Google、日本政府も巻き込み「Japan Cybersecurity Initiative」設立、社会全体のセキュリティ底上げへ

　Googleは3月12日、日本企業のサイバーセキュリティ意識の向上と専門人材の育成を支援する「Japan Cybersecurity Initiative」を設立した。

　2024年3月に、Googleは日本にサイバーセキュリティ研究拠点を設立しているが、今回のJapan Cybersecurity Initiativeの設立は、同研究所が中心となって産学官で連携し、日本が直面するサイバーセキュリティの課題の克服していくためのものとなる。同日に実施した発足イベントでは「日本社会全体のサイバーセキュリティの底上げ」「1人も置き去りにしない一貫したサイバーセキュリティの確保」といった、取り組みの方向性が語られた。

岸田元総理も「広島AIプロセス」につながる取り組みとして期待

　イベントでは、グーグル・クラウド・ジャパンの平手智行代表が開会のあいさつを行った。サイバーセキュリティ研究拠点が行ってきた「政策対話」「人材育成」「研究支援」といった取り組みについて紹介し、「サイバーセキュリティは1社で対応できるものではない」として、Japan Cybersecurity Initiativeの意義を語り、「日本社会全体のサイバーセキュリティの底上げに取り組む」とした。

グーグル・クラウド・ジャパン合同会社 代表 平手智行氏

　続いて、来賓あいさつとして、元内閣総理大臣の岸田文雄氏が登壇した。岸田氏は、自身が議長を務めた2023年のG7広島サミットをきっかけとして立ち上がった、AIの発展普及とサイバーセキュリティのルール作りについて話し合う「広島AIプロセス」に触れ、AIの活用と社会の安全は表裏一体の問題であるとした。

　また、国会においては「能動的サイバー防御」に関する議論が本格化する中で「サイバーセキュリティに関しては待ったなしで体制作りを進めなければならない」と強調。サイバーセキュリティの前線で活動するGoogleが場を設けたJapan Cybersecurity Initiativeと、今回のイベントに期待を寄せた。

元内閣総理大臣 岸田文雄氏

「サプライチェーンの上から下まで、1人も置き去りにせず守る必要がある」

　基調講演として登壇したGoogleのRoyal Hansen氏（Vice President, Privacy, Safety and Security Engineering）は、Googleのセキュリティに関する取り組みを紹介し、「我々はセキュリティを製品にするというよりも、すべての製品がセキュアであることに力を入れている」と説明。GenimiなどのAIサービスにおいても、そのポリシーは同じであるとした。

Google Vice President, Privacy, Safety and Security Engineering Royal Hansen氏

　日本のサイバーセキュリティの状況について「非常に悪い。日本は世界の中でも最も攻撃の多い国の1つ」と述べたHansen氏は、多くのサイバー攻撃事例でフィッシング詐欺が今でも攻撃の入り口になっていることに触れ、人間がシステム全体の中でも一番の脆弱性だと指摘した。

　そして、サイバーセキュリティについて、サイバー攻撃者はAIを利用するが、防衛側もAIを利用できると述べ、攻撃側と防御側の競争状態では「（攻撃者と）同じくらいの好奇心で実験し、自分たちで防衛方法を生み出さなければならない」と、1つの事例を紹介した。

　サイバー防衛を加速するためのため、GoogleではAIだけを使って脆弱性を発見する仕組みを開発しており、先日（2024年10月）、実際に脆弱性を発見することに成功し、その修正につなげたという。

　このプロジェクトは、ゼロデイ脆弱性の研究を行うProject Zeroが実施し、当初「ハッカーは怠け者なので、寝ている間に機械に仕事をさせたい」ということから「Project Naptime」（昼寝）と名付けらていたと、Hansen氏はジョークを交えて紹介。その後、DeepMindとコラボレーションした「Project Big Sleep」へと進化し、この成果を挙げたという。

