デジタルデータが大量に行き交うサイバー空間。このバーチャルワールドは多くのことを利用者に委ねており、安全に利用するかどうかも利用者次第だ。東京オリンピックや大阪万博などイベントが続く日本には、世界から熱い視線が向けられており、そのなかにはサイバーテロリストの眼光も入り交じる。日本のセキュリティレベルは、サイバー攻撃に耐えうるのだろうか。

「世界のセキュリティ対策先進国と比べると、日本は大きく劣っている」

そう話すのは、電子政府先進国と呼ばれるエストニア共和国が築いたセキュアなシステムを熟知する、Planetway Corporation創業者の平尾憲映。エストニアに学んだセキュリティ担保の仕組み、日本が抱える「サイバークライシス」を聞いた。

── 平尾さんは、エストニア政府が構築した情報連携基盤を、企業でも利用できるプロダクトとして提供するためにPlanetwayを創業しました。電子政府先進国と呼ばれるエストニアの仕組みを応用して、何を実現しようとしているのでしょうか。

平尾　インターネットは誰もが自由に利用できるため、ユーザーのアイデアによって、さまざまな価値が創造されてきました。

その一方で、犯罪に利用されることや、ユーザーが意図しないのに趣味嗜好や属性を知られる場合があるなど、リスクも潜んでいます。

GoogleやFacebookが個人データを勝手に使ってビジネスにするのも、望ましい利用だとは思いません。しかし、現状のインターネットの場合は、問題を防止するための技術的な仕組みやルールまでは備わっていないのです。

1983年生まれ。14歳の時にカナダの大学に留学し、日本と世界の教育現場の圧倒的な違いを体感し海外での勉学に関心を持つ。その後、米国で宇宙工学、有機化学、マーケティングを学んだ。エンタメ、半導体、IoT分野で3度の起業と1度の会社清算を経験。会社員時代にはソフトバンク、サーコム、ワイヤレゲートなどにて在籍。150万以上のユーザーのデータ分析業務責任者などを務める。2015年7月にPlanetway Corporationを創業。2017年、東京海上日動と飯塚病院の情報基盤を連携させるインフラを構築。2018年より日本国内で本格展開している。

だから、今のインターネットを一度“リセット”し、利用者個人の意思が尊重される次世代のネットワークを作りたいと考えるようになりました。

実現に向けて構想を練っていたところ、偶然エストニア人で元政府の重役だった人物と世界的に著名なITエンジニアと話す機会があり、私の考えを伝えたところ、「いい技術がある」と。

それが、エストニア政府が整備した国民ID「eID」と、情報連携基盤「X-Road」です。これらを使用することで、個人データには国や基盤を運営する事業者であっても本人の許諾なしにアクセスすることはできず、監視も許しません。

そのうえで、ユーザーは利用したいサービスに対してデータ提供の意思を示すことで、必要とする利便性を享受することができるのです。

私が目指していた、データの主権が個人に帰属する世界を形にするための足りないピースが、エストニアにあったのです。これこそ世界に広げるべき仕組みだと感じて、幾度となくエストニアに渡り、あらゆる要素を2年ほど学んでPlanetwayを創業しました。

──平尾さんが感銘を受けたエストニアの電子政府の仕組みは、どのような経緯で成立したのでしょうか。

バルト三国の1つエストニアは、決して大きな国ではないこともあり、周辺の大国による統治が繰り返されてきました。近代では独立を果たしましたが、第二次世界大戦でソ連の統治下に置かれることとなり、ふたたび独立することができたのはソ連が崩壊した1991年のことです。

ところが、エストニアは天然資源に恵まれているわけではなく、基幹産業と呼べるものもありませんでした。そこで、偶然にも旧ソ連の政策によって育成されていたIT人材を中心に電子政府を構築することで、限られた資源で自活できる国づくりを進めようと考えたわけです。

また、人口密度が低く、公共サービスを低コストですみずみに行き渡らせるためにも、電子政府が必須でした。

その結果、現在では行政サービスの99%をオンラインで手続きできるようになりました。結婚や離婚、不動産取引以外はインターネットで済ませることができ、選挙も世界中のどこからでもオンライン投票が可能で、今では50%弱がオンライン投票です。

また、「eID」を記録した「eIDカード」1枚だけで、身分証明書、運転免許証、健康保険証、選挙の投票券などの役割を果たします。さらにこれらの仕組みは、民間企業が提供するサービスの利用にも開放されているのです。

