コロナ禍やウクライナ侵攻で浮き彫りとなった、サイバー空間における経済安全保障の課題とは？

　近年、新聞やニュースでも多く取り上げられるようになった「経済安全保障」。グローバル化する「経済」は、国家の安全保障という文脈にどのように関連するのだろうか。本連載では『経済安全保障とは何か』（国際文化会館地経学研究所編／東洋経済新報社）から、内容の一部を抜粋・再編集。米中・日米・日中関係をはじめ、デジタル・サイバー、エネルギー、健康・医療、生産・技術基盤の領域において、これからの日本はどのような国家戦略をとるべきなのか、各分野の第一人者が分析・提言する。

　第4回は、インターネットでグローバルにつながるデジタル空間に、経済安全保障が重なり合った現代の国際社会の構図から、サイバーセキュリティにおける課題を考える。

サイバーセキュリティ新時代に

　2020年からの3年余りにわたり、人類はグローバルパンデミックを経験した。これによってデジタル技術とインターネットによって構成されるサイバー空間の恩恵や課題をほとんどすべての人が意識する歴史的な経験を共有した。同時に、サイバー空間の濫用や悪用による新たなインシデントも多数経験した。

　特に、電子メールの添付ファイルを用いた技法としては古典的であった攻撃に暗号通貨による身代金要求が組み合わさることによるランサムウェア攻撃は、COVID-19（新型コロナウイルス感染症）に苦しむ医療機関やエネルギーなどの重要インフラストラクチャーへの致命的な打撃を与え、コロニアル・パイプライン、ワクチン製造など命に関わるインフラに対しても極めて有効な攻撃となってしまった。

　サイバー空間の新たな緊張は空間的なつながりだけではなく、サプライチェーンの産業構造的な連続性による新たな脆弱性をも浮き彫りにした。

　そして、2022年2月24日に開始されたロシアによるウクライナ侵攻は、COVID-19までに経験され対応されてきたサイバーセキュリティに関するアクター、対象領域、目的、攻撃技術などのあらゆる面で新しく真剣な事象が発生した。

　それにともない、ロシアとウクライナの当事国に限定しない、グローバルに連結するすべてのデジタル社会における有事や安全保障に関するサイバーセキュリティの体系化の必要性を思い知らされる、別の意味での歴史的な契機となった。

　特に我が国にとってはこの期間、2020年の新しいデジタル社会のためのデジタル社会形成基本法、そして、それに伴う2021年のデジタル庁の設置、さらに、2022年の岸田内閣におけるデジタル田園都市国家構想、2023年にはデジタル行政改革会議の発足と、めまぐるしくデジタル社会への変革を推進していた。

　その最中にこのような新たなサイバーセキュリティに対する状況が変化したことにより、サイバーセキュリティが同じ時期に生まれた経済安全保障政策の核となる領域として国民に認識され、社会に組み込まれなければならないとの認識が確立した。

　そして、2022年5月には経済安全保障推進法が成立し、デジタル社会を前提とした、サプライチェーンなどの経済活動と安全保障の統合的な視点での政策が実行されることとなる。

　歴史的にみると、インターネットを前提としたサイバー空間が安全保障のための舞台になると認識されはじめたのは、わずか20年前のことである。2000年以前にはインターネットは大学・研究機関やIT関連企業を中心に普及していたが、社会インフラ基盤としての認識はまだほとんどなかった。

　サイバーセキュリティの初めての民間研究組織としてカーネギーメロン大学にCSIRT（Computer Security Incident Response Team ）の起源、CERT／CC（Computer Emergency Response Team/Coordination Center）が設立されたのは1988年である。

　最初の議論はY2Kというイベント、年号が1999から2000になるときに、下2桁で年を認識していた一部のソフトウェアの不具合を予想した改修運動が起こったときだった。金融機関のソフトウェアにこの傾向があったために、金融インフラの危機が認識された。

　SF映画ではコンピュータの異常が世界で発生して地球が滅亡するというものもあった。だがこれはまだSFの世界だった。2001年9月11日には米同時多発テロが発生した。これを機会に米国は3つの重要な政策的判断をした。

　1つはこのテロの指示が電子メールを利用したことを認識したことである。

　2つ目は（実行した航空網からの米国の遮断のように）グローバルなインターネットからの米国の孤立がすでに米国経済の破綻となるという分析をした上で、サイバーセキュリティに関する安全保障上の国家レベルでの関与を決定したことである。

　3つ目は、従来の国防の概念に加えて、国と国民の安全を統合的に守るための組織、DHS（国土安全保障省）を設立し、その中に、サイバー空間での情報やセキュリティの役割を定義したことである。それから20年、世界の経済はデジタルデータを利用する米国起源のグローバルインターネット産業の時代となり、経済の発展と、分断や対立を含む新しい国際社会へと突入した。

　2020年からの歴史的な経験を踏まえ、国際社会はサイバー空間以前の経済と安全保障の体制に加えて、グローバルにつながるインターネットによるサイバー空間が完全に重なりあった新しい経済と安全保障の体制を確立する必要がある。我々はこの歴史的な期間に、従来には認識しにくかったサイバーセキュリティの課題に直面した。

　サイバー空間は人類共通の1つの空間であり、その空間の利点をどのように利用するかがデジタル社会やそれを前提とした新しい社会の発展であり、一方、その空間を基盤として利用する犯罪や攻撃にどのように対応し、個人と国土、さらには、この惑星の安全を守るか、この統合的な領域が経済安全保障におけるサイバーセキュリティの本質的な役割である。

日本のサイバーランキング

　ITU（International Telecommunication Union：国際電気通信連合）は2021年6月28日「GCI（グローバル・サイバーセキュリティ・インデクス）2020」を発表した。

　GCI（Global Cybersecurity Index）はICT（情報通信技術）を担当するITUの開発局が担当するデータに基づいて作られた最新のサイバーセキュリティのインデクスに関する報告書であり、我が国は韓国、シンガポール、マレーシアに次ぐ5位とランキングされ、世界では7位となっていた。

　その後、2022年に9位、2023年には10位とランキングを下げている。一方、エストニア政府やオープンソサエティ財団によるe-Governance AcademyのNational Cyber Security Indexでは、中央政府の体制などを評価した指数で、2020年には13位だったが、2023年には15位と評価を下げている。

　ITUのGCIの発表と同じ6月28日、英国に本部を置くIISS（International Institute for Strategic Studies：国際戦略研究所）は“Cyber Capabilities and National Power : A Net Assessment”として2年間の研究の成果を発表した。

　ここでは、サイバー能力と国力に特化して15カ国だけを評価した。最近数年に顕在化し、そして、活発化した国家間の戦略的競争がサイバー空間を用いた地経学的なアプローチという視点における米国、中国、ロシアの動きに着目し、サイバー空間のポリシーと政策的機能が国家安全保障の中心的な段階に移行したという観点から評価報告としてまとめられている。

　ちなみに本報告書ではインド、インドネシア、イラン、マレーシア、北朝鮮、ベトナムとともに、日本は対象15カ国の最下位のグループであるTier3として分類されている。

　日本がこれらの調査で低い評価をされている理由は大きく3つの点がある。

　1つは、インターネットや5Gの普及やそれらの性能といったデジタル社会の推進に比して、サイバーセキュリティに対する官民個人の体制が十分でない、というアンバランスさが指摘されている点。

　2つ目は、サイバーセキュリティに対する行政サイドの体制が十分統合的に、また、技術対応的に整備されていない点。

　そして、3つ目は、安全保障の観点でのサイバー攻撃やサイバー戦争に対する体制が十分でない点である。