日本企業に染みついた残念すぎる｢サイバー対策｣ セキュリティ部門にブレーキかけているのは？

2023年3月、警察庁、総務省、経済産業省、NISC（内閣サイバーセキュリティセンター）、JPCERT/CC（JPCERTコーディネーションセンター）などが事務局を担うサイバーセキュリティ協議会における検討会から「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が策定された。

サイバー攻撃を受けた際に情報を共有する意義や、公表のタイミング、内容についてまとめたものだ。しかし、これを策定したNISC自らが、ガイダンスを軽視した行動をとるという皮肉な事態が起こる。

NISCは2023年8月、電子メール関連システムからメールデータが漏えいした可能性について公表した（写真：編集部撮影）

同年8月、NISCは電子メール関連システムからメールデータが漏えいした可能性について公表したが、そのタイミング、内容ともにガイダンスにのっとっているとは言い難いものだった。ガイダンスは、他社が利用可能な情報として不十分なものであったといわざるを得ない。

現在、日本は、2021年に設立されたデジタル庁のリーダーシップにより、関係する政府機関やその他の公的機関が社会全体のデジタル化を推進している。

一方、デジタル化の進展によりサイバー攻撃の発生を許す領域が拡大しているにもかかわらず、広範なデジタル環境を網羅的に観察し、リスク発生の予測やアラートなどを提供する国家機関が存在しない。

自然災害対策では、気象庁や消防庁がその役割を果たしているが、サイバー攻撃対策は、複数の省庁における特定部門に分散しており、組織全体としての総力をあげて対処する仕組みにはなっていない。

公助なく｢自助と共助」で乗り切るしかない日本企業

つまり、大規模なサイバー攻撃が発生した場合、政府機関による「公助」は期待できず、日本企業は「自助」と「共助」で乗り切るしかない。

万が一、日本の企業が、サイバー攻撃により一定数の個人情報を流出させたり、重要インフラサービスに障害を発生させたりした場合、所管する政府機関から法に基づく要請等を求められることになり、さらに厳しい状況に陥ることになる。

日本の企業には、旧来の慣習や仕組みが堅牢に残り続けており、それらに影響を受けていると思われる経営層の意識は、ちょっとやそっとでは動じないものなっている。

それは、日本の行政機関も同様であり、最近のサイバー攻撃に対抗できる仕組みにはなっていない。さらに、官民連携も本質から外れた目的設定で形（ハコモノ）を作ることを優先している姿勢が各所でみられる。

ここ数年のサイバー攻撃の変化は、従来の「高度化・巧妙化」という言葉では適切に言い表せないほどの速度と規模で進展している。これをいかに詳しく伝えたとしても、それを通読することに関心を持つのは「現場で対応を任されているセキュリティ部門」くらいである。

こうした日本の企業や行政機関の実情を眺める限り、セキュリティ部門は今後いよいよ困ることになると考える。そこで、ここでは、セキュリティ部門の真摯な努力に無自覚にブレーキをかけてしまっている企業の経営層や行政機関の中枢を念頭に、筆者が強く感じている状況をお伝えした次第である。

著者フォローすると、名和 利男さんの最新記事をメールでお知らせします。