──エストニア流のやり方を、Planetwayを通じて整備しようとする自治体が、この6月、日本で初めて誕生しました。

千葉県市川市と包括協定を締結しました。市川市は、ITを使って市民サービスを向上させ、地域の魅力を高めようというビジョンを描いていて、そのために協力してデータ連携基盤の導入を進めていきます。

国内では先進的な取り組みですから、全国の自治体から多くの問い合わせが寄せられています。自治体は今後「2040年問題」に直面し、現在の半数にもおよぶ市町村が消滅すると予想されています。

将来に備えてエストニアの仕組みを使うことで、住民がサービスを受けやすい環境を整え、同時に限られた人数の職員でも業務にあたれるよう効率化を図ろうとしているのです。

2040年問題を解決するためのヒントも、エストニアにあります。地域を活性化するために日本政府が考えている施策の1つが、定住者でも観光者でもなく、その地域と関わりを持ちながら別地域に住む「関係人口」の増加です。

関係人口に近い発想を持つのが、現在約132万人と小規模なエストニアが成長するために作ったバーチャル住民制度「e-Residency」。

エストニア以外に居住する外国人が、オンラインでエストニアに銀行口座の開設をしたり法人を設立したりできるため、簡易にEU市場の拠点を構えることができます。エストニア政府としては世界中から投資を呼び込み、税収を得られる利点があります。

──エストニアには、とても便利な仕組みがあることは分かりましたが、個人情報を扱うため、万全のセキュリティ体制で臨む必要があったはずです。エストニアでは、どのようにして安全を担保していますか。

改ざんされたり盗み見られたりしないよう、技術的にはブロックチェーンや暗号化技術などが使われています。

また、自分のデータが使用された記録をすべて追跡できるトレーサビリティの仕組みを提供しているのも、大きな特徴といえるでしょう。行政や医療機関などがパーソナルデータにアクセスした際には本人に通知されますし、利用者も特定できるため、不正アクセスの犯人を見つけ出すこともできます。

そして、個人データ保護や電子署名など、運用に必要な法整備も同時に進められました。エストニアでは、テクノロジーや法整備、利用者の意識醸成など、多元的なレイヤーの重ね合わせによってセキュリティを担保しているのです。

──日本では、他の先進国に比べてセキュリティがぜい弱だという話を耳にします。世界と比べて、どの程度のギャップがあるのでしょうか。

体制、法整備、人材、すべてにおいて大きな開きがあると認識すべきです。私の感覚でお話ししますと、総じてまったくダメな状態です。

まず体制ですが、セキュリティが強いと言われているイギリスやアメリカは満点に近い状態です。日本は60点ぐらいでしょう。

他国で整備されているサイバー機動隊については、都道府県レベルの警察にサイバー攻撃対策の専門組織があり、内閣サイバーセキュリティセンターもありますが、いざ攻撃を受けた際に機動力を発揮して即応できるかどうかは疑問を感じる点もあります。

法整備については、日本では民間がサイバー攻撃を受けた際の連絡義務がありません。金融機関でシステム障害が発生すれば金融庁に報告する必要があるので、間接的にサイバー攻撃についても報告することになりますが、全事業者に対するルールは整備されていないのです。

また、プライバシーを侵害することなく適切に情報を取得しているかチェックするための法整備もできておらず、個人情報流出事故が発生して明るみに出るまで、個人情報の利用実態は把握できていません。

最後に人材ですが、これはもう致命的です。日本で、特に企業で大きな考え違いが起きているのは、セキュリティエンジニアを育成することが対策だと思っている経営者が多いこと。

しかし、エンジニアだけでは実行する権限を持ち合わせていないので無意味です。アメリカやイギリスでは、経営層がセキュリティに積極的に関与することが当たり前になっており、実行力をともなう迅速な対応が可能な体制を敷いています。

──なぜ、そのような差ができてしまったのでしょうか。

大きく2つの理由が考えられます。1つは、日本が安全すぎるためです。地理的には島国で国境を意識することが少なく、フィジカルな攻撃を受ける危機意識は薄い。

サイバーセキュリティに関しても、本当の恐怖を経験したり目の当たりにしたりすることがないので、セキュリティの理解に本腰が入らないのでしょう。

エストニアは隣接するロシアとの領土問題が続いており、国民はいつか侵攻されるのではないかという不安を抱いています。

サイバー空間についても、かつてロシアからの攻撃が疑われる事案があり、エストニアだけの問題ではなくNATOも懸念を示しました。その後、対ロシアの最前線としてエストニアにNATOサイバー防衛協力センターを設置し、毎年大規模な防衛演習を実施しています。

