社会が標的になる時代のサイバーセキュリティ──国家レベルの脅威とインフラ防衛
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「サイバー紛争が社会を標的にするとき」を再編集したものです。
サイバーセキュリティは、もはや単なるビジネス上の問題ではありません。政府、公共サービス、クリティカルインフラストラクチャが、平和と紛争の境界線を曖昧にするデジタル脅威にますます晒される中、サイバーセキュリティは社会を定義する課題となっています。
Brass Tacks: Talking Cybersecurityシーズン2の第1話では、現代のサイバー紛争が防衛、クリティカルインフラストラクチャ、公共サービスにどのような影響を与えるかを検証します。Joe Robertsonは、バーリ大学の国際法教授でサイバーセキュリティ専門家であるAnnita Sciacovelli氏と対談します。同氏は、EU Agency for Cybersecurity(ENISA)の諮問委員会に2年半務め、現在はイタリア国防省のサイバーセキュリティとサイバー戦争に関する法律顧問を務めています。
両者の対話では、国家がデジタル作戦、経済的圧力、偽情報、インフラストラクチャの混乱を組み合わせて社会に圧力をかける方法について探求します。多くの場合、戦争を宣言することなく行われます。
社会が標的である
Sciacovelli氏によると、市民は現代のサイバー紛争における単なる巻き添え被害ではありません。市民はしばしば意図的な標的なのです。エネルギー、交通、金融、行政などの必須サービスへの攻撃は、制度への信頼を損ない、社会のレジリエンスを弱めるように設計されています。このように日常生活を混乱させることで心理的圧力と戦略的影響力が生まれ、物理的な暴力が伴わない場合でも、サイバー作戦は強制の効果的なツールとなります。
この変化により、サイバーセキュリティは公共の利益に関わる問題として再定義されます。クリティカルなサービスが停止すると、その影響はITシステムをはるかに超えて、社会の安定性、経済的信頼、そして民主主義への信頼にまで及びます。
重要インフラストラクチャが常に標的となる理由
重要インフラストラクチャは、この圧力の中心に位置しています。エネルギー網、水道システム、金融ネットワーク、交通機関、そして政府サービスは、現代国家の運営基盤を表しています。
Sciacovelli氏は、この種の戦術の長期にわたる例としてウクライナを指摘しました。2014年以降、同国は発電、国家機関、金融システムを標的とした持続的なサイバー攻撃に直面してきました。これらのインシデントは、孤立した技術的事象ではありません。これらは、公共機関への信頼を損ない、国家規模での脆弱性を示すことを意図した心理戦の一形態です。
Joe Robertson氏は、サイバー攻撃によってウクライナの発電所のタービンが制御不能に回転した有名な事例を振り返りました。これは、デジタル攻撃がいかに迅速に物理的な結果に変換されるかを示す例です。
デジタル破壊から物理的影響へ
このタイムリーな対話は、サイバー攻撃がデータ窃取やWebサイトの破壊を超えてますます進化していることを浮き彫りにしています。産業用制御システム、海底ケーブル、エネルギーパイプラインに対する攻撃は、デジタルアクションが現実世界の損害を生み出す方法を示しています。
Sciacovelli氏はまた、人工知能がこの進化を加速させ、サイバー攻撃の速度、規模、高度化を増大させていると指摘しています。その結果、今日のサイバーインシデントは、セクター全体に連鎖的に影響を及ぼし、物理的インフラストラクチャと公共の信頼の両方に影響を与える能力がより高まっています。
法的枠組みが重要な理由
議論の重要な部分は、国際法がこれらの活動をどのように扱うかに焦点を当てました。
国家が支援するサイバー作戦をテロリズムと見なすべきかどうかを尋ねられたとき、Sciacovelli氏は明確な区別を示しました。テロリズムは、国際法の下で特定の法的定義を持っています。サイバー作戦は、代わりに国家間の武力行使を規定する法的枠組みの下で評価されます。
この区別は、国家が合法的にどのように対応できるか(外交、制裁、サイバー対抗措置、または極端な場合には軍事行動を通じて)を決定するため、重要です。
