NTTチーフ・サイバーセキュリティ・ストラテジスト 松原実穂子「重要インフラを守る上で、ウクライナと台湾から日本が学ぶべきことは多い」
財界オンライン / 2023年10月5日 15時0分
「サイバー攻撃は百%防ぐことはできない。被害が生じた時は、いかに早く復旧させるか、そして情報発信をどう行っていくのかが大事」と松原氏。サイバー攻撃への対応で参考になるのがウクライナの対応。2014年のクリミア併合後、ロシアからサイバー攻撃を受け停電が発生した事件を教訓に、自助努力でサイバーセキュリティを積極的に推進。それを支えたのが民間企業も含めた国際社会だ。サイバー攻撃に対する意識が低いと言われる日本がそこから学ぶ教訓とは─
過去の教訓を活かし、重要インフラを守り抜くウクライナ
─ ウクライナ戦争では、物理的な戦闘に加えて、サイバー空間でも〝戦闘〟が繰り広げられていますが、その実態を聞かせてください。
松原 ロシアは侵攻の前から情報収集のためのサイバースパイ活動や、重要インフラの稼働を止めて国力にダメージを与える業務妨害型のサイバー攻撃を続けていました。
現在、侵攻が始まって500日以上が過ぎましたが、予想していた以上にウクライナのサイバー被害は少ないと思います。
例えば、2015年と16年の厳冬期にロシアがウクライナに対してサイバー攻撃を仕掛け、停電を起こしました。15年の事件により、世界で初めてサイバー攻撃で停電が発生し得ることが証明され、世界に衝撃が走りました。
そうした経緯を踏まえ、世界のサイバーセキュリティの専門家は、今回も早い段階でサイバー攻撃による大きな被害がウクライナで出ると見ていたのです。
─ ウクライナのサイバー防御が比較的成功している理由は何ですか。
松原 まず、ウクライナの自助努力です。14年のクリミア併合時、大規模なサイバー攻撃で通信が機能しなくなりました。通信不能になると、ウクライナ軍は混乱し、まともな戦いができなくなります。また、国民も国際社会も、ウクライナで何が起きているか分からなくなってしまう。ウクライナはこの時、通信の維持の重要性を痛いほど学びました。
さらに、2回に及ぶ停電事件を受け、通信以外の電力などの重要インフラについても、サイバーセキュリティ対策を強化していったのです。
─ 自助努力に加えて、国際社会の支援も非常に厚いですね。
松原 はい。米国は、戦争開始前から支援を続けています。
今回の国際支援の特徴は、各国政府やNATO(北大西洋条約機構)やEU(欧州連合)、G7(主要7カ国)などの国家間の枠組みだけではなく、大手ハイテク企業も加わっている点にあります。
ウクライナは従来、クラウドの活用に消極的でした。しかし昨年2月、ロシアの軍事侵攻が現実味を帯びてくる中で、非常に大きな危機感を抱いたのです。
万が一キーウが占領され、政府の機微情報が奪われるか、あるいはウクライナの復興に必要な情報が破壊されてしまえば、取り返しがつかない。
─ そこで具体的な対策を急いだのですね。
松原 その通りです。でも、データセンターを比較的安全であろうウクライナ西部に移すのは時間的に無理があります。
クラウドを活用するしかないと判断し、侵攻の1週間前にウクライナ議会が法律を改正しました。政府のデータはそれまで絶対にクラウドに上げてはいけなかったのですが、それを許可しました。
すぐ支援に乗り出したのが、米国の「アマゾン ウェブ サービス(AWS)」でした。ウクライナ政府のデータだけではなく、企業や大学のデータもクラウドに移行したのです。
この措置が結果的にウクライナを救いました。というのも、戦争開始から1週間以内にロシア軍によって破壊された建物の一つが、なんと政府のバックアップデータが全て入っている主要データセンターだったのです。
─ ロシアはそこを狙ってきたのですか。
松原 それは定かではないのですが、データセンターにしかバックアップデータがなかった場合、政府の機能が停止していた恐れすらあります。
