1.サイバー攻撃に関する情報を官民でもっと共有する
米国では最近、官民の中間に位置する準政府機関と言われる組織が新たに設立されている。官民で自由に、オープンな形で情報を交換、共有する役割だ。
2.政策の見直し
サイバーの世界では銀行がハッキングされたら、銀行に罰が与えられる。そうではなく、むしろそこにインセンティブをかける。情報共有という形で参加してもらう。それにより全体の理解レベルを高めていく。
3.情報セキュリティに対して興味を喚起する意味で、大学や教育機関を私たちがしていることに加える
学生に対して奨学金を与える。大学に対して助成金を与える。そしてこの分野の教育を確立していく。それにより情報セキュリティ全体を促進していく。
4.もう少し償却のスピードを上げられるような仕組みを考える
たとえば石油やガス、電気といった重要インフラでの償却のスピードを上げるべきだ。そうすると新しいセキュリティに対する投資や、人材開発の部分でも投資が必要になる。ただ、そういうところで使われているセキュリティシステムは20年前の古いものだったりする。そこで国として何らかの奨励策をしいて常に新しいものにしていくという仕組みが必要だ。
5.保険に関連すること
政府が保険会社の再保険をかけられるようにするということだ。企業はセキュリティにお金をかけたところで絶対にサイバー攻撃を受け、それに対し罰金を払わなければならないなら、そもそもなぜ投資をしなければならないかということになる。そこで、ちゃんと保険をかけられるような制度を設計し、さらに政府がバックアップするという意味で再保険がかけられることも必要だろう。
何から何を守ればいいのか?
もうひとつ、政府に対してのサイバー攻撃をカバーするような保険は存在しない。ステルス戦闘機「F35」の開発は研究開発費として3000億ドルをかけたと言われているプロジェクトだ。そのF35に関する情報がクラッキングされた。ただ、国防総省が言っている盗まれた情報と、『The Wall Street Journal』で言われている情報に微妙な違いがある。
しかし、ひとつの情報を盗まれただけでも戦闘機そのものの情報が盗まれたことと変わりはない。3000億ドルは4700台の戦車に相当する。ちなみに米国が所有している戦車の数はおよそ8000台と言われている。
どの国が情報を盗んだのかはわからないが、たったひとつの情報を盗まれたことで、米国を0~60%の危険に陥れることができる。たとえば、盗んだ情報から同じ戦闘機を作ったり、リバースエンジニアリングによって、どこに脆弱性があるのかを見つけたりすることもできる。
これまでの歴史の中で、ここまで大きい富の移転はこれまでなかったと思う。こういった情報の盗難は、大きく状況を変えることにつながる。
東南アジアをはじめとする新興国が心配しているのは、米国が作った技術を盗まれたことで、その技術を使って米国が攻撃を受けるかもしれないということだ。それを非常に懸念している。私自身、そして私が関わっている政府なども同様に考えていると思うが、こういったスパイ行為や破壊行為、情報戦闘は、どの国も共通して直面している問題だ。
そして、こういったことが起こった場合、実際の戦闘で対抗するしかない。ただ、誰が盗んだのかがわからない。どこからの攻撃か解らない。それは非常に難しい。それが国によって行われる場合もあるし、その国にいる犯罪者グループの仕業かもしれないし、Minor Actorによるものかもしれない。このように、サイバー攻撃に何らかの対応をするには、きちんとしたインテリジェンスと調査が不可欠だと思っている。
踏み台に使われるアフリカ
中国については、ほかの国も同様だと思うが、大きい国であればある程度ネットに接続されていると思うし、ハイテクも駆使していると思う。中国は大きい国で、特に沿岸地方に住む3億5000万人の国民は特にハイテクで接続性も高い。あとはサイバー上の脅威がどこにあるのかを見極めなければならない。
政府に直接関係のない個人やグループが、政府のために愛国主義者として攻撃する。政府と直接関係なくても、中国を愛して止まない人たち、愛国心を持つ人たちが他国を攻撃したりマルウェアを送り込むといったことをしているのは容易に想像できる。
たとえばロシアでは、プーチン大統領のもとで「NASHI」と呼ばれる準政府組織、ボーイスカウトのような若者のグループがある。年齢は高校生から大学生とされている。ロシアがエストニアやグルジアと論争を抱えていたとき、NASHIの若者たちがサイバー攻撃を仕掛け、それがきっかけでリアルな戦闘になったと言われている。