英国NCSC(National Cyber Security Center)のDougie Grant氏から話を聞く機会があった。NCSCは英国のサイバーセキュリティの中心的機関(MI6グループ)で、ロンドン市内某所に拠点がある。某所といったのは、実は一度訪問したことがあるのだが大きなビルで、何階にあるのか分からなかったから。一階の受付でNCSCに行くというと、何番のエレベータの前で待てと言われた。そのエレベーターに乗ると、行き先階のボタンはなく、階数表示も無い。上に行ったことだけは確かなのだが、何階でドアが開いたのかは分からなかった。さすがは007の国だとちょっと緊張して会議室にはいったのを覚えている。
Grant氏はNCSCが実践している4項目、
・コミュニケーションのためのプラットフォームを構築する。
・重要インフラ事業者への助言をする。
・インシデント対応チームを編成する。
・アクティブなサイバー防衛プログラムを定めて運用する。
を挙げた上で、「Industry100」を選んで官民連携プログラムを進めているという。具体的には政府(含む諜報機関)が持つ情報を、フィルターにかけて必要とする民間企業に流しているとのこと。これがなかなか難しいのだ。古くはエリック・アンブラーからイアン・フレミング、トム・クランシーらの諸作品を読むと、諜報戦とは化かしあい中の化かしあいである。そのネタは「情報=データ」だが、これはデジタル時代の前から変わらない。
政府・諜報機関は膨大な情報を持っている。その中の最重要な情報になると、その情報を知る資格がある人でもそれを知る必要を持っている人にしか届けられない。仮に資格が無い人でも知らせておかなくてはいけないとなると、何らかのフィルターにかけて情報を制限して知らせる方法をとることもある。
サイバーセキュリティに限らず、何かをしようとすれば事前情報は欲しい。「某国のxxなる機関が、健康保険関係の団体からxxの情報を盗みたがっている」などという情報は、関係する団体なら知りたいに決まっている。しかしあれもこれもと集め始めると、集めることが目的化してそれらを活用するところに手が廻らなくなる。だから誰かが情報を必要な人のところに適切に送るコントロールをしないと、無駄な活動が増えるだけでなく弊害すら出てくるのだ。
日本にも内閣府主導で、サイバーセキュリティに関する情報共有をするための協議会が設立されている。政府が持っている重要な情報を、墨塗りしてでもいいから教えてくれればと思う企業もある。だからこの協議会は重要なのだが、上記コントロールをする部門には大きな責任が掛かってくる。MI6傘下のNCSCに倣い、日本の社会でのサイバーセキュリティ関連情報の流通と活用、上手く行ってくれればいいのですが。
