サイバー防御は「気象庁に学べ」 　「トップガン」名和氏に聞く【政界Web】

　サイバー攻撃を未然に防ぐ「能動的サイバー防御」導入を急ぐ日本政府。サイバー安全保障分野の対応能力を「欧米主要国と同等以上に向上させる」（岸田文雄首相）のが狙いだ。日本のサイバーセキュリティーの現在地はどこにあるのか。サイバー防衛の「トップガン」と称される名和利男サイバーディフェンス研究所上級分析官（53）は、対策の遅れに警鐘を鳴らしつつ「気象庁の経験に学べ」と訴える。（時事通信社政治部・堀内誠太）

　―国内のサイバー対策の現状は。

　数年前から（民間企業のサイバーセキュリティーへの）意識は格段に上がっていると実感としてひしひしと感じる。ただ、私は複数のグローバル企業などを直接支援しているが、まだ諸外国には追いついていない。

　―国内企業と海外企業の一番の違いは。

　一言で言えば、想像力だ。例えば地震が起きた場合、津波が来る、物が倒れると想像できれば、すぐ避難しなければならないと考える。しかし、自分は大丈夫だと思い込めば、そこにとどまって死んでしまうかもしれない。想像力の差がセキュリティー投資などの違いに表れる。

　国内では根拠なくセキュリティーが大切だと言っている企業が多い。中学校や高校の定期テストのように「何をやればいいのか教えてほしい」と、自分で考えることを諦めている。

　事案が発生すれば、顧客から信頼を失ったり、事業が2、3日止まったりする。年商1億円の企業が1億円規模の対策をしなければいけない場合もある。それを想像できれば、どう（リスクを）軽減すればいいかに着目するようになる。日本の場合はそれがほとんどない。

　―想像力が働かない背景は。

　大きな違いは政府のリーダーシップの強さだ。英国の当局は「セキュリティーを怠っている企業は市場から淘汰（とうた）されるべきだ」との強い意思を表明している。セキュリティーの甘い企業で何かあれば他の企業に連鎖的に影響を与えるからだ。強い思いは企業に徐々に浸透しており、当局に従うことが自分たちを守るすべだと信じる企業が多い。

　米国や英国などの政府は専門の当局を抱え、日本の119番のようなインシデント（重大なサイバー攻撃につながりうる事案）を報告する専門窓口がある。そこでは、的確な緊急対処要領などの質の高い情報を政府の専門家が提供する。

　日本の中央省庁はばらばらに中途半端にいろいろやっている。企業の意識を変えるような強い取り組みが他国と比べて弱すぎる。無駄の塊みたいな感じだ。

　―政府に求められる姿勢は。

　サイバーセキュリティー対策が本当に必要だという想像力を民間に与える「ストーリー」が必要だ。日本の気象庁は気象的なリスクに関する情報を徹底的に集め、分析し、分かりやすく国民に伝える。過去の事例などを提供し、「健康に被害が及び得る」などと警告も発しており、国民も警戒を強める。サイバーにはそれがない。海外の当局は気象庁のような努力を始めている。気象庁から学び、それをサイバーに当てはめているような印象がある。日本は自分の成功体験を自分で学んでいない。

　名和利男（なわ・としお）　1971年、北海道北見市生まれ。海上・航空自衛隊で戦闘情報処理やセキュリティーなど暗号通信業務に従事した後、民間に転身。国内外の政府・企業にサイバーセキュリティーに対応する組織の構築やサイバー演習を助言する活動を続ける。