全2288文字

 警察庁は2021年6月、サイバー犯罪やサイバーセキュリティー対策に関する直轄組織「サイバー局」を2022年4月をめどに新設し、関東管区警察局に「サイバー直轄隊(仮称)」を置く計画を明らかにした。

 これまで警視庁・各県警の警備部、生活安全部が主にサイバー事案に関する活動を行っていた。警察庁直下に局を設置することで、警察組織で横断的にサーバー事案に対応できるようになり、一層レベルの高い活動が期待される。

 ただ、日本のサイバー能力は世界的に最低の評価を受けている。また、より高いレベルで対応しようとしても法制度が整っていない。さらに、組織としての課題や継続的な要員の採用・教育・維持については、一般企業と同等もしくはそれ以上の難題となるであろう。

 困難な状況でスタートするサイバー局が最低評価から浮上するきっかけになるのか。日本の現状と課題について見ていこう。

設置の背景と日本のサイバー能力

 近年、複雑化・高度化するサイバー犯罪やサイバー攻撃により、国家や企業の機密情報の流出や重要インフラ攻撃による社会活動の停止など、国民の生活は脅かされている。国は将来にわたって、国家および国民の安心安全を守らなければならない。

 欧米においては国の機関がサイバー攻撃に対して積極的な防御方法(Active Defense)として、攻撃者に対して情報収集やホワイトランサムウエアなどによる機能停止、ウイルスの駆除活動などが行える法整備と組織作りが進んでいる。

 一方、英国のシンクタンクIISS(The International Institute for Strategic Studies、国際問題戦略研究所)による日本のサイバー能力は、3段階(Tier1が最高ランク、Tier2、Tier3と続く)のうち最低ランクTier3として評価された。同じくTier3に分類されている国は、インドやインドネシア、イラン、マレーシアなどであり、先進国の評価としてはお粗末な状況である。評価の内容を見ると、サイバー防衛能力が低く、多くの企業も防衛能力を高めるために費用を投入することを望んでいないことや軍事を含めた公式のサイバー組織を持たないことが指摘されている。

英国シンクタンクによる国家のセキュリティー能力の評価。日本は3段階で最低評価になっている
英国シンクタンクによる国家のセキュリティー能力の評価。日本は3段階で最低評価になっている
(出所:英IISS)
[画像のクリックで拡大表示]

 こういった背景から、今回警察庁がサイバー局を設置することで世界のサイバー防衛に遅れている現状を改善していこうという姿勢が見てとれる。しかし、設置するだけで「はい解決」というわけにはいかない。IISSのサイバー能力評価において、Tier2以上の実力を持つようになるには人材確保と法整備の観点で大きな問題がある。