日本では2025年、世間を震撼させるようなサイバー攻撃が大手企業を襲った。9月には飲料大手アサヒグループがサイバー攻撃を受けて工場が停止する事態になった。さらに10月には通販大手アスクルもサイバー攻撃で受注・配送システムがダウンした。どちらのケースもランサムウェア(身代金要求型ウイルス)による攻撃で、個人情報の漏洩も確認されている。
ランサムウェアによるサイバー攻撃で企業が大きな被害を受けるケースは枚挙にいとまがない。どんな企業や組織も、サイバーセキュリティに力を入れていたとしても、被害に遭うことが珍しくなくなった。企業はいつ自分たちが被害に遭うのか戦々恐々としている。
サイバー攻撃にどのように対峙していくべきなのか。今回は、内閣サイバーセキュリティセンター(NISC)のセンター長で、国家安全保障局(NSS)次長も務めた鈴木敦夫氏と、サイバー法制とサイバーインシデント対応に精通し、能動的サイバー防御(Active Cyber Defense。以下「ACD」ともいう。)に関する有識者会議の委員を務めた山岡裕明弁護士に、官民の両立場からサイバーセキュリティの実態と対策について議論してもらった。
司令塔「国家サイバー統括室」が始動
━━日本では2025年7月に、政府のサイバーセキュリティにおける司令塔的組織だった「内閣サイバーセキュリティセンター(NISC)」が「国家サイバー統括室」に改組された。何が大きく変わったのか。
鈴木敦夫(以下、鈴木):サイバー攻撃は巧妙化・深刻化するとともに、サイバー攻撃数や被害数は増加しており、質・量両面でサイバー攻撃の脅威は増大している。戦後最も厳しく複雑な安全保障環境に直面している我が国においても、地政学的緊張を反映したサイバー空間を取り巻く情勢は、近年、一層深刻化しており、重大な事態へと急速に発展していくリスクをはらんでいる。
こうした状況を踏まえ、本年5月にサイバー対処能力強化のための法律が成立、交付された。第一に、サイバー攻撃に関する、官民双方向による情報共有を内容とする「官民連携の強化」、第二に、サイバー攻撃の実態を把握するための「通信情報の利用」。これについては、独立機関によるチェックなど、通信の秘密に十分配慮している。第三に、サイバー攻撃による重大な危害を防止するため、「攻撃者のサーバー等へのアクセス・無害化」を警察・自衛隊による措置として可能にしている。また、これらの各種取組を実現、促進するため、「国家サイバー統括室」を設置し、政府を挙げた取組推進体制の整備を進めている。
この法律整備は2022年12月の国家安全保障戦略で、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるとの目標を掲げたことに始まり、2024年6月から11月まで、山岡先生もメンバーである有識者会議で議論して取りまとめて頂いた提言を踏まえて実現できたものだ。
山岡裕明(以下、山岡):能動的サイバー防御に関する法律の議論が開始されたここ数年で民間事業者側にも変化を感じる。重要インフラ事業者を含めた民間事業者の中で、特に経営層の間でサイバーセキュリティへの意識が高まっている。サイバーリスクは、事業活動における「one of them」のリスクであり、これまではどちらかというと重要視されていなかった。ところが、能動的サイバー防御の議論を契機として、重要インフラ事業者を中心に、サイバーリスクに対して自分たちは何をしなければならないのか、何ができるのかといった議論が活発になってきた。こうした関心が経営層レベルで高まるというのは、非常にいい流れだと思う。
能動的サイバー防御の仕組みにより、サイバー脅威の可視化が進むことを期待している。見えないもの、知らないもの、理解できないものは、防ぐことはできない。従来からの官民連携の強化、通信情報の利用、脅威情報の連携によって、国としても、民間事業者としても、これまで見えづらかったサイバー空間の脅威の解像度が上がる。そうなると対処しやすくなる。サイバー空間の脅威の可視化は1つの大きなポイントだ。
