サイバーセキュリティ

　IoT時代を迎え、サイバーセキュリティは急速に安全保障上、経済政策上の重要性を増してきている。4月に、私が所長を務めている機械振興協会経済研究所とNATOサイバーディフェンスセンターが共催する形でワークショップが行われ、参加者も内容的にも大変充実したものとなった。その中で浮かび上がったのが、軍・Intelligenceが主体となる欧米と、企業の情報システムの防御に力を注いでいる日本との対照であった。

　この分野の歴史は古く、コンピュータ時代の到来以来「情報セキュリティ」対策、ウィルス対策、さらに侵入に対応する専門家集団（Cert）の構築や企業システムの防御体制の整備が進められていた。状況は、2007年のエストニア以降一変する。この後、韓国攻撃等国家機関の関与を疑わせるケースが一挙に拡大し、犯罪者集団とあわせ、金融・エネルギー供給など社会の重要なサービスを提供するインフラに対する大規模な攻撃や、重要情報を狙う攻撃が広がった。その結果、2013年ごろから米欧主要国で国家レベルでのサイバーセキュリティ戦略が策定されるようになり、日本を含む各国で整備が進んだ。

　サイバーセキュリティに関しては、いくつかの大きな特徴がある。技術進歩により端末の種類も拡大し、切れ目なく投入されるソフトウェアの脆弱性も絶えることなく、またウィルスに感染させ自在に攻撃用端末として操る「ボット」や標的型攻撃など、攻撃手法も進化し続けている。その様な状況下では攻撃者の有利性が極めて大きい。完全に守るのは大変なコストがかかるのに対し、攻撃側は1回でも成功すればよい。また、いくつもの中継端末を通じて行われる攻撃の犯人の特定は難しい。さらに、それが国境を越えてなされる場合には大きな困難を伴う。その上、自由な情報流通を最重要とし、民間主導で発達してきたマルチ・ステークホールダー型ガバナンスは緩やかな多重的連携となっており、国際協力関係の構築も容易ではない。

　一方、軍事・外交戦略という側面では、実効的抑止的取り決めはない。欧米のように、軍とインテリジェンスが前面にでて、Hack-backを行う能力を持つことで防御のみならず「報復による抑止」を追求することは可能である。そのために、端末の特定技術とintelligence情報を組み合わせて相手を特定する技術も大きく進み、犯罪捜査能力の向上や人材供給にも貢献している。しかし日本の場合には、「専守防衛」の下で海外に防衛・防諜活動を展開することに大きな制約がある。その他の多くの国では、それを試みるだけの基盤が整っていない。したがって日本を含む多くの国では、「防御」「ネットワーク監視」などの守備側の多重的対策を中心とする、「拒否による抑止」が中心となる。

　両者にとって共通の関心事が攻撃情報の共有である。しかし情報漏洩の被害者は、市場の反応や監督当局からの追及を恐れ、また情報の中に多くの守秘義務のある情報を含むことから、どの段階で誰にどのような形で情報共有するかのルールを設定し実行するかが、焦点となっている。

　今回のワークショップは、欧米と日本のこのような実情を明らかにする意義のあるものとなった。