さらにＡＩの取り扱い、特に急速に発展する生成ＡＩをいかに適切に使うかが問われています。そこで現在、総務省と経済産業省合同で『ＡＩ事業者ガイドライン』を策定しました。〝事業者〟を、ＡＩの開発者、提供者、利用者に分類し、各位が何に気を付けてもらいたいのか、個別に項目を整理しています。例えば利用者の場合、「安全を考慮した適正利用」「バイアスに留意し、責任をもって出力結果の利用を判断」「プライバシー侵害への留意」「関連するステークホルダーへの情報提供」「提供された文書の活用、規約の遵守」などを列挙しています。

　なかでも、この生成ＡＩは何をベースに作成されたものなのかが不明、という場合が問題視されています。インプットされる情報に事実でないものが含まれていても、それを前提に出力されてしまいますので、生成ＡＩがどこまで正しいことを学習しているのかリスクとして認識しておくべきですし、生成ＡＩを利用する際にも何らかの規約を基に使用すべきだと思います。

　そして、サイバーセキュリティのテーマで盛んに議論されるのが先ほど申し上げたサイバー安全保障、その中でも能動的サイバー防御について、です。特に、今後強化すべき点、あるいは現状では対応が未整備でこれからチャレンジしようとする点などが以下の３点です。

　①官民の情報共有に関し、政府から民間事業者に対する対応・調整・支援がさらに必要です。例えば関係省庁が所管事業者に対し、直接支援や支援の調整に乗り出す仕組みは今のところ十分と言える状態ではありません。それ故に、重大事案発生時に支援する態勢、もしくは関連するセキュリティベンダーやＩＴベンダー各位に協力を要請してそこから支援してもらう、というケースも考えなくてはいけません。

　②欧米豪などでよくみられる手法ですが、サイバー攻撃者が通ってきたであろうネットワークの中の情報を活用して攻撃者に迫ろうとする、という対策の確立です。これは通信事業者における通信の秘密との整合が問題になるため、それに対する配慮はもちろん法律上の手続きも制度化する必要があります。逆に言うと、そうした法制度化を図らねばもはや攻撃に対抗できないのも確かですので、現状の議論はやはり手続きを構築すべきという方向になっています。

　③重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする、という点です。が、この行為は現在、不正アクセス禁止法によって明確に禁止されています。従って、こうしたことが可能となるようにするだけでも新たな法律が必要となります。法律上、政府に未然に措置を講じる権限が無いと分かるだけで、攻撃者を利することとなりかねないため、その手段を講じることも重要です。

中期重点方針における主要ポイント

　このほど、総務省においてサイバーセキュリティの中期重点方針が策定されました。霞が関でサイバー関連の省庁はいくつかありますが、その中でも総務省は、サイバー空間の基盤たる情報通信ネットワークを守ることが、強く求められていると考えています。その前提をもとに中期重点方針では、ネットワークの安全性・信頼性をいかに確保するべきか、研究開発で得られた新技術などサイバーセキュリティの対応能力をどう保持し伸長させていくか、地域におけるサイバーセキュリティをどのように底上げするか、人材育成支援を含めた国際連携をどう進めるべきか、等々が主要な柱として位置付けられました。

　以下、個別の事案を例にみてみましょう。

　一つ目がＮＩＣＴによる、セキュリティに不備があるＩｏＴ機器の調査についてです。以前、いわゆるＤＤｏＳ攻撃の発信源が日本国内にあり、その原因がＩｏＴ機器におけるＩＤパスワードの不備によるもの、と判明した事案がありました。ＩｏＴは街中の防犯カメラや工場のオートメーション機器、家庭用ルーターまで多岐にわたり、いずれも平素は管理状況があまり認識されないことがもっぱらです。そこで見えざる攻撃や脆弱性の有無をチェックするため、２０２３年に根拠となる法律を改正し、ＩＤ・パスワード以外の脆弱性を有する機器や既にマルウェアに感染している機器も観測対象に組み入れました。問題を検知すると電気通信事業者（ＩＳＰ）を通じて、個人も含め利用者に注意喚起を呼び掛けます。このように、ユーザーの方に直接届くメカニズムを有しているのは大きなポイントだと思います。さらに現在は、メーカー各社からファームウェアの一斉アップデートをかけるなどのご協力をいただいています。

　二つ目、ＮＩＣＴ内部に設けたサイバーセキュリティに関する産学官の結節点『ＣＹＮＥＸ』（サイネックス）の高機能化について。ＮＩＣＴでは内部にサイバーセキュリティ研究室を設置しており、その成果を各種演習・トレーニングセンターに提供する一方、観測網をもとにさまざまなデータを収集しています。実は日本国内に、サイバーセキュリティに係るＩＴ機器そのものだけではなく、日本発のサービス、さらに言えば内部メカニズムを把握できているサービスが非常に少なく、インシデント情報などを収集できないという問題意識をわれわれは持っています。政府機関で使っているパソコンへの攻撃情報は、われわれより先程のＩＴベンダーの方が把握しており、詳細な情報を入手するには有償の場合もあるという状況です。これを打開するために、『ＣＹＮＥＸ』でデータを収集し、枠組み内の参加者各位で共有して新しいサービスの創出につなげたいと考えています。またサイバー攻撃の手法は日々変化しますので、観測網で得られた知見を演習部門に投入して有効活用するというエコシステムを回転させていく、これが同枠組の最大の要点になります。

