ニュース
グーグル、日本のサイバー攻撃対策を底上げする「Japan Cybersecurity Initiative」
2025年3月13日 15:47
Googleは、日本企業のサイバーセキュリティ意識の向上と専門人材の育成を支援する「Japan Cybersecurity Initiative」を立ち上げた。日本社会が直面するサイバーセキュリティ上の課題を共に克服するため、経済産業省と連携した全国の中小企業向けの普及啓発活動の実施、エンタープライズ参画団体へのサイバーセキュリティの最新事例の提供を行なうほか、官民連携の新たな有識者会議も設立し、法改正に向けた提案を行なう。
サイバーセキュリティのリスクは深刻化しており、企業規模を問わず全社会的な経営リスクとなっている。特に中小企業はセキュリティ対策が手薄になる場合が多く、中小企業への攻撃から大手企業にまで被害が拡大するなど、サプライチェーン攻撃の標的となりやすい。こうしたことから、Googleは経済産業省と連携し、中小企業の無償トレーニングプログラムを2025年前半から提供を開始する。
具体的には、セキュリティポリシー策定などの組織体制構築や、ハードウェア管理による内部情報漏洩防止、不正アクセス対策など外部攻撃への対応などについて学ぶことができるようにする。
また、「地域SECUNITY」(地域ごとに形成される情報セキュリティのコミュニティ)ネットワークを活用し、全国の中小企業に情報提供を行なう。こうした取り組みにより専門人材の確保が難しい中小企業でもサイバー攻撃リスクを軽減し、事業継続性を向上させることを狙いとする。
サイバーセキュリティの最新情報を提供
エンタープライズ企業にかかわらず、エネルギーや通信交通など重要インフラがサイバー攻撃被害をうければ、社会に甚大な影響を及ぼす可能性がある。特に最近では国家の支援を背景とした攻撃も増えており、業務停止による損失や機密情報の流出、社会的信頼の毀損などのリスクに晒されている。
こうした状況をうけ、Googleは、サイバーセキュリティにおける脅威インテリジェンスと最先端の技術を組み合わせ、世界で数十億人にサービスを提供してきた「Google Threat Intelligence」、米国政府による国家単位のサイバーセキュリティプログラム策定支援実績のあるMandiantの知見をJapan Cybersecurity Initiativeの参画団体に提供する。
MandiantはGoogle Cloudのセキュリティ専門部隊として、世界規模のサイバー脅威を分析し、各国の大規模組織におけるサイバーセキュリティ対策を支援している企業。20年以上のサイバー攻撃調査に基づく脅威インテリジェンスと専門知識を提供し、高度化するサイバー攻撃への対応を支援する。
また、Japan Cybersecurity Initiativeは、参画団体にサイバーセキュリティ分野で即戦力として活躍するためのスキルを習得できる有償プログラム「Google サイバーセキュリティ プロフェッショナル認定証」を5,000枠限定で無料提供する。
産学官連携の有識者会議発足
今回設立されたJapan Cybersecurity Initiativeは、日本のサイバーセキュリティについての最新事案の共有や課題の把握、解決策の検討を目的とした有識者会議。慶応義塾大学の村井 純教授を座長とし、産学官から14名の有識者が参加。会議での発言や調査等で得られた示唆をもとに、産学官でとるべきアクションをまとめたホワイトペーパーを発行する。
岸田元総理大臣も登壇
12日に開催された発足イベントには、岸田文雄元内閣総理大臣も参加。岸田氏は、2023年5月に開催されたG7広島サミットにおいて、生成AIなど高度なAIシステムに関する国際的なルール作りを推進する枠組みとして「広島AIプロセス」を立ち上げた経験がある。
岸田氏は「AIとサイバーセキュリティは相互に密接に関わってくる。AIで攻撃の検出能力を上げても、攻撃側もまたAIを活用してくる。生成AIによる誤った情報の拡散も問題になる。AIとサイバーセキュリティの問題は表裏一体であり今後ますます重要性が高まる」とコメント。
「サイバー攻撃による政府、企業に対する攻撃では、重要インフラ機能を停止させることを目的とした攻撃もみられ、これは安全保障そのものの問題。サイバーセキュリティは待ったなしの状況になっており、早期に体制整備を行なう必要がある」
一方、万全なセキュリティは政府だけでは不可能とし、社会全体で取り組む必要があるとする。その意識が社会に十分浸透しているかと言われれば、現状ではまだない。官民連携で情報共有を行なうことで攻撃に関する分析結果を共有するなどして、対策を行なう必要を訴えた。
最後に、「特に脆弱性が高い地方、中小企業は喫緊の課題。Googleがそうした課題に目を向け普及活動を行なっていることを高く評価している」とし、「AI大国日本の将来をみつめ、日本社会全体を強化してくれることに期待したい」などと語り、講演を終えた。
中露からの攻撃が急増
同イベントでは、中曽根康弘世界平和研究所の主任研究員 大澤 敦氏が、「サイバー攻撃情勢を踏まえたサイバーセキュリティ人材育成のあり方」と称して講演を行なった。
世界のサイバー攻撃数は激増しており、10年前から10倍の規模になっている。直近でもJAXAやニコニコ動画、JALやNTTなど、大手企業やインフラを狙った攻撃が発生した。こうした攻撃は地政学リスクに起因するもので、JAXAに対する攻撃では中国が関与しているとみられているという。
特に24年10月に行なわれたDDoS攻撃は過去のものとは異なる大規模なもので、恐らくロシアが関与しているという。こうした地政学的リスクの攻撃が増えたのが、ここ2年ほどの傾向だ。
攻撃も多様化しており、従来はメールに添付されたファイルをクリックさせる、というのが主流だったが、最近はネットワークセキュリティの機器を突破してくる攻撃が増えた。1つの機器が突破されると、同じ機器を使っている組織が一斉に狙われる。脆弱性が見つかると24時間以内に攻撃が始まるという。
最近の攻撃では、大企業から零細企業まで一気通貫でサプライチェーンごと狙われる傾向があり、特に航空宇宙産業においては、2万人規模の大企業から、数人規模の企業まで一斉に攻撃をうけるという。末端の中小企業の脆弱性から大企業全体が攻撃されるという構図だ。
サプライチェーン全体を守るには、「一人も置き去りにしない」対策が必要。大企業だけ対策を講じても効果を発揮できない。
セキュリティに関わる人材も不足している。日本のセキュリティ人材不足は加速しており2022年には13%の人材不足だったものが、2024年には25%まで拡大した。日本のセキュリティ人材の推計数は約50万人だが、約17万人が不足している。これはヨーロッパなどと比較しても低い数字で、人材確保が急務になっている。
そこで、アジアから人材を供給すればよいという話も出るが、そもそも世界でセキュリティ人材は不足しており、その数は約330万人にもなる。とても簡単に雇える状況ではなくなっている。
反撃もできる技術者の養成を
人材は国内で育てるしかなく、人材育成のエコシステム確立が必要だ。具体的には、教育機関で育成した人材を更に高度な人材とするには、まずは政府機関で仕事をさせ、セキュリティクリアランスを取得し、その上で民間企業に展開するという、エコシステムをスパイラル状に形成していく必要がある。
また、サイバー対処能力の強化として、「能動的サイバー防御」を行なう人材育成も必要になる。受動的な防御だけでなく、攻撃者に対して反撃を行なえる人材であり、これまでとは違うスキルが必要になる。安全保障の感覚をもち、サイバーセキュリティの知識もある人材を育て、民間企業にもそうした人材が必要になっている。
すでに、サイバー安全保障分野での対応能力を、欧米主要国と同等以上にすることを目的とした法案「改定国家安全保障戦略」にも織り込まれているが、今後もさらに具体的な法整備を行なっていくという。
こうした包括的な取り組みを通じて、「Japan Cybersecurity Initiative」は、日本全体のサイバーセキュリティ対策の底上げと、高度な専門人材の育成を目指している。産学官の連携により、中小企業から大企業まで、そして重要インフラを含む幅広い分野でのサイバーセキュリティ強化や、能動的サイバー防御の概念を取り入れた新たな人材育成など、日本のサイバーセキュリティ体制の刷新が期待される。