官民連携が必須｢日本のセキュリティ｣の現在地

企業は経営層と現場の橋渡しができる人材を確保して

――日本のサイバーセキュリティレベルは世界の中で、どれくらいの実力がありますか。

谷脇康彦（たにわき・やすひこ）
インターネットイニシアティブ（IIJ）取締役副社長
内閣審議官・内閣サイバーセキュリティセンター（NISC)副センター長、総務省情報通信国際戦略局長、政策統括官（情報セキュリティ担当）、総合通信基盤局長、総務審議官などを経て2021年退官。2022年IIJ入社、同年6月より現職。デジタル政策フォーラム（DPFJ)顧問なども務める（写真は本人提供）

各国とも自国の防御能力に関しては明らかにしていません。ただ、専門家の間ではアメリカ、中国、ロシアといった国々は、相対的に能力が高いと言われています。一方、日本では官民ともにサイバーセキュリティへの意識や対策、専門人材の育成についてはまだ不足している状況だと言えます。

とはいえ、デジタル化が進んだコロナ禍以降、少しずつですが、サイバーセキュリティへの意識改革は進んでいます。病院などでデータを”人質”に取られるランサムウェアの被害が出たことも対策の必要性についての意識向上につながっていますが、実際の対策についてはまだまだ途上にあるように見えます。

――日本の経営者のサイバーセキュリティに対する意識も低いと考えるべきでしょうか。

サイバーセキュリティに関しては、充分な知見を有しているとは言えない状況にあると思います。しかし、経営者の方々が必ずしもすべてを知っておく必要はありません。もし重大インシデントが発生したとき、経営者として判断すべきことは何かを予め明確にしておくこと、そして、現場と経営層との間の橋渡しができる人材を充実させていくことが重要になります。

また、サイバーセキュリティ対策ではすべてを自前で揃えるのではなく、第三者の力を借りることも欠かせません。例えば、外部のセキュリティ監査やSOC（Security Operation Center）サービスを利用するとか、サイバーセキュリティ保険を活用するといったことが重要になります。

――業界によって、サイバーセキュリティに関する濃淡はありますか。

もちろんあります。ただ、国では重要インフラとして、通信、電力、金融、鉄道など14分野を指定しており、これらは社会経済活動の基盤であって狙われやすいということもあり、他分野より比較的高いセキュリティレベルを維持するよう対策が講じられています。

――もし日本国家のサイバーセキュリティ意識や対策に脆弱性がある場合、国内企業にどのような影響を及ぼす恐れがありますか。

最近ではデジタル化に伴い、国や地方自治体、民間のシステムが相互に接続されたり、データを頻繁にやり取りしたりするケースが増えています。その際、攻撃側は脆弱性のあるところから侵入し、被害を拡大していきます。その意味では、全体として脆弱性を最小化していく必要があります。