国家機関による諜報戦が繰り広げられるなかで、個人にできることはあるか。不用意に添付ファイルを開かない。最新版のソフトを使う。パスワードを使い回さない――。いずれも重要な対策だ。だが人間はミスを犯す。サイバーディフェンス研究所の福森大喜氏はいう。

「完全に守りきることは不可能。またセキュリティを厳しくすれば、利便性が犠牲になる。流出を覚悟したうえで、情報を仕分けることが必要です」

加えて福森氏はフェイスブックなどのソーシャル・ネットワーキング・サービス(SNS)への注意を促す。

「攻撃者にとってSNSは非常に有用。効果的な『なりすまし』の対象は、SNS上のやり取りをみればすぐにわかる。私は攻撃のきっかけを与えることになるので利用していません」

技術的な方法ではなく、メールやSNSの内容から、標的の穴を探す行為は「ソーシャル・エンジニアリング」と呼ばれる。標的型攻撃の増加は、誰もがメールやSNSを使うようになったことと深く関係している。つまりネットを介したスパイ行為でも十分に情報が取れるようになったのだ。警察庁は、ネットを通じて機密情報を盗むことを「サイバーインテリジェンス」と呼び、「最も安全で安価なスパイ」として注意を呼びかけている。

被害拡大を防ぐには、「恥」の意識を捨て、組織同士が被害情報を共有することが重要だ。日本でも各機関が情報共有の態勢づくりを進めている。

警察庁は01年に専門部隊「サイバーフォース」を設置。04年からは電力や交通などを中心に24時間体制で攻撃監視を行う。また11年8月には「サイバーインテリジェンス情報共有ネットワーク」を構築。日本の基幹産業を担う約4000社と情報共有を進める。経済産業省では11年10月に「サイバー情報共有イニシアティブ」を発足させ、三菱重工や東芝など重要インフラ機器の製造業者を中心に情報共有を図る。

占部浩一郎●内閣官房情報セキュリティセンター副センター長、内閣審議官。

各種施策のまとめ役は内閣官房にある「情報セキュリティセンター(NISC)」である。副センター長の占部浩一郎氏は「複数の組織が並行して進めたほうが強い」と話す。

「情報セキュリティはあらゆる領域に関わるため、どこかに固めることはできない。情報共有でも、広く共有すべきものと共有相手を絞るべきものがある。わかりづらいとの指摘があることは理解しているが、ひとつの組織でカバーできると考えないほうがいい。また政府の力だけでは不十分だ。日本のセキュリティ産業全体を振興し、人材の厚みをつくることも欠かせない」

NISCの役割はあくまで政府内の調整である。それは幹部の出身母体をみれば明らかだ。センター長(内閣官房副長官補)の櫻井修一氏は防衛省、2名の副センター長(内閣審議官)は種谷良二氏が警察庁、占部氏が経産省の出身である。米国が大統領府に「サイバーセキュリティ調整官」を置き、マイクロソフトの最高セキュリティ責任者を務めたハワード・シュミット氏を招聘していることに比べれば、リーダーシップは弱い。