責任をもってデジタル化を進めるということ

デジタル化とネットワーク化の進展は我々に多くの可能性をもたらすだけでなく、サイバー攻撃やデータ漏洩のリスクを増大させるという問題点も含んでいます。そのため、安全でかつ耐性のあるITインフラは業界を問わず、企業の成功に不可欠なものです。それに加え、特に新型コロナウイルス感染症の拡大による「強制的デジタル化」を通して、データ主権とデジタル主権の重要性が多くの企業に、明確に示されたと言えるでしょう。例えば、アウトソーシングによってアメリカのクラウドサービスに依存していたために、EU・アメリカ間におけるPrivacy Shieldが欧州司法裁判所により無効であると判断された今、代替案を探さなければならないということも頻繁に起きています。

ドイツと日本の場合、現在決定権を持つ人事や管理職を担う世代が必ずしも「デジタルネイティブ」ではないため、リスクが適切に評価されず、不十分な措置や誤った投資判断がなされる危険性があるということが問題となっています。最新のOECDの調査によると、日本のITリテラシーは先進国の中で最も低いという結果が出ています。そのため、日本企業には特にソーシャルエンジニアリングや、メール・詐欺電話（スキャム）によるランサムウェア攻撃に対して脆弱性があります。残念ながらドイツの状況も、必ずしもこれより良いとは言い切れません。

近年では、日本政府もドイツ政府もこの問題を認識しており、多くの意識改革的措置や訓練を伴う対策に着手しています。特に、経済産業省、内閣サイバーセキュリティセンター、ドイツ連邦情報技術安全庁（BSI）、そしてドイツ各州のデータ保護監督当局では、経済や政治における責任者や重要インフラ運営者のみならず、中小企業にも多くの資料や研修コースなどの提供を行っています。

脅威の現状

ここ数年の間、犯罪組織は利益を上げられる違法なビジネスモデルを多数用いて、サイバー攻撃の計画と実行のためのグローバルエコシステムを構築してきました。例えば、インターネットのアンダーグラウンドでは、使いやすいハッキングツールキットやゼロデイ・エクスプロイトを提供したり、盗まれたアクセスデータを販売したり、DDos攻撃のためのサーバー容量を借りたり、あるいは、マーケティングやグラフィックデザイン部門を含むソーシャルエンジニアリングチーム全体を雇うことができる市場があります。国際規模で巧妙に仕事を分担することで、こういった犯罪組織はより効果的に連携することができるだけでなく、摘発や刑罰などから逃れることができてしまうのです。

その結果、　「防衛側」が大きく後れをとっているという深刻な状態であることが問題となっています。このため、情報国間の改善、脅威への迅速な対応、サイバーセキュリティ強化のための予防戦略の策定のために企業と法執行機関の間の国際的なネットワークを促進することがますます重要になってきています。特に、データ侵害を早急に報告することで、マルウェアの拡散を防ぎ、犯罪の解決にもつながります。

この点で大きな役割を果たすこととなったのが、EU一般データ保護規則（GDPR）により遅くとも72時間以内に関連する監督当局にデータ侵害の報告を行うことをEU内全ての企業が義務づけられたということです。日本でも、個人情報保護委員会（PPC）がGDPRを模範とし、日本のデータ保護法の改正に取り組んでいます。

2019年1月23日の十分性認定により、EUと日本はデータ保護のレベルの適切性を相互認定し、国境を越えたデータ交換をより良く行うための法的枠組みが形成されました。この成果は、経済連帯協定（EPA）の実現に向けた重要な一歩であるというだけに留まりません。

GDPRの実施と遵守において重要な役割を果たすのが、（内部または外部の）企業データ保護オフィサーです。このデータ保護オフィサーは、連邦データ保護法（BDSG）とGDPRに関連する技術的・法的な問題だけでなく、組織面また事業戦略面でのサポートも行い、データ主体及び監督官庁とのインターフェースとしての役割も果たします。このモデルは、ドイツでは40年以上の実績があり、日本でもこのモデルを基盤としたデータ保護オフィサーのポジションを個別に作ることが検討されています。

サイバー攻撃に対する防御

現在の脅威の大部分は自動化されたサイバー攻撃であり、そのほとんどは体系的に軽減でき、リスクを最小限に抑えることができます。強靭なITインフラに遭遇した場合、約7割の攻撃が40時間後には断念するということが明らかになっています。したがって、サイバー攻撃に遭ってしまう同業者よりも優れたサイバーセキュリティ措置を講じるということは、競争上優位性があるといえます。

企業のサイバーセキュリティを向上させるための最も効率の良い方法やアプローチには以下のようなものがあります。

• 社員のIT知識とリスク意識の向上を図る。
• マルウェアとの互換性を最小限に抑える。
• バックアップ、フォールバック、リカバリーシステムの使用。
• インターネットを介したデータ送信のためのエンドツーエンド暗号化の実装（例：PGPを使用した電子メールの暗号化）。
• 多要素認証（MFA）の使用。
• システムやネットワークのコンパートメント化、隔離、戦略的仮想化。
• 常時監視と事前メンテナンスの実施。
• 管理システムでの包括的な記録の管理。

目標と展望

質への意識、信頼性、信用は、日本とドイツを結びつけ、産業化時代に経済大国として大成功を収めるに至った共通の価値観です。これらの価値観を情報化時代に引き継ぎ、ソフトウェアならびにハードウェアの品質基準を定め、ITシステムの信頼性の証明と安全なコミュニケーション手段による信頼を構築することが、今、両国の課題となっています。ITセキュリティとデータ保護は、ビジネスパートナーとのより安全でより良い連携を可能にし、顧客との信頼関係を築くための競争上の優位性と認識されるべきです。

データ損失やデータ保護違反が発生した場合の責任リスクが高すぎるが故に、サイバーセキュリティやデータ保護を十分に実施している企業とのみビジネスを進める企業も増えてきています。増加し続けるサイバー攻撃やデータ漏洩のリスクに対抗するには、従業員が定期的に訓練を受け、強固なITインフラと効果的な管理システムの導入と維持が不可欠です。したがって、サイバーセキュリティとデータ保護は、身代金や罰金を回避するためだけでなく、何よりも高品質な製品やサービスを提供し、社内のデータ主権を維持できるようにするための将来への投資と捉えられるべきでしょう。

データは、メディアでよく背景を考えぬまま伝えられているような新しい石油ではありません。なぜなら、データは必ずしも重要な情報が含まれている必要がなく、また、物質的資源のように不足の危機にさらされているわけでもないからです。

グローバルにネットワーク化された世界に共通の通貨があるとすれば、それは信頼であるといえるでしょう。しかし、デジタル空間では、まずこの信頼を獲得しなければならないというわけです。

「Made in Germany」と「Made in Japan」はいずれも最高品質と最高の信頼性を誇っています。これを今後もデジタルネットワークの世界での製品やサービスに応用していくためには、私たち全ての努力と取り組みが必要です。DJWはここで仲介役、代弁役としての大きな貢献を果たすことができます。

連絡先

日独産業協会 (DJW)

サイバーセキュリティ・データ保護
Eメールアドレス: it@djw.de