デジタル経済安全保障、知っておくべき最新事情
企業活動にも影響、オフショア委託対応も不可欠
- リスク対応
- グローバル
- 人材戦略
重要インフラへのサイバー攻撃や、国際紛争にデジタル技術を使う動きが増えており、デジタル安全保障は国家にとって取り組むべき課題となっている。日本政府は法制化に向けた取り組みをスタートし、米国など諸外国との連携も強化している。これらの問題は政府だけでなく、企業活動にも影響を及ぼす。例えば他国にシステム開発を委託するオフショア開発のリスクをどう考えるか、といった問題がある。企業におけるデジタルの安全保障はより広い視点で考えることが必要になっている。
2024年9月、自民党の経済安全保障推進本部やデジタル社会推進本部などが共同で、「サイバー安全保障政策の方向性に関する提言」を取りまとめた。
提言の柱は「官民連携」「通信情報の利用」「アクセス・無害化措置」の3つだ。1つ目の官民連携については、基幹インフラ事業者などに対しサイバー攻撃の被害防止に必要な情報を政府が率先して提供するべきとしている。重要な基幹インフラ事業者がサイバー攻撃に関する予兆を認知した場合には、政府に報告することを義務付けるべきともしている。
2つ目の通信情報の利用については、外国政府が関与する高度で重大なサイバー攻撃に対処するには、政府による通信情報の利用が欠かせないと訴える。必要最小限の範囲や、通信利用者の同意がある場合などに限り、政府が通信情報を収集・分析することを認める法整備を求める。
3つ目のアクセス・無害化措置とは、重大なサイバー攻撃の未然防止や被害拡大防止のため、状況に応じた措置を即時に実施できるようにするためのものだ。被害が発生してから令状を取って操作するといった従来の刑事手続きの形ではなく、防衛省や自衛隊、警察が実施主体となり、即時で必要な措置を取れるよう求めている。
この提言にあるように、サイバー空間の安全保障を意味する「サイバー安全保障」という言葉もよく使われるようになってきた。デジタル安全保障と近い意味ではあるが、対象をサイバー空間に絞った、より狭い範囲を指す言葉として用いられている。
サイバー安全保障の
取り組みが国内外で進む
国外においても、サイバー安全保障は大きな課題となっている。米国では2024年3月、バイデン政権が「飲料水や下水道システムはサイバー攻撃の格好の標的だ」と各州知事に注意を促した。飲料水や重要インフラへの不正アクセスが続いたことが理由だ。
2023年5月には米マイクロソフトが、中国政府の支援を受けたハッカー集団「ボルト・タイフーン」が米領グアムや米国本土の重要インフラを標的としたサイバー攻撃をしていると発表した。
ウクライナ戦争においては、ロシアがウクライナの首都キーウ(キエフ)にある監視カメラをハッキングしていたとウクライナ保安局(SBU)が発表した。ロシアは画像情報を使って付近の重要インフラ施設を偵察し、2024年1月の大規模なミサイル攻撃を展開したとされる。
日本政府は2022年12月に決定した国家安全保障戦略で、「サイバー安全保障の対応能力を米欧主要国と同等以上に向上させる」とした。その一環として、2024年6月からサイバー攻撃を未然に防ぐ「能動的サイバー防御」の法制化へ議論を始めた。
能動的サイバー防御とは、重大なサイバー攻撃の恐れがある場合に、相手サーバーに侵入するなどして危険を未然に排除することだ。冒頭の提言は、この能動的サイバー防御についてのこれまでの議論をまとめたものである。
サイバー安全保障のための取り組みは、国内だけでは完結できない。日本が国外で進めている取り組みの1つが、海底ケーブルでつながる太平洋島しょ国の支援だ。これらの国々は、日米の間の海底ケーブルの中継地点だ。
2024年2月には、総務省がパラオなど5カ国と米領グアムを対象にサイバー防御の演習を初めて実施したと発表した。各国のサイバー人材の育成を促すのが狙いだ。その後、対象国・地域を16に増やして、2024年度中に2度、追加で実施することが決まった。米国からも講師を派遣してもらうなど、様々な形で協力を得るという。
こうした取り組みを進める背景に、中国が太平洋島しょ国に接近していることがある。仮に太平洋島しょ国がサイバー攻撃を受けると、それらの国の機器を踏み台に日米の政府機関や企業がサイバー攻撃を受けたりする可能性があるのだ。
地政学的リスクが
オフショア開発に影響
ここまではサイバー安全保障ついての直近の動きを紹介してきた。国家レベルの取り組みが進んでいる一方で、「デジタル関連の安全保障全般」を指すデジタル安全保障の視点で見ると、対策が不足している部分が残っている。
その1つが、日本企業が進めるオフショア開発における、委託先の国の地政学的リスクだ。例えば、これまで日本企業は多くのオフショア開発を中国に委託してきたが、現在は中国と西側諸国が緊張関係にあり、オフショア開発についても何らかの影響があるかもしれない。
かつては東南アジアのオフショア委託先として期待されたミャンマーも、2021年2月の軍事クーデーを機に状況が変わった。新規の委託先として検討している日本企業は多くないはずだ。
オフショア委託先の地政学的リスクによって、懸念される問題はどんなことだろうか。「①委託先からの情報漏えい」、「②開発したプログラムやシステム、ハードウエアの没収」、「③突然の契約破棄」といったことが考えられる。
このうち①と②については、国家間の関係が良好な地域のデータセンターにセキュアなクラウド環境を構築し、アクセス権限などを適切に設定することである程度対処が可能だろう。
問題は③のパターンだ。無事現行の情報システムを守ることができたとしても、それまでオフショア委託先に保守・運用を委託しているようであれば、ノウハウが失われて業務が立ち行かなくなってしまう。引継ぎなどがされない中で他のITベンダーに保守・運用を再委託するのは大きな困難がともなうはずだ。
そもそも日本でIT人材が確保できないためにオフショア開発を利用しているケースも増えてきている。そのため、仮に再委託先を探すとなると国外のITベンダーしか見つけられないこともあるはずだ。その場合、再委託のハードルは更に高くなる。
こうした課題に対応するには、委託先の地政学的リスクを見極めることや、再委託に備えて業務やシステムのドキュメント化を進めること、複数地域のオフショア開発を併用することなどが考えられる。
オフショア開発の問題は、企業にとってはデジタル安全保障を確保する上で欠かせない部分だ。今後更なるIT人材の不足が予想される中で、より深刻な課題になる可能性が高い。サイバー攻撃への対策などと同等の重要な取り組みとして、対応を考えていくべきだろう。