そこでウクライナ政府が学んだ教訓は、業務の継続性を確保するには、データのセキュリティは死活的に重要だという事実でした。
大手IT企業もウクライナ支援に加わる
─ そこを支えているのが民間企業であると。
松原 はい。先ほど例に挙げたAWSやグーグル、マイクロソフト、クラウドストライクなどの大手ハイテク企業です。サービスや製品、サイバー攻撃に関する脅威情報の提供を無償で継続しています。
これらの企業はロシアに対しては、そうした支援はしていません。つまり、ウクライナのデジタル力、サイバーセキュリティ能力が、自助努力に加えて国際的な官民協力により高まっているのと対照的です。ウクライナにとって、かなりの追い風になっていると思います。
─ 企業にとって1年半もの間、支援を続けるのは容易なことではありません。
松原 一部で「支援疲れ」がささやかれる中で、企業が支援を継続している理由の一つは、ウクライナからではないと得られない貴重な知見へのアクセスだろうと考えます。
戦争が始まって2カ月後の昨年4月、米サイバーコマンドの前司令官であるマイケル・ロジャース海軍大将(退役)は英紙『フィナンシャル・タイムズ』の取材にこう答えています。
「ウクライナでの停電事件後にウクライナのサイバー防御強化の支援のため、米軍を派遣した。この際、ロシアのサイバー攻撃の手口やコンピュータウイルスについて学べた」
米軍トップが、このように他国の支援をすることによって知見を得られたというような発言を公にすることは滅多にありません。それだけ、ウクライナから得られる知見は大きく、外国政府やハイテク企業がウィンウィンの関係を築けると考えているからこそ、支援を継続しているのでしょう。
─ 民間企業もしたたかですね。官民の協力を取り付けたことは、非常に心強い。
松原 昨年10月、シンガポール政府主催の年次国際サイバーセキュリティ会議に参加する機会がありました。私が司会を務めたパネル討議に、ウクライナ国家特殊通信・情報保護局のビクトル・ゾラ副局長が対面で登壇され、こう仰ったのです。
「ウクライナは今のところ、ロシアからのサイバー攻撃をかなり防げています。しかしいつ何時、皆様の国に攻撃が向けられるかわかりません。だからこそ、ウクライナがこの戦争から得た知見を共有し、皆様のサイバーセキュリティ強化に貢献したいのです」
ロシアがキーウへのミサイル攻撃を激化させた頃です。砲弾が飛び交う中、片道2日かけてシンガポールに命がけでいらっしゃった。尚且つ、世界に貢献したいとの意欲を示された勇気には心から感動しました。
ウクライナの重要インフラ企業の経営者も、対面で海外に足を運び、戦争で得た知見を共有しています。
─ 一方、日本のそうした国際的な場での情報発信については、どう感じていますか。
松原 公の国際会議での発信は必ずしも多くはなかったと思いますが、徐々に増えてきています。
例えば、前述のシンガポールの国際会議では、内閣サイバーセキュリティセンターの吉川徹志副センター長(当時)が講演されました。
今年6月のシャングリラ会合(アジア安全保障会議)では、サイバーセキュリティに特化したパネル討議が初開催されました。岡野正敬内閣官房副長官補兼国家安全保障局次長がパネリストとして登壇されています。
日本のサイバーセキュリティの取り組みへの関心は世界的に高まっています。日本政府の高官による国際的な場での発信は、日本が頼りになる、協力すべき国だとの信頼に結びつき、日本の抑止力向上にもつながると思います。
東京五輪・パラリンピックでサイバー防御は大成功でした。あれだけの規模のイベントでの防御を成功させられる国はほとんどありません。知見を発信し、日本の味方を増やさなければなりません。
2012年のロンドン夏季五輪の開会式は、サイバー攻撃により停電が発生しかねない状況でした。18年の平昌冬季五輪の開会式もサイバー攻撃を受け、チケットの印刷ができなくなり、開会式会場で空席が目立つ事態になりました。
