Loading...

Loading...

JCICコラム

-----------------------------------------------------------------------------------

サイバーセキュリティそのものがインフラになる時: 「ターゲットリッチ、リソースプア」と「サイバー貧困ライン」というキーワード


-----------------------------------------------------------------------------------

日本サイバーセキュリティ・イノベーション委員会 事務局長 藤原未来子
2024年11月 

UCバークレーなどによる公開書簡:「地域社会のサイバーセキュリティの優先度を上げよ」


 2024年10月30日、大統領選を翌週に控えた米国で、カリフォルニア大学バークレー校ロングターム・サイバーセキュリティセンターを筆頭にし、複数の大学・組織連名で「地域(コミュニティ)のサイバーセキュリティの優先度を上げよ」というタイトルのオープンレター(公開書簡)が発出された[i]。あて先はトランプ陣営・ハリス陣営、ホワイトハウス国家サイバー長官室、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)、議会、上下院議員などである。
「連邦政府は主に国家安全保障に関するサイバーセキュリティに注力しています。この優先順位は本質的なものではありますが、この枠組みだと多くの、小さくてもきわめて重要な組織を取りこぼすことになります」という書き出しで始まるこの公開書簡は、「小さくてもきわめて重要な組織」として、小規模な地方自治体、学校などの公的機関に加え、フードバンクや法律支援団体、社会奉仕団体などのNPO団体を挙げている。
「サイバー攻撃は地域の組織に壊滅的な打撃を与え、それらの組織が提供するサービスを頼りにしている最貧困層のアメリカ人たちに影響を及ぼします。そういった組織へのサイバー攻撃は経済的健全性と公衆衛生、安全を悪化させるのです。国民の生活は、米国を機能させている何千もの小さな地方の組織なしでは立ちいかないのです」
 「しかしこれらの組織の多くはサイバー攻撃を防御するためのリソース、トレーニング、アクセスに乏しく、しばしば『ターゲットリッチ、リソースプア(target-rich, resource-poor)』、あるいは『サイバー貧困ライン以下』と言われます」
公開書簡は繰り返し、それら組織のサイバーセキュリティ面でのケアを訴え、こう結ぶ。「今こそが全米の地域のため、わたし達の国の安全保障のため、『ターゲットリッチ、リソースプア』の団体を守る時です」

「ターゲットリッチ、リソースプア」と「サイバー貧困ライン」


脆弱性は、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生するサイバーセキュリティ上の欠陥である。しかし、社会においてもサイバーセキュリティ上の脆弱性は存在する。その「社会の脆弱性」、特に地方や組織の末端の脆弱性を表すキーワードとして、この公開書簡に出てきた「ターゲットリッチ、リソースプア」と「サイバー貧困ライン」に着目したい。

「ターゲットリッチ、リソースプア」とは、「サイバー攻撃のターゲットになりそうな要素(事業継続が社会的に重要もしくは重要情報を保有)が豊富であるにもかかわらず、防御態勢のリソースを著しく欠いている」状態のことであり、2022年にCISAが使い始めている。CISAはこの状態があてはまる組織として、医療、水道・水インフラ、幼稚園から高校までの学校(K-12)を挙げている。『CISA Cybersecurity Strategic Plan FY2024-2026』では、限りあるCISAのリソースを向ける先として主要な4つのステークホルダーを挙げており、その2番目に「ターゲットリッチ、リソースプア」な組織が入っている(他は①連邦政府機関、③重要インフラ、④主要な技術提供企業)[ii]。既に米国政府としてもこういった状態にある組織をカバーする取り組みが始まっている訳だが、冒頭で紹介した公開書簡では、この「ターゲットリッチ、リソースプア」な組織の解釈を広げ、地方自治体やNPOを入れているのが特徴である。「最貧困層のアメリカ人に影響を及ぼす」という観点からすると、地方自治体や、貧困層に食料を配布する活動を行うフードバンク、福祉サービスを提供する社会奉仕団体などがカバーされるべきというのも理解しやすい。

