以前本誌で、AGC株式会社が DMARC で reject ポリシーを設定した取り組みについて記事を書いた。その取材で最も印象に残ったのは、同社の谷口達郎氏が最後に語った次のような言葉だった。
「今後みんなが DMARC を reject にすれば、飛び交うメールの安全性は高まっていきます。サイバー攻撃を行う人は合理的に考えるので、狙ってこなくなる可能性もある。みんなで集団で取り組んでいく必要がある」
「みんなで集団で取り組んでいく」この言葉がずっと引っかかっていて、それは単に「みんなで頑張ろう」「みんなちゃんとしよう」といった精神論ではない深みが感じられたからで、しかしその深みの正体が何なのかを掘り下げることは、そのときの取材の趣旨ではなかった。その後 Interop Tokyo 2025 で経済産業省の審議官の講演を取材した際、同じことを別の言葉で表現しているのに出会った。講演者が用いたワードは「コレクティブ(collective:集団の、共同の)」だった。
そこでは「コレクティブ」、すなわち集団での取り組みを、フレームワークとして仕組み化する試みが語られており、聞いていて「これだ」という手応えがあったので、取材からだいぶ日が空いてはいるのだが、短いレポート記事として、こうして残しておきたいと思う。
● 安全保障畑の感じた違和感
『産業分野のサイバーセキュリティ政策について』と題されたセッションに登壇した経済産業省 大臣官房審議官(商務情報政策局担当)奥家 敏和 氏のキャリアは一貫して安全保障である。
東日本大震災後の最初のエネルギー基本計画策定に携わり、輸出管理と対内投資を扱う安全保障貿易管理政策課長を経て、2017 年からはサイバーセキュリティ課長を 4 年間務めた。管理職になって以降、マクロ経済政策以外はすべて、安全保障に関わるポジションを歩いてきた人物だ。
安全保障畑を歩んできた奥家氏が 2017 年にサイバーセキュリティの世界に入って最初に感じたのは、根本的な 2 つの欠落だったという。それは、リスクベースの考え方とコレクティブな取り組み。この 2 つが「徹底的に抜けている」というのが、着任時の率直な印象だったと奥家氏は語った。
● 達成のパーセンテージは必ずしも重要ではない
1 つ目の欠落であるリスクベースについて、奥家氏はこう説明した。
当時のセキュリティ対策はチェックリスト偏重だった。100 個のチェック項目があって 90 個達成したら 9 割できている、という捉え方が主流だった。しかし安全保障の発想からすれば、これはほとんど意味がない。侵入されて A ポイント、B ポイント、C ポイントを突破されてダメージ X が出る。この経路上の 3 つのポイントが全部開いていれば、残りの 97 項目が完璧でも致命的なダメージが出る。逆に、全体の達成率が 80 % であっても、ダメージ X に至る経路上のポイントさえ押さえられていれば、セキュリティ対策として有効である。
では、何がダメージ X にあたるのか? ここで生まれるのが次のような問いだ。
「あなたやあなたの会社が、社会に対して提供していること、価値、一番守らなければいけない価値は何なのかを理解してないと、実はセキュリティ対策ってできないんですよね(奥家氏)」
こうした、リスクから逆算して優先順位をつける考え方について、奥家氏が着任した 2017 年当時は議論されることが少なかったという。チェックリストを埋めていればいいという空気が強かった時代だ。
しかし本講演の核心はここではない。
● ISMS は病院を守らなかった
奥家氏が 2 つ目の欠落として挙げたのが「コレクティブな取り組み」の不在だった。
いくら自社で「しっかりやって」「ISMS を取って」も、取引先が対策を怠っていれば、そこを経由してマルウェアをもらってしまう。
講演の中で奥家氏は、ある病院が給食供給のサービス事業者を経由してマルウェアに感染し、機能停止に追い込まれた事例に触れた。この事例の本質は、病院が取得していた ISMS 認証は、病院をなんら守ってくれなかったということに尽きる。
2017 年当時のセキュリティ対策は、単体レベルの指導に終始していたという。「『自社はやっている』『当社も対策済みだ』という相互確認だけではセキュリティは確保できないにもかかわらず、単体レベルの取り組みしか進んでいなかった。グループ全体で何をやるかという議論が必要なのに、そうした議論がほとんどなかった(奥家氏)」
では経産省は、この構造的課題にどう取り組もうとしているのか。
