ポリクライシスのリスクが高まる時代における、サイバーセキュリティ

ロシアによるウクライナ侵攻から一年が経過した今、地政学的状況は、緊張と不安定さの度合いをますます高めています。世界は現在、複数の大規模な危機に直面しています。世界規模の危機的事象がいくつも絡み合って複合的な影響を及ぼす状況を指す「ポリクライシス」という言葉も新たに生まれています。世界経済の見通しは非常に厳しく、インフレ率の上昇、サプライチェーンの崩壊、エネルギーショック、極端な異常気象に加え、地政学的不安定さが重なった結果、ある脅威が高まりつつあります。それは、破壊的なサイバー作戦の脅威です。地政学的緊張がサイバーリスクの増大を招き、サイバー攻撃が地政学的な安定を揺るがしているのです。

EUサイバーセキュリティ機関（The EU Cybersecurity Agency、ENISA）は先ごろ、欧州連合（EU）加盟国の政府や企業に対して、悪意のあるサイバー活動を行う複数の持続的標的型攻撃（APT）行為者に関する警報を発出しました。一方、グーグルが公表した最新のデータによると、国家から支援を受けたサイバー攻撃が急増しており、北大西洋条約機構（NATO）加盟国のユーザーを標的にした同種の攻撃は、2020年に比べて300%増加しています。

2022年2月には、米国の衛星通信企業ビアサットがサイバー攻撃を受け、欧州全体でサービス停止に追い込まれました。これは、ロシアがウクライナへの侵攻を開始する数時間前の出来事でした。主な標的はウクライナ軍でしたが、被害は欧州全域の何万人ものインターネットユーザーにまで及んだほか、ドイツでは、約5,800基の風力タービンが遠隔制御不能に陥りました。同年春には、米国のサイバーセキュリティ当局と連携機関が、ロシア政府とつながりのあるサイバー犯罪者が重要インフラに対するサイバー攻撃を画策しているとの警告を含むサイバーセキュリティ勧告を共同で発出しました。ロシアによるウクライナ侵攻が長期化の様相を呈する中、ロシア軍が再攻勢を仕掛ける公算が高いことを考えると、一斉的なハイブリッド攻撃の一環として悪意のあるサイバー作戦が展開されることが予想されます。

西バルカン地域に目を転じると、アルバニアも地政学的な動機からのサイバー攻撃に悩まされている国の一つです。アルバニアでは、2022年5月から7月にかけて、さらには9月にも、政府のサーバーに対してイラン政府が支援するハッカーによるランサムウェア攻撃がありました。これを受けて、アルバニア政府はNATOに支援を要請するとともに、イランとの国交を断絶。アルバニアのエディ・ラマ首相は、今なお継続的にサイバー攻撃を受けていると語っています。

ウクライナ侵攻に話を戻すと、ガス供給の武器化と、天然ガスパイプラインのノルドストリームに対する破壊工作などのエネルギーインフラへの攻撃が、重要インフラへの脅威として大きな話題になりました。エネルギー部門は地政学的な動機によるサイバー攻撃の主要な標的にされるようになっており、スピルオーバー効果によって間接的な影響も生じています。その特筆すべき例としては、2021年に米国のコロニアル・パイプライン社を襲ったランサムウェア攻撃や、2022年にARA（アムステルダム、ロッテルダム、アントワープ）地区を狙ったサイバー攻撃が挙げられます。前者では身代金として440万ドル以上の被害が発生し、後者では欧州の石油・ガス供給に混乱が生じました。

欧州では、エネルギー価格が高騰したり天然ガスの供給が減少したりする中、EUが2027年までにロシアからのエネルギー輸入を停止する方針を固めました。一方、米国は、世界最大の液化天然ガス（LNG）輸出国になる見込みで、欧州のエネルギー安全保障において主要な役割を果たすようになるでしょう。2022年のブルームバーグによる記事では、ロシアによるウクライナ侵攻が開始されると同時に、米国のLNG企業21社が大規模なハッキング攻撃に遭ったことが明らかになりました。米連邦捜査局（FBI）も同様に、米国のエネルギー企業や重要インフラのシステムがロシアのハッカーによって解析されていると報告しています。

