2019.09.09
NewsPicks Brand Design
インターネットによって世界はつながった。だが、いまその世界が米・中・欧の経済圏で分断され、サイバー攻撃の応酬によって無法地帯と化そうとしている。
第三次世界大戦が起こるとすれば、それはサイバー攻撃と物理攻撃が入り混じったハイブリッド戦争になる──そう語るのは、多摩大学ルール形成戦略研究所の西尾素己氏だ。
企業や一般人にとっても無視できない「サイバークライシス」の現状について、西尾氏に聞く。
── 2018年に西尾さんにインタビューさせていただいた際、サイバーセキュリティに絡んだ米中の対立についてお聞かせいただきました。その後、トランプ政権によるHUAWEI製品排除の姿勢が表面化し、関連するニュースを目にする機会が増えた気がします。
西尾 そうですね。一連の動きの根底には、今後20年間続くと言われている「米中の経済戦争」があります。そのトリガーとなったのは5Gです。
5G通信を行うアンテナの技術は、HUAWEIに大きな優位性がありました。現在はアメリカの大手ベンダーが世界のネットワーク機器を制していますが、通信が5Gにシフトするなかでその覇権が中国へ移り、米国の優位性が失われてしまう可能性があります。
この問題は、国家の安全保障にも直結しています。5Gの普及によって、通信基地局の内部に必ずHUAWEIが設計した技術が入ることになるからです。
── だからアメリカは、中国製品の排除に躍起になっている。ここまでは以前お話しいただいたとおりの展開ですが、これからの流れを西尾さんはどう読んでいますか。
まず確実に起こる……というより、もうすでに起こり始めているのは、情報機器やITインフラの構成や規制によって、世界が2つか3つに分断されることです。
米国と中国がこれだけ対立してお互いが相手の製品を禁止、もしくは強く非推奨とするようになってしまうと、北米市場に対してビジネスをする場合にはアメリカ製品を、中国向けのビジネスでは中国製品を使うというように、インフラが分かれていく。ここから、さらに欧州が分かれると考える人もいます。
すると、サイバー空間における第三次世界大戦が起きてもおかしくない。
── ITインフラの分断で戦争が起こる? なぜですか。
サイバー空間での攻撃が、物理攻撃以上のダメージを及ぼすようになっているからです。これまでのように世界中でアメリカのインフラが使われているのであれば、仮にWindowsの脆弱性を突くマルウェアを全世界にばら撒くと、自国のインフラも被害を受けますよね。
しかし、国や経済圏によってOSや通信インフラが異なるなら、米国圏だけ、中国圏だけを標的にしたサイバー攻撃が可能になります。
生物兵器を考えてみてください。もしも「血液型がA型の人にしか感染しないウイルス」があれば、他の血液型の人には影響を与えず、A型の人だけをピンポイントで攻撃することができます。それと同じことが、サイバー攻撃では容易に行えるのです。
── ミサイルを落とすようなダメージを、サイバー攻撃で与えられるようになるんでしょうか。
いま世界で起こっている戦争は、物理攻撃とサイバー攻撃が混在するハイブリッドな戦争です。すでにサイバー攻撃は、低コストな軍事攻撃として使われているのです。
たとえば今年6月、アメリカの無人偵察機をイランが撃墜した事件がありました。トランプ大統領は物理攻撃こそ踏みとどまったものの、報復としてサイバー攻撃を講じたといわれています。また、今年の春にはイスラエルでハマスが有するサイバー部隊が政権側のITインフラを攻撃したところ、数分後には政権側がサイバー部隊のいるビルを空爆しています。
イスラエル軍は、ハマスによるサイバー攻撃に対して物理攻撃を行使したわけです。かかるコストと相手に与えるダメージを考えると、今後はサイバー攻撃の割合がどんどん増えていくでしょう。
それに、サイバー攻撃の攻撃元を特定するのは非常に難しいんです。ハマスの例はあくまで国の内部の話なので国内法で対処できますが、これが他国からのサイバー攻撃であれば、物理攻撃で報復していいかどうかは非常に判断が難しい。だから、サイバー攻撃に対しては、サイバー攻撃でやり返すということになるはず。
それがどこまでエスカレートしていくかは、考えると怖いですよね。公共インフラを狙ったり、飛行機を止めたり。その被害に遭うのは、国の機関だけではなく、一般人や企業ですから。
── 一体いつから、サイバー攻撃がそれほど深刻になったんですか。
2000年代初め頃のサイバー攻撃は、いまほど巧妙である必要がなかったんです。マシンスペックも相まって、ウイルス対策ソフトの性能も低かった。わざわざバックドアを仕込まなくても、脆弱性を突くだけで攻撃が成立しました。実際、私が所属していたチームでは年間200件以上の脆弱性をメーカーに報告していました。
ところが2010年代に入って特定の対象を狙った標的型攻撃が盛んになると、セキュリティの専門家が増えて防御技術も発達し、対する攻撃技術もいたちごっこのように高度になってきました。この時期が、セキュリティ対策における大きな分岐点だったと思います。
もう少し細かくお話しすると、攻撃の動機も自己顕示欲から、マネタイズや政治的な意図へとシフトしています。2010年には、サイバー攻撃によってイランのウラン濃縮用遠心分離機が破壊されました。2015年にはウクライナの発電所が攻撃され、大規模な停電が起こっています。これらは、ネーションバックと呼ばれる、国家による攻撃だったと見られています。
── 一般企業への攻撃事例は?
