2024.11.27  日本経済新聞の記事「中外時評：サイバー警備に認定制度を」から

経済安全保障の要であるサイバー警備保障をチェックする制度がない日本

コラムの著者 土屋 大洋氏(日本経済新聞社 客員論説委員)は、フジカルな自社ビルの警備を取り上げても外部の業者を選定する基準を理解するには複雑だが、同様にインターネット空間からのサイバー攻撃などを防御する日常のサイバー警備保障に対して日本企業の認識は薄いと指摘している。

○情報セキュリティサービス審査登録制度の利用を義務化すべき

土屋氏によれば、一般の警備業には1972年に施行された警備業法の規則があるという。アルコールや薬物に関する問題、犯罪歴、心身の障害など警備業務を適正に行うことができない者は警備業を営んではいけない規則だと言う。

ところがサイバーセキュリティーに関してはこうした規則がないという。日本では、一定の質を満たした者がサイバーセキュリティ業務に就いているわけではないと言う。つまり、自社のサイバー防衛を外部の事業者に委託するには、相当なリスクがあるということになる。

例えば、自社がサイバー攻撃を受けて、事業に必要なシステムがダウンしたとしよう。すぐに委託したサイバーセキュリティー企業を呼んで、システムチェックにかかってもらう。だが、その業者に悪意があって、こっそり重要なデータをコピーして持ち帰るかもしれないし、競合他社や外国政府に渡すかもしれない。

また、サイバー防衛の訓練と称して、そのままデータを抜き取られたり、外部からのドアを開けっぱなしにするかもしれない。委託先が外国資本の企業である可能性もある。

日本政府も経済安全保障の観点から2022年経済安全保障推進法を成立させた。同法の4本柱の1つは基幹インフラサービスの安定的な提供の確保である。日本政府が認めた基幹インフラ事業者が新たな設備を導入する際に、その設備の供給者と設備構成の供給者はチェックを受ける。ICTシステム同様である。だが、企業の日常業務でサイバー警備保障を厳しくチェックする制度がないのが現状である。

サイバーセキュリティの脅威の少なからず部分は、組織のインサイダーによる犯罪行為が占めると言う。とはいえ、内部からの情報漏洩に防止に熱心なあまり、外見は礼儀正しいが、政治的・経済的動機に塗れた外部の悪意を持った輩に対して無防備である可能性もあろう。

日本企業も経済安全保障にサイバーセキュリティも含まれ、日常的なサイバー警備保障を行うためにも情報セキュリティサービス審査登録制度の利用を義務化すべきだと、土屋氏は訴えている。🚪📺💬👦👧📈💰📓🗺️🚢🩺💉🏢⚡️🎓👔⏰🔧💻🖥📻🖋🌏💡🔎🌍🇯🇵