今、注目される「経済安全保障」とは

2022年5月25日から27日の3日間にわたり、サイバーリーズン・ジャパン主催のオンライセミナー「Cybereason Security Leaders Conference 2022春 トップランナーと考えるこれからのサイバーセキュリティ」が開催されました。

本イベントの2日目の2セッション目は、サイバーリーズン・ジャパン株式会社 サイバーストラテジーエバンジェリスト 中村玲於奈が「サイバー分野における経済安全保障の取り組み」と題した講演を行いました。

はじめに中村が現在の日本における経済安全保障に対する動向について解説しました。
「昨年、2021年秋の岸田内閣組閣の際、初の経済安全保障担当大臣として小林鷹之氏が任命され、今期の通常国会において、今月(5月)11日に、参議院で経済安全保障推進法案が可決・成立しました。このように、わが国でも経済安全保障が重要視されてきています」。

「その一方で、さまざまな分野の方々が、いろんな文脈で経済安全保障について言及しています。かくいう私もその一人です。

例えば、熊本県に誘致が決まったTSMCに代表される半導体やそのサプライチェーンの話。あるいはワクチン、マスク、医療用ガウンなどcovid-19関係の話。さらには今年の北京オリンピックの際も指摘された人権の話、昨今のロシアのウクライナ侵攻。あるいは北朝鮮が今年に入って頻繁にミサイル実験を行っているというようなピュアな安全保障の話。 

このように経済、あるいは安全保障に少しでも関係があると、もうこれは経済安全保障だというようなきらいがあると思います。そこで、スタートラインをそろえると言う意味合いで、定義的なお話からしたいと思っております」と語ります。

中村は、経済安全保障を考えるにあたり、われわれが何を課題視して、どのように対応していくか、そのコンセンサスを取ることが重要だと指摘します。

「いまわが国で議論されている経済安全保障は、元々自民党の新国際秩序創造戦略本部(現:経済安全保障対策本部)で議論され問題提起されたものがベースになっています。そこでは経済安全保障を『わが国の独立・生存・繁栄を経済面から確保する』と言っています。

「例えば、我々の生活や社会経済活動に、大きなインパクトのあるような重要物資のサプライチェーンをリスクのある外国に依存しないように構築する、また、リスクのある外国への軍事転用可能性のある技術の流出を防止する、といった話が典型的なトピックになるでしょう」。

「経済安全保障」と似て非なる言葉として「エコノミックステイトクラフト」というものがあると中村はいいます。「経済安全保障が守りの概念だとすると、エコノミックステイトクラフトフトは、攻めの概念です。経済的な手段を用いて政治、外交、安全保障といった戦略的な目的を達成する、例えば経済制裁、輸出、輸入管理、データ移転規制等が該当します」。

「今回のウクライナ侵攻でも、ロシアに対して各国が経済制裁をかけています。それだけでロシアの行動を変容させるところまでは難しいのですが、それでも戦争継続をなるべく難しくしようとしている意図があると考えられます。また、よく参照される例ですと、2010年にあった尖閣諸島中国漁船衝突事件があります。中国の漁船と日本の海上保安庁の船舶が衝突し、海上保安庁は漁船船長を逮捕。それを解放するという外交的な目的を達成するためにレアアースを輸出しないという手段に出ています」(中村)。

経済安全保障を守り、エコノミックステイトクラフトを攻めと分ける一方で、エコノミックステイトクラフトを行使する事で、我が国の独立・生存・繁栄を確保するとも言えることから、「広義には両者を包含した考え方で「経済安全保障」とも言えると考えております」(中村)。

また、自民党の新国際経済秩序創造戦略本部では、経済安全保障を実現するには、二つの大きな要素があると指摘しているといいます。一つは戦略的自立性、もう一つは戦略的不可欠性。

「最近だと優位性ひいては不可欠性、こんな言い方もされております。戦略的自立性とは、わが国が他国に対して過度に依存しないようにすることであり、依存してしまうとチョークポイントを握られてしまって、何かあったときにそれを利用されてアンフェアな扱いを受けてしまうので、それに対しての耐性を身につけましょうという話です」。

「もう一つの戦略的不可欠性は、逆に我が国が外国にとって必要不可欠な存在になることで、我々がチョークポイントを握り、それによって、アンフェアな扱いを受けないように抑止するということ。さらに一歩進めると、我々がエコノミックステイトクラフトを行使できるようにしようということもあるかと思います。」(中村)。

