国際刑事警察機構(ICPO=インターポール)が、サイバー犯罪捜査を専門に扱う機関IGCI(Interpol Global Complex for Innovation)を設置したことからもわかるように、サイバー犯罪に国境は無い。いずれの国においても、サイバー犯罪の多くは国外からのもので、各国の捜査機関が単独で対応することはもはや不可能となっている。だからこそ、これからのサイバー犯罪対策で何よりも重要となってくるのは、国境を跨いだ「情報共有」となる。2015年11月7~8日に、沖縄で行われた国際会議「Cyber3 Conference Okinawa 2015(C3カンファレンス)」は、世界からあらゆるレベルのステークホルダーが集まり議論を交わした、サイバー犯罪対策の一大会議となった。
日本企業は情報共有に消極的
この情報共有に関しては、今会議のスポンサーでもあるプライスウォーターハウスクーパース(PwC)が同時期に注目すべき調査結果を発表している。「PwCグローバルサイバーセキュリティ最新トレンド2016」と題するこの調査は、PwCが127カ国1040人の経営層を対象に行ったもので、日本からも286人が回答している。
この中の「他の組織とサイバーリスクに関する情報共有を行っていますか」という問いに関する回答について、グローバルと日本で大きな隔たりが見られた。グローバルでは、「はい」と答えたのが64.7%、「いいえ」が25.4%だったのに対し、日本で「はい」と答えたのはグローバルの半分以下の30.4%、「いいえ」が46.6%だった。残念ながら、会議の開催国である日本の企業が、組織間の情報共有に消極的であることがわかった(図1)。
(図1)グローバルと日本の情報共有状況比(出所:PwC)拡大画像表示
この「いいえ」と答えた132人に対して「他の企業との情報共有を行わない理由」を聞いたところ最も多かった回答が「情報共有の枠組みの整備、準備ができていない」で39%だった。続いて「個人情報の取扱いに関する懸念」が25%、「情報共有に用いる技術的な基盤が整備されていない」が21%という結果だった(図2)。
(図2)日本企業が情報共有に積極的でない理由(出所:PwC)拡大画像表示
日本は「産業スパイ天国」と言われ、実際に多くの機密漏えい事件が起こっていることが、他の企業と情報共有を図ることをためらわせているとも考えられる。ノードマン氏がいう「経済的なインセンティブ」も含めた、社会的な取り組みが求められそうだ。サイバーリスクの観点からは、「情報共有を行わないことによる不利益」を被っていることも否定できないからだ。
ちなみに、「はい」と答えた86人に情報共有によるメリットを聞いたところ、49%が「同業他社からの実用的な情報提供を得られた」、45%が「ISACsからの実用的な情報提供を得られた」、35%が「政府関係からの実用的な情報提供を得られた」と回答している。特に標的型攻撃は、特定の業種を狙う傾向が強く、同業他社間の情報共有は必須と言われている。(編集部注:ISACは米国のセキュリティ情報共有組織。日本には「金融ISAC」「テレコムISAC」という業界組織がある)
日本にも、経済産業省が音頭を取り、情報処理推進機構(IPA)がハブとなっている「J-CSIP」という業界間の情報共有組織がある。公的機関であるIPAが間に入ることで、サイバーリスク以外の情報が洩れることを防ぐ仕組みとなっている。電力や重要インフラ、ガスなど6業種、61社が参加して運営されているが、他の業種でも同様の枠組みを検討していく必要があるかもしれない。国が動かなければ、業界団体などの枠組みを利用して、民間主導で構築していく方法もある。
