米中対立で分断されるサイバーセキュリティ──PwCコンサルティング村上氏が「地政学リスク」を読み解く

サイバーインフラの分断　「CVE」停止危機によるリスク

　法規制の強化だけでなく、保護主義の進展はサイバーセキュリティの基盤そのものにも影響を及ぼしている。その象徴的な出来事が、グローバル標準として機能してきた脆弱性管理システムの危機だった。

　2024年2月、米国国立標準技術研究所（NIST）が運営する脆弱性データベース「NVD」の新規エントリー公開が停滞。2025年4月には、共通脆弱性識別子「CVE（Common Vulnerabilities and Exposures）」そのものが予算不承認により停止するリスクが浮上した。

　「CVEはグローバル標準であり、あって当然のものだと考えていた。しかし、実際には米国の予算で実行されているものであり、私たちはそれに依存していたということを痛感させられた出来事だ」（村上氏）

　最終的にCVEは、米サイバーセキュリティ・社会基盤安全保障庁（CISA）長官の予算承認により運営が継続されたが、この事案を契機として欧州では「EUVD（EUropean Vulnerability Database）」が立ち上げられるなど、依存リスクを分散する動きも見られた。

　一方、中国は2009年からNVDの中国版ともいえる「CNNVD（China National Vulnerability Database）」を運用しており、2021年に施行された規定によって、中国国内で発見された脆弱性は修正前に国外に報告することが禁止された。これにより中国国内で発見された脆弱性情報は、中国に蓄積される構造となっている。

　このように脆弱性情報が特定国に蓄積することでリスクが生じるとして、村上氏は二つの観点から指摘した。一つは、蓄積された未公開の脆弱性がサイバー攻撃に悪用されるリスクだ。実際、CNNVDのカバレッジや更新頻度は既にNVDより高い状態にあるという。もう一つは、こうした情報が集積されていることで、それらを狙った攻撃により情報が窃取・悪用されるリスクである。

　さらに村上氏は、米国の各省庁で実施されているサイバーセキュリティ関連の取り組み──CISAによるアラート発行、NISTの基準群やNVD、MITRE ATT&CKなど──について、「これらは米国の方針次第で影響を受ける可能性がある」として、自社がどの程度依存しているかを棚卸しすることの重要性を説いた。

困難になる国際連携、水面下で進行する「サイバー戦」

　サイバーインフラの分断と並び、深刻な問題が生じている。それが国際的なサイバー犯罪取り締まりの困難化だ。

　国連での議論により、国際協力の重要性は合意されたものの、同時に「国家によるサイバー活動は、他国の主権、国内管轄権を尊重すべき」という条項も盛り込まれた。村上氏は「A国からB国に協力を要請してもB国が国家関与を否定したり、データ主権や安全保障を理由に協力を拒否したりすることが可能になる」と説明する。この結果、ランサムウェアに代表されるサイバー犯罪の取り締まりが困難になっているのだ。

　先述した保護主義や権威主義の台頭は、サイバー攻撃を実行しやすい環境を醸成していく。正規の手段でデータや技術にアクセスすることが困難になれば、不正な手段で入手しようとする動機が強まる。また、権威主義国家における国内活動の規制を通じて、その国のサイバー能力が向上するためだ。

　PwCコンサルティングでは、グローバル各国で脅威インテリジェンスチームを運営しており、約584の脅威アクターを追跡している。その活動では、中国を拠点とする脅威アクターの標的が、同国が産業の高度化を目指して掲げている『中国製造2025』において重視する半導体産業などの領域にシフトしていることが観測されているという。つまり、国家のモチベーションと脅威アクターの攻撃対象には明確な連動性が見出せる。