中島氏に続けて登壇したCyberDD社(英国)代表(Director, CyberDD, UK)、大阪大学大学院工学研究科共同研究員である足立照嘉氏は、サイバーリスクは変化し続けており、その背景にあるテクノロジーの急速な進化について言及しました。
「ムーアの法則(半導体の集積率は、18カ月で2倍になるという指標)によって、コンピューターの性能は向上し続け、この20年で映画に描かれていたような世界が現実となりました。我々はその恩恵を受けているわけですが、同時に悪事を働く人たちも、テクノロジーの恩恵をフル活用しているのです」(足立氏)
足立氏も中島氏と同様にサプライチェーンリスクがサイバーリスクにおける最重要課題の1つとし、サプライチェーンリスクが現実になったケースを挙げました
「欧米を中心に人気が広がる電動キックスケーターですが、2019年に中国製電動キックスケーターに脆弱性が見つかりました。悪用すれば、加速やブレーキといった基本操作をすべて遠隔で行うことができる非常に危険なものです。
メーカーはこの脆弱性について『ソフトウェア開発部分は外注していたため、自社だけでは脆弱性の解決ができないと』と回答しました。これは自分たちが気をつけていても取引先からリスクが持ち込まれてしまうというサプライチェーンリスクが現実になった一例です」
同様の事例は欧米だけでなく、日本でも発生しているといいます。
「近年の傾向として、レギュレーションの要件に委託先の評価が盛り込まれることが増えてきました。日本でも経済産業省が『サイバーセキュリティ経営ガイドライン』の中で、委託先のサイバーセキュリティへの対応状況を把握するよう求めています」(足立氏)
サプライチェーンリスクを管理するために、さまざまな機関から提言がなされていますが、足立氏によれば、そのポイントは「データ保護」と「コンプライアンス」の二点が共通して語られているといいます。一方アメリカでは、ここに目を付けた “悪徳ビジネス”が増加していると指摘します。
「その悪徳ビジネスとは、セキュリティ対策が不十分な企業をリストアップし、片っ端から訴える、というものです。もちろんそのためのツールも存在しています。世界的に個人情報に対する関心が高まっていることを受け、その保護が不十分な企業を狙って訴訟を起こし、和解金をせしめるというわけです。
アメリカでは既に特許権侵害訴訟を上回る勢いで、セキュリティ侵害訴訟が提起されています。そして、ヨーロッパでもドイツを始めこういった事例が数年前より増えてきています。昨年にはEUで共通化されたGDPR(EU一般データ保護規則)が施行されたため、同じ手口を横展開できるようになっています」(足立氏)
EU域内の個人情報保護を目的とするGDPRが施行されてから、最初の8ヶ月間で95,000件以上の苦情申し立てが行われました。その1つとして、フランスの監督当局から5,000万ユーロもの制裁金を科されたのがGoogleです。
「Googleは多額の制裁金を科されましたが、事故を起こしたわけではありません。消費者がGoogleのやり方は適切ではなく、人権の侵害であると苦情申し立てを監督当局に起こし、その主張が認められて5,000万ユーロもの制裁金が科されたのです。この件のポイントは事故を起こしていなくても適切ではなく“リスクを生じさせる可能性”があれば、制裁金が科されるということなのです」(足立氏)