日本企業はなぜ能動的に状況を把握しようとしないのか(写真:pasta / PIXTA)

以前は、アメリカやヨーロッパなどの主要国で発生しているサイバー攻撃の動向は、やや遅れて日本に到来する傾向があった。そのため日本は、他国の被害事例を報道ベースで把握でき、防止策となるソリューションを検討する時間的余裕を得ることができていた。

ところがコロナ禍に、日本の社会全体で急速なデジタル化が進められたことで、遅れて到来するはずの「新たなサイバー攻撃」の発生を許してしまう領域が拡大している。

他国と日本の間で、発生時期のタイムラグが縮まり、組織的認知と事前対策(適切な予防策)が取られないまま、深刻な被害を発生させる日本企業が増え始めているのだ。

リスクに対する日本企業特有の慣行とは

こうして状況が大きく変化したにもかかわらず、多くの日本企業は、いまだに「報道などで伝えられる他社の被害事例を把握した後、組織的認知に基づいて追加的対策が行われる慣習と仕組み」を維持している。

一部の「役員ではないCISO(Chief Information Security Officer)」や「CSIRT(Computer Security Incident Response Team)」は十分に理解し、組織全体として改善の必要性を感じている。

だが、それを実現するのに必要な権限や社内政治力を有していないため、フラストレーションや疲弊感を募らせている。この背景には、日本企業特有の慣行があると考える。

日本では自然災害発生時に、政府や報道機関が「国民全体に対して被害状況を積極的に伝えることで、深刻な被害を回避するための自助、共助、公助につながる行動変容を促せる」という取り組みが十分に成熟している。

観点を変えると、日本の国民や企業は、自ら能動的に状況を把握する努力をせずとも、政府や報道機関により周知される情報を受動的に得ることで、被害状況を把握することができる。

そのような仕組みに慣れてしまった日本企業は、サイバー攻撃のリスク対策も、この仕組みの中にあると漠然と捉えている可能性がある。


東洋経済Tech×サイバーセキュリティのトップページはこちら

組織内の意思決定を行う経営層が、セキュリティ対策の追加的措置にかかる予算や人材の割り当てを検討する際は、その判断基準となる「新たなサイバー攻撃に関する理解(知識と洞察)」と「その攻撃によるビジネスリスク(影響見積もり)」を適切に持つ必要がある。

これには複雑かつ多様化するデジタル利用の状況を理解する以上の多大な学習コストがかかるが、筆者がインシデント対処支援で垣間見る現状の限りでは、経営層はその努力をほとんどしていない。報道などで伝えられる他社の被害ストーリーにより得られた想像力の範囲で判断する傾向が強くなっている。

そのため「役員ではないCISO」や「CSIRT」が、経営層にどのような説明や提案を積み重ねても、直近のサイバー攻撃に適合したセキュリティ対策を実現することが困難な状況に陥っている企業が思いのほか多い。

サイバーセキュリティの予算の割り当てにも課題

わが国のサイバーセキュリティに関する重要施策の中で、多くの予算が割り当てられているのは、「人材育成」「技術開発」「設備投資」という、何かしらのビジネスに直結したものだ。

一方、経営層の意識改革に関する施策については、その重要性と切迫性が高いにもかかわらず、その努力はわずかしか行われていない。

おそらく、その理由はビジネスエコシステム(多数の企業や顧客が集結し、分業と協業による共存共栄の関係)に移行することが期待できない施策は、政府機関による持続的な努力を要することに加え、出口戦略を作りにくく、担当する部門のインセンティブも低くなるためだろう。

また、日本の政府機関において、企業に対してサイバー攻撃に関する情報を適切かつ迅速に伝える仕組みが整備されておらず、その成熟度を高めるための基盤も希薄である。

2023年3月、警察庁、総務省、経済産業省、NISC(内閣サイバーセキュリティセンター)、JPCERT/CC(JPCERTコーディネーションセンター)などが事務局を担うサイバーセキュリティ協議会における検討会から「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が策定された。

サイバー攻撃を受けた際に情報を共有する意義や、公表のタイミング、内容についてまとめたものだ。しかし、これを策定したNISC自らが、ガイダンスを軽視した行動をとるという皮肉な事態が起こる。


NISCは2023年8月、電子メール関連システムからメールデータが漏えいした可能性について公表した(写真:編集部撮影)

同年8月、NISCは電子メール関連システムからメールデータが漏えいした可能性について公表したが、そのタイミング、内容ともにガイダンスにのっとっているとは言い難いものだった。ガイダンスは、他社が利用可能な情報として不十分なものであったといわざるを得ない。

現在、日本は、2021年に設立されたデジタル庁のリーダーシップにより、関係する政府機関やその他の公的機関が社会全体のデジタル化を推進している。

一方、デジタル化の進展によりサイバー攻撃の発生を許す領域が拡大しているにもかかわらず、広範なデジタル環境を網羅的に観察し、リスク発生の予測やアラートなどを提供する国家機関が存在しない。

自然災害対策では、気象庁や消防庁がその役割を果たしているが、サイバー攻撃対策は、複数の省庁における特定部門に分散しており、組織全体としての総力をあげて対処する仕組みにはなっていない。

公助なく「自助と共助」で乗り切るしかない日本企業

つまり、大規模なサイバー攻撃が発生した場合、政府機関による「公助」は期待できず、日本企業は「自助」と「共助」で乗り切るしかない。

万が一、日本の企業が、サイバー攻撃により一定数の個人情報を流出させたり、重要インフラサービスに障害を発生させたりした場合、所管する政府機関から法に基づく要請等を求められることになり、さらに厳しい状況に陥ることになる。

日本の企業には、旧来の慣習や仕組みが堅牢に残り続けており、それらに影響を受けていると思われる経営層の意識は、ちょっとやそっとでは動じないものなっている。

それは、日本の行政機関も同様であり、最近のサイバー攻撃に対抗できる仕組みにはなっていない。さらに、官民連携も本質から外れた目的設定で形(ハコモノ)を作ることを優先している姿勢が各所でみられる。

ここ数年のサイバー攻撃の変化は、従来の「高度化・巧妙化」という言葉では適切に言い表せないほどの速度と規模で進展している。これをいかに詳しく伝えたとしても、それを通読することに関心を持つのは「現場で対応を任されているセキュリティ部門」くらいである。

こうした日本の企業や行政機関の実情を眺める限り、セキュリティ部門は今後いよいよ困ることになると考える。そこで、ここでは、セキュリティ部門の真摯な努力に無自覚にブレーキをかけてしまっている企業の経営層や行政機関の中枢を念頭に、筆者が強く感じている状況をお伝えした次第である。

(名和 利男 : サイバーディフェンス研究所)