経済安全保障を読み解く3つのポイント

では、なぜ今経済安全保障がここまで重要視されているのか、注目されているのか。それについて中村は「主体」、「技術」、「環境」という3つの観点から紐解いていきます。

「まず主体です。経済的、軍事的脅威となるような国家が台頭してきています。。このような国家が、現状の世界秩序の変更を試みようとしています。懸念すべきは着実にその実力を身につけつつあるという点です」。

「二つ目は、技術です。技術といっても色々ありますが、注目すべきは民生用、軍事用両方に転用可能な『デュアルユース技術』です。デュアルユース技術は古くからある概念です。分かりやすい例で申し上げると、航空力学を軍事転用するとか、あるいは軍事目的で開発したコンピューターや、インターネットあるいはGPSはスピンオフして民生用途で広まりました」。

デュアルユース技術ついて中村は、懸念すべき二つポイントがあると考えています。
「一つは、いわゆるゲームチェンジャーと言われる、将来の戦闘の在り方を一変させうる新興技術(emerging technologies)の存在です。

わかりやすい例を挙げると、昨今、各国が開発にしのぎを削っている極超音速ミサイルがそれにあたります。これは従来型のミサイル防衛システムではなかなか検知対応できないというもので、今回のウクライナ侵攻でも「キンジャール」をはじめとして十発以上発射されたということが報じられております。

極超音速ミサイルは、大気圏を超えない低い高度を飛んで来るため、従来の地上からのレーダーでは水平線で見切れてしまって検知が遅れるのと、軌道を柔軟に変えられるので、対応が難しいということから、ゲームチェンジャーになるといわれています」。

「懸念ポイントの二つ目は、軍事転用が可能な技術が、そうとは意識されずに民間企業、あるいは大学、研究機関等で研究開発され、それを適切に管理していないために外国に盗まれてしまうということです。実際に極超音速ミサイルの一つの方式で使われるスクラムジェットエンジンや耐熱素材の技術が日本から窃取されているという事実がございます」。

経済安全保障が重要視される観点の三つ目は環境です。
「ここでいう環境とは、グローバルで相互依存したサプライチェーンのことです。少し分かりやすく比較しながらお話します。トランプ政権下から始まった米中経済戦争は新冷戦の様相を呈しているとも言われることがあります。旧来の米ソ冷戦の頃と比較すると、米ソ冷戦期はここまでのグローバルなサプライチェーンがなかったわけで、経済と安全保障、あるいは経済と政治、これを分断して考えることができました。

しかし昨今、米中それぞれを見ても、例えばそれぞれが貿易の最大相手国になったりしているわけで、何かあったときに半導体を輸出しないとか、あるいは半導体を作らせないようにその設計に使うソフトウェアや、製造装置を使わせない、あるいはレアアース輸出しないとこういったことを行うわけです。

このようにエコノミックステイトクラフトのレバレッジが非常に効くようになっているということが、冷戦当時と今の大きな違いなのではないかと考えております」。

こういったemerging technologiesあるいはグローバルのサプライチェーン、これだけそのものに問題は無いものの、ここに「主体」の存在があると、その「主体」が「環境」や「技術」をいわば利用して、自国の最終的な目的、世界秩序の変更を試みようとしているところが懸念すべきであり、今、経済安全保障が重要視されている所以だと考えられます。

「主体」の活動例

「主体、技術、環境と申し上げましたが、主体はどこなのかという話になるかと思います。日本政府も今回の経済安全保障政策や、経済安全保障推進法案は、特定の国・地域を意識しているものではないと述べています。
ということで、あくまでご参考までに、経済第二位の、超大国である中国の大きな取り組みについてお話したいと思います」。

中国は2027年、28年にもGDPが米国を超えて一位になるとも言われている一方で、従来型のインフラ投資偏重の経済成長の限界及び、それに伴う国防予算伸び率の鈍化等、経済、軍事の両面で課題を抱えています。これに対応するために軍民融合政策によって、両面で相乗効果的に発展させることで、2049年の建国百周年までにグローバルナンバーワンの強国になることを目指しているわけです。」。

「これに対して警鐘を鳴らし始めたのが米国です。オバマ政権の末期ぐらいから、投資して市場開放すれば、民主化しないまでも西側と同じルールのもと世界をともにリードしていけるのではないかという従来の関与政策を見直す認識が広まりました。その後のトランプ政権で様々な政策が打たれ、今のバイデン政権に引き継がれているという状況です」。

具体的なアクションとしては、輸出入規制や、対内投資規制、あるいは調達規制によって技術流出を防ごうとしたり、サプライチェーンから特定の企業をキックアウトするといったことが挙げられるといいます。反対に、中国もカウンターアクトということで、同様な施策を講じているといいます。

