サイバーセキュリティは国民の義務

20年前のエストニアと今の日本のちょっと気がかりな類似点

サイバーセキュリティの重要性は、高市首相も日本の最重要課題の一つとして挙げるほどで、今さら言うまでもありませんが、個人や企業がシステムのウイルス感染を防ぐレベルから、国家の存続レベルにまで、サイバー攻撃の脅威は拡大してきています。ウクライナ戦争でも、従来の物理的な攻撃（建物へのミサイル攻撃など）に加え、サイバー空間でもさまざまな攻撃が仕掛けられているといいます。

しかし、このような国家レベルのサイバー攻撃は、最近に始まったものではありません。たとえば、国全体を狙った最初の大々的なサイバー攻撃としては、2007年4月のエストニアに対するDDoS（Distributed Denial of Service）攻撃が有名です。エストニア中の政府組織、銀行、報道機関などが一斉に攻撃を受けて国全体が麻痺し、22日間にわたって被害が続きました。

DDoS攻撃は古典的なサイバー攻撃と見なす向きもあるようですが、2024年の12月には日本航空（JAL）と三菱UFJ銀行も被害に遭っており、同時多発テロ的に仕掛けるサイバー攻撃としては、その脅威は減るどころか増えています。

なぜ今、20年近く前のエストニアの被害を話題に挙げたかというと、日本と比較して、気になる点が２つあります。

まず、当時、エストニアは決してIT後進国であったわけではなく、むしろ国を挙げてのDXで先端を走っていた点です。エストニアの英語表記はEstoniaですが、当時e-Stoniaというニックネームが付けられるほど、公共サービスのさまざまな手続きがいち早く電子化されていました。

今、日本では公共サービスの電子化が普及しつつありますが、言うなれば20年前のエストニアにようやく追いついてきた状態です。

日本の遅れぶりに不満を漏らしたいのではなく、エストニアが急速なDX化のあとで狙われた、という事実が今の日本に重なるようで、それに警鐘を鳴らしたいのです。

昨年、アサヒグループがランサムウェア攻撃を受けてアサヒビールの出荷が一時期完全に停止された事例はまだ記憶に新しいところです。アサヒグループも全社的なDXの取り組みが進んだことが逆にあだとなり、被害が拡大してしまったと報じられていました。

企業にしても国にしても、DX化が進み、その変化にまだ慣れていない時期は狙われやすいということです。20年前のエストニアや昨年のアサヒグループがまだ慣れていなかったかどうかは判りませんが（すべて順調だったのかもしれませんが）、日本がまだ慣れていないという点については同意する人が多いのではないでしょうか。

二つ目の気になる点は、エストニアが国家レベルでサイバー攻撃を受けたきっかけです。

エストニアの首都タリンの街の中心部には旧ソ連兵士の銅像があって、エストニア人の多くは旧ソ連による占領と抑圧の象徴と見なしていたそうです。一方、ロシア人の多くはその銅像を、ナチス・ドイツからエストニアを解放した英雄と考えていたといいます。2007年4月のサイバー攻撃のきっかけは、エストニア政府によるこの銅像の撤去です。

つまり、国家間の対立を呼ぶような国内の重要な変更は、対立そのものが内政干渉にほかならないのですが、内政干渉であるからこそ物理的な攻撃ではなく、サイバー攻撃の呼び水になりやすいという点です。

これを日本に当てはめて思いつくのは、憲法改正です。言うまでもなく、憲法改正の是非はまったく別の問題です。それで他の国がサイバー攻撃を仕掛けてきたら、100％その国が悪いのも言うまでもありません。

こわいのは、そのような国内の変更事項に異を唱える他国があったとして、たとえその国の政府がサイバー攻撃を組織しなくても、その国と軌を一にする大勢のハッカーが自主的に結集して、世界中から一斉攻撃を仕掛けてくる可能性も否めない点です。実際にエストニアの件がそうであったらしいです。ロシア政府が裏で…という見立てもありますが、ロシア政府は否定しており、真偽のほどは定かではないですが、大勢のハッカーが自主的に結集した面は確かにあったようです。

高市政権が絶対安定多数を得た今、憲法改正への機運も高まってくるようですが、ことサイバーセキュリティに関しては、すべての政府機関や企業・団体とその職員、そしてすべての国民が十分に気を引き締めなければなりません。積極財政の投資によってサイバーセキュリティがどのように強化されるかわかりませんが、たとえ盤石に強化されても、それを構成する一人ひとりの意識が伴わなければ意味がありません。盤石なシステムの中のごくわずかな脆弱性のように、万全のセキュリティ体制を整えた組織の中に誰か一人でも、ついうっかり「脆弱性」的な振る舞いをしてしまったら、万全のセキュリティがその小さな一つの穴から綻びはじめます。具体的には、AIを駆使して高度にパーソナライズされたフィッシングやディープフェイクに、誰一人として引っかかってはいけない、ということです。

現実には、人のミスは完全には避けられないので、すべての組織にはコンティンジェンシープランが不可欠です。システムの頻繁なバックアップと入念に準備された復旧プランが重要で、そのプランをいつでも実践できる体制にしておかなければなりません。結局のところ、リスクを極力減らすことと、起きてしまったときの対策を整えておくことの両翼のアプローチを徹底するしかありません。

関連トピックス

• JALと三菱UFJ銀行のサイバー攻撃被害について（雑感）
• サイバーセキュリティにはお金がかかる、は本当か？
• 高市政権が進めるサイバーセキュリティの取り組みについて
• サイバーセキュリティ英語格言集
• 自治体必須の「ネットワーク分離」を低コストで実現【Acopps HySecure】
• 能動的サイバー防御法の成立について（雑感）
• ヨーロッパ各地の空港で生じたシステム障害について
• Webセミナー録画とプレゼンテーション『高まるテレワーク需要をセキュアに実現！ホットなVDIソリューションをご紹介』：2020/3/10 開催
• AI推進法の成立について（雑感）
• セキュリティ戦略における3つの誤解