サイバーセキュリティに特効薬はない
HBR Staff/Mirage C/Getty Images
サマリー:米国政府が2023年3月に発表した「国家サイバーセキュリティ戦略」によると、サイバーセキュリティの観点から必要なことは「より速い行動」であるという。そのため、米国政府はサイバー犯罪者よりも先に動き、規制へ... もっと見るの関与を強めるとしている。筆者は、この姿勢はこれまで成功しておらず、今後も成功しないと論じる。これからのサイバーセキュリティにおいては、従来のような「警官と泥棒」のスタイルではなく、新しい形の監視が欠かせないのだ。 閉じる

インターネットの構造的欠陥

 米国英国の政府関係者は最近、ファイルを利用不可能な状態にし、そのファイルを元に戻すことと引き換えに金銭を要求するランサムウェアによる攻撃が、15%減少したことを報告し、勝利を喜んだ。皮肉なことに、両政府がプレスリリースを発表し、その成果を誇示した時、ロシアと中国のハッカー集団によると見られる世界規模のランサムウェア攻撃が進行していた。この攻撃により、欧州と米国でランサムウェアに感染した被害件数は推定5000件に上り、サイバーテロとの戦いは「一歩前進すれば二歩後退する」ことが示された。

 数年前、ある大手金融機関のCEOから、会社がオンライン攻撃を受けたと連絡が入った。筆者がオフィスに到着した時には、顧客データはすでにダークウェブ上に流出していたようだった。筆者はその会社の顧問として、何が起きたのかだけでなく、規制当局や顧客に何を、いつ伝えることができるかを判断しなければならなかった。

 会社のサーバーへの侵入は、外部のサービスプロバイダーを経由したものと思われた。プロバイダーに話を聞いたところ、そのプロバイダーはハードウェアとソフトウェアをサードパーティから入手し、その事業者もまたは別のサードパーティ(一部は外国を拠点とする)に依存しており、関係者の多くが事態に対する責任をあまり感じていなかった。

 この時筆者は、地球上のすべてのデータと価値を保護するようには構築されていないインターネットの欠陥を理解し始めた。同時に、多くの関係者が存在し、その過程で人間が必然的に過ちを犯すことを考えれば、ハッキングの責任の所在を明らかにすることがいかに難しいかを痛感した。

 よく知られたランサムウェアや政府機関や企業へのサイバー攻撃など、大規模な侵害が後を絶たない中、企業の経営者にとって重要な課題が生じている。利益よりも脅威が多い可能性のあるバーチャルな未来にどう立ち向かうかだ。

 脅威は数多く存在する。米国では、3軒に1軒の家庭のコンピューターが悪意のあるソフトウェアに感染しており、成人の47%の個人情報がサイバー犯罪者に暴露されている。おそらく事態の深刻さを最も物語っているのが、フェイスブックのアカウントが毎日60万件ハッキングされているという米政府の統計だ。これらの数字は今後も横這い、あるいは増加すると考えるべきだ。では、誰がその責任を取るのか。

 2023年3月2日に発表されたバイデン政権の「国家サイバーセキュリティ戦略」は、その問いに答えようとしている。その中で提案されているのが、インターネットの構造的欠陥を克服する方法は「より速い行動」であるというもので、サイバー犯罪者に先手を打ち、サイバー規制への政府の関与を強めるということだ。