日本のサイバー防衛力評価から見る予防措置の難しさ
お久しぶりです、代表の尾崎です。本日は「お隣」ともいえるサイバーセキュリティの分野のニュースからコラム記事をお届けしたいと思います。
2021年6月28日ロンドンに拠点を置く International Institute for Strategic Studies(国際戦略研究所)は国ごとのサイバーセキュリティ対応能力を評価、分析し取りまとめた報告書を発表しました。この報告書の中で同研究所は日本のサイバー防衛力の高さは三段階で最も低い第三グループと評価されています。
本報告書はあくまで国家としての評価ですので、軍事面のサイバー戦略が整っていないことや政府機関の資金力、組織力などが不十分といった要因が能力が低いと判断された根拠になっています。他方で、この報告書の中では民間企業による知識やサイバー防衛力への取組意思にも問題があるとの記載があります。例えば以下の部分は民間セクターの実態への指摘です。
「年齢層の高いビジネスリーダーは概してサイバーセキュリティの課題になじみがなく、政府機関に依存しすぎている」との記載がなされています。それ以外にも日本独自の商習慣として民間企業間での連携が進みづらい、企業内でもサイバーセキュリティを担う部門と企業ガバナンス(危機管理部門)が一体化していない、といった指摘もありますね。
こうした詳細な記載を踏まえ、本報告書の日本パート結論部分では「民間企業がサイバーセキュリティ強化に必要な費用を負担することを望んでいない」といったまとめられ方になっています。
尾崎自身、海外の研究所やシンクタンク一つが指摘したからといって、それが絶対だとは考えていません。IISSそのものは一定の権威があり、実績もある組織です。ただし、物事には様々な見方がありますので、指摘の背景や結論に至るロジックは丁寧にチェックする必要があろうと思います。日本企業の皆様からすれば、本業にまわす資金も十分ではない中で、サイバーセキュリティ分野への投資をさらに求められても、という率直かつごもっともな反論もあるでしょう。
地震被害でも予防的措置は必ずしも進んでいない
ただ、今回尾崎がこの報告書の指摘を重く受け取りました。それはなぜか。
実は、多くの日本人の方が危機意識があってもなかなか予防策に向けた行動を起こさないという実態を別の観点で示したアンケート調査で尾崎自身ちょっとびっくりしてしまう結果が出ているからです。そのアンケート調査とはインターネットポータルサイトで有名なYahoo!が実施した地震防災に関する意識調査。2011年の東日本大震災から10年を迎える直前に約4万人の回答をご紹介しましょう。
10年前に大きな被害が発生し、またそれ以前も以後も多数の地震被害が発生している日本で、地震防災を見直していない方が4割以上、見直す予定がある(=まだ見直し切れていない)方を含めると全体の約6割ということです。サイバーセキュリティやあるいは日本でほとんど発生しないテロ等と比してはるかに身近な脅威の一つであろう地震に対しても防災対策に向けた行動が伴っていないことが示唆されているのではないでしょうか?
こうしたデータを見るにつけ、尾崎は繰り返し「来るべきリスクへの予防的な対応」の難しさを感じます。いざ地震の被害を被った場合には
自宅が崩れてしまって避難所に行く必要がある
室内が倒れた家具や食器等でぐちゃぐちゃになる
数日間電気や水・ガスが使えない
食料や生活必需品の買い足しができない
といった被害が生じるのは多くの方が頭では理解されているはず。その一方でそうした被害を念頭に置いて対策を実際に講じる「行動」にはなかなか結び付かないようです。自宅を建て替えたり、より地盤の固い場所に引っ越すというのは時間も費用も掛かりますが、例えば
家具や家電を壁に固定する(転倒防止)
簡易トイレの準備や太陽光/手回し式の懐中電灯やラジオの準備
飲食料水、生活必需品の備蓄、定期的な買い替えをする
といった準備は普段の買い物の中でもある程度は行えるように思うのです。加えて避難所の確認や連絡が取れない場合の家族全員の決まり事などを決める、という程度であればお金はほぼ不要のはず。コスト面の問題もさることながら、やはり意識(willingness)の影響は大きいのかもしれません。
「安全はタダ」ではなかった
新型コロナウイルス感染症で明らかになったことの一つは日本政府の緊急事態対応能力がそこまで高くなかったということではないでしょうか?世界的に見れば人口当たりの感染者数も死者数もそこまで高いわけではないので、尾崎は日本政府の対応が「大失敗」だとは思っていません。ただコロナ前に政府と地方自治体の役割分担の整理や各行政機関のデジタル化、病院数と医師数の調整、万が一の際の意思決定メカニズム(法律、組織構築、人材育成等)をやっていれば・・・と反省材料はあるように思うのです。政治も行政も当然ながら完璧ではありません。税金さえ払っておけば「安全はタダ」という時代はどうも完全に終わったとすら思えるコロナ禍です。
そうであるならば、個人レベル、あるいは企業レベルで政治や行政が安全を守ってくれるといった「神話」から脱却するなら今なのではないでしょうか?今回はたまたま襲ってきたのがウイルス(感染症)でした。しかしながら天災(地震や津波、台風や大雨、あるいは火山の噴火)は今後も繰り返し発生し、日本人と日本社会を襲い続けるでしょう。もしかしたら近い将来テロや凶悪犯罪が日本でも多発するようになるかもしれませんし、大規模なサイバー攻撃によって生活に必須のインフラが機能不全を起こすことも考えらえます。
そうした未来の不安要素が多数イメージできる状況だからこそ、時間とお金を被害を未然に防ぐために投資する必要があるのだと思います。これまで日本は特に世界で最も治安のよい国としてその地位を維持してきました。(参考コラム「世界は日本の治安をどう見ているか?」)目に見えにくいとは思いますが、政府や警察、公安調査庁等がかなりの努力を行った成果がこの治安の良さにつながっています。
冒頭でとりあげたサイバーセキュリティ同様、皆さんご自身の身の安全を守るためには政府を含む誰かに依存するのではなく、一人一人の意識の向上と可能な範囲での時間やお金の投資は必要になるのではないでしょうか?これからの時代を生き抜くために、読者の方すべてに改めて考えていただきたいテーマだと思っています。
ここまでお読みいただいた方にご関心を持っていただけるコラムを最後にご紹介させていただきます。
参考コラム 安全対策への「投資」効果はあるのか?
この項終わり
