7月4日午前6時30分、名古屋港統一ターミナルシステム「NUTS」が「ランサムウエア」のサイバー攻撃を受け、システム障害が発生した。
同ターミナルを運営する名古屋港湾協会内のプリンターから、ハッカー集団「ロックビット」を名乗って身代金要求型マルウエア「ランサムウエア」に感染させた旨を通告した文書が出力された。その後、「NUTS」のシステムファイルの一部が実際に暗号化されていることが確認された。
名古屋港は、コンテナ貨物を含む総取扱量が21年連続で全国1位であり、5カ所あるターミナルすべてにNUTSシステムが導入されている。NUTSの停止によってその機能は停止を余儀なくされた。復旧作業が急がれ、7月6日午前7時30分に完了。午後から名古屋港のターミナルシステムの運用を再開している。テレビ愛知(7月6日)の報道によると、身代金は支払われなかった。
システムの「穴」の所在は分からないが、ひとつ推測できるのは情報システムにガバナンスの不在だ。港湾は公共財としての側面が強く、多くの企業の寄り合い所帯である協会が運営している。一般に、こうした企業連合のシステムは、一企業が管理するシステムと比べて責任の所在があいまいになりやすく、それぞれの企業が取り組んでいる全社的なセキュリティ向上の取り組みが反映されにくい。
民間管理のインフラを国としてどう守るか
国内最大の取り扱い量を誇る港湾が、海外勢力によるサイバー攻撃を受けて機能を停止したという事実が突き付けた脆弱性は、それが営利目的のものだったからと言って決して軽視できるものではない。
港湾は、民間管理のインフラであっても公共財としての性質が色濃く、これが機能停止することは明確に国益の棄損につながる。しかしながら現行法の枠組みや運用では、こうした民間財へのサイバー攻撃に対して、自衛隊や管轄官公庁がどこまで対応できるのか、対応すべきかという議論が十分になされていない。名古屋港の事件は、その必要性を日本政府に突き付けたと言っていい。
2022年度「情報セキュリティ白書」によると、近年、サイバー犯罪は増加の一途をたどっている。2021年、世界では約85万件の被害が届け出られ、被害総額は約70億ドル(約9900億円)にのぼっている。日本国内における身代金要求型のランサムウエアの被害件数は、2021年は146件、2022年は230件と増加している。
しかし、これを迎え撃つ日本のサイバー・パワーは十分ではない。課題は、「能力」(技術)の水準ではなく、その技術を有効に活用するための「意図」(ガバナンス)の不在だ。ハーバード大学公共政策大学院のベルファー・センターは国別のサイバー・パワーの比較を公表しており、2020年に日本は9位であったが、2021年は16位にまで後退してしまった。このランキングは8つの国家目標について、それぞれを達成するための「意図」と「能力」とを掛け合わせてサイバー能力を計測している。国家目標とは、「国内集団の監視とモニタリング」「国家のサイバー防衛力の充実」「敵対国家のインフラや能力の破壊・無力化」「富の蓄積と暗号通貨の搾取」などであり、日本は「高い能力・低い意図」グループにカテゴライズされている。
日本には、名古屋港のような民間インフラを守る「能力」はあっても、それを守るという国家としての明確な意思決定と、その「意図」に基づいた仕組みがないということだ。
2014年にサイバーセキュリティ基本法が成立。2015年に内閣にサイバーセキュリティ戦略本部が立ち上がり、同年「サイバーセキュリティセンター(NISC)」が設置された。2022年12月に閣議決定された安全保障3文書には、「サイバー安全保障やサイバー能力の向上をめざし、能動的サイバー防御のため内閣サイバーセキュリティセンターを発展的に改組する」と掲げられている。自衛隊は、最大5年間の任期でサイバーや宇宙など安全保障の新領域で高度な専門知識を持つ民間人を採用して、自衛隊の能力強化を図る「即戦力ハイスキル自衛官」制度を新設するなど、サイバー分野の強化を図っている。防衛研究所内に「サイバー安全保障研究室」を新設し、陸上自衛隊通信学校を「陸上自衛隊通信システム・サイバー学校」に改組するなど育成の取り組みも進む。
だが、それらはいずれも「能力」の話だ。名古屋港の事件が突き付けた民間インフラの脆弱性について、政府はどこまで、どのような「意図」で対処していくのか。その議論がなお決定的に不足している。
改組されるNISCがどこまで機能するか
日本経済新聞が報じたところによると、政府は2024年にも自衛隊が民間企業をサイバー防衛できる制度を作る検討に入った(2022年12月31日)。これまで原則、防衛省や自衛隊のシステムに限定していた防護対象を、電力はじめ重要インフラ、防衛産業などに拡大。耐性を高め安全保障上の機密情報流出や社会活動の停止を防ぐための措置を講じることができる体制を目指すという。この議論の趨勢に注視したい。
改組されるNISCが、従来の総合調整機能から省庁横断的に迅速かつ効果的に機能するための権限や規則が求められることになるだろう。
写真:アフロ
地経学の視点
「中韓のネガティブキャンペーンを許してはならない、処理水問題を「能動的情報戦」の端緒とせよ」の「地経学の視点」でも「グレーゾーン」に触れた。
記事中にもあるように、港湾は公共性が極めて高い。一方で、その施設には国有施設のものもあれば民有のものもあるが、運営と管理はおしなべて民間が担っている。ここに官民のグレーゾーンがある。また、資源に乏しく、かつ国際物流の大半を船舶が担う日本の港湾は経済のチョークポイントでもあるが、経済安全保障のように経済を武器化する/武器化させないための戦いが繰り広げられる中で、軍事から経済までの間にも、国家の意思を示す方法におけるグレーゾーンが広がっている。港湾という、これら2つのグレーゾーンが交錯する場所が攻撃を受けた。たまさか営利目的の攻撃でほころびを見せた名古屋港の事件を奇貨としなければならない。(編集部)。