この記事のポイント
- サイバー犯罪はローリスク・ハイリターン
- 暗号資産のマネーロンダリング防止の動きはグローバルに連携
- 善人と悪人が共存していることを理解することがサイバーセキュリティの大前提
「帳簿」が開いたセキュリティの世界の扉
まずは丸山さんの現在のお仕事について教えてください。
PwCコンサルティングのサイバーセキュリティ&プライバシー領域おいてナレッジのコアとなるCoEチームに所属し、過去のインシデント事例や各国における法規制の比較や議論など、日々変わりゆくサイバーセキュリティ関連の情報をキャッチアップしています。また、2022年10月に創設したシンクタンク部門「PwC Intelligence」で、サイバーセキュリティ領域を担当しています。同部門では、サイバーセキュリティのほか、マクロ経済、サステナビリティ、地政学リスク、テクノロジーを重点領域に設定しており、各領域の有識者が提供するインサイトやデータ分析をもとに、グローバルトレンドや業界の知見も取り入れながらビジネスに関わるリスクや影響を分析しています。
丸山さんは、会計監査の分野からキャリアをスタートされているそうですね。なぜサイバーセキュリティに携わられるようになったのでしょうか。
きっかけとなったのは、若手時代に経験したある1つの仕事でした。当時、私は監査人の立場から、工場の出荷伝票と経理の伝票を突合する手続きを担当していたのですが、それらのデータの格納元であるデータベースはまったく同じもの。違いといえば、データを出力するプリンターが工場側にあるか経理側にあるかだけですから、本質的には意味のある手続きではありません。手書きでの転記ミスの有無をチェックしていた時代の名残りなのでしょうが、コンピュータが出したデータを人間が懸命に目で見て確認していることに疑問を感じ、その頃からコンピュータを使った監査、今でいうIT内部統制を考えるようになり海外へと意識を向けました。1992〜93年頃のことです。そして1998年、当時の上司にお願いして、情報システムを含む内部統制など最新の監査方法などを学ぶため、米国へ行くことにしました。その際に、アクセスコントロールやログ監視などサイバーセキュリティ関連の知見も得ました。
その後も業務を通じてIT内部統制やサイバーセキュリティを学び、2000年代初頭に日本へ戻って来ました。当時はちょうど旧科学技術庁などの政府のWebサイト改ざん事件が発生するなど、日本でもセキュリティ意識が高まっていた時期です。この頃、私は、ある政府関係の方と関わる機会があり、内閣サイバーセキュリティセンター(NISC)の立ち上げに参加することとなりました。
また、ISMS(情報セキュリティマネジメントシステム)制度の立ち上げにも携わりました。データセンターを持つ事業者を対象とする旧通商産業省の「情報システム安全対策実施事業所認定制度」を民間へ移行する際、さまざまな議論が行われましたが、英国の規格で後の国際規格のベースとなるBS 7799を取り入れる方針が策定されたのです。これにより、ISMSの要求事項は、国際規格であるISOでも定められています。
「サイバー空間を使う人たちは何を考えているのか」という視点
丸山さんがサイバーセキュリティ分野に携わられて以降、サイバー空間における脅威の性質や手法はどのように変遷してきたのでしょうか。
多くの人はサイバーの側から世の中を見ようとします。しかし私は、世の中からサイバーを見るというのが正しいアプローチだと考えています。たとえば、金銭目的による犯罪の場合、現在では銀行強盗やコンビニ強盗をするよりも、暗号資産の取引所を狙うほうが大金を稼げるうえに逮捕される可能性も小さいのです。つまり、犯罪者の立場から世の中を見れば、サイバー犯罪のほうが格段にリスクが低くて楽なのです。国家の安全保障のレベルでもこれと同じことがいえます。現在では、情報操作やフェイクニュースを流布することで敵対する国の政治基盤を揺るがす、といったことができます。このように、世の中の側から「サイバー空間を使う人たちは何を考えているんだろう?」という視点を持つことが大事です。
