどこから攻撃を行うのかを想定し、セキュリティ対策への投資を進める必要がある。

 

 

「組織犯罪・国家間紛争を見据えた、実効性のある対応が急務」

西尾素己　多摩大学ルール形成戦略研究所 客員教授

サイバー攻撃による組織犯罪や国家間紛争が激化している。サイバー攻撃への対応を企業や社会に義務付けなければ、やがては日本全体の国力が削がれる。これまで日本では、攻撃を受けた側を一律に被害者として扱ってきたが、それを改めサイバー攻撃への対策をしなかったことに対する責任を問うべきだ。　

 

「ランサムウェアの脅威を直視せよ」

松原実穂子　NTT チーフ・サイバーセキュリティ・ストラテジスト

今年5月、米国の石油パイプライン会社と食肉大手が立て続けにランサムウェア攻撃を受けた。1社への攻撃でも、国の経済や安全保障に大打撃を与え得る。米国政府は人と予算を増やして盤石の体制を組み、強い決意でサイバー攻撃への対応を進めている。

 

「DX とサイバーセキュリティを両立させていく」

坂 明　デジタル庁 Chief Information Security Officer（ CISO）

組織や個人、インフラなどへの直接的なサイバー攻撃に加え、選挙への介入やフェイクニュースによる世論操作など、人びとや国の意思決定に影響を与える攻撃が深刻化している。公共空間化したサイバー空間の安全安心を確保し、国全体のDX化とサイバーセキュリティを両立させていく。

 

 

 

「サイバー攻撃は激化、アクティブ・ディフェンスを検討せよ」

神保 謙　慶應義塾大学総合政策学部 教授

サイバー攻撃で人命に危害が及べば、武力を伴う戦争に発展する可能性が強まる。日本も、サイバー攻撃に対し法的な制裁や自衛隊による物理的な制裁をかける「アクティブ・ディフェンス」体制の整備が必要だ。少なくとも、サイバー攻撃に対し自衛権を行使する要件について、政府の統一見解をまとめるべきだ。

 

 

 

データで見る　日常化するサイバー攻撃、問われる官民の責務

セキュリティインシデントの報告件数の推移

「社会のデジタル化の進展に加え、コロナ禍でオンラインの利用が一気に高まる中、サイバー攻撃の脅威が増大している（坂氏）」

「ランサムウェアの被害が急拡大している。（松原氏）」

注）国内外で発生したインシデントで、JPCERT/CC 日本窓口に報告された件数の推移。インシデントとは、情報システムの運用におけるセキュリティ上の問題として捉えられる事象、コンピューターのセキュリティに関わる事件、できごとの全般を示す。
出所）一般社団法人JPCERT コーディネーションセンター「JPCERT/CC　インシデント報告対応レポート」より作成。

 

ランサムウェア：各国の「身代金支払い率」と支払い後の状況（2020 年）

「ランサムウェアによる攻撃で大量のデータが暗号化され、決算を出せずに決算発表を延期した事例もある。（村島氏）」

「社会の情報セキュリティの強化に取り組む「情報処理推進機構（ＩＰＡ）」は、脅威のトップに、組織に対するランサムウェア攻撃と、個人に対するスマホ決済の不正利用を挙げた。（坂氏）」

注） 「支払い後の状況」は、下記の出所データを元にNIRA で算出した。
出所） 日本プルーフポイント株式会社（2021 年）「身代金を支払うのは正解か？―ランサムウェア支払い結果７か国比較から考えるサイバー犯罪エコシステムへの対処」より作成。

 

米国のランサムウェア二大事件

「ランサムウェアはこれまで金銭目的の犯罪と思われてきたが、たとえ一社への攻撃でも、国の経済や安全保障に大打撃を与え得ることが示された。（松原氏）」

「サイバー攻撃で、水道に薬品を混入されたり、大停電が引き起こされたりすれば、多数の犠牲者が出る恐れもある。サイバー攻撃で武力行使に等しい被害が出る可能性が、現実のものとなってきた。（神保氏）」

「米国政府は、ランサムウェア攻撃への対応を根本的に見直している。六月初め、国家安全保障担当副補佐官から企業の経営層に、サイバーセキュリティ対策の強化を要請する異例の書簡が送られた。（松原氏）」

「アクティブ・ディフェンスで、攻撃で奪われた財産、資産を取り戻し、敵の攻撃手段を奪い取る。これは、米国などが行っているが、現在の日本には難しい。（神保氏）

 

出所） 報道資料等により作成。

 

サイバー攻撃の拠点国と標的国

「サイバー攻撃の背後に国家が控える「ネーションバック」。相手国の国力を削ぐ目的で、国家が攻撃を仕掛ける。サイバー攻撃では、国家による他国への攻撃が、実はやりたい放題で行われている。（西尾氏）」

