インターネットによって世界はつながった。だが、いまその世界が米・中・欧の経済圏で分断され、サイバー攻撃の応酬によって無法地帯と化そうとしている。
第三次世界大戦が起こるとすれば、それはサイバー攻撃と物理攻撃が入り混じったハイブリッド戦争になる──そう語るのは、多摩大学ルール形成戦略研究所の西尾素己氏だ。
企業や一般人にとっても無視できない「サイバークライシス」の現状について、西尾氏に聞く。

── 2018年に西尾さんにインタビューさせていただいた際、サイバーセキュリティに絡んだ米中の対立についてお聞かせいただきました。その後、トランプ政権によるHUAWEI製品排除の姿勢が表面化し、関連するニュースを目にする機会が増えた気がします。

西尾　そうですね。一連の動きの根底には、今後20年間続くと言われている「米中の経済戦争」があります。そのトリガーとなったのは5Gです。

5G通信を行うアンテナの技術は、HUAWEIに大きな優位性がありました。現在はアメリカの大手ベンダーが世界のネットワーク機器を制していますが、通信が5Gにシフトするなかでその覇権が中国へ移り、米国の優位性が失われてしまう可能性があります。

この問題は、国家の安全保障にも直結しています。5Gの普及によって、通信基地局の内部に必ずHUAWEIが設計した技術が入ることになるからです。

── だからアメリカは、中国製品の排除に躍起になっている。ここまでは以前お話しいただいたとおりの展開ですが、これからの流れを西尾さんはどう読んでいますか。

まず確実に起こる……というより、もうすでに起こり始めているのは、情報機器やITインフラの構成や規制によって、世界が2つか3つに分断されることです。

米国と中国がこれだけ対立してお互いが相手の製品を禁止、もしくは強く非推奨とするようになってしまうと、北米市場に対してビジネスをする場合にはアメリカ製品を、中国向けのビジネスでは中国製品を使うというように、インフラが分かれていく。ここから、さらに欧州が分かれると考える人もいます。

すると、サイバー空間における第三次世界大戦が起きてもおかしくない。

── ITインフラの分断で戦争が起こる？　なぜですか。

サイバー空間での攻撃が、物理攻撃以上のダメージを及ぼすようになっているからです。これまでのように世界中でアメリカのインフラが使われているのであれば、仮にWindowsの脆弱性を突くマルウェアを全世界にばら撒くと、自国のインフラも被害を受けますよね。

しかし、国や経済圏によってOSや通信インフラが異なるなら、米国圏だけ、中国圏だけを標的にしたサイバー攻撃が可能になります。

生物兵器を考えてみてください。もしも「血液型がA型の人にしか感染しないウイルス」があれば、他の血液型の人には影響を与えず、A型の人だけをピンポイントで攻撃することができます。それと同じことが、サイバー攻撃では容易に行えるのです。

── ミサイルを落とすようなダメージを、サイバー攻撃で与えられるようになるんでしょうか。

いま世界で起こっている戦争は、物理攻撃とサイバー攻撃が混在するハイブリッドな戦争です。すでにサイバー攻撃は、低コストな軍事攻撃として使われているのです。

たとえば今年6月、アメリカの無人偵察機をイランが撃墜した事件がありました。トランプ大統領は物理攻撃こそ踏みとどまったものの、報復としてサイバー攻撃を講じたといわれています。また、今年の春にはイスラエルでハマスが有するサイバー部隊が政権側のITインフラを攻撃したところ、数分後には政権側がサイバー部隊のいるビルを空爆しています。

イスラエル軍は、ハマスによるサイバー攻撃に対して物理攻撃を行使したわけです。かかるコストと相手に与えるダメージを考えると、今後はサイバー攻撃の割合がどんどん増えていくでしょう。

それに、サイバー攻撃の攻撃元を特定するのは非常に難しいんです。ハマスの例はあくまで国の内部の話なので国内法で対処できますが、これが他国からのサイバー攻撃であれば、物理攻撃で報復していいかどうかは非常に判断が難しい。だから、サイバー攻撃に対しては、サイバー攻撃でやり返すということになるはず。

それがどこまでエスカレートしていくかは、考えると怖いですよね。公共インフラを狙ったり、飛行機を止めたり。その被害に遭うのは、国の機関だけではなく、一般人や企業ですから。

── 一体いつから、サイバー攻撃がそれほど深刻になったんですか。

2000年代初め頃のサイバー攻撃は、いまほど巧妙である必要がなかったんです。マシンスペックも相まって、ウイルス対策ソフトの性能も低かった。わざわざバックドアを仕込まなくても、脆弱性を突くだけで攻撃が成立しました。実際、私が所属していたチームでは年間200件以上の脆弱性をメーカーに報告していました。

ところが2010年代に入って特定の対象を狙った標的型攻撃が盛んになると、セキュリティの専門家が増えて防御技術も発達し、対する攻撃技術もいたちごっこのように高度になってきました。この時期が、セキュリティ対策における大きな分岐点だったと思います。

