地政学リスクが引き金となるサイバー攻撃の実態
現代の企業IT部門が直面するリスクは、もはや単純なシステム障害や従来の金銭目的の不正アクセスだけにとどまらない。国家間の政治的緊張が高まるたび、国境とは無関係に民間企業が攻撃の標的とされる現実が常態化している。
その最も顕著な例が、2022年2月のロシアによるウクライナ侵攻の直前に発生した一連のサイバー攻撃である。ウクライナの国防省や主要金融機関は、大規模な分散型サービス拒否(DDoS)攻撃によって機能不全に陥った。同時に、「HermeticWiper」と呼ばれる極めて破壊的なマルウェアが展開された。米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)やウクライナ政府の報告によれば、このマルウェアはコンピュータの起動に必要なマスターブートレコードを上書きし、システムを回復不可能な状態に陥らせるものであった。これは、軍事作戦の開始に先立ち、社会の神経中枢を麻痺させるために周到に準備された攻撃であったことは明らかである。
日本も決して対岸の火事ではない。台湾有事や朝鮮半島危機といった地政学的な緊張が報道されるたび、国内の防衛産業はもちろん、金融、通信、物流といった国民生活を支える基幹分野が標的となる可能性は常に存在する。サイバー空間には物理的な国境が存在しないため、攻撃は瞬時に国境を越える。さらに深刻なのは、攻撃の主体が国家なのか、金銭目的の犯罪集団なのか、あるいは両者が協力関係にあるのか、その見極めが非常に困難であることだ。攻撃の「責任の所在」は意図的に曖昧化され、漂流する。従来の延長線上にあるリスク管理手法では、もはやこの新たな脅威に対応しきれない状況が現実のものとなっている。
過去に世界を揺るがした事件は、その被害の甚大さを物語っている。2021年5月に発生した米国のColonial Pipeline事件では、石油パイプライン事業者がランサムウェア攻撃の被害に遭った。米司法省および連邦捜査局(FBI)の発表によれば、同社は事業継続の危機に瀕し、システム全体の停止という苦渋の決断を下した。その結果、米国東部全域で深刻な燃料不足が発生し、ガソリン価格の急騰、一部航空便の運航調整、物流の大混乱という社会的なパニックを引き起こした。同社は約440万ドル相当の暗号資産を身代金として支払ったが、この事件は重要インフラがいかにサイバー攻撃に脆弱であるかを露呈させた。事件後、米運輸保安局(TSA)はパイプライン事業者に対し、サイバー防御の強化と通報体制の整備を義務付ける緊急指令を発する事態となった。
2017年のWannaCry攻撃も、世界中に深刻な爪痕を残した。欧州刑事警察機構(Europol)によれば、この攻撃は150か国以上で20万台を超えるコンピュータに感染するというパンデミック的な広がりを見せた。特に英国では、国民保健サービス(NHS)が甚大な被害を受け、予約システムが停止。医師は紙のカルテを手作業で参照せざるを得なくなり、多くの手術が延期された。韓国では自動車工場の操業が停止し、中国や日本でも業務中断が相次いだ。この攻撃の背景には、米国家安全保障局(NSA)が保有していた「EternalBlue」と呼ばれる脆弱性攻撃ツールが流出し、悪用されたという事実があり、国家によるサイバー兵器の管理責任という重い問題を突きつけた。
さらに、2020年末に発覚したSolarWinds事件は、サプライチェーン攻撃という手法の恐ろしさを世界に知らしめた。セキュリティ企業FireEye(現Mandiant)の調査によれば、攻撃者はITインフラ管理ソフトウェアの正規の更新プログラムにマルウェアを忍び込ませた。その結果、米財務省やエネルギー省を含む政府機関、さらには数百社以上の大企業が、信頼していたソフトウェアを通じてバックドアを仕掛けられるという未曾有の事態に陥った。米議会はこれを国家安全保障上の重大問題として追及し、政府調達品を含むサプライチェーン全体の防御体制を見直すきっかけとなった。この深刻な反省を踏まえ、バイデン政権は2021年に大統領令EO14028を発し、2022年の米行政管理予算局(OMB)のメモM-22-09において、連邦政府機関に対し2024年度末までに「ゼロトラストアーキテクチャ(ZTA)」の導入を完了するよう厳命した。
