第8回「Society5.0」実現に向けたサイバーセキュリティの強化

　日本の企業では社外取締役が徐々に増えており、執行役の会議だけでなく、取締役会の場でもより議論を活発にしてもらうという心構えが見られます。取締役会の理解が進めば、人員や予算等のリソースを適切に確保できる場合もあると思います。また社内には、CIO（最高情報責任者)とCISO（最高セキュリティ責任者）を置くということも基本ではないかと思います。双方は違う役割を持っています。CIOはITや社内外のデータをうまく活用し、企業の価値を高める使命を持つ、アクセルのような役割を持っていますが、CISOは、リスクを見つけた時にこのサービスを中断し、お客さまに少しの迷惑をかけても被害を最小限化する、ブレーキのような役割を持っています。その責任分担をどうするのかは、企業によって違いますが、日立製作所の場合は、今年4月の人事異動で、CISOは副社長、CIOは常務となっております。
　三つ目は、完全な防御は不可能という認識です。特に国家レベルのサイバー攻撃はそう簡単に対処できません。ですから、一回目の攻撃を受けるのはやむを得ないとして、その被害にいかに対処して最小限化していくかということです。単にソフトウェアを入れ込んでいるだけではダメで、従業員がサイバー攻撃に遭った時、それをどこに伝えて、どう対応するのか、という手順を訓練する必要があります。
　このような「意識改革」に加えて、次の四つの取り組みが必要だと思います。

①人材育成
　一つ目は、「人材」です。まず、社会全体でリテラシーを向上させることが必要です。特にIT教育というのは、若ければ若いほど効果があり、初等中等教育から始めるのが良いと思いますが、日本の今の教育カリキュラムでは限界があるようです。我々としては、小中学校からITを健全に活用するための教育というのは絶対に必要だと思っています。中でも倫理観というのは大切です。サイバー防御ができるということは、サイバー攻撃もできるということです。そのようなスキルをもった人材が社会的な不遇に遭い、貧困に陥れば、悪事に手を染める可能性は十分にあります。私は、ただ知識を詰め込ませる、現場で仕事をさせるということではなく、彼らがステップアップできる、年齢を重ねても社会に貢献できる、企業内で居場所が得られる、あるいはしかるべき評価を得られる、というシステムを整備することが、人材育成の要諦だと思っています。特に大手企業は、キャリアパスをしっかりと示すべきだと思います。人材が正しく評価されるような人事制度、例えば45歳を過ぎても企業の中で活躍できるようなキャリアパスが必要になります。　

②情報共有
　二つ目が、「情報共有」です。こんな被害を受けたとか、こんな手口だったとか、という情報の他に、どうやらこの業界団体が狙われているようだとか、この送信先は怪しいとか、様々な情報があります。ですが、その情報をネットワークでリンクさせて物理的に流せばいいのではなく、信頼できる人間から情報を教えてもらう、あるいは教えてあげる、という人間関係を作っていくことが理想的です。一言で「情報共有」といっても、それを仲介するのは人間です。人間関係のトラストのないところには真の「情報共有」はあり得ません。　
　実際にどのような情報を共有するのか、という話になると、総論では賛成しても、各論で賛成できない事態も起きてしまいます。たとえば、どこかの企業がこのような被害に遭ったという情報が妙なところに流れると、株価が下がる等のマイナスイメージにつながるので、情報を出し渋ることにもなります。日本でも通信事業者の間では、Telecom-ISAC（テレコム・アイザック）という組織を通じて、インシデント情報を共有することは以前から行われており、総務省の管轄で長い期間運営されてきました。今ではICT-ISACに改称されていますが、通信事業者という狭い範囲で、総務省という政府の関与が強ければ、ある程度のことは可能だと思いますが、それが大きくなると、顔の見えない人に情報を提供することは難しくなってくるという意見もあります。これは、米国でも同じようです。また、経済産業省の主導で、日米産業間で情報共有を行おうという議論を1年半前から進めております。日米の大手企業や軍事産業の関係者らも加わり、今年2月に第一回目の議論をしましたが、難しい面があるなと思いました。どういう情報を誰がどこまで見ていいのか、というのは、特に安全保障にもかかわる機微な情報について、企業内でどの範囲まで見せていいのか、廃棄はどうするのかなどを決めなくてはいけません。　
　金融機関でも金融ISACが2014年に立ち上げられ、いまは大きな組織になっています。300行以上が参加しているという話を聞いておりますが、数が増えるというのは良い面もありますが、弊害もあります。というのは、しかるべきサイバーセキュリティ能力をもった参加者ばかりではなくなり、一部の人にだけ負荷がかかり、ただ乗り論も出るなど、300行まで増えると、全体の運営が難しくなったと聞いております。　
　やはり、民間企業のみで情報共有や情報収集するには限界がありますので、政府による「公助」も必要になってきます。政府には、一定の条件を確保した上で、横断的な共有情報を民間に提供する仕組みを考えてほしいと思います。1年半ほど前にインシデント情報を自動的に共有するシステム（AIS）について、内閣サイバーセキュリティセンターは米国と契約をしました。たとえば、そのような情報を民間にもフィルターをかけてもいいので提供してもらえないか、そのような枠組みを考えてもらえないか、と思います。民間ではどのような情報を必要とするのか、どのような情報を誰と誰が共有していくのか、という議論を産官の間で詰めていく必要があると思います。
　また、情報を取り扱える者の認定制度、いわゆるセキュリティ・クリアランスというのが米国では運用されています。それがどのように運用されているのか、民間ではどのように資格者を採用し、企業の中で情報をどのように回していくのかを検討することは、今後の「情報共有」の課題として挙げております。

