喫緊の課題として、経済安全保障関連法案について国会での審議が進んでいる。経済安全保障においてわが国のインフラ事業者に欠かせないのが、「サイバーセキュリティ」と委託先リスク、すなわち「サードパーティリスク」への対応だ。インフラ事業者の多くが既にクラウドなど外部の基盤技術を活用しているほか、内外のさまざまなカウンターパートとの連携を深めつつあるが、これ自体に大きな課題が横たわる。本稿では、わが国インフラ事業者や基幹産業における経済安全保障を念頭に、要諦となるサイバーセキュリティとサードパーティリスクへの対応の必要性と留意すべきポイントを解説する。(雑誌『経済界』2022年7月号より)
米国政府における情報システム調達上の懸念
この問題の契機となったのは、米国における中国企業・ファーウェイ社を取り巻く騒動だ。当時米政府は、同社および関連法人が米国製半導体などを事実上調達不可となる輸出管理規則を適用。そもそも、米国政府および政府機関との取り引きに関しては同社製品の情報システムへの組み込み・実装・利用が制限されていたのだが、この規制がさらに強化された格好だ。背景には、サイバーセキュリティへの米国政府の懸念がある。政府調達の大規模情報システムが外部との接続チャネルなどにおける脆弱性を排除し、いかに高度化されたセキュリティを具備したとしても、そもそも情報システムに組み込まれている一部製品が「不自然な」動作をするようなことがあれば、システム全体のセキュリティが担保できなくなるためだ。いわゆる「バックドア」の存在だ。
このように米国では政府調達を中心に、情報システム開発や運用を直接担うITベンダーに対し、情報システムに組み込む機器やソフトウエア製品へのチェック機能の強化を求めており、情報セキュリティ強化を御旗に他の同盟国にも同様の対応を呼びかけている。これは英、豪、カナダ、ニュージーランドが対象とされる。すなわち米国を含めた5カ国間における諜報(インテリジェンス)活動から得られた情報の共有基盤「FIVE EYES」である。日本はこのFIVE EYESへの加盟を目指しているとされ、水面下では米国から同様の要請を受けていたようだ。そしてこれがわが国においても政府調達の情報システムにおける事前のセキュリティチェックが厳格に運用される契機となった。
国家的なリスクを踏まえた基幹産業のリスク対応が急務
一大消費地であることに加え、オフショアでのシステム開発や企業のデリバリー拠点としても重視されてきた中国では、2010年7月に国防動員法が施行されている。中国国内で有事が発生した場合に発令され、企業が保有する財産や資源は必要に応じて中国政府に接収されることとされている。また、交通インフラや金融機能についても政府もしくは軍の管理下に置かれるとされており、中国企業のみならず、外資系企業もその対象となっている。有事に際しては空港や港が閉鎖される見通しであり、邦人の中国国外への出国も困難になろう。中国国内における有事は、わが国企業の事業撤退リスクに直結する可能性が否定出来ないことに改めて留意が必要である。
さらに、中国では17年より国家情報法が施行された。中国人はいかなる組織・個人においても、中国の情報活動に協力する義務があると定められており、国外に居住する中国人もこの規制を受けると解釈される。
ウクライナ情勢にみる国家レベルでの脅威
さらに、わが国の経済安全保障論議を加速させるトリガーとなったのは今回のロシアによるウクライナ侵攻だ。ロシアはウクライナへの物理的な攻撃に先立ち、ウクライナ国内における通信基盤を含む重要インフラを対象としたサイバー攻撃を実施していた模様だ。
とりわけ、ウクライナ国内の銀行へのDDoS攻撃と同時に、銀行の顧客向けに「不安を煽る内容の偽テキストメッセージを送信」することで、一層の顧客不安を増大させる、いわゆる「ハイブリッド攻撃」を仕掛けたことが判明している。既に当該事案は、各国金融当局も強い関心を示しており、わが国にとっても「新たなリスク」として認識すべき重大事案といえる。
ウクライナへのサイバー攻撃では銀行への外部からのサイバー攻撃を手引きした銀行内での内通者、もしくは銀行のネットワークやセキュリティ基盤に精通した内部の共犯者の存在も念頭に置く必要があるだろう。例えば、業務やシステムの委託先企業など、銀行内での情報システムやセキュリティの現状に詳しい何者からの関与が疑われるのだ。
再委託先まで含めた点検が肝要になる
必ずしも当該外部企業のアセスメントを精緻に実施していない場合、ウクライナ情勢にみられるような「内部者の手引き」などにより特定国からのサイバーセキュリティ上の攻撃の踏み台として脆弱性が残置される恐れも出てくる。現下では、インフラ事業者を含む多くの企業がこうしたサードパーティリスクを抱え込んだ結果、セキュリティ上の課題がこれまでにも増して著しく増大していることを改めて認識する必要がある。