中小企業が標的に
─ 日本のサイバーセキュリティの現状を聞かせて下さい。
松原 日本はサイバー防御能力が低いと思っている方が多いかもしれませんが、数字で見ると、実はそうではないのです。
米サイバーセキュリティ企業「プルーフポイント」が、どれだけの組織がランサムウェアに感染し、どれくらいの割合で身代金を払っているのかを2021年に国別調査しています。
米英仏豪では、回答した組織の6~8割が感染したのに対し、日本は5割でした。
米英仏豪の身代金の支払い率は6~8割です。一方、日本はわずか2割なのです。
─ こうした統計を見ると、日本のセキュリティ対策が遅れているとは、必ずしも言えません。
松原 今年5月、オランダのサイバー司令部が、サイバー攻撃能力と防御能力を競う競技会をハーグで主催しました。EU加盟国や日韓など10カ国が参加し、日本は3位でした。
ただ、新たなサイバー攻撃がどんどん生まれている中、現状に甘んじてはいけません。
─ 日本企業の99%が中小企業ですが、ここが標的にされるケースが多いですね。
松原 日本に対するランサムウェア攻撃被害の53%が中小企業です。攻撃者からすれば、防御が手薄であるほどサイバー攻撃のコストパフォーマンスがよいのです。
─ 中小企業は、サイバーセキュリティに多くの予算を費やすことは難しいですが、何か支援策はあるのでしょうか。
松原 政府や地方自治体、サプライチェーン、草の根レベルの3種類の支援があります。
経済産業省は、数年前から一部の都市で「サイバーセキュリティお助け隊サービス」の実証実験を行いました。
サプライチェーン上、中小企業の存在は欠かせません。しかし、サイバーセキュリティを強化するための人材とお金が足りず、サイバー攻撃被害が出ています。
同様の被害を防ぐため、大手企業がセキュリティ対策を契約書に盛り込んでいくことで、サプライチェーン全体の強化につながると期待されます。さらに、攻撃被害への対応で得た知見を業界の中で横展開していくことも重要です。
草の根レベルでの各地域における意識向上も必須です。一部の商工会議所では、弊社を含め大手企業から専門家を呼び、中小企業の経営層たちがざっくばらんに相談できるワークショップを開いています。
─ 一昨年、徳島県の病院がランサムウェア攻撃被害に遭ったケースもありましたね。
松原 実はコロナ禍において、病院へのランサムウェア攻撃は世界的に増えました。電子カルテの暗号化は治療の遅れにつながり、人命に関わるため、身代金を取りやすいと思われたのでしょう。
─ 7月上旬、名古屋港がランサムウェア攻撃を受けました。この事案の対応を見て、どう感じましたか。
松原 ランサムウェア感染すると、業務の復旧までに平均で25日間かかります。ところが、今回の名古屋港の事案では、システムもコンテナの搬出入作業も、2日強という驚異的スピードで復旧しました。
バックアップデータを使って復旧したようです。
─ 情報発信、情報共有という観点からは、どう評価しますか。
松原 プレスリリースやメディア取材を通じ、真摯に説明されていたと思います。
今回は幸い早期復旧できましたが、サイバー攻撃を百%防ぐことはできません。被害が発生した時に、いかに早く検知して復旧させるのか、そして情報を共有し被害を最小化していくのかが大切です。
2021年、米大手エネルギー企業「コロニアル・パイプライン」は、ランサムウェア攻撃後、稼働を6日間停止しました。結果、アメリカン航空が航路変更を余儀なくされました。数千カ所のガソリンスタンドが燃料切れになり、一部で暴力沙汰が発生しています。サプライチェーンへのサイバー攻撃で、多大な影響が発生し得ると証明されました。
サプライチェーンは、経済安全保障と国家安全保障に直結しています。日本でも、サイバーセキュリティの一層の強化が急務です。
日本政府もサイバー攻撃の備えに本腰
