●間接的な攻撃から身を守る

　国の重要インフラを守るために、あなた個人ができることはないかもしれない。しかし、多くの国民が政府に働きかけることで、民間企業の対策を充実させることはできる。民間企業に対して、サイバー攻撃に対する防御を強化し、準備を整え、そして最も重要なこととして、攻撃を受けた際のレジリエンスを高めるよう促すのだ。

　あまり知られていないが、多くの種類のサイバー攻撃について、攻撃を受けた企業に報告が課されているわけではない。そのため政府や同業他社は、攻撃が未遂にせよ既遂にせよ、サイバー攻撃が進行していることを知らないというケースが多い。

　たとえば、2021年にコロニアル・パイプラインがサイバー攻撃を受けたが、その事件が広く認知されてようやく、パイプライン企業がサイバー攻撃を受けた際は、その報告が義務付けられた。

「悪者」は、標的にされる企業より情報共有に長けていると考えてよいだろう。被害を受けた企業は、自社がサイバー攻撃を受けたことを隠しておきたいと考える場合もあるからだ。サイバー攻撃に関する情報収集と準備を強化するには、このような状況を変える必要がある。

　インフラのレジリエンスに関しては、事態が手遅れになってから、準備不足だったと思い知らされるケースが多い。深刻なサイバー攻撃は、自然災害と同じような被害をもたらすことがある。重要インフラが機能しなくなり、連鎖的に危機が発生しかねないのだ。

　サイバー攻撃によって、たとえば2021年2月にテキサス州が激しい寒波に襲われた時と似たような、甚大な被害が生じる可能性がある。この時は大規模な停電が起こり、200人以上が死亡した。実は、より深刻な事態に陥っても不思議ではなかった。『テキサス・トリビューン』紙によれば、「テキサスの電力システムはあと一歩で壊滅的な状況に陥り、何カ月間も停電が続く可能性があった」という。

　さらに、被害が拡大する場合もある。保険会社の業界団体であるテキサス州保険評議会は、2021年のテキサス州寒波に伴い、「配水管の凍結や破裂による保険金請求件数は、テキサス州がこれまでに経験したどの災害よりも多くなる可能性が高い」との見通しを示していた。破裂した配水管から水が噴き出した結果、テキサス州の多くの都市では水圧も大幅に低下した。

　また、テキサス州内の多くの発電所は、ロードアンバランスが理由で一時的に操業停止を余儀なくされ、そこからの操業再開が遅れている。この事態に陥ったのは、スターターモーターが機能しなかったためだ。その原因は、事前のテストがされていなかったからという可能性が高い。停電が発生してはじめて、懐中電灯の電池が切れていたことに気づくようなものだ。

　企業はインフラの運営者に対して、サイバー攻撃を受ける前に、攻撃後の迅速な復旧を可能にする体制を整えるように求めることが重要だ。また、独立した検査機関による査察を受けさせるように主張すべきだろう。

　●直接的な攻撃から身を守る

　あなた自身やあなたのコンピュータが直接的なサイバー攻撃で被害を被るのを防止する、あるいは被害を最小化するための重要な取り組みは、ほとんどが「サイバー衛生」の基礎に属するものだ。たとえば、強力なパスワードを採用する、疑わしいリンクをクリックしない、などである。これらの重要性を見落としている人があまりに多い。

　ただし、あなたが疑わしい行動を取らなくても、またパスワードが流出しなくても、あなたのコンピュータに侵入する方法はある。ソーラーウインズ、アパッチ・ログ4j、ペガサスなどで起きたケースはそうだ。このような侵入経路は、「ゼロクリック脆弱性」と呼ばれる。

　そこで、サイバー攻撃の対策としては、攻撃を受けた場合の被害を最小限に抑えるために、あらゆる手を打つことが賢明だ。たとえば、以下のような対策が挙げられる。

・全社的にソフトウェアを最新の状態にアップデートし、古いバージョンで判明している脆弱性にすべて対処しておく。

・有効なアンチウイルスソフトやマルウェア探知ソフトを導入する。また、マルウェアがすでに自分のコンピュータに入り込んでいて、指令を待っているだけという可能性もあると覚えておこう。

・重要な文書などのデータのバックアップを頻繁に行う。データが失われても対応できるようにするためだ。

　リスクを最小化し、最悪の事態が起きた場合に備えておくために、しかるべき措置を講じることも有益だ。たとえば、以下を実行するとよい。

・自社のサイバーサプライチェーンに脆弱性がないかを調べる。また、サードパーティのソフトウェアベンダーに、サイバーセキュリティを重視することを求める。

・セキュリティに関わる事象が発生した時に備えて、インシデント対応計画を検証する。シナリオの検討や机上演習も行おう。自社の対応策が健全かどうかを確認し、危機の際に取るべき行動を誰もが理解できるようにすることが目的だ。

＊　＊　＊

　1960年代や70年代には、世界がグローバルな核戦争を恐れていた時期があった。幸い、核戦争が起きることは避けられた。運がよければ、グローバルなサイバー戦争も避けられるだろう。しかし、そのような理想的な筋書き通りに事が運ぶ保証はない。

　地政学的な緊張が高まっている状況を考えれば、運を天に任せることが賢明な態度とは言い難い。私たち一人ひとりがあらゆる策を講じて、サイバー戦争を生き延びる確率を高めるべきだ。

謝辞：本稿の基になった研究の一部は、マサチューセッツ工科大学スローンスクール・オブ・マネジメントのサイバーセキュリティ・アット・MITスローン（CAMS）の助成を受けた。

"What Russia's Ongoing Cyberattacks in Ukraine Suggest About the Future of Cyber Warfare," HBR.org, March 07, 2022.