もう少し細かくお話しすると、攻撃の動機も自己顕示欲から、マネタイズや政治的な意図へとシフトしています。2010年には、サイバー攻撃によってイランのウラン濃縮用遠心分離機が破壊されました。2015年にはウクライナの発電所が攻撃され、大規模な停電が起こっています。これらは、ネーションバックと呼ばれる、国家による攻撃だったと見られています。

── 一般企業への攻撃事例は？

マルウェアによって企業のシステムを停止させ、身代金を要求する手口はよく知られていますよね。もう少し狡猾な方法としては、サイバー攻撃を使って株価を操作するケースがあります。

企業にとって、情報流出は信用にかかわる一大事です。そこに目をつけてハッカーを雇い、どんな情報でもいいから流出させて、それをマスコミにリークする。米国のESG投資銘柄は情報セキュリティ関連のニュースに敏感なので、関連銘柄が大きなあおりを受ける。こうしたやり方で利益を得る、グレーな空売りファンドもあります。

このようなケースは表沙汰になっていないだけで、気づかないうちに被害者になっていることも多いですね。

── 攻撃されていることを認識していない可能性もある？

むしろ、一般の方には認識されていないケースの方が多いでしょう。サイバーセキュリティは、一部の専門家の間だけで研究が進み、議論が過熱しています。

研究者が新しい攻撃・防衛についての情報を交換するセキュリティカンファレンスでは、日進月歩で知見が更新されている一方、一般ではいまだにハッキングが「映画に出てくる特殊能力」のように扱われている。でも、もちろんそれは間違いです。ハッキングにはちゃんと発生原理があるし、誰が何回やっても再現性があるのがサイバー攻撃です。

私は、その原理を一般の方が理解しなければならないとは思いません。その理解のためにはコンピュータサイエンスの基礎知識が必要ですし、専門家でない方が日々情報を更新し続けるのはハードルが高すぎる。ただ、経営者や一企業人として考えたときに、そういったリスクがあり、自身や自社が被害に遭う可能性があることは、最低限認識しておくべきです。

── 企業の情報システム部門などで取りうる対策については、どんなトレンドがありますか。

大きなトレンドとしては、「セキュリティ＝情シス」という考え方自体が、すでに古くなってきています。サイバーセキュリティの領域は、企業の経営企画や法務部門へと拡大しているのです。

── なぜ法務に？

セキュリティが、ビジネスを行ううえでのレギュレーション、つまり、法律や規則の問題になっているからです。

現在、アメリカを中心としてセキュリティの国際標準が刷新されようとしています。NIST SP800-171に準拠していなければ、アメリカの政府調達にかかわるサプライチェーンに加わることはできません。

また、アメリカでは2018年末に、米国国防権限法2019（NDAA2019）が超党派で成立しました。このなかには米国輸出管理規則（EAR：Export Administration Regulations）を改定する動きが盛り込まれています。

これらは基本的には軍事技術に応用される可能性のある品目を指定し、輸出や再輸出を規制するものです。しかし、対象品目は解釈次第で拡大できる表現になっていて、直接国防に結びつかないモノや情報も含まれます。

AIなどの先端技術はもちろん、ソースコードの二次利用や、それらを開発する従業員の転職までもが規制対象になりうるんです。これらEARの対象となる物品の関連情報はすべてNISTのSP800-171で保護しなければなりません。

こうなると、サイバーセキュリティ対策は、ITの知識だけでは講じられません。技術の専門家とは別に、国際的なレギュレーションを理解している法務担当者がいなければ、グローバルカンパニーとしてビジネスを行えなくなっているのです。

── ITと法務、それぞれの役割があるということですね。

そうです。自社のシステムに脆弱性がないか、悪意のある攻撃を受けたときにちゃんと防御できるかどうかを技術的に検証するのが情報システム部門やエンジニアの役割とするなら、国際的なセキュリティ基準を満たしているかどうかをチェックするのが法務や経営、内部監査の役割です。

日本国内でも防衛装備庁が調達基準をSP800-171と同程度のルールに改定し、2020年4月から運用を開始する予定です。経済産業省と総務省で進めている政府統一クラウドの基準にも、SP800シリーズが織り込まれるでしょう。

この1年の間にも現場レベルでの問題意識は確実に高まっていますが、経営層が追いついていないと感じます。というのも、レギュレーションに違反した場合にどのような影響が出るかは、まだ前例のない未来の話です。具体的な事例がない状況で、どうすればもっと当事者意識を持って取り組めるのかを考えていかなければなりません。

── 企業の危機感が足りない、ということですか。

ええ。もし足りているのであれば、「NIST対応」がもっとホットな話題として盛り上がっているはずです。NIST SP800-171などのレギュレーションが従来と大きく違う点は、明確に過失責任を問えるようになったこと。準拠していなければ善管注意義務（善良な管理者の注意義務）を怠っていると見なされ、訴訟を起こされた場合に過失責任を問われるようになります。

新しいレギュレーションができるということは、対処を迫られる脅威があるということです。NISTをはじめとする一連の動きは、いまだに米国のレギュレーションだと思われている節がありますが、これはアメリカの経済圏でビジネスを行ううえで必須の取り決めなのです。

少なくともグローバルカンパニーにとって、対応しないという選択肢はない。そのことを認識しなければ始まりません。