　そして、サイバーセキュリティに関して「日本には多くの専門家がいる。世界でつながっていくべきだ」と、基調講演を締め括った。

AIのサイバーセキュリティ活用事例となるProject Naptime→Project Big Sleep

　続いて登壇した中曽根康弘平和研究所の大澤淳主任研究員は、「サイバー攻撃情勢を踏まえたサイバーセキュリティ人材育成の在り方」として、日本におけるサイバー攻撃の現状と、サイバーセキュリティの課題を整理した。

公益財団法人 中曽根康弘平和研究所 主任研究員 大澤淳氏

　ここ10年間で大きくサイバー攻撃が増えており、特にこの2年ほどの間では、「地政学的リスクに起因した攻撃」が非常に増えているという。

　例えば、2024年11月のJAXAを対象としたサイバー攻撃においては、警察庁が中国を背景としたサイバー攻撃グループによるものと断定している。また、2024年末～2025年年初には大手金融機関や交通機関など、国内の重要インフラを狙ったDDoS攻撃が相次いだが、これらは従来の攻撃者が行っていたDDoS攻撃とは異なるもので、ロシアが背後にいるものと見ているという。

2024年に発生した重大なサイバー攻撃として、JAXAや年末年始の攻撃事例を紹介

IPAが毎年公開している「情報セキュリティ10大脅威」（組織対象）において、2025年は「地政学リスクに起因するサイバー攻撃」が7位、「DDoS攻撃」が8位に。4年間連続で1位のランサムウェア攻撃は、その手法が変化しているという（後述）

　また、昨今のランサムウェア攻撃では、従来のメール添付ファイルを使ったものではなく「ネットワークセキュリティを守っているはずの機器」のゼロデイ脆弱性を突くものが多くなっており、1カ所が突破されると、組織内の同じ機器が一斉に攻撃される事例が多くなっているという。

　こうした攻撃が行われる背景として、攻撃者の情報共有が速くなっており、脆弱性が明らかになってから24時間ぐらいで、一斉に攻撃が行われる傾向があるとした。続けて「能動的サイバー防御」の議論に言及した大澤氏は、「能動的サイバー防御の柱は官民の（公表前の脆弱性に関する）情報共有」であると述べた。

　もう1つのサイバー攻撃の傾向として、「大企業から零細企業まで一気通貫で狙われる」ことがあるという。いわゆるサプライチェーン攻撃だが、特に宇宙航空産業において、2万人以上の大企業から3、4人の町工場までが2カ月程度の間に同じ攻撃キャンペーンで一斉に狙われた事例があるといい、その対策には「（図解した）サプライチェーンの上から下まで、1人も置き去りにせず守る必要がある」と、大澤氏は指摘した。

最近のサイバー攻撃ではサプライチェーンが一気通貫で狙われる傾向があることから、どこにも「穴」が生じないよう、1人も置き去りにせず守る必要がある

　ここまでの傾向から、産学官を含む社会全体で、ゼロデイ脆弱性など脅威情報を共有することが急務だということになる。また同時に、そうした情報を活用し、サイバーセキュリティを実践できる人材を社会全体に必要なだけ育成し、適切に配置することも必要になる。

　セキュリティ人材について、大澤氏は「人材不足が急速に拡大している」として、2024年の時点で約17万人不足していると数字を挙げた。

　セキュリティ人材の不足は世界的なもので、国内での育成が必要。そのためには、産学官での工夫が必要であるという。その具体例として、Googleのスキル認定プログラム「Google サイバーセキュリティ プロフェッショナル認定証」の取得促進や、教育機関で専門知識を身に付けた後に政府機関でセキュリティ・クリアランス（全保障上重要な情報にアクセスを許す信頼性の確認制度）を取得し、民間企業でサイバーセキュリティと安全保障の両方面が分かる人材として活動する、といったキャリア形成が可能な産学官のエコシステムを作る、といった方法を挙げた。

産学官での人材育成の工夫が必要

サイバーセキュリティと安全保障の、両方のマインドと知識を持つ人材が必要に

大澤氏の講演のまとめ。全体の底上げ、1人も置き去りにしないこと、人材育成のエコシステムの形成、の3点を提言した

サイバーセキュリティの問題を「自分ごと」化することが必要

　Japan Cybersecurity Initiativeの活動内容について、Googleサイバーセキュリティ研究拠点の内山純一郎拠点長が、「3つの取り組み」として紹介した。