マルウェアによって企業のシステムを停止させ、身代金を要求する手口はよく知られていますよね。もう少し狡猾な方法としては、サイバー攻撃を使って株価を操作するケースがあります。
企業にとって、情報流出は信用にかかわる一大事です。そこに目をつけてハッカーを雇い、どんな情報でもいいから流出させて、それをマスコミにリークする。米国のESG投資銘柄は情報セキュリティ関連のニュースに敏感なので、関連銘柄が大きなあおりを受ける。こうしたやり方で利益を得る、グレーな空売りファンドもあります。
このようなケースは表沙汰になっていないだけで、気づかないうちに被害者になっていることも多いですね。
── 攻撃されていることを認識していない可能性もある?
むしろ、一般の方には認識されていないケースの方が多いでしょう。サイバーセキュリティは、一部の専門家の間だけで研究が進み、議論が過熱しています。
研究者が新しい攻撃・防衛についての情報を交換するセキュリティカンファレンスでは、日進月歩で知見が更新されている一方、一般ではいまだにハッキングが「映画に出てくる特殊能力」のように扱われている。でも、もちろんそれは間違いです。ハッキングにはちゃんと発生原理があるし、誰が何回やっても再現性があるのがサイバー攻撃です。
私は、その原理を一般の方が理解しなければならないとは思いません。その理解のためにはコンピュータサイエンスの基礎知識が必要ですし、専門家でない方が日々情報を更新し続けるのはハードルが高すぎる。ただ、経営者や一企業人として考えたときに、そういったリスクがあり、自身や自社が被害に遭う可能性があることは、最低限認識しておくべきです。
── 企業の情報システム部門などで取りうる対策については、どんなトレンドがありますか。
大きなトレンドとしては、「セキュリティ=情シス」という考え方自体が、すでに古くなってきています。サイバーセキュリティの領域は、企業の経営企画や法務部門へと拡大しているのです。
── なぜ法務に?
セキュリティが、ビジネスを行ううえでのレギュレーション、つまり、法律や規則の問題になっているからです。
現在、アメリカを中心としてセキュリティの国際標準が刷新されようとしています。NIST SP800-171に準拠していなければ、アメリカの政府調達にかかわるサプライチェーンに加わることはできません。
また、アメリカでは2018年末に、米国国防権限法2019(NDAA2019)が超党派で成立しました。このなかには米国輸出管理規則(EAR:Export Administration Regulations)を改定する動きが盛り込まれています。
これらは基本的には軍事技術に応用される可能性のある品目を指定し、輸出や再輸出を規制するものです。しかし、対象品目は解釈次第で拡大できる表現になっていて、直接国防に結びつかないモノや情報も含まれます。
AIなどの先端技術はもちろん、ソースコードの二次利用や、それらを開発する従業員の転職までもが規制対象になりうるんです。これらEARの対象となる物品の関連情報はすべてNISTのSP800-171で保護しなければなりません。
こうなると、サイバーセキュリティ対策は、ITの知識だけでは講じられません。技術の専門家とは別に、国際的なレギュレーションを理解している法務担当者がいなければ、グローバルカンパニーとしてビジネスを行えなくなっているのです。
── ITと法務、それぞれの役割があるということですね。
そうです。自社のシステムに脆弱性がないか、悪意のある攻撃を受けたときにちゃんと防御できるかどうかを技術的に検証するのが情報システム部門やエンジニアの役割とするなら、国際的なセキュリティ基準を満たしているかどうかをチェックするのが法務や経営、内部監査の役割です。
日本国内でも防衛装備庁が調達基準をSP800-171と同程度のルールに改定し、2020年4月から運用を開始する予定です。経済産業省と総務省で進めている政府統一クラウドの基準にも、SP800シリーズが織り込まれるでしょう。
この1年の間にも現場レベルでの問題意識は確実に高まっていますが、経営層が追いついていないと感じます。というのも、レギュレーションに違反した場合にどのような影響が出るかは、まだ前例のない未来の話です。具体的な事例がない状況で、どうすればもっと当事者意識を持って取り組めるのかを考えていかなければなりません。