 次に「サイバー貧困ライン」はCiscoでCISOアドバイザリーチームのヘッドを長く務めたウェンディ・ネイサー(Wendy Nather)氏の造語である。言葉自体は2011年に初出しているが、注目され出したのはここ数年である。ネイサー氏によれば、「サイバー貧困ライン」、または「セキュリティ貧困ライン」とは、「予算、知見、能力、(サプライヤーなどにセキュリティを要求できる)影響力の4分野の不足が絡み合った状態であるために、セキュリティに苦闘し、自分で防御が出来ない」組織を指す。
「貧困ライン」という言葉はご存知の方も多いだろう。食糧・衣服・住まいなど、生活を維持するために必要な最低限の収入基準を示し、これを下回ると貧困と認定される。この派生語として、たとえば「エネルギー貧困ライン」、「電力貧困ライン」などがある。いずれにせよ、「貧困ライン以下」は「命に関わる」ことを意味している。米国のシンクタンクであるアトランティック・カウンシルの2022年3月の論考は興味深い指摘をしている。「サイバー貧困ラインはリアルの世界の貧困とよく似た力学を示している:単にお金を配ったり、無料で専門知識を提供したりするだけでは、不十分な技術設計、不十分な市場インセンティブ、セキュリティに対する社会文化的姿勢のずれ、その他の障壁に対応することにはならない」[iii]。

サイバー攻撃を受けた中小企業の6割が6か月以内に廃業、でも。。


上述のアトランティック・カウンシルの論考では、サイバー攻撃を受けた中小企業は、その対応に一社あたり平均約20万ドルを費やし、かつ、被害を受けた企業の約6割が6か月以内に廃業していることに言及している。中小企業の中にも「ターゲットリッチ、リソースプア」な企業は存在するであろうことからも、非常に深刻な問題である。加えて、廃業しようにもできない業種があることも問題だ。それが公共機関であり、教育機関であり、米国において貧困層の毎日の生活を実質的に支えるフードバンクなどの社会福祉団体である。特に、日々の暮らしを支えている組織にあっては、サイバー攻撃によって事業が一日でもストップすることは文字通り致命的であり、命に直結する。にもかかわらず、防御態勢が十分でない組織が多くある。冒頭のUCバークレーの公開書簡はそういう「ターゲットリッチ、リソースプア」であり「サイバー貧困ライン」下にいる組織へのケアを強く呼びかけたものである。

サイバーセキュリティそのものがもはやインフラだ


日々の暮らしがデジタルなしでは営めない時代において、サイバーセキュリティは大前提となる。サイバーセキュリティは「普遍的権利」、「インフラの中のインフラ」、「基本的人権」、など様々な言われ方をしているが、どれもその通りである。人の生活の営みがデジタルに依拠するのであれば、サイバーセキュリティは「人が安心安全に暮らしていく」ためのベースとなる。サイバーセキュリティ自体がインフラなのである。
 米国ではCISAのサイバーセキュリティ戦略に「ターゲットリッチ、リソースプア」への対応策が組み込まれるなど、政府としての施策も始まっている。また大手テック企業もサイバー貧困への取り組みを進めているところも多い。そういった動きを受けての今回の公開書簡は、「サイバーセキュリティが人々にとっての普遍的権利であること」「サイバーセキュリティそのものがもはやインフラであること」を所与のこととして、「さらにその先へ」の対応を求めている感がある。 
 アナログな面もまだおおいに残っている日本ではあるが、デジタル庁が設置され、総じて「デジタルの時代」に入ったことは間違いない。世代交代と共に早晩デジタル化はいっそう進む。日本でも、サプライチェーンの中にある中小企業についてはサイバーセキュリティの重要性が認識され、対応策がとられ始めているが、ここからこぼれるものもある。この「ターゲットリッチ、リソースプア」、「サイバー貧困ライン」の概念を使い、我々の暮らしに必要不可欠でありながらセキュリティに乏しい組織や団体、企業の抽出・ケアが進められるべきであろう。 (了)



[i] The Center for Long-Term Cybersecurity, University of California, Berkeley, “Open Letter to Prioritize Community Cybersecurity”, October 31, 2024 (2024年11月5日閲覧)
https://cltc.berkeley.edu/2024/10/31/open-letter-to-prioritize-community-cybersecurity/
[ii] Cybersecurity and Infrastructure Agency, “CISA Cybersecurity Strategic Plan FY2024-2026”, Jan 2024 (2024年11月5日閲覧)
https://www.cisa.gov/sites/default/files/2023-08/FY2024-2026_Cybersecurity_Strategic_Plan.pdf
[iii] Trey Herr, Robert Morgus, Stewart Scott, and Tianjiu Zuo, “Buying Down Risk: Cyber Poverty Line”, Atlantic Council, March 2022 (2024年11月5日閲覧)
https://www.atlanticcouncil.org/content-series/buying-down-risk/cyber-poverty-line/