エネルギー危機は、再生可能エネルギーへの転換を促す要因にもなっていますが、その結果、再生可能エネルギー関連企業もサイバー攻撃の標的にされる危険性が浮上しています。2022年春には、ドイツの風力エネルギー企業三社がロシア系のサイバー犯罪集団「コンティ」から攻撃を受けました。持続可能エネルギーインフラは、IT/OTコンバージェンスから恩恵を受けており、生産性やコストの面でメリットを得ていますが、その反面、脆弱性が大きくなるというリスクが生まれています。2035年には、世界全体の総発電量に占める再生可能エネルギーの割合が60%に達する見通しであることを踏まえると、サイバー攻撃の標的にされるリスクも飛躍的に増大するでしょう。つまり、化石燃料からの脱却を図るのであれば、サイバーセキュリティレベルを強化する必要も生じます。グリーン転換を推進する上では、サイバーレジリエンス（強靭性）も並行して向上させていかなければならないのです。

新型コロナウイルス感染拡大とウクライナ侵攻が示したように、世界のサプライチェーンは複雑さを極めており、非常に脆弱でもあります。企業のサイバーセキュリティはそのサプライチェーン全体のセキュリティの質に左右されます。世界経済フォーラムの世界のサイバーセキュリティ展望2023年版（2023 Global Cybersecurity Outlook）では、ビジネスリーダーの27%とサイバーリーダーの14%が、サードパーティー企業のサイバーレジリエンスは自分たちの企業よりもかなり弱いと感じているという結果が出ています。一方、ある半導体製造装置メーカー大手は、同社が取引するサプライヤー一社がサイバー攻撃を受けた結果、次の四半期は2億5,000万ドルの損失計上となる恐れがあると発表しています。わずか一社のベンダーに対する攻撃が、ネットワーク全体に壊滅的な打撃を与えかねない事態を招くこともあります。例えば、2017年にはランサムウェア「ノットペトヤ」がウクライナを発端に60カ国以上に拡散し、世界全体に100億ドル以上の損害をもたらしました。また、2020年には米国のソーラーウィンズ社が提供するIT管理ソフト「オリオン」がサイバー攻撃を受け、2021年には米国のIT企業のカセヤ社が提供するソフトの顧客がランサムウェア攻撃に遭いました。2017年にはランサムウェア「ワナクライ」が150カ国で猛威を振るい、英国では国民保健サービスが機能停止に追い込まれました。

このように、不安定な地政学的背景と厳しい経済状況の中では、官民の双方がサイバーレジリエンスを向上させ、将来的に混乱を低減させることが重要です。世界経済フォーラムのグローバルリスク報告書2023年版では、今後二年で世界規模のリスクになると予想される事象として「サイバー犯罪の拡大とサイバーセキュリティの低下」が上位10位にランクインしました。世界のサイバーセキュリティ展望2023年版でも、ビジネスリーダーとサイバーリーダーの91%が、壊滅的な影響を広範囲に及ぼすサイバー事件が、二年以内に発生するかもしれないと回答しています。サイバー事件とその連鎖的な波及が社会に甚大な被害をもたらしかねないというシナリオを想定すると、サイバーセキュリティの強化を優先課題の一つに挙げるべきなのは当然のことなのです。

そのサイバーセキュリティにおいて最大の課題の一つといえるのが、サイバーレジリエンスの実現です。求められるのは、一時的な取り組みでも単一のアクターによる取り組みではなく、さまざまなデータが示唆するように、国家や企業の枠を超えた協調的な取り組みです。企業間の協調が、業界全体のサイバーセキュリティの成熟を促進させるのです。世界経済フォーラムのサイバーセキュリティセンターは、さまざまなステークホルダーのコミュニティとの共同の取り組みを加速させて、石油・ガス、電力、製造の各分野において将来を見据えたソリューションの策定・評価を行うとともに、業界ごとのサイバーレジリエンス強化のイニシアチブを通じてその効果的な運用を推進することを目的とするプラットフォームです。