INCYBER FORUM JAPAN 2025レポート

破壊されても抗い続けるウクライナ企業。「有事のレジリエンス」と日本が直視すべき民間防衛の現実

2026年01月19日 09時00分更新

文● 柳谷智宣　編集●MOVIEW 清水

　2025年12月4日、東京・芝公園のザ・プリンスパークタワー東京で欧州最大級のサイバーセキュリティイベント「INCYBER FORUM JAPAN 2025」が開催された。生成AIの爆発的な普及や地政学的リスクの高まりを背景に、サイバー攻撃はもはや一企業の課題を超え、国家安全保障の中核を揺るがす脅威となっている。

　イベントではさまざまな専門家が最新のセキュリティについて語るセッションが行われており、今回はその中からNTT チーフ・サイバーセキュリティ・ストラテジストの松原実穂子氏による「ウクライナのインフラ企業のレジリエンスと有事に関する日本への教訓」のレポートを紹介する。

NTT チーフ・サイバーセキュリティ・ストラテジスト松原実穂子氏

有事に必要なレジリエンス　ウクライナが世界に見せつける姿勢

　「レジリエンス」という言葉を聞いたとき、多くの日本人は災害からの「早期復旧」や「修理」をイメージするだろう。地震大国である日本において、壊れたものをいかに早く元通りにするかという能力は極めて重要であり、長年にわたり磨き上げられてきた技術でもある。

　しかし、松原氏はNATO（北大西洋条約機構）が定義するレジリエンスの概念を引き合いに出し、有事におけるその本質は「抗うこと（レジスト）」にあると指摘する。戦略的に極めて深刻な事態に陥ったとしても、諦めずに持ちこたえ、時間を稼ぎながら復旧への道筋をつける。この粘り強さこそが、現在のウクライナが世界に見せつけている姿勢そのものだという。

「戦争や紛争、自然災害といったひどいことが起きたときに、もうダメだ、諦めるしかないと言って何もしない人々を誰が助けたいと思うでしょうか」と松原氏は問いかけた。

　国家の安全保障を支える要素として、外交（Diplomacy）、インテリジェンス（Intelligence）、軍事（Military）、経済（Economy）の頭文字をとった「DIME」という概念がある。松原氏は、この中でも特に「経済」の重要性を強調した。経済活動が停止すれば、国を維持することは不可能だからだ。

　そして、その経済活動を根底で支えているエネルギー、食料・水、医療、通信、運輸といった重要インフラのほとんどは、政府ではなく民間企業によって提供されているという事実から目を背けてはならないという。

　ウクライナでは、武器を持たない一般の会社員たちが、危険を承知で戦場にとどまり続けている。破壊された通信網を直し、郵便を届け、発電所を動かし続ける彼らの姿は、民間人が担う安全保障の最前線と言えるだろう。有事において「逃げる」という選択肢以外にも「踏みとどまって支える」という過酷な役割が民間インフラ企業には課せられているのだ。

NATOの考える7つのレジリエンス要件

ミサイルが飛び交う中で灯りを守り続けるエネルギー企業の死闘

　ロシアによるウクライナ侵攻の特徴として、エネルギーインフラへ執拗な攻撃が行われたことが挙げられる。2024年9月の時点で、ウクライナの火力発電能力の90％、水力発電能力の45％が喪失したというデータは、その破壊の凄まじさを物語っている。

　電力が失われれば、通信も金融も物流も、ドミノ倒しのようにすべての機能が停止する。まさに国家の血管を断ち切るような攻撃に対し、ウクライナ最大の電力会社DTEK（ディーテック）の社員たちは、文字通り命がけで修復作業を続けている。

「火力発電を維持するということは、最後までコントロールルームに誰かが残って火力の調整をしなければなりません。想像してみてください。ミサイルやドローンの飛来している音が聞こえていたとしても、そして空襲警報が鳴り響いていたとしても、全員が退避できるわけではないのです」（松原氏）

　開戦からの3年間で、DTEKが行った修理回数は1万6000回を超え、同じ箇所を10回以上直すことも珍しくないという。そして、その過程で300名以上の社員が命を落としている。それでも彼らが現場に立ち続けるのは、自分たちが国を支えているという強烈な矜持があるからにほかならない。

電力・エネルギーに甚大な被害が発生した

　松原氏が紹介したDTEK社員のヘルメットには、ウクライナのボクシングヘビー級統一王者、オレクサンドル・ウシク選手のサインが記されていた。何度ダウンを奪われても立ち上がり戦い続けるボクサーの精神は、破壊されてもなおインフラを維持し続ける企業の姿と重なる。