日本のアクション

「日本も外為法を改正して、貨物や技術の輸出の規制をする、あるいは対内投資規制を強化してきましたが、さらに経済安全保障推進法によって強化を図ります。
この経済安全保障推進法では、次の4つの柱が重点分野として定義されています」。

「1つ目はサプライチェーンの強靭化。特にリスクのあるような他国に対してサプライチェーンを依存しないようにすること」。

「2つ目は、基幹インフラの安全性、信頼性確保です。重要インフラの特に重要なファシリティ、あるいは情報システムからリスクのある外国の製品や業務委託を排除することで、平時から情報を取られる、あるいはグレーゾーン事態、有事の際にサイバー攻撃に使われないように対策すること」。

「3つ目は官民技術協力です。これは、将来的な戦略的不可欠性を確保するために、官民一体となって技術開発を進めていくこと」。

「4つ目は特許出願の非公開化です。特に軍事転用可能な特許については非公開化しようとするもので、この制度がないのはG20だとアルゼンチン、メキシコ、日本だけということも指摘されていますし、実際に日本のウランの濃縮技術の特許が外国から参照されているということも指摘されています」。

経済安全保障とサイバーリスク

ここからは経済安全保障とサイバー分野の関係性から、そのリスクについて述べていきます。

「先ほど『主体』と表現した現状変更を試みる国は、まず、わが国を含む現状維持国から技術の獲得を試みようとします。この技術を獲得する手段としてサイバー攻撃があります。

そして獲得した技術を使って技術開発を行い、産業競争力を向上させて、エコノミックステイトクラフトを行使したり、軍事面での影響力を行使します。ここでもサイバー攻撃が行われる可能性があります」。

「その一方で、現状維持国は現状変更国からのサイバー攻撃に対応するため、サイバーセキュリティ基準を引き上げます。そのために規制を作ったり、サイバーレジリエンスを強化するわけです」。

「そして両国の間に挟まれるように、企業は、一方からのサイバー攻撃と両正面からのサイバーセキュリティ規制に対応する必要が発生します。」。

現状維持国や企業に対して行われるサイバー攻撃は、主に2つあると中村は指摘します。「一つはサイバー攻撃によって情報あるいは金銭を獲得しようとするもの、もう一つは軍事作戦の手段としてのサイバー攻撃です。この軍事作戦は、いわゆる平時からのハイブリッド戦もあれば、グレーゾーン事態のサイバー攻撃も含まれます」。

まずは情報・金銭の獲得を目的としたサイバー攻撃の例を挙げて解説します。
「例として中国の話をいたします。2019年から20年にかけて、APT10と言われる脅威グループが、日本の自動車あるいは医薬品関連企業に対して情報を獲得する活動を行っていたということが指摘されています。

また、昨年(2021年)11月のブーズ・アレン・ハミルトンのレポートでは、中国が将来的に量子コンピューターの開発に成功することを見越して、その際に復号出来るように、暗号化された状態のデータを収集していることへのリスクが指摘されています。いわゆるStore now, decrypt laterと言われるものです」。

「米国のワシントン系のシンクタンクCSISの公表している情報によれば、ドイツ、イスラエル、ロシア、日本、スペイン、台湾、米国、豪州、カナダ等の様々な国、地域に対して情報獲得活動を行っており、その分野も多岐にわたります。これらの分野は中国の国家戦略に沿っていると思われます。また、米国では、年間200億から300億ドル相当の知的財産がサイバー攻撃によって奪われているということも指摘されています」。

「サイバーリーズンにはスレッドインテリジェンスのリサーチチーム「Nocturnus」と言うチームがおりますが、そこで中国の脅威グループのWinnti、あるいはAPT 41と言う攻撃グループによる情報獲得を目的とした「Operation CuckooBees」という攻撃キャンペーンを特定しています。
Winntiは、中国の国益のために知的財産の窃取活動を行っていますが、その一方で金銭獲得目的の活動も行なっています。」。

続いて、軍事作戦上のサイバー攻撃について紹介しています。
「すでに各国では、安全保障戦略、あるいは軍事作戦上のコンセプトとして、サイバー空間をバトルフィールドとして位置づけていて、これを統合的に作戦に組み込むということを定義しています」。

「実際に、今回のウクライナ侵攻でも非常に多くのサイバー攻撃、サイバー空間での活動が観測されています。2つほど事例を紹介しましょう」

「2022年4月8日、SandwormというロシアのGRU、(米国で言うところのNSAに近い)、つまり軍配下の諜報機関の関連アクターとみられる攻撃者に、ウクライナの変電所に対するブラックアウトを企図した攻撃が観測されています。これは未然に防ぐことができました。この攻撃は2015年、16年に観測されたブラックアウトを引き起こす攻撃と同質のものとみなされており、2016年に使用されたマルウェアの後継版が観測されています」。

