高市政権が進めるサイバーセキュリティの取り組みについて

高市首相が経済安保法の改正を指示したというニュースが報じられました。その内容で特に目を引いたのは、電気やガスなどの「基幹インフラ」に医療分野を追加で指定し、サイバー攻撃への対応を強化する、という点です。これによって「医療機関のコンピューターシステムをはじめとする重要設備の導入時に政府の事前審査が義務づけられることになる」そうです。「サイバー攻撃への耐性を含め設備に問題がないかを確認する」と報じられています。

この取り決めにどのような背景があるのかは、高市首相のSNSでの発信を数年にさかのぼって拝見すると、いろいろなことが見えてきます。

高市首相はサイバーセキュリティに深い見識があり、かなり前から危機感を持っておられたようです。今年5月に成立した「能動的サイバー防御関連法」も、法案の策定に積極的にかかわっていた様子が、ご本人の発言から伺えます。

この法案には、政府が基幹インフラと指定する事業者のシステムを監督できる制度が盛り込まれました。この基幹インフラは、電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、港湾運送、航空、空港、電気通信、放送、郵便、金融、クレジットカードの15業種に及ぶ、と法案成立時に報道されていました。

当時、高市首相（まだ首相ではありませんでしたが）はSNSで、医療機関が基幹インフラに含められなかったことへの強い懸念を表明されていました。自分が首相になったら、すぐに医療機関を基幹インフラに含めるよう指示したいと決意されていことが察せられます。

政府がシステムの何を審査するのか、は明確ではありませんが、首相のSNSをさらにさかのぼると、ハッカーの侵入を許す脆弱性を気にされていたことが伺えます。特に、某国に由来する製品に作為的に脆弱性が仕組まれている可能性を危惧されていたようです。そのような製品の使用をやめるよう、政府が今後、事業者に指導することがあるのかもしれません。

政府の問題意識が高まっていることは、とても好ましいことです。サイバー犯罪が国家ぐるみになっている傾向は世界的にも以前から指摘されていた問題で、政府が積極的に取り組まなければならない課題です。

ただし、政府の発信は、脆弱性への攻撃に対する危機感に重点が置かれ、フィッシングやソーシャルエンジニアリングへの危機感が見受けられない点は多少気になります。強調されていないだけで、関係組織内では十分に検討されていることと思いますが、サイバー被害の95％は、ハッカーが突然にシステムの脆弱性をついて侵入してくるのではなく、ユーザー側のミスで招き入れてしまうことが原因です。

つまり、政府指導のもと、いくらシステムの防御力を高めたところで、そこにアクセスできるスタッフの誰かが悪意ある添付ファイルを開いてしまったり、リンクをクリックしてしまったり、ふと閲覧したサイトがマルウェアを自動ダウンロードするものであったりしたら、元も子もありません。そして現実に、その元も子もない部分がサイバー被害の原因のほとんどを占めています。

ましてや「そこにアクセスできる誰か」の範囲は非常に広く、一企業内だけでなく、サプライチェーン全体にかかわるあらゆるレベルのスタッフが含まれます。極端なことを言えば、リモートワーク中のスタッフがトイレに立った隙にノートパソコンをちょっとだけ借りて検索サイトにアクセスする家族だって、その中に含まれます。

だから、システムの防御力を高めることと同様に重要なのは、サイバーセキュリティ教育です。政府主導のもとで行うには、企業のシステムを直接審査するよりも、手っ取り早く、大規模に実施できる対策です。

サイバーセキュリティ教育の重要性は、生成AIの発達とともにますます高まっています。残念ながら、現在AIの発達がもっとも効力を発揮している分野は、人を騙す手口かもしれません。ソーシャルエンジニアリングによってメールの内容の信憑性が高まり、まるで社内の関係者が書いたとしか思えないような架空メールが、本物そっくりに再現されて社員の受信トレイに届きます。

たとえば、医療機関が基幹インフラに加えられたことをきっかけに、政府の能動的サイバー防御推進本部の医療施設担当者からそれらしいメールが届き、病院の事務局スタッフがリンクをクリックしたらランサムウェアに感染して電子カルテなどがすべて暗号化されてしまうかもしれません。

声も顔も、ときどき挟まれる関西弁の愛嬌も絶妙に再現されたビデオレターが偽の高市首相から、すべての基幹インフラ事業者に届く可能性だって、考え過ぎとは言えません。

ここでポイントとなるのは、サイバー攻撃は、ハッカーが狙い定めた特定の標的にスキルを駆使してピンポイントで侵入してくるよりも、大量にばらまかれたフィッシングの餌に偶然引っかかった相手に対して仕掛けられる可能性のほうが高い点です。日本の基幹インフラを狙いたいハッカーは、全事業者の全関係者にメールを送って、そのうち一人でも引っかかればいいし、誰も引っかからなければ、それはそれで構わない、という姿勢かもしれません（推理小説に出てくる「未必の故意」というやつです）。サイバーセキュリティ教育の徹底が重要なのは、このためです。

しかし、いくらサイバーセキュリティ教育を広範囲に徹底しても、未必の故意で標的にされた大勢の中には、やはりフィッシングなどの手口に引っかかってしまう人が一人や二人は出てきます。人間なので、このようなミスをゼロにするのは不可能です。サイバーセキュリティ教育の目標は、これをゼロに近づけることであって、ゼロを想定することはできません。サイバー被害はいつかは必ず起きてしまうものと考えるべきです。

したがって、サイバーセキュリティ教育とセットで重要になるのは、サイバー被害に遭ってしまってもそこからいち早く立ち直るための「サイバーレジリエンス」です。端的に言うと、バックアップを頻繁に取って、いつでもリカバリできる体制を普段から万全に整えておくことです。

結局、バックアップは最後の命綱なので、バックアップファイル自体にもサイバー攻撃を受けてしまうこと（たとえば、ランサムウェアに暗号化されてしまうこと）は、絶対に避けなければなりません。

そのための対策としては、従来よりバックアップの「3-2-1ルール」が推奨されていますが、それをさらに補強したVeeamの提唱する「3-2-1-1-0ルール」を徹底したいところです。簡単に言うと、バックアップデータを3件、2種類のメディアに保存し、うち1件はオフサイトにする「3-2-1ルール」を以下のようにアップグレードしたのが「3-2-1-1-0ルール」です。

ルール１：データは3バージョン保管する
ルール２：保管には2種類以上のメディアを使用する
ルール３：そのうち1つはオフサイトに保管する
ルール４：そのうち1つはイミュータブル（変更不可）あるいはオフライン（エアギャップ）にする
ルール５：リカバリプロセスを定期的に検証してエラーを0にする

高市政権に変わって、政府のサイバーセキュリティへの取り組みが強化されるのは、非常に頼もしく、ありがたいことなのですが、個々の企業や団体がサイバー攻撃の脅威に晒されている現状に変わりはありません。個々の企業・団体が独自にサイバーレジリエンスを高める努力は、これまで同様、いや、これまで以上に必要度が高まっています。