③技術対策
　三つ目は、「技術対策」です。当然ながら、攻撃側が技術開発をするならば、防御側もそれに対応する、またはそれを上回る技術を開発しなければなりません。多くの企業の中で訓練を含めて、行っていく必要があると思います。
　昨年猛威を振るったWannaCry（ワナクライ）というランサムウェアがありますが、今まではマイクロソフトの最新OSであるWindows10にしておけば感染することはありませんでした。日立グループは昨年これに感染したわけですが、原因は旧タイプのOSのままにしておいた装置があったからでした。では、なぜ、そうしておいたのか。日立グループの感染は、ドイツにある電子顕微鏡のモニターをしていたパソコンから入って来たわけですが、これがファクトリー・オートメーション（FA）機器の一種であって、Windowsを使っているのですが、通常のPCとはタイプの違うものでした。ですので、Windows 10を入れると作動するかどうか分からず、電子顕微鏡は毎日研究で使用されているため、アップデートができなかったわけです。OSのアップデートは常にしておくべきではありますが、なかなかできないケースもあるということについて、今回の件で認識を新たにしました。
　「技術対策」でもう一つお話ししておきますが、経団連としては、サプライチェーン全体の社会的利益を大手企業としても考えるべきではないか、という問題提起をしています。サプライチェーンの中には国内外の中小企業が入っていますが、中小企業は情報セキュリティ部門はもちろんIT部門ですら置く余裕はありません。そのような企業をサイバーセキュリティの枠内に取り込んでいくために、中小企業が参画する地域のクラウドを立ち上げて、セキュリティを維持する必要があると思っています。

④投資促進
　四つ目は、「投資促進」です。企業の場合、資源は「ヒト、モノ、カネ」、最近では「情報」がプラスされますが、この四つに対して、しかるべき「カネ」をかけるという姿勢が経営層に求められます。投資が活かされ社会全体の肺気量が上がっていくというのが、日本の限られた資源の循環エコシステムであると思っています。

（３）基盤となる体制整備
　我々はこの4年間、サイバーセキュリティの基盤となる体制として、政府はどうあるべきか、企業はどうあるべきか、法制度や規範はどうあるべきかについて議論してきました。分かったことは、これはサイバーセキュリティに限った話ではないのですが、ITがなかった時代の法律やルールが多すぎるということです。
　一つだけ例を挙げますと、企業リソースである「ヒト、モノ、カネ」を盗めば、罪になりますが、情報を盗まれた「情報窃盗罪」というのは国際的にありません。これは民法では、財は有体であるというので、無体であるデータを盗んでも民法上の罪にはならないのです。デジタルデータは民法や刑法では守られておりません。その代わり、不正競争防止法、不正アクセス禁止法、著作権法、または個人情報保護法の改定である程度はカバーできていますが、データを盗んでも、それに対する窃盗罪は成立しません。こうした問題も、今後考えていくテーマではないかと思います。