2022年も残りわずかとなりましたが、国内や国際情勢を含め、未曽有かつ数多くの信じられない出来事が立て続けに起こりました。
国外で起きた最たるものは、皆さんも衝撃を受けたであろうロシアによるウクライナ侵攻。特に取材テーマでも扱うことの多いサイバーの視点で言えば、ロシアのサイバー攻撃の標的は軍だけでなく、民間のインフラ施設や金融機関をもターゲットにし、社会基盤を破壊することさえも起こり得ることを、改めて痛感させられました。
この教訓は日本でも決して他人事ではなく、今年8月の台湾においても、ナンシー・ペロシ米下院議長の訪問をきっかけとした中国本土からのサイバー攻撃は、台湾政府機関への攻撃だけでなく民間企業のシステムがハッキングされるなど、国主体のサイバー攻撃がより身近に感じられた1年です。
そのためよく提起されるのは、こうした厳しい国際情勢の環境下で、はたして日本は海外からのサイバー攻撃に対処できるのかという点です。様々な有識者の方々に取材して感じるのは、やはり日本は海外と比べ、サイバー攻撃に対する国家的戦略やフレームワークがないゆえに、どうしても現場の組織や企業の自助努力に頼りがちになってしまい、多くの悲劇を生んでいるというのが共通の課題意識でした。
事実、2021年に英シンクタンクの国際戦略研究所(IISS)が発表した、国ごとのサイバー能力に関する報告書では、日本は3段階で最も低いティア3となっています。
また、サイバー人材の育成についても課題は多く、サイバーディフェンス研究所の名和利男さんへの取材で提起された軍経験者からのサイバー人材の供給や、西尾素己さん取材でも取り上げられたサイバー攻撃に対する対処の考えの違いなど、ハードやソフトの両面で日本のセキュリティ環境は現状確かに厳しい印象なのは否めません。
名和さんの取材記事では「日本のサイバーセキュリティ環境が変わるには震災級の犠牲が必要かもしれない」という指摘があり、その言葉を聞いてふと、映画『シンゴジラ』のワンシーン「スクラップアンドビルドでこの国はのし上がってきた」という言葉が脳裏をよぎりました。
竹野内豊が演じる、内閣総理大臣補佐官である赤坂秀樹の劇中における名フレーズとしてもこの言葉は有名で、それはある意味「日本が変わるには大きな犠牲が必要」というイメージを多くの人が共有している現れなのかもしれません。
そうなると、いよいよ日本のサイバーセキュリティの未来を悲観したくなりますが、一方で個人的に感じている光明もまた、あったりします。特に注目したいのが、2021年に行われた東京五輪・パラリンピックにおける、NTTによるサイバー攻撃への対処です。大会開催前に先駆けて話題となっていたセキュリティリスク報道と比べると、さほど注目されませんでしたが、NTTの発表によれば大会期間中、約4.5億回に及ぶ様々なセキュリティイベントを観測したものの、すべて適切に対処・ブロックし、大会運営・競技運営に影響のあるセキュリティインシデントを発生させなかったとしています。
「何も起きないことが当たり前だ」と言われてしまえばそれまでですが、その「何も起きないこと」がむしろ尊く、諸外国と比べて日常生活で犯罪が少ない日本人にとっては感じにくい部分であることは確かです。
NTTは発表の中で、セキュリティインシデントを発生させなかった成功要因として以下4つのTを挙げています。
- T1:Threat Intelligence & Monitoring ~脅威情報とモニタリング~
- T2:Total Security Solution ~総合的セキュリティソリューション~
- T3:Talent, Mind & Formation ~人材、心持、フォーメーション~
- T4:Team 2020 ~ステイクホルダーマネジメント~
16年のリオデジャネイロや18年の平昌でもサイバー攻撃による影響が出ていたものの、コロナ禍による影響もあった中でのNTTによる安定的な運営任務の完遂は、日本のサイバーセキュリティにおける一つの試金石でもあったと思うのです。
NISCホームページで公開されている『東京2020大会の対策を振り返る』を見てみると、多くの関係機関やステークホルダーが関与し、様々な課題がありながらも、大会を成功させるための取り組みがなされたことが推察されます。
また、危機意識という観点で言えば今年8月下旬に取材したサイバー防衛シンポジウム熱海取材において、官民の参加者ともに日本のサイバーセキュリティへの熱い思いも感じられました。NTTの事例や熱海での出来事を考えると、個人的に「日本のセキュリティ」に対して前を向きな印象を抱いています。
もちろん日本を取り巻くセキュリティ環境は問題だらけで、専門家や現場で奮闘されている方々からすれば、「何を言っているんだ」とお𠮟りを受けるかもしれません。さらに言えば、セキュリティ担当者は日陰者かつ注目されるときは有事の時くらいで、何かがあれば矢面に立たされる損な役回りなため、サイバー以外の方々にその仕事の重要性を理解してもらうこともまた、難しい部分が多いです。
ですが日本において官公庁や民間企業など様々なアクターの方々が、日本のサイバー環境のために日夜奮闘されていることを取材を通して感じています。
だからこそ私自身、日本のサイバーセキュリティ環境やそれに従事する方々のお力に少しでもなれるよう、取材を通して少しでも貢献し、現場で奮闘される皆さんの活躍と意義を、少しでも多くの方々に知ってもらえるよう、今後も取材していきたいと思います。なぜなら“日本のサイバーセキュリティは、けっして捨てたものじゃない”ですから。