Googleサイバーセキュリティ研究拠点 拠点長 内山純一郎氏

　1つ目は、社会全体に向けたもので、産学官の新たな有識者会議の開催と、アクションプランの策定・発信。有識者会議は慶應義塾大学の村井純教授が座長を務め、ハイレベル会議と、「国民の意識向上」など具体的なテーマを設定したテーマ別会議を実施し、情報発信を通して、すべての人がセキュリティの問題を「自分ごと」化できるようにしていくとした。

社会全体に向けた取り組み

有識者会議の主なメンバー

　2つ目は、中小企業に向けたもので、経済産業省と連携し、全国の中小企業向けに普及施策を実施する。

　前述の大澤氏が指摘した「大企業から零細企業まで一気通貫で狙われる」状況を踏まえた「誰一人置き去りにせず守る必要がある」に対応するものとなる。内山氏はセキュリティが手薄な中小企業が狙われる現状を紹介しつつ、「（サイバーセキュリティは）セキュリティ部門だけの問題ではない」と、この取り組みの必要性を強調した。具体的には、全国で無料のトレーニングプログラムを実施することなどが挙げられた。

経済産業省が行った中小企業の実態調査では、約7割で組織的なセキュリティ体制が整備されておらず、また、発生したサイバーインシデントの約7割で取引先に影響を及ぼした

経済産業省が作成しているセキュリティ対策の実践的方策ガイド（β版）に準拠した普及活動を、地域CECUNITY（地域のセキュリティ・コミュニティ）と連携しながら実施

　3つ目は、重要産業・大企業に向けたもので、最新のサイバーセキュリティに関する情報共有や、専門人材の育成支援を行う。

　これは、重要インフラに対するサイバー攻撃や地政学的リスクに起因した攻撃が増えている傾向に対応したものと言える。具体的には、最新の脅威情報の提供や、「Google サイバーセキュリティ プロフェッショナル認定証」の無償枠提供、セミナーやワークショップの開催、といったものが挙げられた。

Googleが収集・分析した最新情報を提供

「Google サイバーセキュリティ プロフェッショナル認定証」を5000枠限定で無償提供

専門人材育成のためのセミナーやワークショップを企画

「グローバルなサイバー空間で、日本はどのような貢献ができるのか？」

　イベントの最後に、有識者会議座長である慶應義塾大学の村井純教授が登壇した。

慶應義塾大学 教授 村井純氏

　村井氏は、まず、Japan Cybersecurity Initiativeが活動を始める2025年という年に歴史的な意味が生まれるとした。日本のIT戦略が2000年に立ち上がり、サイバーセキュリティ基本法が成立し、テーマとしてセキュリティが独立したのが2014年。そこから新たに「能動的サイバー防御」に関する法律を提案することになった2025年、という節目にあたる。

　ただ、COVID-19により生活も仕事の仕方も変わり、デジタル技術を使い、サイバー空間で多くの時間を過ごすようになってきた中で、サイバーセキュリティを前提にした社会を作っていく取り組みを始める年になることに、より強い意味があると村井氏は語った。

　続けて、「サイバー空間は人類の叡智により作られた、世界にまたがるグローバルな空間である」とし、その中で、日本は世界全体に対して、どのような貢献ができるだろうかと問いかけた。

　村井氏はこれについて「日本はマンガやアニメなどの作品で、ロボットと一緒に生きる世界を作り出してきた。AIの新しい世界に日本がどう貢献できるのか、技術の善い使い方を考え出すことを、世界は日本に期待しているのではないか」と、自身の考えを語った。

　また、Googleに関して「現在、Googleは南半球をつなぐケーブルの整備に力を入れている。ビジネス的なリターンは大きくないと思うが、誰もが参加できる、健全なサイバー空間を作ろうとしているということ」と述べ、信頼を示した。

　そのような企業がJapan Cybersecurity Initiativeという場を設けたこと、2025年の歴史的な意味、日本がサイバー空間全体に対してできる貢献という3つの視点から、「大きな成果を出せることに期待している」と、村井氏は語った。