新・領域戦―サイバー戦どう備える(3) 国家安全保障の視点を失わない
同様に、企業等が「国家や世界、共同体、地域体の中で占める意義と役割が持っている価値」が防護対象となります。 特に、重要インフラの障害による影響は大きく、例えば、電力については、その供給が停止することによる影響は他の多くのシステム及び活動が影響を受けます。 一方で、例え規模の小さな企業であっても、その製品が高度・独自の技術であって、その製品供給停止は、他の製品の生産に大きな影響を及ぼす場合も同様に重要な防護対象となります。最近では、中小企業系の下請け部品工場が、大規模水害・地震の被害で工場が操業停止した際に、国内の他の産業に、状況によっては外国の産業にまで影響を及ぼす「被害の連鎖」をすでに多く経験しています。その連鎖が、サイバー戦の領域でも起こりうることを常に考えておかなければならないのです。(サプライチェーン)
企業等は、そのような視点で「自らの価値を認識」し、「サイバーセキュリティに対する投資」を適切に行って価値を高めなければならないのです。それは、利益に対するコストとは異なります。 自らの価値に基づいてサイバー脅威に対する「リスクを分析」し、「リスクを回避し顕在化させない準備と投資」及びサイバーインシデントが生起した場合の「対処メカニズムの確立」が、企業等としての価値を高め信用を確立することになるのです。
サイバー・フィジカル・システム(CPS)全体としての防護
「CPS全体の防護」のための国内のサイバーセキュリティ施策については、「一つのシステムの障害・停止が他のシステムの障害へ連鎖しない」ように、CPSの「相互依存性の特性」を理解して施策する必要があります。 「被害の連鎖」防止のための自己防護の原則と投資については触れましたが、共同体全体として、あるいは、国家として、全体のレジリエンスのために何を為すべきかを考える必要があります。
攻撃者がCPS全体の脆弱なところから攻撃して来るようなキャンペーン化攻撃を考慮すると、全体防護のために「自己防護基準」のようなセキュリティレベルの基準化も考えられます。 また、東京オリンピックのようなイベントにおいて、重大なサイバー攻撃(電子戦攻撃)が発生した場合は、イベントを継続(任務保証 MA/事業継続BC)することが基本的に重要です。攻撃アクターが、日本の威信の失墜を目的として攻撃した場合は、事業の停止はその目的を達成させることになるからです。このMA/BCのためには、平素からの攻撃アクター及び対テロ情報等の収集蓄積と被害発生時の対処について即応態勢を構築する必要があります。 この際、問題になるのは「プライバシー」の問題です。被害発生時において、ダメージをうまくコントロールするために、この「プライバシー」に関わる問題が生起することが予想されます。「プライバシーの保護と規制のバランス」についても納得のいく議論と施策が必要です。この問題は避けて通れない問題なのでオープンな議論と市民に対する丁寧な説明が必要であると思います。 例えば、「サイバー戦の領域」における平素の正しい(平穏な、通常生活)状況を把握しておくことにより、異常を敏感に検知することが可能になります。今までの話の流れで、それが極めて重要であることが理解できると思います。 この平素の正しいデータをホワイトデータとし、平素から収集した悪意ある活動をブラックデータとして可能な限り収集蓄積することが、事態発生を未然防止し、発生した場合に迅速に対処する基盤となります。このプライバシーに関わる可能性のある情報の収集について、どの程度までが許されるのか、収集した情報等管理の安全性をいかに確保するのか等をよく議論して欲しいものです。