「一〇月には、ランサムウェア攻撃への対処策と国際協力について話し合う国際会議が、米ホワイトハウス主催で二日間、オンラインで行われた。（松原氏）」

「各国が個々のサイバー攻撃を安全保障上のどのような危険度に位置付けるかという判断が、重要な局面となりつつある。…日本も、サイバー攻撃に対して、法的な制裁や、自衛隊による物理的な制裁をかける「アクティブ・ディフェンス」体制の整備が必要だ。（神保氏）」

 

注） 2020 年7 月から2021 年6 月までの集計結果。
出所） Microsoft（ 2021）“Digital defense Report”より作成。

 

用語集　日常化するサイバー攻撃、問われる官民の責務

識者紹介

村島正浩　株式会社イエラエセキュリティ ペンテスター

神戸デジタル・ラボでセキュリティエンジニアとして勤務後、イエラエセキュリティでペンテスターとして活躍中。クライアントの要望に合わせ、ハッカー目線で限りなくリアルな疑似攻撃を行っている。ＩｏＴセキュリティの知見を共有するコミュニティ「ＩｏＴＳｅｃＪＰ」の中心メンバーも過去に務める。著書に『ハッカーの教科書』（データハウス）シリーズがあり、エンジニアや初心者に向けてハッキングアプローチ方法を解説。セキュリティ啓発団体の各種イベントで講演多数。

西尾素己　多摩大学ルール形成戦略研究所客員教授

世界各国の著名なホワイトハットとの「模擬戦」を通じてサイバーセキュリティ技術を独学。世界トップクラスの専門家による情報セキュリティ国際会議「ＣＯＤＥ　ＢＬＵＥ二〇一五」に、学生枠を除く最年少として登壇。二〇一六年より、多摩大学ルール形成戦略研究所にサイバーセキュリティ領域における国際標準化研究担当の客員研究員として着任。サイバーセキュリティの視点から、国際動向の分析や安全保障起点でのルール形成活動と、それに基づく産業力強化を推進している。

松原実穂子　ＮＴＴチーフ・サイバーセキュリティ・ストラテジスト

早稲田大学卒業後、防衛省にて勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院卒業後、日立システムズでサイバーセキュリティのアナリスト、インテルでサイバーセキュリティ政策部長、パロアルトネットワークスのアジア太平洋地域拠点における公共担当の最高セキュリティ責任者兼副社長などサイバーセキュリティにおける重役を歴任。現在はＮＴＴのチーフ・サイバーセキュリティ・ストラテジストとして、情報発信と提言に努める。著書『サイバーセキュリティ　組織を脅威から守る戦略・人材・インテリジェンス』（新潮社、二〇一九年）は、第二九回 二〇二〇年度大川出版賞受賞。同書は、攻撃者及び守る側それぞれの人材育成についても解説。

坂 明　デジタル庁 Chief Information Security Officer（CISO）

一九八一年、警察庁に入庁し、生活安全局セキュリティシステム対策室長、情報技術犯罪対策課長として、サイバー犯罪対策に従事。二〇〇二年にはハーバード大学国際問題研究所（ＷＣＦＩＡ）客員研究員としてサイバーテロの研究を行う。二〇〇八年から二年間、慶應義塾大学大学院政策・メディア研究科教授。二〇二一年に開催された東京オリンピック・パラリンピック競技大会では、同組織委員会ＣＩＳＯを務めた。現在、日本サイバー犯罪対策センター（ＪＣ３）理事、公益財団法人公共政策調査会（ＣＰＰ）専務理事を兼務。

神保 謙　慶應義塾大学総合政策学部 教授

専門は国際政治学、安全保障論、アジア太平洋の安全保障、日本の外交・防衛政策。防衛省、サイバーディフェンス連携協議会（ＣＤＣ）研究会委員、内閣サイバーセキュリティセンター（ＮＩＳＣ）重要インフラ専門委員会委員などを歴任。飛躍的に発展していくサイバーテクノロジーの陰に潜むリスクを、国際政治学の見地から警鐘を鳴らしている。著書に『アジア太平洋の安全保障アーキテクチャ―地域安全保障の三層構造』（編著、日本評論社、二〇一一年）、『人口学に聞け！二〇五〇年の世界地図』（共著、中央公論、二〇二〇年）。

 

※記事全文

※記事全文(pdf)は下記「広報素材ダウンロード」より、ダウンロードいただけます。

 

識者の先生方へのインタビューや取材のご依頼など
下記問い合わせ先までお問い合わせください。

 

公益財団法人NIRA総合研究開発機構 TEL:03-5448-1710　FAX:03-5448-1744 E-mail:info@nira.or.jp

 

 

■NIRA総合研究開発機構（Nippon Institute for Research Advancement）

NIRA 総合研究開発機構（略称：NIRA 総研）は、わが国の経済社会の活性化・発展のために大胆かつタイムリーに政策課題の論点などを提供する民間の独立した研究機関です。学者や研究者、専門家のネットワークを活かして、公正・中立な立場から公益性の高い活動を行い、わが国の政策論議をいっそう活性化し、政策形成過程に貢献していくことを目指しています。研究分野としては、国内の経済社会政策、国際関係、地域に関する課題をとりあげます。

ホームページ：http://www.nira.or.jp/