政府への6つの提言「能動的サイバー防御を」

企業のDX推進委員会は、政府に対しても6つの提言を示している。 1つ目は能動的サイバー防御。情報を入手して攻撃されないようにする、攻撃された場合は無力化する防御機能の導入だ。今まで、サイバーセキュリティの調整はすべて内閣サイバーセキュリティセンター（NISC）が対応してきたが、同委員会は司令塔機能の強化が必須と提言している。 「いろんな国の機関がいろんな部分を担当していてバラバラだったのを、NISCが司令塔的な機能をもってきちんと整理していくべき」（伊藤氏） 2つ目は重要インフラ事業者への報告義務化。欧米ではサイバー攻撃で被害があった場合に報告することが法律で定められているが、「日本もそうするべきではないか」と伊藤氏は指摘した。 ただ、報告することで企業のブランド価値や信用が低下するリスクもある。伊藤氏は「報告で集めた情報をきちんと伝え、使えるようにするなどのギブアンドテイクが必要。集めた情報をタイムリーに出してくれれば防御にもなる」と語った。 「この問題の難しいのは、なぜ攻撃されたか、その後、何が起きているのかを公開できないこと。多くは『準備できていなかった』という話になるので、レピュテーションリスクがある。レピュテーションリスクがあるので、企業は余計公開しにくい。そして公開義務はない。火事があちこちで起きている、あるいは自分の足元でボヤが起きてるのにもかかわらず、気づかない仕組みになっている」（鈴木氏） 3つ目は人材育成。アメリカやイギリスを参考に、初等・中等教育段階でセキュリティ教育をすべきだと提言している。 「欧米では、大きい大学よりも、地方や小さい大学にリソースを出して専門職を育てている。こういうことは国が主導でやっていくべき」（伊藤氏） こうした政府向けの提言が続くが、6つ目には「サイバー保険」についても言及している。アメリカでは20～30％の企業がサイバーセキュリティ保険に加入しているといい、一部の保険は身代金までカバーしているという。一方、サイバーセキュリティ保険に加入している日本企業は1桁パーセント。しかも、保険は身代金をカバーしていないとも。 「保険会社に話を聞くと、国が身代金を認めてない、データが足りない、モデルを作れないといったさまざまな理由があった。保険会社と技術者、研究者と企業が集まって情報をシェアし、モデルができるようにするためには、国のような中立的な機関が引っ張ることが必要」（伊藤氏）