　三つ目。ＮＩＣＴ内部に「ナショナルサイバートレーニングセンター」を設置し、各種演習等を通じてセキュリティ人材の育成を図っています。特に国機関・地方公共団体・独立行政法人等を対象にした「ＣＹＤＥＲ」（サイダー＝実践的サイバー防御演習）では、全国の会場で年間計１００回、計３０００名規模で演習を実施しており、２０１７年の開始以後、述べ２万名が受講しました。近年では医療機関における人材育成が急務となっており、同分野に特化したプログラムを組んでいます。来年以後は、プロバイダの方々からそのプログラムを提供してもらうようにするつもりで、今後は医療以外の他分野についても同様の方式で育成を図りたいと思っています。また東京オリパラの経験をベースに現在、２０２５年大阪・関西万博関連組織を対象とした「万博向けサイバー防御演習」も集中的に行っているほか、25歳以下の若手を対象とした1年間にわたるトレーニングコース「セキュリティイノベーター育成プログラム」も実施しています。同プログラムでは、メンターの方からモラル・規範についても教示するのが大きなポイントとなっています。

　最後が国際連携です。例えば前出の「ＣＹＤＥＲ」の英語版をＡＳＥＡＮ各国に提供する日ＡＳＥＡＮサイバーセキュリティ能力構築センター（ＡＪＣＣＢＣ）をタイに設置し、米英豪からも教材を集めるマルチコンテンツの場を整備しています。この取り組みが軌道に乗ったため、昨年からはオセアニア諸国にも同様の枠組みで提供を開始しました。今後はＪＩＣＡさんの協力を通じて、半恒久的な提供が可能かどうか、枠組み作りを通じて人脈づくりや関係強化ができないか、探っていきたいと思います。

適切な報告に対しては褒める

　以下、最後に私見としまして、過去に発生した事案を参照に現段階で思うところなどをいくつか。基本的に各企業がどういうＤＸを進めようとしているのか、使用している情報手段は何か等によって、サイバー攻撃への対策内容は変わってきます。それ故、経営層においては自社が進めるＤＸに応じたサイバー攻撃のリスク、すなわち拠って立つシステムやサービスが機能停止したとき、わが社の業務にどのような影響が生じるか概要を認識しておく必要があります。次いで経営層の下部に当たる部門では、もう少し具体的なリスク分析をしておくべきでしょう。

　かなり昔ではありますが、とあるコンサルティング企業が各国の企業を対象に、時間とコストをかけてサイバーセキュリティを施した翌年にどんなチェックをしたのかアンケートで質問したことがあります。そのとき、約８割の日本企業からは「対策の効果について評価していない」という回答が寄せられた、とのことです。これに対して全世界では約６割が何らかのチェックをしているとの回答でした。さらに日本では、評価をしていない、できないために翌年からセキュリティの投資が減ったという声も少なからずありました。

　やはり経営の一部としてセキュリティが位置付けられる以上、下部部門では経営層に対して少なくとも投資に対する効果を説明できるようにする、セキュリティの実務担当者はリスク分析の結果を把握していて問題発生時には事態の軽重を判断し、すぐに経営層に状況を報告できる体制をとる、等々がリスクマネジメントとして求められるところです。当然、これらの体制を構築するには演習や訓練が不可欠ですが、その場合、セキュリティが円滑に機能したという想定の訓練は意味が無く、状況の局面変化ごとに障壁に直面するという設定でないと気付きは得られません。このような観点も踏まえ、政府は重要インフラのサイバーセキュリティに係る行動計画を見直し、２０２２年に新たな計画を策定しました。

　とはいえこうした高水準のサイバーセキュリティの構築は一つの理想論で、現実に実施はなかなか難しい。まずは足下の対応として、自分がどのような時価評価の資産を有しているのか把握しておく、管理者のアクセス権確立と使用権限を明確化しておく、リモートワークの場合に画面の向こう側に問題が無いか状況をチェックする、クラウドの利点と欠点を理解しておく等々からはじめていくのが良いかと思います。何より経営層にお願いしたいのは、セキュリティ担当者から適切な報告が上がってきたときは、ぜひ褒めてあげてください。怒るとむしろ報告が上がってこなくなり、リスク要因を増やすことになります。

　ＤＸ推進の現在、インターネットにつながっている以上、サイバー攻撃のリスクは決してゼロにはなりません。常に最悪の事案を想定したＢＣＰ（事業継続計画）や緊急時対応計画の策定をお奨めいたします。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　(月刊『時評』2024年12月号掲載)