──差ができた2つめの理由とは。

ユーザー企業はソリューションが何でも揃っていて長年の付き合いがあるITベンダーを信用しており、理解が難しいセキュリティ対策に関しては余計に任せきりになってしまい、危機意識を持つ機会を逃しています。

「お客さまは神様」が行き届きすぎるのは問題で、B to Bにおいては任せきりの状態ではなく、ITベンダーとユーザー企業が一緒に考えていくべきです。アメリカでは、顧客企業のメンバーがシステムの構築に積極的に携わることで、セキュリティレベル向上につなげようとする考え方があります。

──問題が山積するなかで、どのようなセキュリティ対策を講じるべきでしょうか。

まずは、特に経営者の誤解を改めることです。サイバー攻撃による世界の年間被害額は、東日本大震災の約17兆円と比べて数倍の規模にのぼり、経営者はいつ被害に巻き込まれるか分からない重大な経営リスクだと受け止めるべきです。

よくあるのが「技術者が理解していればいい」という認識ですが、それでは問題が起きたときに対応しきれず、経営者の資質を欠いている状態だとさえいえます。経営者、管理者、技術者の3層でセキュリティの素養を身につけておく必要があります。

そこでお勧めしているのは、経営者も含めてテーブルトップエクササイズ（机上演習）を実施すること。NATO軍でも行われており、インシデント発生時を具体的にイメージすることができるようになります。

そして、すべてのセクションが常にセキュリティをセットで考えられる思考回路を作るべきです。私は、机上演習を受けていない経営者は失格と言ってもいいぐらいだと考えています。

──セキュリティ対策の重要性は分かっても、痛みを感じていない段階での投資は、どうしても積極的になれない気持ちは理解できます。

エストニアの場合、政府が便利な「X- Road」を用意して活用するようになり、それに合わせて民間もセキュリティレベルが上がっていきました。「X- Road」を利用することの価値を理解し、同じように参画してサービスを展開したい気持ちが先立っているので、セキュリティレベルを上げるために必要な投資は、あたりまえのこととして決断できるわけです。

単純に「危ない」と言うだけでは対策は広がりません。利活用とセットで考えることが大切です。

──これからの日本は、セキュリティにおいてどのような変化が考えられますか。

世界のクラッカーからすると、今の日本は情報を抜き取りやすい状況ですが、あまり被害が取りざたされていません。価値のある情報が少なく、ターゲットになっていないからです。

しかし、今後の日本は犯罪者にとって魅力的な国へと変わっていきます。なぜなら、セキュリティレベルの向上よりも早いペースで、価値ある情報が大量に集められるようになると考えられるからです。

個人情報を預けて活用してもらい見返りを得る「情報銀行」や、あらゆるモノや行動が生むデータを集める「IoT」、さらに「○○Tech」といった便利なサービスが今後は増えることによって、よりセキュリティリスクが高まることは、よく認識しておくべきでしょう。

そしてもう1つ、東京オリンピックや大阪万博の開催でも日本が標的にされる危険性が高まります。大規模イベントは特定の情報にアクセスが集中するため、改ざんして悪意のあるプログラムを大規模に拡散させることができるほか、存在や思想を誇示する絶好の舞台でもあります。

──セキュリティ対策にも影響を及ぼすでしょうか。

サイバー攻撃の常套手段は、エンドポイントを狙うものです。パソコンから重要な情報を抜き取ったり、パソコンを経由して重要システムにアクセスしたりします。

ワークスタイルの多様化を支える便利なウェブサービスも増えていますが、それはセキュリティが保たれているからこそ得られる価値だと意識して利用することが大切です。

ただ、すべてのパソコン利用者がセキュリティの知識を持っているわけではなく、知識はあるつもりでも手口の巧妙化で、知らず知らずのうちに侵入を許可する操作をしてしまうことは、十分にあり得ることです。

ネットワークやクラウド、情報連携基盤がどれだけセキュリティに配慮していたとしても、結局、エンドポイントの弱さにつけ込まれては意味がないんです。

利用者のスキルに左右されず、無意識に使っても安心できる仕組みを持つパソコンを選ぶだけでも、個人や中小規模の企業にとっては、セキュリティレベルを大きく引き上げることになるのです。

（取材・編集：木村剛士　構成：加藤学宏　撮影：北山宏一　デザイン：）