企業のデジタル政策関係者と「サイバーセキュリティ」について会話する機会が増えている。今回はセキュリティ業界で、日本ならではという事情があるとの話になった。

 

　一つには、昨年の東京オリンピック／パラリンピックでの「成功」譚。行政や産業界が「TOKYO2020を守れ！」と声を上げていた故に、表立っての被害が無かったことからほっとしてしまっている機関が多いらしい。中には「TOKYO2020」までの特別予算・体制を組んでいたので、これを解除するというところもある。サイバー攻撃の件数は明らかに（TOKYO2020以降も）増えているし、米中対立・ロシアのウクライナ侵攻・各国政治の不安定な状況などあって、今後もサイバーリスクが減るはずはないのだが。

 

　二つ目は、日本ではルールの見直しが迅速に行えていないという指摘。まず「PPAPは止めましょう」と2020年12月に内閣官房が通達を出しているのに、未だにPPAPでファイル送信を送ってくる機関が多いことだ。PPAPとは、

 

　　　　

 

・メールで暗号化したパスワード付きZIPファイルを送り、

・別メールでパスワードを送る。

・受け取った側はZIPファイルの復号化をパスワードで実施する。

 

　という方式。一見セキュリティ強化が図られているように見えるのだが、結局同じメルアドにパスワードも送られてくるので、メールを盗み見ることができる者ならパスワードも見ることができるわけ。

 

　セキュリティ性が低いだけならPPAPをあからさまに批判できないのだが、それ自体に問題があるから無視できない。ZIPファイルが暗号化されているので、自動的にウイルススキャンをする機能が役に立たないのだ。昨今情報窃盗型ウイルス＜EMOTET＞が日本で特に蔓延しているのは、PPAP文化が残っているからだと言われる。

 

　また、ある種の自動監視機能については、日本に「不正指令電磁的記録に関する罪：ウイルス作成罪」があって、研究目的等でもウイルスを作ると罪になる法規が邪魔になって開発出来ないと言われる。これも20年以上前から指摘されていること。変化の激しいサイバー空間に多くを依存しながら、日本の文化や法規が変化についていけていない実態は明らかである。

 

　日本のサイバーセキュリティ対策、峠を越えたのではなく「これから本番が始まる」意識でいないと、大変なことになりそうです。