/

サイバー防衛へ 情報開示と結束を(The Economist)

The Economist

20年前、サイバー攻撃は旅先で読む低俗なスリラー小説の筋書きにすぎなかったかもしれない。だが、今日では日常茶飯事だ。5月7日には、米東海岸に燃料の約半分を供給する石油パイプラインが攻撃を受け、5日間の稼働停止に追い込まれた。再稼働する見返りに、430万ドル(約4億7400万円)の身代金が運営会社のコロニアル・パイプラインに要求された。その数日後、同様のランサムウエア(身代金要求型ウイルス)攻撃を受け、アイルランドの医療機関のほとんどでIT(情報技術)システムが停止した。

米国では石油パイプラインがサイバー攻撃を受け、給油に多くの車が並んだ(5月)=ロイター

これら一連の攻撃はサイバー脅威が高まっている時代の証しであり、IT企業から教育機関、軍隊に至るまで、例外なくこの不安に見舞われている。なかには壊滅的な脅威となるケースもある。航空管制施設や原子力発電所が攻撃され、システムが停止したらと考えてほしい。一方で、見落としがちな脅威もある。サイバー犯罪は多くの産業のデジタル化を妨げ、全世界で生活水準を向上させるはずのデジタル革命の足を引っ張っているのだ。

ランサムウエアが初めて攻撃に使われたのは1989年で、当時はフロッピーディスクを介してウイルスが広がった。その後ネットワークにつながる機器が増え、地政学的情勢が不安定になるにつれサイバー犯罪は深刻化した。西側諸国がロシアや中国と対立し、複数の強権国家がサイバー犯罪集団に安全な隠れ家を提供するようになった。

サイバー犯罪集団は巨額の資金の持ち主を狙っている。かろうじて甚大な被害を免れた事件を正確に把握している人は少ない。2014年には米ソニー・ピクチャーズエンタテインメントがサイバー攻撃を受けてハリウッドに衝撃が走り、17年には米信用情報大手のエクイファクスから1億4700万人分の個人情報が流出した。

大規模なハッキング事件はよく見聞きするが、その実態は闇に包まれている。ウイルスの「ソービッグ」やランサムウエアの「ワナクライ」、あるいは米ソーラーウインズのネットワーク管理ソフトがサイバー攻撃を受けた事件を覚えているだろうか。

年々膨らみ続けるサイバーリスク

ロンドン・ビジネス・スクール(LBS)が近く公表する調査報告書が、近年の傾向を浮き彫りにしている。世界85カ国の上場企業1万2000社が20年間に投資家に宛てた声明を調査した。これによると、サイバーリスクが02年以降で4倍以上、13年以降では3倍に増えている。サイバー攻撃はより世界的になり、幅広い業種に被害が広がった。新型コロナウイルスのパンデミック下で在宅勤務が増えてほぼ確実にリスクが増大した。被害を受けた企業の数は過去最多に上っている。

こうした現状を踏まえれば、サイバー攻撃が引き起こす深刻な危機に不安が集中するのも当然だ。標的になりやすい石油パイプラインや発電所、港湾などの施設はどの国にも存在し、機能停止に陥れば多くの経済活動がまひする。金融業界もサイバー犯罪の標的になりやすい。今日では、銀行強盗は目出し帽をかぶるよりパソコンを操作する。当局はサイバー攻撃を受けた銀行が破綻しかねないと危惧し始めている。

しかし、新しい技術への信頼が薄れ脅威が増していく弊害も大きい。コンピューターが車や住宅、工場に導入され、あらゆるものがネットにつながるIoTが構築されつつある。大量のデータから導き出される知見は医療に大変革をもたらすと期待されている。理論上は、今後長きにわたって生産性が向上し、多くの人の命が助かるようになる。

だが、デジタル空間に脅威が広がりデジタル技術を敬遠する人が増えれば、期待される成果は得られない。インターネットとつながる「コネクテッドカー」がランサムウエア攻撃を受け「ドアのロックを解除してほしければ5000ドル支払え」と脅迫されたと聞いたらどんな気持ちになるだろうか。

