井関:今では伝統的な兵器に、サイバー兵器を併用した「ハイブリッド戦争」が主流になりつつありますが、イスラエルはこうした戦いをかれこれ20年以上も経験してきました。なので、この戦いかたの効率性と、その怖さをよく理解している数少ない国の一つと言えるでしょう。この戦争が厄介で複雑化しやすいのは、国家機関が、銀行やエネルギー企業、通信会社といった民間のインフラ企業を標的にできるからです。
例えば、米エネルギー企業「コロニアル・パイプライン」への攻撃も、高い確率でロシア政府の関連組織によるものと考えられていますが、特定する決め手に欠けたり、確定するまでに時間を要することが多かったりと、ミサイル攻撃のような分かりやすさがありません。リアルな戦争で政府機関が敵国の企業を攻撃した場合、多くの場合、証拠が残って因果関係が明白になります。
またサイバー攻撃の場合、必ずしも、目に見える損害を与えるよりも、政府機関や企業に“スリーパー”のようにひっそりと侵入し、気づかれないよう情報を抜き取り続けるほうが、攻撃としての価値が高いのではないでしょうか。こうした点についてはどのように考えるとよいのでしょうか。
ハレル:これも、じつに重要な点です。企業の関係者と話すと、彼らはしばしば「来年度のサイバーセキュリティ計画はもう決まっている」「民間の金融機関なのでハッカーの個別攻撃への対策が必要だ」と得意気に話すのですが、国家機関による攻撃リスクに対しては「我々には関係ない話だ」と考えがちです。そうした思い込みはもう捨て去らなくてはいけません。だからと言って、国家機関による攻撃に対してすべての企業が備えるべきということはないのですが、ご指摘のとおりのことが起こりえるので、攻撃のリスクを排除すべきではない、と言いたいのです。
実際、サイバー犯罪の手口は年々、洗練されて国家機関による攻撃のようになっています。そして、国家機関が背後にいると思しきハッカーたちは、他国の政府機関を攻撃するのではなく、エネルギー企業や金融機関といった国の「資産」を狙うようになっています。カネを取るのが目的ではなく、相手国を混乱させ、経済的・物理的な損害を与えたいからです。だからこそ、企業関係者は自分たちにとって関係性のあるサイバー攻撃の種類についていっそう情報感度を高めるべきでしょう。特に大企業であれば、もはや避けては通れない問題です。こうした攻撃は、明日にでもあなたの会社に起きるかもしれません。
