欧州：サイバーセキュリティをめぐる同盟の重要性

2013年2月7日、欧州委員会は、欧州連合外務と安全保障政策上級代表と共同で、ネットワーク・情報セキュリティ（Network and information security：NIS）関連の指令提案を盛り込んだサイバーセキュリティ戦略を公表した（※1）。

欧州委員会のサイバーセキュリティ戦略

欧州は各国が様々なサイバー攻撃の標的にされている。日々サイバー攻撃の犠牲にならない日はなく、以前からサイバーセキュリティ対策について同盟国間で協力関係を構築してきた。NATOでのサイバー防衛に対する取組みも非常に積極的である（※2）。

 今回欧州委員会が発表したサイバーセキュリティ戦略はサイバー攻撃への対応に関するEUの包括的なビジョンを示した。そして「自由とデモクラシーの深化」および「デジタル経済の安定した成長の促進」も目指しており、"An Open, Safe and Secure Cyberspace"を掲げている。

欧州委員会はサイバーセキュリティの優先課題として以下の5つをあげている。

1. サイバーレジリエンス（復旧）の達成
2. サイバー犯罪の劇的な減少
3. サイバー防衛政策の推進、および共通のセキュリティ防衛政策の実現
4. サイバーセキュリティ関連の産業資源・技術資源の発展

また、欧州委員会は全加盟国、サービス提供者、重要インフラ提供者（電力、運輸、金融等）にNIS指令案の順守を求めていく。
　NIS指令案の方針は以下のとおり。

1. 加盟各国にはNIS戦略の採択を義務付ける。NIS関連のリスクやインシデントに対応する機関を設立する。
2. 加盟各国と委員会の間でNIS関連のリスクとインシデントの早期警告を共有するシステムを構築する。
3. 重要インフラ事業者（金融、運輸、電力、衛生）、サービス提供者（eコマースプラットフォーム、オンライン決済、クラウド事業者、検索エンジン、SNS）および行政機関は、リスクマネジメントを取り入れ、コアサービスのインシデントに関する報告を義務付ける。

提案が法制化されるまでに欧州議会とEU加盟27ヶ国の承認が必要になる。承認、法制化に至るまで数年かかることもあるが、サイバーセキュリティは動きが非常に速いので、各国の機動的な対応が必要であろう。

サイバーセキュリティにおける同盟の重要性

サイバースペース防衛と強化を維持することは1ヶ国だけの問題ではない。サイバー攻撃はどこから侵入してきて自国のサイバースペースから情報窃取やシステム破壊を行われるか、わからない。自国のサイバースペース防衛を強化するのは当然のことだが、自国だけ強化してもネットワークで接続されている同盟国や他の国々を踏み台にして侵入されることもある。そのためにも、安全保障協力の関係にある同盟国の間でサイバースペースにおける「弱い環」を作ってはいけない。今回の欧州のように多国間で協力を行っていく必要がある。そして同盟国間で同じレベルでのサイバースペースの強化が要求される。さらに、同盟国間でサイバースペースの防衛能力を強化することは抑止力の強化にもつながる。

サイバースペースを構成する情報通信技術は多くの脆弱性を抱えており、その脆弱性を突いたサイバー攻撃が問題になっている。脆弱性は検知し次第、早急に修正ソフト（パッチ）をあてる必要がある。つまり、サイバースペースは不断の改善が必要な空間である。その改善努力を怠って脆弱性を放置している国は、極論するとネットワーク接続をされなくなる恐れがある。
　脆弱性を放置しっぱなしの国はサイバー攻撃の標的にされやすい。そこを踏み台にして別の国へ侵入してくることも多いにある。どの国でも、そのような脆弱性を放置したままの国とネットワーク接続することは忌避するに違いない。グローバル化が進んだ現代社会において、国際社会とネットワークで接続していない国家は国民生活、経済活動にも大きな支障を与えることから国家として存続することが困難である。

「弱い環」になることは同盟のネットワークから外されてしまう恐れがある。つまり、義務の不履行による他の同盟国から「見捨てられる恐怖」が作用する。そのため、各国は常に自国のシステムに脆弱がないか常時検出に努め、発見次第、修正を実施することになる。そのようにして同盟国間のサイバースペース防衛はますます強固になるだろう。
　サイバーセキュリティはもはや1ヶ国の防衛が万全だから安心できるという時代ではない。

【参考動画】欧州委員会のサイバーセキュリティ戦略（2013年）

＊本情報は2013年2月14日時点のものである。