変化するサイバー脅威と国家安全保障への影響
(左より)日本HP エンタープライズ営業統括 営業戦略本部 プログラムマネージャー 大津山 隆氏/
セキュリティエバンジェリスト ワークフォースソリューション事業本部 ソリューション技術部 木下和紀エドワルド氏/
ワークフォースソリューション事業本部 事業本部長 前田悦也氏
「今やセキュリティはビジネス継続の基盤であり、国家安全保障の問題でもあります」──こう語るのは日本HPの大津山隆氏だ。
近年のサイバーセキュリティ環境は激変している。Windows 10以降、OSレベルでのセキュリティが強化された結果、攻撃者はより守りの薄いファームウェア層を標的にするようになったのだ。さらに情報漏洩だけでなく事業妨害を目的とする「破壊型攻撃」も増加している。従来型のアンチウイルス製品だけでは、日々生み出される新種のマルウェアに対応しきれない現実が突きつけられているのである。
加えて、AI技術の進化がセキュリティ環境をさらに複雑化させている。大津山氏によれば「AIを使った精巧なフィッシングメール、LLMを活用したマルウェア開発の容易化、そしてAIモデル自体を守る必要性が急速に高まっています」とのことだ。
経済安全保障推進法が企業に課す新たな責任
デバイスライフサイクル全体でセキュリティを確保すべき背景には、大きく2つの要因がある。1つは地政学的なリスクの増大だ。国家主導によるサイバー攻撃は年々増加しており、安全保障上の観点からもIT機器の信頼性確保は喫緊の課題となっている。もう一つは、日本国内でも「経済安全保障推進法」によって規制強化が進んでいることである。
近年の国際情勢の複雑化や地政学的リスクの高まりを受け、日本政府は2022年5月に経済安全保障推進法を成立させた。この法律は、国家の安全保障と経済活動の両立を図る「経済安全保障」の確保を目指すものである。
経済安全保障推進法は主に以下の4つの柱で構成されている。
- サプライチェーン強靱化
- 基幹インフラの安全性・信頼性確保
- 先端技術の官民協力
- 特許の非公開化
特に「基幹インフラの安全性・信頼性確保」は、電力、通信、金融など国民生活や経済活動に不可欠なインフラの安定的な提供を確保するために、重要設備の導入時に事前審査を行う制度を構築するものだ。大津山氏はこの状況について次のように説明している。
「金融、電気通信、放送、水道など約200社・団体が特定社会基盤事業者として指定されています。これらの企業が重要インフラとなるIT機器を導入する際には、所轄省庁の審査を受ける必要があります。この制度は強制力を伴うもので、不適合の場合は是正勧告もあり得ます。ベンダー企業の設立準拠法や役員の国籍、セキュリティ体制などの詳細な情報提供が求められており、国がサプライチェーンのリスクをコントロールする姿勢が鮮明になっています」(大津山氏)
この法律の下では、重要インフラ企業は導入するIT機器やシステムについて、より厳格な審査と情報開示が求められる。具体的には、機器を提供するベンダーの情報やそのベンダーのリスク管理措置の確認が必要とされているのだ。
デバイスライフサイクル全体で考えるセキュリティ戦略の重要性
こうした背景を受け、HPが実施した6ヵ国(米国、カナダ、英国、ドイツ、フランス、日本)の大企業ITリーダーとエンドユーザー約6,000人を対象とした調査では、多くの企業がデバイスライフサイクル全体のセキュリティ管理に課題を抱えていることが浮き彫りとなった。
「これまではセキュリティといえば運用面ばかりが重視されてきました。しかし最近では、『そもそもどこで作られたか』『どんなコンポーネントが使われているか』という点にも注目すべきです」(大津山氏)
つまり、単なる運用面でのセキュリティだけでなく、デバイスの製造段階から廃棄に至るまでの「ライフサイクル全体」を通じたセキュリティ管理が不可欠なのだ。さらに大津山氏は「今日のサプライチェーン攻撃は、ソフトウェアだけでなくハードウェアレベルでも発生しています。お客様のサイトに届くまでの過程でのファームウェアへのマルウェア混入や、物理的なハードウェア改ざんといったリスクにも目を向ける必要があるのです」と警鐘を鳴らしている。