従来から企業では情報システムの開発に際し、ITベンダー側の財務状況はもとより経営者の信頼性などについても十分に考慮されてきたことだろう。ただし、ITベンダーの開発体制が再委託、再々委託といった重畳的な体系へと移行する中で、企業としては再委託先などのチェックが十分に行き届かなくなる可能性も否定できない。とかく大規模システム開発などの場面においては、テンポラリーなスタッフを短期で大量雇用し、当該スタッフが重要システムの開発の一部を担う、といったシーンも想定されることから、委託先企業そのもののチェックはもとより、従事するスタッフ一人一人の属性チェックも今後は欠かせない。これは前述の中国における国家情報法の施行なども踏まえた、最低限配意すべき事項である。
重要技術情報の海外漏えいリスクが急拡大
サードパーティリスクに加えて、わが国の戦略的自律性と戦略的不可欠性の確保に重大な影響を及ぼしうるもう1つのリスクとして、重要技術情報の海外漏えいを指摘することができる。戦略的自律性の観点では、基幹インフラの安定的な提供を脅かすランサムウエア等によるサイバー攻撃において、対象を的確に見定め、基幹インフラに重大なインパクトを与えるために、海外の攻撃者が基幹インフラの重要設備およびその制御系の技術情報を不正に収集することが想定される。
さらには、戦略的不可欠性の観点では、わが国産業の顕著な優位性を決定付ける重要技術情報や、わが国の安全保障を脅かす核兵器等の大量破壊兵器の開発等につながる機微な発明情報が海外に流出することが危惧されている。
サイバー攻撃によって重要技術情報が海外流出することへの懸念が急拡大したことには背景がある。実は、重要技術情報の海外漏えいは、転職時等に人手で持ち出されるという内部不正が中心であり、現在でもその状況は変わっていない。例えば、2010年代前半に1千億円以上の賠償請求規模で民事訴訟が提起された新日鉄住金vsポスコ事件、東芝vsSKハイニックス事件は、重要技術情報が海外に漏えいした事件としては象徴的であり、その事業リスクの大きさを経営者や社会に強く印象付けることになったが、これらも内部不正が原因であった。他方で、次の3つの条件が揃うことで、今後は重要技術情報がサイバー攻撃によって海外に漏えいする事件が急増することを危惧している。
①重要技術情報につながるキーマンに焦点を絞った標的型攻撃の常態化。
②国家主導のサイバー攻撃:サイバー攻撃全体の1~2%は国家主導との分析がある。地政学的リスク(例:ウクライナ情勢とロシアへの経済制裁)がこれに大きな影響を及ぼすことも否定できない。
③サプライチェーン攻撃(取引先、グループ企業、〔OSS〕オープンソースソフトウエア等を踏み台とする攻撃)の急増。
もしこのような状況が現出すれば、わが国経済の長期的低迷を狙って、サイバー攻撃により、わが国産業の優位性を決定付けるような重要技術情報を持続的に窃取しようとする動きが顕在化してもおかしくはない。
サイバーセキュリティに関して本邦企業が取り組むべき課題
民間企業がまず取り組むべき対策の基本としては①標的型攻撃によるマルウエアの送り込みからの防御、②企業ネットワーク内での攻撃行動の横展開の困難化、③事後対策の強化、の3つがある。
標的型攻撃については、スピアフィッシング・ビッシングなどが企業を悩ませており、攻撃が高度化して対策を難しくしている。横展開については、重要設備や重要技術情報を攻撃や漏えいから守るために社内ネットワークの中でも最も近づきにくい場所に置く等が求められている。さらに、ランサムウエア攻撃の技術とインフラは目に見えて進化しており、三重脅迫型(暗号化と秘密データ公開で脅し、身代金支払いに応じるまでDDos攻撃で攻め立てる)まで登場した。万一こうした被害を受けた場合にどのように対応し、基幹インフラの役務提供をどうやって維持するかを事前に計画しておくことで、事後対応がスムーズに進む可能性が高まる。
さらに、上記の基本対策をサプライチェーンに拡大することが喫緊の課題だが、その実現にはかなりの困難が見込まれる。取引先・グループ会社が標的型攻撃やランサムウエア攻撃を受ける事件が急増しており、その防御強化は待ったなしだが、取引先の支援や国が提供する中小企業向けセキュリティ対策ツール(SECURITY ACTION、サイバーセキュリティお助け隊サービス等)の活用奨励は、まだ一部の大企業に限られているようだ。
横展開を断ち切るため、取引先、グループ会社やOSSを踏み台にしたマルウエア侵入の防止が必要だが、検査や委託先監督等の徹底にはまだ遠いのが現状である。