画像出所(左):Kanr2425/Shutterstock.com
国際情勢の緊張を背景に、企業のセキュリティリスクが増している。犯罪は組織化し、国家レベルの能力を持つ攻撃者も現れるようになった。一方で、ビジネスのデジタル化は必須であり、「DX with Security」が重要なテーマの1つとなっている。すでに大企業ではCISO(Chief Information Security Officer)の設置が進んできた。こうした状況に「守りのセキュリティだけでは弱い。より事業側に入り込む攻めも必要」と指摘するのは日本サイバーセキュリティ・イノベーション委員会代表理事の梶浦敏範氏だ。攻守を兼ね備えた「CISO2.0」とはどのような存在なのか。Japan Innovation Review主催のセミナーに登壇した梶浦氏の講演内容を要約して紹介する。
リスクは高まる一方だが、対策する側にとっては良い兆候も
CISO2.0の解説に入る前に、講演冒頭部分では、足元の環境についての情報共有があった。中立・独立のシンクタンクである日本サイバーセキュリティ・イノベーション委員会(以下、JCIC)では、会員企業向けに、毎週、ニュースクリップを発行している。日本では入手困難な情報を含む、サイバーセキュリティリスクの海外動向を翻訳してまとめたものだ。ニュースクリップから得られる情報を基に、直近1年間の傾向を整理すると、大きく4項目にまとめられるという。
1つ目は、トランプ2.0政権における政策転換である。米国土安全保障省傘下のサイバーセキュリティ専門機関であるCISAが、大幅に予算削減された。人員整理などの影響で偽情報対策が後退するなど、CISAは大きく能力を落としている。
2つ目は、AI関連だ。生成AIの普及を受けて、関連する法整備などが相次いでいる。EUでは、包括的なAI規制法となるAI法(AI Act)が採択・発効された。米国では、過去にバイデン元大統領が署名したAI規制関連の大統領令を撤回。中国は、AIが生成したコンテンツにAI生成であることを示す識別表示を義務化した。各地域で対応の方向性が分かれつつあるのもポイントだ。
3つ目は、耐量子暗号への移行を巡る議論である。実用化はまだ先と見られていたが、部分的に量子技術の活用が進み始めた。この過程で、現在広く使われているRSA暗号の安全性に疑問が生じ、2030年代後半をめどとして新たな暗号への切り替えが議論されるようになっている。切り替えによるシステム面の負荷が大きいため、早めの準備が必要なテーマとして浮上した。
4つ目は、米国でのサイバーセキュリティ関連の開示義務に違反した企業の摘発と、その波及効果だ。サイバーセキュリティに関する取り組みは、これまで企業の努力が表面化しにくい領域だったが、SEC(米証券取引委員会)が具体的な摘発のアクションを起こしたことで、取り組みが可視化されることとなった。各社の対策の活性化につながるポジティブなニュースといえる。
4つの項目に対し、梶浦氏は「米国が内向きになりつつあるのはリスクですが、企業努力が報われる可能性が出てきたのは良いことでしょう」と語る。
図1拡大画像表示