日本国内においても、被害は枚挙にいとまがない。2020年11月、大手ゲーム会社のカプコンがランサムウェア攻撃を受け、最大39万人分の個人情報流出の可能性(うち約1.6万件は流出を確認)が公式に発表された。株価は急落し、企業のブランドイメージは大きく毀損した。経済産業省は「知的財産の流出は国益に直結する」と強い警告を発した。2021年10月には、徳島県つるぎ町立半田病院が攻撃され、電子カルテシステムが暗号化され使用不能となった。この事件を受け、厚生労働省は全国の医療機関に緊急の注意喚起を行い、「サイバー攻撃は医療安全保障の問題である」という認識が医療界全体に広がった。2023年7月には、日本の物流の心臓部である名古屋港の港湾コンテナターミナル管理システムがランサムウェア攻撃により停止し、トレーラーが長蛇の列を作り、自動車輸出などに深刻な影響が出たことも記憶に新しい。
自治体サービスも標的となっている。コンビニエンスストアでの証明書交付サービスが一時停止に追い込まれた問題や、大阪府立病院機構の大阪急性期・総合医療センターがランサムウェア攻撃により長期間システム停止に陥り、患者対応に甚大な混乱が生じた事例もある。総務省は自治体のシステムを堅牢な「ガバメントクラウド」へ移行する方針を進めているが、現場では専門人材の不足や予算の制約が大きな課題となっている。こうした事態を受け、警察庁は2022年に「サイバー特別捜査隊」を新設し、国家レベルでの捜査・支援体制の強化に乗り出している。
加速する国際連携と防御技術の進化
国境を越え、複雑化する脅威に対抗するため、国際社会は法制度の整備と国際連携の強化を急ピッチで進めている。2001年に採択されたブダペスト条約(サイバー犯罪条約)は、越境サイバー犯罪の捜査協力における最初の国際的な枠組みとなったが、ロシア、中国、北朝鮮といった主要な攻撃元と目される国々が未だに加盟しておらず、その実効性には限界がある。
こうした中、軍事同盟である北大西洋条約機構(NATO)は、2014年のウェールズ首脳会議において「重大なサイバー攻撃は集団防衛条項(第5条)を発動し得る」と明言した。これは、サイバー攻撃を従来の武力攻撃と同等に扱い、同盟国全体で防衛するという強い意志の表れである。
特に企業活動に直結する動きとして注目すべきは、欧州連合(EU)と米国の規制強化である。EUが2022年に採択したNIS2指令(ネットワーク・情報システムセキュリティ指令の改定版)は、対象となる重要インフラ事業者の範囲をエネルギー、運輸、金融、医療などからさらに拡大し、極めて厳格な義務を課した。欧州連合サイバーセキュリティ庁(ENISA)の解説によれば、重大なインシデントが発生した場合、企業は「24時間以内の早期警告」「72時間以内の詳細通知」「1か月以内の最終報告」という段階的な報告義務を負う。さらに、違反した場合の制裁金だけでなく、企業の経営層が対策の不備について説明責任を負うことも明記された。
米国では、CISAが“Shields Up”(盾を構えよ)キャンペーンを展開し、地政学的緊張の高まりに応じて官民に広く防御態勢の強化を呼びかけている。さらに法的な拘束力を持つ動きとして、証券取引委員会(SEC)が2023年7月に採択した改正規則がある。これにより、米国の上場企業は、サイバーセキュリティの重大インシデントが発生した場合、それが「重要(Materials)」であると判断してから原則4営業日以内に開示することが義務付けられた。これは投資家保護を目的としており、開示の遅れや不備が株主訴訟に直結するリスクを高めるものだ。
日本もこうした国際的な潮流と無縁ではいられない。情報通信研究機構(NICT)は「CYDER」と呼ばれる実践的なサイバー防御演習を実施し、内閣サイバーセキュリティセンター(NISC)などと連携して官民の対応能力の底上げを図っている。さらに、ASEAN諸国や米国との協力演習も拡大しており、国際協調の枠組みは2025年時点においても強化され続けている。
法制度と同時に、防御を支える技術も大きな変革期を迎えている。従来型の、社内ネットワークと外部インターネットの境界線に「城壁」(ファイアウォールやVPN)を築いて守るという「境界型防御」は、SolarWinds事件のような巧妙な内部侵入や、リモートワークの普及による境界線の曖昧化によって、その限界を露呈した。
