麻薬取引金額を超えたセキュリティ犯罪被害額
──まずはじめに、この1年ぐらいのセキュリティ・インシデントの状況についてお話しください。
お察しの通り、セキュリティ・インシデントは増大する一方です。とくにサイバー犯罪・攻撃はかなり増えています。日本ではあまり報じられていないのですが、この1年でのトピックといえば、世界でのサイバー攻撃の被害総額が麻薬の取引額を超えたのです。これは犯罪史上において重大なことなのです。データを見れば、世界で約6000億ドル(60兆円)の被害額が出ています。
──1年での被害額としては膨大ですね。
これは私に言わせれば「悪い奴が勝ち続けている」ということなのです。この状況はなんとしてでも阻止しなければいけない。RSAもインターポール(国際警察)に協力をしてサイバー犯罪の抑止に努めています。そのために我々ができることは、セキュリティ企業としてテクノロジーを追求し、新しい製品を作り出すということに尽きます。つまり製品のイノベーションを続けて、国家、政府、企業などの防衛力を高めていくことです。
──アジア各国のセキュリティ政策の中で、日本のセキュリティへの取り組みは進んでいるのでしょうか?
アジア・太平洋地域全体の市場を見ていますが、グローバルでもこの地域のセキュリティの動きは激しいといえます。まず何よりも各国の政府が、非常にアグレッシブでセキュリティ政策をどんどんと前に進めている。具体的にはセキュリティに関連する法案の策定や改正が活発です。
オーストラリア、シンガポール、インド、フィリピン、タイなど、どの国もここ3年ぐらいの間で、サイバーセキュリティの法案を更新してきています。理由はもちろんどの国もサイバー犯罪の被害が深刻化しているからですが、背景には地政学的なリスクもあります。各国とも政府や金融機関でのSOC(Security Operation Center)の設置など、官民や省庁間の連携が盛んです。こうした中で、日本のSOCは県庁や自治体レベルにとどまっており、横断的な連携という意味では他国より少し遅れているといえるかもしれません。
──サイバー攻撃の特長はどのようなものでしょうか?
多種多様ですが、最近顕著なのは、非IT系の企業が狙われることです。とくにシンガポールやマレーシアでは電力会社や鉱山などの会社が攻撃を受けました。もうひとつ言えることは、IoTの流れもあり、非IT系の家電、エアコンやテレビといった家電製品やモバイルなどのデバイスを通じた攻撃が増えていることです。
──各国はどのようにポリシーを更新しているのでしょうか?
たとえはオーストラリア政府は昨年、サイバーセキュリティ予算を2億3000万豪ドル(約181億円)をかけて対策を強化するとともに、民間企業と政府との情報共有や、セキュリティ専門家の確保を行うなどの戦略を発表しました。民間企業に対しては、インシデントが発生した場合、政府への報告を義務づけています。
また、フィリピンでは「データプライバシー・アクト」つまり個人情報保護法の施行が始まりました。これは企業が顧客データを盗まれた場合は罰金刑、CEOに対しては禁固刑まで施すことができるというものです。
シンガポールではサイバーセキュリティをスマートネーションの政策として推進しており、サイバーセキュリティのためのビルを作っています。またインドでもデジタル・イニシャティブ政策の推進を強化しています。
韓国は、常にサイバー攻撃の脅威に晒され続けていて政府、民間レベルでのセキュリティ対応のレベルがもっとも高い国といえます。こうした国の中で、われわれRSAが関わっているのは、政府系、金融系、製造系のサイバー攻撃対策です。具体的には、釜山銀行(Busan Bank)、新韓銀行 (Shinhan Bank)、国民銀行 (Kookmin Bank)、テマセク工科大学 (Temasek Polytechnic)などです。