　こうした状況下で、日本からの支援も現地で重要な役割を果たしている。JICA（国際協力機構）が提供した「ソイルアーマー（ガビオン）」は、ミサイルの直撃は防げずとも、爆発時の破片から設備を守るための防壁として活用されている。これは単なる人道支援という枠を超え、重要インフラを防衛するための実質的な支援であり、日本自身もこの防御能力の効果について学ぶべき点は多い。

　民間企業にはミサイルを迎撃する手段はない。だからこそ、被害を最小限に抑えるための「パッシブ・ディフェンス（受動的防御）」の強化が、企業の生存率を分ける鍵となるのだ。

大阪・関西万博に展示されたDTEKのヘルメット

3ヵ月でAWS移行を完了させた金融業界と900名以上の社員を失った鉄道インフラ

　エネルギーと並んで経済の血流となるのが「金融」だ。お金の流れが止まれば、企業活動も国民生活も即座に破綻する。ウクライナの金融業界が直面した危機は、日本の規制当局や企業にとって他人事ではない。

　侵攻前、ウクライナの銀行はデータの国内保存を義務付けられており、パブリッククラウドの利用は認められていなかった。金融機関側はロシアによるデータセンター破壊のリスクを予見し、繰り返し規制緩和を要望していたのだが、当局はこれを拒否し続けた。しかし、侵攻開始からわずか1週間で政府のバックアップデータセンターが破壊されると、当局は方針を一転させ、クラウド利用を許可したのだ。

　そこからの動きは早かった。主要な銀行はわずか3ヵ月でAWS（Amazon Web Services）へのデータ移行を完了させたのだ。

「信じられますか。平和な日本であっても、3ヵ月間で銀行のデータをAWSに移すのは不可能だと思います。それを戦時下にやってのけたのです。もちろん、突貫工事だったので、金融サービスは何度もダウンしたと伝えられています。しかし、規制当局もユーザー側も、ダウンしたことに対してかなり寛容に対処したということです」（松原氏）

　平時の厳格な規制やルールが、有事においては足かせになり得るというのは学ぶべきポイントだ。平時であれば許されない「突貫工事」や一時的なサービスダウンを、非常時においてどこまで許容するか。社会全体での合意形成と、規制当局の柔軟な判断がなければ、危機を乗り越えることはできないという。

軍事侵攻前は銀行がクラウドを利用することは禁止されていた

　また、鉄道インフラも同様に過酷な状況にある。物流と人の移動を支えるウクライナ鉄道では、多くの社員が業務中に命を落としている。2024年11月時点で900名以上の社員が死亡しており、その多くは兵士としてではなく、鉄道員としての業務遂行中に犠牲となった。彼らもまた、経済活動という戦線を死守する兵士なのだ。インフラを守るということは、施設やシステムを守ること以上に、そこで働く「人」をいかに守るかという問題といえるだろう。

鉄道の被害は2024年12月時点で、GDPの26％にものぼった

「想定外」を排除し官民が連携して描くべき日本の生存戦略

　ウクライナの事例からは、事前の準備と連携の欠如がもたらす代償の大きさがリアルに感じ取れる。ウクライナでは、軍、政府、民間企業が一体となった具体的な事業継続計画（BCP）が十分に策定されていなかった。どのインフラが破壊されたらどのような波及効果が生まれ、ドミノ倒しのように社会機能が麻痺していくのか。そのシミュレーションが不足していたため、優先順位の判断や対応が後手に回らざるを得なかったという。

　日本においても、2025年に能動的サイバー防御関連法が成立するなど、法整備の面では進展が見られる。しかし、松原氏が指摘するように、有事はサイバー攻撃だけで完結するものではない。物理的なミサイル攻撃やドローン攻撃によって施設が破壊されたとき、民間企業だけで対処することは不可能だ。自衛隊がどこまでを守り、民間がどこまでを担うのか。その境界線と連携のあり方を、平時の今こそ詰めておく必要がある。

　「想定外」という言葉で思考を停止させてはならない。ウクライナの人々が直面している現実は、明日日本が直面するかもしれない可能性でもある。規制当局と自衛隊、そして重要インフラを担う民間企業が膝を突き合わせ、最悪のシナリオを共有し、具体的な対策を練り上げることが、将来起こり得る危機から国民の命と経済を守るために求められている。