これに代わる新たなパラダイムが「ゼロトラストアーキテクチャ(ZTA)」である。「何も信頼しない(Zero Belief)」を前提とし、社内・社外を問わず、すべてのアクセス要求を都度厳格に検証・認証するという考え方だ。米OMBが連邦機関に導入を義務付けたことは、この流れを決定的なものにした。ゼロトラストの実現に不可欠な要素として、多要素認証(MFA)の全社的な適用も各国当局によって強く推奨されている。多くの先進的な企業では、脆弱性の温床となりがちな従来のVPNを段階的に廃止し、外部委託業者のアクセスも含めてゼロトラスト基盤に統合する取り組みが進んでいる。これにより、接続経路の可視化が進み、運用の複雑性を低減させる効果も報告されている。
さらに、攻撃が高度化・潜伏化する中で、「可観測性(Observability)」というアプローチが重要性を増している。これは、システムから得られるログ、メトリクス、トレースといった多様なデータを統合的に分析し、システム内部で何が起きているかを深く、横断的に把握する技術である。金融機関や重要インフラ事業者を中心に、この可観測性基盤を活用して、潜伏型のマルウェアを早期に検知したり、システム横断的な異常の兆候を捉えたりする取り組みが拡大しており、業務停止リスクの低減に繋がりつつある。CISAやNISCが推進する「脅威インテリジェンス」の官民共有も、リアルタイムの攻撃情報に基づいた迅速な防御を可能にする上で不可欠な要素となっている。これらの技術投資は、ガバナンスの強化と表裏一体であり、セキュリティ対策はもはや経営戦略の中核をなす存在へと変貌している。
「知らなかった」では済まされない経営責任と防御投資の必然性
サイバー攻撃は、今やIT部門の技術的な問題ではなく、経営層の責任を直接問う重大な経営リスクとなった。米国SECの改正規則は、インシデント開示の不備が直ちに株主代表訴訟のリスクに発展することを意味する。欧州のNIS2指令も、違反企業には高額な制裁金が科される可能性があり、その責任は経営層にまで及ぶ。日本国内においても、株主総会で「サイバー対策の怠慢は、取締役の善管注意義務違反にあたるのではないか」といった厳しい指摘が増加している。
これまで、多くの企業がリスク移転の手段として依存してきたサイバー保険も、その万能神話は崩れつつある。2022年、ロイズ保険市場が公表した通達Y5381は、保険業界と企業経営者に衝撃を与えた。この通達は、国家が関与する大規模なサイバー攻撃を、従来の「戦争行為」に準ずるものとして、保険金の支払い対象外(免責)とする方針を明確にしたものである。これは、ウクライナ情勢などに見られる国家主導型の攻撃によって発生した損害は、もはや保険ではカバーしきれない可能性があることを示唆している。保険への過度な依存の限界が明らかになるにつれ、企業はリスク移転から、自らを守るための「防御投資」へと重心を移さざるを得なくなっている。
さらに深刻なのは、経営層や担当役員が「個人」として法的責任を問われる現実が浮き彫りになったことである。米司法省の発表によれば、Uberの元最高情報セキュリティ責任者(CISO)が、過去のデータ漏洩インシデントへの対応をめぐり、当局への報告義務違反や証拠隠蔽の罪で刑事訴追され、最終的に有罪判決を受けた。この事件は、セキュリティインシデントへの対応を誤れば、企業防衛の最前線に立つCISOや経営陣が、個人として法的責任を問われかねないという厳しい現実を突きつけた。
国境を越えるサイバー攻撃は、国家と企業、そして犯罪集団との境界を曖昧にし、誰が真の攻撃者なのかという責任の所在を漂流させる。日本政府もサイバー防衛隊の増員や官民連携の演習を進めているが、欧米のように企業に対して罰則付きでセキュリティ投資を義務化する段階には、2025年の時点では至っていない。しかし、グローバルに事業を展開する、あるいは国際的なサプライチェーンに組み込まれている日本企業は、事実上、EUのNIS2指令や米国のSEC規則といった世界標準の規制に従うことを求められている。IT担当者は、これらの複雑な技術的・法務的要件を、経営陣が理解できる言葉に「翻訳」し、ゼロトラストや可観測性といった次世代の防御体制への投資判断を支えるという、極めて重要な役割を担っている。