サイバー空間はかつてハクティビスト(政治的・社会的な目的のためにハッキングを行う者)やスクリプトキディ(インターネット上で公開されているツール等を利用して悪意ある行為を行う者)のような一部の人たちにしか注目されていませんでした。しかし、さまざまな活用方法があることが知られるようになり、いろいろな人たちがサイバー空間を使い始めました。次第に彼らが組織化されてくると、サイバー空間における脅威はより大規模かつ複雑化してきます。さらに、サイバー犯罪者向けのツールやインフラ開発などの新たなビジネスも生まれ、その規模はさらに拡大してきました。ランサムウェアの開発と実行を容易にするRaaS(Ransomware as a Service)などが、まさにその一例です。
そうした状況において、世界各国はどのような対策を考えているのでしょうか。
金銭目的のサイバー攻撃の場合、暗号資産のマネーロンダリングをいかに防ぐかがポイントです。米国や欧州などでは、犯罪者による資金移動を追跡できるようにするための法改正が進んでいます。マネーロンダリングへの対応はグローバルに連携することが非常に重要です。また米国には、安全保障の観点からも暗号資産の動きを追いたいという狙いがあります。現在、国際決済は基本的にはドルで行われており、この状況は米国のドル覇権と密接に関わってきました。米国としては、ドルの動きからどの国が何を購入しているかが見えますから、安全保障の観点からドルを手放したくはありません。しかし、暗号資産ではドルを回避した国際決済が可能です。これに米国は危機感を感じ、動向を注視しています。
ウクライナ情勢などを受けて発電所など重要インフラの制御システムを狙ったサイバーテロなどのリスクが取り上げられています。
私としては、それはあまり現実感のない問題提起のように思います。もちろん論理的には可能ですが、攻撃者が誰かが明らかな戦時では、サイバー攻撃よりもミサイルなどの火力による攻撃のほうが目的達成までのスピードが圧倒的に速いわけです。むしろ、サイバー攻撃が有効なのは、痕跡を残さずに諜報活動や情報操作をしたいと考える平時です。実際に平時のサイバー攻撃は活発に行われています。
サイバーセキュリティは国・個人・企業の死活問題に
こうした世界的な流れは、企業のサイバーセキュリティにどのような影響を与えるのでしょうか。
特に先端技術を扱っている企業は、サイバーの攻撃者から狙われやすいと考えられます。攻撃者は、R&D(研究開発)部門を持つ企業がどのような研究をしているのか、論文などで表に出てこないところでどのようなデータを持っているのかを知りたがっているはずです。自社にとってそれほど重要とは思われないデータでも、他の企業のデータと組み合わせることで、攻撃者にとって価値のある情報になるかもしれません。攻撃者は1つの企業よりも大きな世界観で物事を見ています。「こんなデータを盗んで何に使うの?」と思われるデータが、彼らにとっては大きな地図を構成する重要なピースの1つである可能性があるのです。それが盗まれることは、企業の将来的な競争力を削ぐことにつながりますし、社会全体としても大きなデメリットになります。
これからの企業は、サイバーセキュリティとどのように向き合っていくべきでしょうか。
本来であれば、インターネットの設計自体をセキュリティが担保されたものにしておけば良かったのですが、インターネット技術が登場し始めた当時は、セキュリティよりも回線を切らさないこと、つなげることが重要視されていました。しかも、当時は大学や軍などの特定の組織での利用が想定されていたため、本人確認の仕組みを十分に担保して行われていませんでした。それが商業用としてオープンになった途端に、さまざまな人が参加できるようになり、善人も悪人もインターネットにつながるようになりました。現在の企業に必要なことは、サイバー空間には、いろいろな人がいることを大前提として、自社の周囲をしっかりと守るという考え方に切り替えることです。最近注目されているゼロトラストはそのような価値観をベースとしています。
2023年以降のサイバーセキュリティの展望を伺えますか。
デジタル化やDXの進行によって、デジタルやサイバー空間の重要性がより高まってきています。たとえば、タクシーを利用するケースを考えてみてください。近頃はスマートフォンアプリを利用して配車を行い、電子マネーで決済できるようになりましたね。サイバー攻撃によってそれらのサービスが機能しなくなることは、社会が止まることと同義です。重要インフラの大部分は、インターネットに依存しています。サイバー空間を安全に保つことは国家の安全保障に直結し、個人の生活と密接に関連しています。サイバーセキュリティは今後、企業が成長を続けていくためにも、ますます重要な要素になっていくでしょう。
後編へ続く
(取材・文:周藤 瞳美 、写真:岩田 伸久)
最新情報をフォローする
