鈴木:これまでもNISCや各省庁の関係者と、民間のカウンターパートであるサイバーセキュリティ実務者との意見交換は、かなり行われてきた。今後は、今回の法整備等を契機に、民間の経営層が単なるシステム管理の問題ではなく、経営全体に係わる包括的なリスク管理の問題としてサイバーセキュリティを捉えていく必要がある。その意味で、可視化は重要なポイント。社会全体のサイバーセキュリティ・レジリエンスの向上にも資すると思う。
山岡:2022年に政府文章の中で、重要インフラ事業者に限ってだが、サイバーセキュリティが経営層の『善管注意義務』(経営における注意事項)の一部に含まれ得ると記された。サイバーセキュリティが善管注意義務の一部という位置付けについて、当時は、あまり実感を持って受け止められていなかったと思われる。ところが、今回の能動的サイバー防御法の議論、そして国内で相次ぐ深刻なサイバー被害の中で、サイバーリスクは事業継続に直結するリスクであり、だからこそサイバーセキュリティは善管注意義務の一部なのだという理解が急速に浸透しつつあると実感している。経営層の中では、今後、自分たちの善管注意義務を果たす上で、サイバーセキュリティに対して一層プロアクティブに取り組む必要があるという意識が高まっている。
━━海外に目を転じると、イギリスでは自動車大手のジャガー・ランドローバー(以下「JRL」)が大きなサイバー被害を受けた。
山岡:JRLは、2025年8月31日にサイバー攻撃を受け、国内の生産を停止したことが9月2日に公表された。公表文にはランサムウェア攻撃と明記されていないが事業が長期間停止しているという被害の特徴からランサムウェア事案と見受けている。JRLは、自動車メーカーとして多くの部品サプライヤーが関わっているため、英国内のサプライヤーにも雇用不安、事業不安が広がっている。
そうした不安を受けて、9月28日に英国政府がJRLとそのサプライチェーンを支えるために、最大15億ポンド、日本円で3000億〜4000億円の政府保証をするということを決定した。地震などの自然災害について政府が支援することはあり得たと思うが、サイバー被害についても自然災害と同程度の深刻さになったといえる
鈴木:非常に大きな影響をもたらした攻撃だ。イギリスと言えば、国家安全保障戦略の中で目標に掲げた「欧米主要国」のいわば代表格。しっかりとした体制ができていると考えられる国ですら、こうした事案が起きるという教訓と言える。こうした事例を徹底的に調べ、問題点を抽出して、我が国の対策を考える。日本では、社会全体のDX(デジタル・トランスフォーメーション)化を推進しているが、効率性・利便性が大きく向上する一方、逆に、あらゆる主体がサイバー攻撃の標的となるリスクがある。DX化推進は不可欠であり、それにあたっては国内海外での攻撃事例の究明により、同じ轍を踏まないことが重要だ。
