2020年2月6日現在、深刻化するサイバー攻撃の波が日本企業を飲み込もうとしています。三菱電機やNECなど、防衛省と取引を持つ重要企業で相次いで発覚した情報流出問題は、社会の安全保障を揺るがす喫緊の課題となりました。被害の多くは、標的の組織から盗んだ情報を悪用し、その取引先を次々と攻撃する「サプライチェーン攻撃」によるものです。この攻撃手法は、防衛の脆弱な箇所を狙い撃ちにする極めて狡猾なもので、放置すれば被害は連鎖的に拡大するでしょう。
こうした事態を受け、政府はサイバーセキュリティ体制の抜本的な見直しに乗り出しました。2020年1月30日に開催されたサイバーセキュリティ戦略本部において、菅義偉官房長官は官民一体となった防衛体制の強化を強く指示しています。これに基づき、内閣サイバーセキュリティセンター(NISC)などを中心に、民間企業との情報共有をいかに効率化・義務化していくかが議論のテーブルに載せられました。政府は2020年3月末まで調査チームを海外へ派遣し、諸外国の事例を参考にしながら2021年の新戦略策定を目指します。
世界基準の「72時間ルール」が日本に問うもの
注目されているのは、米欧諸国で既に導入されている厳しい情報提供義務です。米国や欧州連合(EU)では、サイバー攻撃や情報漏洩が発生した場合、企業は原則として72時間以内に当局へ通知する義務を負います。特にEUでは、これに違反した企業へ巨額の制裁金を科す仕組みが存在します。翻って日本国内では、重要インフラ事業者の一部に限定された義務付けがあるのみで、統一的な罰則規定も未整備なのが現状です。
SNS上でも、「一度漏れた情報は取り返しがつかないため、迅速な公表と初動対応こそが企業の誠実さである」「罰則がないと、企業は評判低下を恐れて隠蔽に走ってしまうのではないか」といった危機感を露わにする声が上がっています。また、現在の報告体制が複雑すぎるという現場の悲鳴も無視できません。企業は警察や個人情報保護委員会など、複数の機関へバラバラの書式で報告を求められ、膨大な手間と時間が奪われています。
一元管理された防衛拠点を目指して
私自身、今後のサイバー防衛において最も重要なのは、ただの「報告義務化」ではなく、「報告の効率化と一元化」だと強く感じています。米国では、業界ごとの情報共有が自動化され、国家サイバーセキュリティ通信統合センターが情報を一括して吸い上げる体制が整っています。日本も単に企業を追い詰めるのではなく、報告の手間を減らし、集まった情報を迅速に分析して被害を防ぐための共通プラットフォームを構築すべきではないでしょうか。
2019年に官民での情報共有を目的とした「サイバーセキュリティ協議会」が発足しましたが、今後その機能をいかに強化できるかが鍵となるでしょう。東京オリンピック・パラリンピックを控え、政府機関への攻撃は1日1億件を超えることもあります。中国や北朝鮮などによる国家レベルのハッカー集団に対抗するには、民間企業が抱える知見を隠すのではなく、公的な信頼の下で共有できる法的な枠組みの整備が急務です。今こそ、官民の壁を越えた強固な防衛網を築く時です。
コメント