サイバー脅威に対処するのは難しい。国家と非国家組織の間、地政学的情勢と犯罪の間の境界があいまいになるからだ。サイバー攻撃の被害者には、企業も公的機関も含まれる。スパイ活動や戦時における攻撃力を試すためにサイバー攻撃を仕掛ける国もあれば、ロシアやイラン、中国の犯罪者集団が攻撃することもある。こうした犯罪者集団は西側諸国の悩みの種であるため、ロシアなどの国々は黙認している。

被害企業による隠蔽が事態を複雑に

サイバー攻撃はひそかに行われ、攻撃を受けた側が面目を失うことも問題を複雑にしている。企業はサイバー攻撃を受けても、その事実を隠蔽する。企業とその取引相手には、リスクを低減する通常のインセンティブがうまく働かない。2段階認証といった基本をおろそかにする企業は多く、コロニアルに至っては簡単な予防策すらとっていなかった。

サイバーセキュリティー業界には、顧客を食い物にする悪徳業者も多い。サイバー防衛を担当するある当局者に言わせれば、販売されている製品の多くは「中世の魔よけのお守り」同然の代物だという。

これらの要因から、金融市場のサイバーリスクの評価は難しく、対策が不十分な企業が支払った代償は少なすぎるということだ。LBSの調査は、サイバーリスクには伝染性があり、株価へ織り込み始められていると結論づけている。だが、データが不透明なため、実際のリスクを反映する成果は得られそうにない。

まずは民間企業を正しい方向へ向かうよう動機づけることが先決だ。米国、英国、フランスの当局はランサムウエア攻撃を受けて支払った身代金に保険を適用すれば攻撃を助長するとして、適用を禁じたい考えだ。それよりも企業に対し、攻撃を受けた事実と推定被害額の公表を義務付けたほうが良い。米国などでは開示義務が不透明で、開示されたとしてもかなりのタイムラグを伴う。

開示義務をより明確にして企業に一律に課せば、投資家や保険会社、サプライヤーはセキュリティー対策が遅れている企業を特定しやすくなりそうだ。保険料の上昇や株価の低迷、訴訟リスクに直面すれば、企業は対策を強化するだろう。製造業では、インターネットにつながる機器の製品基準を設定・順守して無防備なIoT対応機器を封じ込める動機が増すはずだ。

米ロ首脳は協議開始で合意

各国政府は、通常の金融システムとデジタル金融の陰に隠れて見えにくい世界との境界に目を光らせるべきだ。身代金は暗号資産(仮想通貨)で支払われることが多い。合法的な手段で得た資金であるとの証明を示せなければ、暗号資産から通常の銀行口座に資金を移せないようにすべきだ。仮想通貨の取引所にも同様に、従来の金融機関と同じ規制を課さねばならない。

サイバー脅威は地政学的な問題でもある。通常の戦争や国際犯罪では、リスクの封じ込めの手立てになる行動規範が存在する。だが、新手の手法が次々と登場するサイバー空間は混沌としている。敵国が黙認している犯罪者からサイバー攻撃を仕掛けられて報復することは正当なのか。バーチャルの世界で不正侵入された場合、現実世界でいつ対応すればよいのか。

まずは自由主義世界が結束して、サイバー攻撃を封じ込めることが必要だ。先ごろ開催された主要7カ国(G7)と北大西洋条約機構(NATO)の首脳会議では、西側諸国がともに対処することで合意した。だが、中国やロシアのような国々と対峙することも欠かせない。といっても、西側諸国側もスパイ活動に従事しているのだから、中国やロシアが西側に対するスパイ活動を止めるはずがないのは明らかだ。

だが、NATO首脳会議の後に開かれたバイデン米大統領とロシアのプーチン大統領との会談では、サイバー犯罪に関する難しい協議を開始することが決まった。世界経済はデジタル化が進む一方だ。その健全性を脅かすサイバー犯罪者の活動に歯止めをかける合意が世界で形成されることこそ理想的な姿だ。

(c) 2021 The Economist Newspaper Limited. June 19, 2021 All rights reserved.

すべての記事が読み放題
有料会員が初回1カ月無料

セレクション

トレンドウオッチ

新着

注目

ビジネス

暮らし

新着

注目

ビジネス

暮らし

新着

注目

ビジネス

暮らし

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン