近年、日本国内でランサムウェア被害が急増している。
以前このテーマを取り上げた際には「高度化するサイバーテロに、一般企業はなす術があるのか」
という問いを投げかけた。
しかしここ数年の事例を振り返ると、その答えはより容赦ない現実として私たちに突きつけられ
始めている。

以前、ランサムウェア関連の記事を書いたが
高度なサイバーテロには一般企業にはなす術無しなのか?
https://commstep.com/ransomware/

【衝撃レポ】身代金要求が現実に…地方中小企業を襲うサイバー脅威の真相
https://commstep.com/ransom01/

大手ビールメーカー、海外ではボルボをはじめとする著名企業の人事情報流出。
サイバー攻撃はもはや特殊な事件ではなく、日常化した“産業災害”とも言える状況になっている。
攻撃者は組織化・高度化し、犯罪ビジネスとしてのランサムウェアは成熟の一途をたどっている。

一方、被害企業は攻撃手口や影響範囲の説明を求められ、記者会見やWebでの公表を余儀なくされ
まるで「加害者」であるかのような立場に追い込まれることさえある。

しかし、よく考えてみてほしい。
防御側は企業単独、攻撃側は国家規模で活動する犯罪組織。これでは“兵器 vs 竹槍”だ。
大企業であっても自社の専門チームだけで全てを防ぎ切るのは不可能に近い。
まして、多くの中小企業にとってはなおさらである。

■ VPN脆弱性のような「構造的問題」は、個社の責任に帰すべきではない

最近の被害事例でも、「VPN機器の脆弱性を突かれた」という指摘がある。
しかし、これは当該企業固有の問題ではない。多くの企業が同じ製品や同種のネットワーク構成を
使っている以上、「脆弱性の存在=個社の管理不足」と単純化するのは誤りである。

そもそも、ゼロデイ脆弱性や装置固有の欠陥は、専門知識を持つサイバー攻撃集団でさえ膨大な時間と
資金を使って発見している。一般企業が同等の知識とリソースで常に先回りして対処することは現実的
ではない。

ではどうするか?

■ 国家レベルの「脆弱性巡回診断」と企業支援を仕組み化すべき

個別企業の責任として防御を求めるだけでは限界がある。
今求められているのは、国家レベルでのサイバー防御プラットフォームの確立だ。

▼ 提案:国主導の「脆弱性自動巡回診断」と企業支援体制の構築
1. 政府機関(デジタル庁・NISC など)が主体となり、国内企業の IT 資産の外部公開部分を自動巡回
脆弱性チェックする仕組みを運用する。
これは“監視社会”を意味するものではなく、消防署が建物の火災リスクを点検するような「公共安全」だ。
2. 脆弱性が確認された企業には、国が正式に通知し、対策支援(ガイドライン・技術的アドバイス・補助
金など)を提供する。
3. 脆弱性情報の共有プラットフォームを整備し、犯罪者だけが最新の情報を把握できる現状を逆転させる。

※NISC(ニスク)は主に内閣サイバーセキュリティセンター(National center of Incident readiness and
Strategy for Cybersecurity)を指し、日本政府のサイバー攻撃対策の司令塔として、政府機関の情報セキュリティ
政策の策定、監視、総合調整を行う組織です。

民間企業に丸投げではなく、「国による防御の肩代わり」でもなく、“防御の土台を国家が整える”というアプローチが重要である。

■ 国家が情報を握るべきではないという懸念について

もちろん、企業の内部情報や個人情報を国家が一元管理すべきではない。
それはどこかの大国が行うような統制に近づく。
しかし、今回述べているのは企業内部情報の収集ではなく

  • 外部公開されているサービスの脆弱性
  • 製品としてのセキュリティ欠陥
  • 攻撃手法の情報共有

など、「サイバー空間に共通する基盤部分」への介入である。

消防、交通安全、建築基準と同じように、サイバー空間にも“公共インフラとしての基準”が必要な段階に
来ている。

■ 企業単独の努力では限界。国家対応が“現実的な唯一の道”

サイバー犯罪は国境を越え、攻撃者の拠点がどこにあるかすら特定できないことも多い。
反社組織とも国家ともつかない集団に対し、企業単独で抵抗することには無理がある。

法整備(スパイ防止法やサイバー対策法案など)が進んでいるとはいえ、すでに攻撃は日々進化している。
企業が泣き寝入りする構図を変えるには、国家レベルの防御網が不可欠だ。

■ 最後に私たちに求められる視点

サイバー攻撃は、もはやIT部門だけの問題ではない。
経営者、業界関係者、政府関係者それぞれが以下を共有する必要がある。

  • 企業単独で全てを防げる時代は終わった
  • 脆弱性は「個別企業の責任」ではなく「社会全体の共有リスク」
  • 国家が支えるセキュリティ基盤なしに、日本企業は戦えない
  • だからこそ知識共有と国家支援の枠組みが不可欠

企業努力 × 国の仕組み
この両輪が揃わなければ、ランサムウェアという新たな“自然災害”に私たちは対抗できない