── 企業の危機感が足りない、ということですか。
ええ。もし足りているのであれば、「NIST対応」がもっとホットな話題として盛り上がっているはずです。NIST SP800-171などのレギュレーションが従来と大きく違う点は、明確に過失責任を問えるようになったこと。準拠していなければ善管注意義務(善良な管理者の注意義務)を怠っていると見なされ、訴訟を起こされた場合に過失責任を問われるようになります。
新しいレギュレーションができるということは、対処を迫られる脅威があるということです。NISTをはじめとする一連の動きは、いまだに米国のレギュレーションだと思われている節がありますが、これはアメリカの経済圏でビジネスを行ううえで必須の取り決めなのです。
少なくともグローバルカンパニーにとって、対応しないという選択肢はない。そのことを認識しなければ始まりません。
── 現状認識が足りていないのが、企業の一番の課題でしょうか。
問題なのは、全貌を理解できていないこと。それなのに、ことセキュリティ問題では社内ですべてを解決しようとする傾向が見られます。
たとえば、訴訟問題になれば、専門家の知見が必要だということで弁護士を雇うじゃないですか。でも、セキュリティのレギュレーションに対応しようとするときには、社内で勉強会を開いたりする。あえてストレートに言うと、そんなに短期間で理解できるものではないんです。
レギュレーションというのは、他の法律と同じように歴史の積み重ねがあり、ルールをメイクした人、もしくはルールができていく様を近くで見てきた専門家に知見が集まっています。そういった専門家をうまく雇って取り入れてもらいたいと思いますね。
── しかし、特に中小企業では、セキュリティの専門部署を設置するのが困難ですし、かけられるコストも限られています。
そうですね。ビジネスの内容によるところもあって、たとえばメーカーやベンダー側の企業にとっては、セキュリティのレギュレーションをクリアしているということがプロダクトの価値を上げることに直結するので、意識は変わってきていると思います。昔から、ISO認証などがアピールポイントになっていた領域ですから。
問題は、それ以外の業態の企業です。この場合は、セキュリティ=コストというふうに考えられがちなんですね。私はセキュリティの専門家ですが、確かにそうだと思うところもあります。
たとえば住宅を考えてみると、わかりやすいでしょう。警備会社と提携してあらゆるところに監視カメラがついている住宅というのは、ハウスメーカーからすると付加価値が高い。でも、家を買う我々からすると、監視カメラ一つにつき10万円かかるとなると、なるべく少なくしたい。これは市場原理でバランスが取られていくと思います。
── 需要と供給のバランスで、適正価格に落ち着いていくということですね。
そうですね。ただし、同じパソコンでも薄利多売モデルで作っている製品と、きちんとコストをかけてセキュリティ対策を講じている製品では、価格に差が出るのが当然です。少なくとも、その差が何なのかということを理解したうえで、自社のシステムを選ばないといけない。
いまでこそセキュリティはコストだから嫌だという人もいますが、10年前には多くの企業が「多層防御」だといって、営業されるがままにセキュリティ製品を入れていた時代もあったんです。個人的には、その頃に投資した金額が、どう利益に結びついたのかを実感できなかったというトラウマが、セキュリティに対する不信感の一因になっているように思います。
10年前と現在では、前提がまったく変わっています。セキュリティ基準を満たしていないことで企業が致命的なダメージや、法的な罰を受けたりもする。一方で、きちんと対策を講じてより高度な基準を満たすことで、グローバルカンパニーとして収益を伸ばすこともできます。
この世界的な変化を認識し、企業としてのガバナンスをアップデートすることが、いま起こっているサイバークライシスへの防衛であり、長い目で見たビジネスへの投資なのだと思います。
(制作:NewsPicks Brand Design 取材・編集:宇野浩志 構成:加藤学宏 撮影:後藤 渉 デザイン:黒田早希)