「米国のNSA長官兼サイバーコマンドトップのポールナカソネ氏によると、米国は軍事顧問団をウクライナに派遣していましたが、サイバーコマンドも2018年ぐらいから派遣していて、おそらく、特にロシアからウクライナへの攻撃については、相当研究分析されていたので、今回準備して未然に防ぐことができたのではないかと思われます」。

「もう一つは、2022年3月11日前後にフィンランド周辺で観測されたGPSスプーフィングです。GPSへの間接的な妨害攻撃は、スプーフィングという不正なデータを挿入するか、あるいはjammingするかという手法ですが、その前者が観測されています」。

「この攻撃の影響として、航空機の誘導システムが正常動作しなくなり、フィンランド行きの航空機がエストニアに緊急着陸するといった実害も出ています。
攻撃者は特定出来ていませんが、ロシアのGPSスプーフィングの実績を見ると、シリア紛争でもGPSスプーフィングを行っていた可能性が指摘されていますし、GPSスプーフィングによって、クレムリン周辺でポケモンGoが上手く動作しなかったということが報告されております」。

「この3月11日は、数日前にフィンランドがNATOに加盟するディスカッションを始めると表明し始めた時期でした」。

「また、2月の末ぐらいに、フィンランドが初めてウクライナに武器供与を行うということも表明したタイミングでもありました。したがって、それに対しての牽制的な意味合いがあったと考えられます。」。

わが国の取り組み

「最後にわが国の取組みについて簡単にお話したいと思います。
お話したいポイント三つあります。一つは、4月に施行された個人情報保護法についてです。個人情報保護法ができてから2度改正が行われ、比較的GDPRに近づきつつあります。経済安全保障リスクの観点で申し上げると、いわゆる外国にデータ保管するリスクや懸念の高まりによって、データ越境移転規制の義務が強化されています」。

「2点目はサイバーセキュリティ基準についてです。一つはクラウド事業者に対する認証制度。もう一つは、防衛産業をはじめとする民間企業に対してのサイバーセキュリティ基準の話です」。

「クラウド事業者のセキュリティ認証制度であるISMAPでは、米国のFedRAMPが参照しているNIST SP800-53要件の一部をインプットにしています。また、民間企業に対して、特に防衛装備庁の調達案件の応札企業に求めるサイバーセキュリティ基準が来年度からNIST SP 800-171レベルになるということが先月アナウンスされたところです」。

「三点目として、整備が進む官民での経済安全保障体制についてお話して終わりたいと思います。
まず行政では、都道府県警、公安調査庁、警察庁でも、技術流出防止やサイバー対策のための組織が作られています。防衛省では自衛隊サイバー防衛隊が強化され、陸海空を統合的に見る部隊として540名体制で再編成されました。

それから警察庁では、サイバー警察局、サイバー特別捜査隊が新設されました。警察庁は従来、直接捜査を行わない役割でしたが、サイバー空間には地理的区分がないということで、直接捜査を行えるようする目的だと考えられます。

また、サイバー犯罪に対する取り締まりは、グローバルでオペレーションを行っています。例えば昨年のEmotetのテイクダウンも、ユーロポール始め国際的な法執行機関で連携して行いました。Emotetは残念ながら復活してしまいましたが、このような国際的な協力が期待されています。ちょうど2日前にも警察庁からユーロポールに職員を派遣するということが報じられておりました」。

最後に中村は「民間企業でも経済安全保障対策の体制を構築している例があります。国内外の経済安全保障関連の政策や法規制をリサーチして、企業への影響評価を行っていると思います。また、より進んだ例ではデータの保存先やアクセス制限等の見直しを行い、いわゆる部分的な社内デカップリングを行っている企業もあるようです。このように官民合わせて経済安全保障対策は進みつつあります」と話を締めました。

参考:

【ホワイトペーパー】改正個人情報保護法と最新の脅威情報から考えるサイバーセキュリティ戦略

サイバー攻撃の手口は年々高度化・巧妙化の一途を辿り、セキュリティ上の脅威の深刻度は増す一方です。

加えて、2022年4月から施行された改正個人情報保護法やGDPRの新SCCなど、矢継ぎ早に打ち出される新たな関連法規制への対応も迫られるなど、企業のIT担当者やセキュリティ担当者は実にさまざまな課題に直面しています。

本資料では、こうした変化の時代を迎えるに当たり、企業が具体的にどの課題からどのように対処すべきかを明らかにすべく、今日特に留意すべき重要ポイントを幾つかピックアップして解説していきます。
https://www.cybereason.co.jp/product-documents/white-paper/8346/