山岡:JRLは世界的な自動車メーカーであるため、当然高度なサイバーセキュリティ対策を実施していると推測されるにもかかわらず、サイバー被害が発生して事業中断が長期化した。被害長期化の観点でみると、企業のシステムの中でも物流や受注、会計、決算、あらゆるシステムを統合するERP(統合基幹業務システム)、まさにDXの中枢が狙われると、企業全体に被害が波及して長期化しやすいと見受けているところ、JRLについてもERPが被害を受けたと報じられている。
鈴木:伝統的な陸・海・空の空間に比べて、サイバーは宇宙とともに新しい空間。伝統的な空間では長い年月をかけて一定の国際ルールが確立している。それにもかかわらず、様々な問題が今日においても生じてはいる。サイバーはまだ何十年という単位でしか存在していない新しい空間。努力はなされているものの、十分な国際ルールはまだまだ出来ていない状態。こうした問題への取組も重要だ。
山岡:EUでは、サイバー空間における武器のマーケットが問題になっている。国が作るのか、民間事業者が作るのか、犯罪者アクターが作るのか、背景はわからないが、商業用にサイバー攻撃用ツールを作る、サイバー攻撃の仕組みやインフラを作る、そういったマーケットができている。いわばサイバー版の武器マーケットができている。昨年、イギリスとフランス主導で「ポール・モール・プロセス」(Pall Mall Process。商業的なサイバー侵入能力の責任ある利用に関する宣言)が出された。
サイバー攻撃は、ハッカーが1人で攻撃するのではなく、こうした商品、武器が売られるマーケットが世界中のサイバー空間で形成されている。このようなマーケットやエコシステムも認識する必要があり、まさにこれもサイバー空間における脅威の可視化の対象になっていくだろう。
━━日本の能動的サイバー防御(ACD)はうまく機能するか。
山岡:事業継続を脅かす大きなインシデントが相次いで起きているため、企業としてもサイバーセキュリティの重要性を強く認識しているはずである。個人的にサイバー被害の深刻度は自然災害のそれに近いものだと思っており、だからこそ、自助、共助、公助の枠組みで対策をすべきだと考えている。公助、つまり国からの支援だけでも成り立たない。企業自身が自助をし、同業の中で共助をする。それに加えて国の公助という、3つが組み合わさって効果が出ると思われる。
能動的サイバー防御という法律の形になって社会の注目が集まり、サイバー空間における脅威の可視化が進み、サイバーセキュリティの重要性が経営層に対しても浸透していく。次のフェーズとして、国民1人1人にこの意識が浸透してくことで全体としての底上げになる。サイバーセキュリティは政府や企業が一方的に対策を進めてくれるものだから個々人は何もしなくて良いと思うのではなく、フィッシングメールに注意をしたり、多少不便になっても二段階認証を設定したりすることも重要である。