─ 日本政府の意識や対策についてはどのように感じていますか。
松原 本腰を入れ始めたことを示す好例が、昨年12月に出た防衛三文書です。
その中で注目された言葉の一つが、「能動的サイバー防御」です。武力攻撃相当でなくても、日本の安全保障に重大なリスクをもたらしかねないサイバー攻撃については、防衛省・自衛隊を含め政府が一丸となって、日本の重要インフラを守る決意を示したのだと思います。
なぜ「武力攻撃に至らないものの」と但し書きが入ったのか。サイバー攻撃によって、人の殺傷や建物を含めた財産の破壊など、武力攻撃相当の被害がもたらされるとは限らないからです。
ただ、コロニアル・パイプラインや名古屋港の事件で示されたように、犯罪者集団によるたった1社を狙ったサイバー攻撃であっても、サプライチェーンを通じて他業種へドミノ式に被害を拡大していけます。最終的に経済安全保障や国家安全保障上の危機に発展するリスクがあるのです。
しかし、武力攻撃相当に発展するサイバー攻撃かどうか、事前の予測は非常に難しい。
だからこそ、新たなサイバー脅威を踏まえ、日本政府が重要インフラをサイバー攻撃から守ると宣言したのは、国民として非常に心強いと思っています。
一方、国家安全保障戦略には、能動的サイバー防御の発動の仕方や官民間の役割分担などの詳細は含まれていません。今後どのように行動に移していくのかが鍵を握ります。
また、重要インフラを運用しているのは企業です。企業も、サイバー防御能力を強化し、万が一被害に遭っても迅速に対処し、被害を最小化できるようにしていかなくてはなりません。
─ 変化する状況に対応して法整備や防御態勢、情報連携を強化していかなくはなりません。
松原 はい。ウクライナで示されたように、有事になれば、重要インフラはサイバーと火力の両方の攻撃に晒されます。
例えば台湾では、1984年から有事に備えた軍事演習「漢光演習」を行っています。台湾軍は、少なくとも2021年から重要インフラ企業も一部のシナリオに招いています。軍事侵攻で重要インフラ施設が占領され、機能が停止させられても、台湾軍は施設の奪還と機能の復旧ができるかというシナリオを試しているのです。
重要インフラを守る上でも、有事に備える上でも、ウクライナと台湾から日本が学ぶべきことは非常に多いと思います。
─ 平時から国民の意識を高めておくことが大事ですね。
松原 重要インフラを含めて企業が機能しなければ、平時も有事も経済が回らず、国家も機能しません。
有事になってから慌てても遅いのです。だからこそ、平時から企業経営者が意識を高め、態勢を整え、有事に備えなければなりません。
外部リンク
この記事に関連するニュース
-
SecurityScorecard、日本におけるサードパーティ由来のサイバーセキュリティ侵害に関するレポートを発表:他国と比べ、サードパーティ由来のデータ侵害が高い背景、リスク要因が明らかに
Digital PR Platform / 2024年11月21日 13時0分
-
チェック・ポイント・リサーチ、政府を狙ったサイバー攻撃が激化する中、スマートシティの今後に向けたリスク対策について警鐘
PR TIMES / 2024年11月13日 16時15分
-
韓国で高まるサイバーセキュリティーへの脅威…頻発する北朝鮮・ロシアの攻撃
KOREA WAVE / 2024年11月12日 8時0分
-
SecurityScorecard、米国エネルギー業界のサイバーセキュリティリスク調査レポートを発表
Digital PR Platform / 2024年11月5日 15時0分
-
「金融分野におけるサイバーセキュリティに関するガイドライン」準拠支援サービスの提供を開始
PR TIMES / 2024年11月5日 10時45分
ランキング
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください