{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2020年12月に開催されたユーラシア・グループ主催の「GZERO SUMMIT 2020」。このイベントの中で、PwC Japanグループ代表 木村浩一郎は、テクノロジー分野における米中のデカップリングが進む中、企業が経営課題にどう取り組んでいくべきか、米中対立の間で日本企業が直面するサイバーセキュリティリスクについて議論しました。
米中両国の市場とサプライチェーンが交わる場所にある日本は、双方からのサイバー攻撃やサイバースパイ活動の対象になり得ます。このようなリスクに直面しながらも、諜報機関を持たない日本はインテリジェンス機能に課題を抱えています。日本企業にとってサイバーインテリジェンスの強化は、喫緊の課題といえるでしょう。
このレポートでは、米中覇権争いがもたらすデカップリングやセキュリティリスクについて、詳細を解説するとともに、サイバー攻撃の裏側にある攻撃者の狙いについてひも解きます。
本レポートが、皆さまのサイバーセキュリティ対応の一助になれば幸いです。
米国国務省は2020年8月に「クリーン・パス構想」の拡大を公表しました1。この構想は、米国の最も機密性の高い情報を保護する「クリーン・ネットワーク」の概念を5Gネットワークだけでなく、通信キャリア、モバイルアプリストア、アプリ、クラウド、海底ケーブルにまで拡大したものです。そして5Gによる通信が米国関連施設を通過する際に、主に中国企業を中心とした信頼できないベンダーからの機器・サービスが一切介されないことを、同盟・友好国に迫ることを目的としています。そしてバイデン政権は、より広範で包括的な中国対策の一環として、「クリーン・パス構想」を再評価しています。
中国は「一帯一路(その一環としてのデジタル・シルクロード戦略)」および「中国標準2035」2などの政策を進めており、米国のハイテク技術の輸入依存から脱する「自力更生」というスローガンのもとで、想像以上に米国とのデカップリング(切り離し)が実現しつつあります。「デジタル・シルクロード戦略」においては、欧州・アジア・中南米・中東などの国とも共同で進める動きを見せています。
また、冷戦時の米国とソ連の関係とは異なり、現在の米国と中国の間には経済的な依存、軍事的な依存があるため、これまでとは違う形での「安定した緊張関係」を保って共存していくことになります。米国を中心とした経済圏と中国を中心とした経済圏が表向き平和を保ちながら、水面下では見えない争いを続けることになるでしょう。
米国と中国それぞれのサプライチェーン二極化の可能性がみられる中で、日本はその両方が交錯する領域に位置しています。そのため、双方のサプライチェーンから、相手を牽制するためのサイバー活動を受けることが考えられます。そのサイバー活動の種類としては、双方のサプライチェーンが併存するところにはサイバースパイ活動、どちらか一方のサプライチェーンのみ存在するところにはサイバー破壊活動が想定できます。
次に、サイバー攻撃の対象となる領域について考察をします。
中国は経済構想である「一帯一路(その一環としてのデジタル・シルクロード戦略)」、製造強国への政策「中国製造2025」、人材確保の政策「千人計画」を推し進めています。中でも自立した製造と知的財産を重要視しています。製造に関しては「中国製造2025」はすでに目標をほぼ達成し、現在は「中国標準2035」の準備段階へと移行しました。「中国標準2035」は、中国政府と大手ハイテク企業がグローバルな標準設定に参加するためのブループリントを確立することを目的として、策定が進められています。
中国は「軍民両用技術(デュアルユース)」を前提に、主要技術の知財情報の収集、自国生産を進めています。また、「中国標準2035」に向けて、デジタル主権を通じた世界標準を目指す取り組みを加速させることが想定されます。「中国標準2035」における主な注力分野は、「新インフラ」と「新エネルギー」に位置付けられている宇宙・海洋におけるデュアルユースを想定した技術です。その中には、ブロックチェーン、IoT、新クラウドコンピューティング、ビッグデータ、5G、新世代のAI、新しいスマートシティ、地理情報などが含まれます。サイバー攻撃で狙われる可能性の高い知的財産としては、衛星関連、ソナー、センサー、リモートセンシング、ロボット技術、充電技術、新材料、そして自給率70%以上を目指している半導体関連技術が考えられています。
本節では、現在報告されているサイバー攻撃の動向を解説します。
米国司法省は2018年11月に、中国の知財窃取や投資活動などをターゲットとして対処するための対策チーム「チャイナ・イニシアチブ」を設置しました3。その結果、1,000を超える知財窃取が暴かれました。窃取の方法はハッキングから米国企業内部のインサイダーの利用や、事業提携を通じて行われるものなど多岐におよび、これらを組み合わせて実行されていました4。
特に、航空宇宙分野等の軍民両用技術に関する先端技術分野においては、以前より注目されています。2018年10月に米司法省が国家安全部の江蘇省当局のメンバーを含む10名を、経済スパイの容疑で起訴しています。また、2021年4月には警視庁が、航空宇宙分野のハッキングに関与したとして、元留学生を私電磁的記録不正作出・同供用の容疑で書類送検したことは記憶に新しいものでしょう。
これらの事案では、インサイダーの関与も見逃せません。前者の2018年10月の事案に関しては、米司法省の起訴状によれば、経済スパイ行為はハッキングだけでなく、標的組織の従業員の協力を得て行われていたことが明らかになっています。インサイダーに関する脅威の増大は、その特性から具体的数値で示すことができるものではありませんが、2020年に米FBIとNCSC(国家防諜安全保障センター)は海外の諜報機関によるスパイ行為に対する啓発映画を作成し、米国および同盟国に対して注意を呼びかけていることは注目に値します。
こうした状況からインサイダーが関与する事件は今後も増加する可能性があり、知財窃取はその中でももっとも危惧されるところです。さらに、2021年1月初旬には、地域社会や公民権団体などの連合体が、人種的な偏見の問題を理由に、バイデン大統領にチャイナ・イニシアチブの廃止を求めました。しかし、中国に対する強硬姿勢は超党派で支持されているため、これらの取り組みが短期的に支持を得られるかどうかは不明です。
もちろん狙われているのは米国だけではありません。2020年7月21日に米国司法省が公開した資料によると、中華人民共和国国家安全部(MSS)広東省国家安全局(GSSD)と連携する中国ハッカー2名がおよそ10年間にわたり、11カ国のハイテク製造業から知財を窃取する攻撃キャンペーンを行っており、日本企業もターゲットになっていました5。
また、日本を標的にしたAPTグループ(APT10、Cicada、Stone Panda、Cloud Hopper)の存在も分かっています。このグループは以前から日本をターゲットにしていることが分かっており、世界17の地域の日本企業(特に自動車産業)およびその子会社を狙い撃ちしています6。
これらは氷山の一角にすぎません。米国のシンクタンクである外交問題評議会は、世界のサイバー攻撃の状況を紹介するサイトCyber Operations Trackerを運営しており7、攻撃国と被害国を入力すると、過去の攻撃の一覧を確認できます。攻撃国を中国、被害国を日本にすると毎年さまざまな事件が起きていることが分かります。
現在進行形で知的財産窃取は行われていますが、問題なのは窃取されている事実に被害企業が気づいていないケースがあることと、窃取が分かっても盗まれた内容とボリュームを知ることはできないことです。そのため被害の実態を知ることは困難です。
これらは、早急に対処しければならない課題であり、先ほどあげた中国の注力分野の技術を持っている日本企業は、これらの知的財産を対象としたセキュリティリスクが増大するという前提で、サイバー攻撃の可能性に備える必要があります。
これまで述べてきたようなサイバー攻撃リスクの増加が見込まれる中、日本はサプライチェーン、テクノロジーの両面において中国とのデカップリングが不可能という前提で対策を考える必要があります。
ハーバード大学ベルファーセンターが2020年9月に発表した国家のサイバーセキュリティ能力に関する調査「National Cyber Power Index 2020」(NCPI2020)で、日本は初めて9位にランクインしました8。この調査によれば、日本は防御の管理的対策は進んでいるものの、インテリジェンス(脅威情報の分析能力)が弱いという結果になっています。
サイバーセキュリティの産業分野は軍事産業に入るため、米中は高度化が進んでいますが、日本は米CIA、英SIS、独BNDなどのような専属の対外情報機関を持たないため、インテリジェンス機能に課題があると考えられます。サイバーセキュリティ能力は、実際の攻撃や防御の経験を通じて向上するため、調査対象30カ国のうち21カ国でサイバー諜報活動を行っており、15カ国では諜報能力向上のためにサイバー攻撃を行っていると推定されます。
上述のように日本のサイバーセキュリティのインテリジェンスに関する取り組みは抜本的な見直しが必要であり、こうした状況をNATO Cooperative Cyber Defence Centre of Excellence(NATO CCDCOE)が2020年12月の資料9で分析しています。この資料は2016年のいわゆるWarsaw communiquéをベースに今後10年間に想定される脅威とその対応をまとめたもので、日本の体制などにおける課題について次の3点を指摘しています。以下、NATO CCDCOEの内容を引用・要約します。
以上、NATO CCDCOEで指摘された、日本のサイバーセキュリティに関する課題について紹介しました。特に(3)の内容は前述の「National Cyber Power Index 2020」と重なる部分もあり、日本のサイバーセキュリティに関するインテリジェンスについて大きな見直しを迫られていると言えます。
最後に、企業として取りうる2つの対策を考察します。
まず、国家が支援するサイバー活動に対して、一企業が太刀打ちできるものではないという認識を持ち、官民での連携が必要不可欠であると認識する必要があります。そこで考えられるのが米国のサプライチェーンへ参画することで期待できる、米国当局からのサイバーセキュリティに関するインテリジェンスサービスを積極的に活用することです。具体的には、米国当局や米国の有力企業からの上級幹部を外部アドバイザーとして活用することで、米国当局を中心としたインテリジェンスコミュニティへのアクセスが容易になります。
もう1つの対策として、企業としての脅威情報の収集・分析・報告の実務能力の向上が挙げられます。上述のようにサイバーセキュリティに関するインテリジェンスサービスの活用を通して自組織におけるサイバーインテリジェンスの概念を浸透させ、実効性のある運用を検討・構築していく必要があります。現在、多くの日本企業では、標準やガイドラインに基づいたセキュリティコントロールを適切に実装・運用してリスクを低減する、日々発見される脆弱性・インシデントを予防・検知・対処するといった取り組みがセキュリティ対策の主軸となっています。一方でサイバーインテリジェンスの本質は、「自組織に発生し得る脅威を予測し、脅威が発生した際に対応できるように備える」ことです。これは、網羅的なリスクアセスメントによる自組織の弱みの洗い出し、単一のセキュリティ情報の分析だけでは実現することができません。自組織の弱みに加えて、日々発生するサイバー攻撃の背景・目的、サイバー攻撃者の能力を踏まえた分析を行い、意思決定に利用可能なインテリジェンスを導出する必要があります。そのため、提供された情報(インフォメーション)をただ利用するという姿勢から、自組織での活用に根差した目的を設定し、分析、意思決定を行うというプロセスに改めていくことが求められます。
これら2つの対策により、サイバーインテリジェンスが強化でき、企業に求められるサイバー攻撃への能動的な対応力を醸成することが可能となるでしょう。
1 US Department of State, “Announcing the Expansion of the Clean Network to Safeguard America’s Assets”, 5 August. 2020, https://mr.usembassy.gov/announcing-the-expansion-of-the-clean-network-to-safeguard-americas-assets/
2 中华人民共和国人民政府「中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议」2020年11月3日 http://www.gov.cn/zhengce/2020-11/03/content_5556991.htm
3 David H. Laufman, Joseph M. Casino, Michael J. Kasdan,. “The Department of Justice’s National Security Division Chief Addresses China’s Campaign to Steal U.S. Intellectual Property”, The National Law Review, August 24, 2020. https://www.natlawreview.com/article/department-justice-s-national-security-division-chief-addresses-china-s-campaign-to
4 The United States Department of Justice, “The China Initiative: Year-in-Review (2019-20)”, November 16, 2020. https://www.justice.gov/opa/pr/china-initiative-year-review-2019-20
5 The United States Department of Justice, “Two Chinese Hackers Working with the Ministry of State Security Charged with Global Computer
Intrusion Campaign Targeting Intellectual Property and Confidential Business Information, Including COVID-19 Research”, July 21, 2020. https://www.justice.gov/opa/pr/two-chinese-hackers-working-ministry-state-security-charged-global-computer-intrusion
6 Symantec, “Japan-Linked Organizations Targeted in Long-Running and Sophisticated Attack Campaign”, November 17, 2020. https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage
7 Council on Foreign Relations, “Cyber Operations Tracker” https://www.cfr.org/cyber-operations
8 Julia Voo, Irfan Hemani, Simon Jones, Winnona DeSombre, Dan Cassidy, Anina Schwarzenbach, “National Cyber Power Index 2020”, 2020. https://www.belfercenter.org/publication/national-cyber-power-index-2020
9 Abraham, Chon., Daultrey, Sally. “Considerations for NATO in Reconciling Challenges to Shared Cyber Threat Intelligence: A study of Japan, the US and the UK”, Cyber Threats and NATO 2030: Horizon Scanning and Analysis, NATO Cooperative Cyber Defence Centre of Excellence, pp.194-214. December 2020. https://ccdcoe.org/library/publications/cyber-threats-and-nato-2030-horizon-scanning-and-analysis/