エスカレーションなしの対応
もちろん、すべての深刻なサイバーインシデントが軍事的エスカレーションにつながるわけではありません。例えば、Sciacovelli氏は、2022年にアルバニアが経験した事例を強調しました。同国は、イランと関連する攻撃者によるものとされる大規模なサイバー作戦の被害を受けました。アルバニアは武力で対応するのではなく、外交的解決を追求し、イランの外交官を国外追放しました。
この例は、比例的な対応の重要性と、国家に起因するサイバーインシデントにおいても非動的な選択肢が利用可能であることを強調しています。
規制、レジリエンス、そして政策サイクルの限界
第1回のエピソードでは、政府が規制を通じてレジリエンスを強化しようとしている方法についても検討しました。ヨーロッパでは、NIS2(EUのネットワークおよび情報セキュリティ指令、バージョン2)、デジタル運用レジリエンス法、サイバーレジリエンス法などの枠組みが、リスク管理の改善、設計によるセキュリティの義務化、および重要サービスのためのサイバーと物理的レジリエンスの統合を目指しています。ENISAは、特に電力網の保護に関して、これらの取り組みを支援する上で中心的な役割を果たしています。
しかし、Sciacovelli氏は、多くの実務者が共有する重要な懸念を提起しました。政策サイクルは、しばしば動きが遅すぎます。4年ごとに実施されるリスク評価は、サイバー脅威の急速な進化に追い越される可能性があり、継続的な再評価と適応が不可欠となります。
サイバー外交と情報共有の役割
サイバーインシデントが物理的な紛争にエスカレートするのを防ぐために、Sciacovelli氏はサイバー外交の重要性の高まりを強調しました。偽旗作戦、代理アクター、VPN、暗号通貨による資金調達は、帰属の特定を複雑にする可能性があります。これに対応して、国連と欧州連合は、帰属の特定、調整、制裁を支援するために設計された、国家間の連絡窓口やサイバー外交ツールボックスなどのメカニズムを開発しました。
彼女はまた、意味のあるセキュリティの向上は、実際には情報共有に依存していることを強調しました。政府は機密情報の共有に消極的であることが多いですが、公的機関、民間企業、国際パートナー間で強力かつ積極的な協力が行われると、レジリエンスが向上します。
共有プロセスとしてのセキュリティ
Sciacovelli氏は、明確なメッセージでセッションを締めくくりました。サイバーセキュリティは製品ではありません。それは継続的なプロセスです。現代のサイバー紛争から社会を守るには、持続的な官民パートナーシップ、共有責任、そして政府、業界、市民を含む集団的な取り組みとしてセキュリティを扱う考え方が必要です。
サイバー脅威が日常生活の基盤をますます標的にするようになるにつれて、レジリエンスの構築は技術的な目標だけでなく、社会的な目標にもなります。
免責事項:
この記事は、2025年11月に録音されたポッドキャストディスカッションに基づいています。2026年1月以降、議論された国際法および地政学的状況の一部の要素は進化し続けています。
Brass Tacksシーズン2のエピソード1をこちらでご覧ください。
Brass Tacksについて: サイバーセキュリティを語る
Brass Tacks: Talking Cybersecurityは、今日のデジタル環境を形成する現実世界のリスクに焦点を当てたフォーティネットのポッドキャストシリーズです。シーズン2では、テクノロジーやビジネスの枠を超えて、サイバーセキュリティを社会的課題として捉え、政府、クリティカルインフラストラクチャ、公共サービス、そして日常生活に関わるものとして検証します。
各エピソードでは、政策、学術、業界の専門家との対話を通じて、組織や社会がどのようにレジリエンスを強化し、リスクを管理し、進化する脅威環境に対応できるかについて、実践的な洞察を提供します。
Brass Tacksのエピソードは、フォーティネットTVやYouTubeでご視聴いただけるほか、お好みのポッドキャストプラットフォームでFortinet Cybersecurity Podcastチャンネルからお聴きいただけます。