サイバー攻撃によるリスクが高まる中、主要な納入業者が攻撃を受けて、部品やサービスの提供が停まる可能性を以前に指摘した。これもサプライチェーン・サイバーセキュリティの主要なリスクである。

　経営者がサイバーリスクを認識し、しかるべき資源（ヒト・モノ・カネ）を投入して対応に努めている大企業に比べ、中小企業の対応は一般に不十分と言える。IT導入や運用もままならない規模の企業も多いが、資源が用意できる企業でも経営者がその気にならないので、対策が進んでいない企業も少なくない。

　そこで「サイバーセキュリティは経営課題」との意識を経営者にもってもらう必要があるのだが、経営者に直接影響を与えられるのは、

・市場、株主、取締役、監督官庁など

・シェアの大きな取引先（顧客）

　くらいである。中小企業の中には非上場のところもあるし、社外取締役も少ない。監督官庁が直接指示をすることも珍しい。となれば、有力なのは大口顧客ということになる。ただ、日本企業の多くは取引先からサイバーセキュリティ強化を求められた例は多くない。

　加えて岸田内閣の「新しい資本主義」の主要項目に、中小企業への適正な価格転嫁が盛り込まれていて、公正取引委員会が「下請けいじめ」を許さないとの姿勢が強くなった。例えば、

「下請けに逆らうな」と異例の命令、調達側と仕入れ先の上下関係が激変した内情 | サプライチェーン難問山積 | ダイヤモンド・オンライン (diamond.jp)

　のようなことである。私たちは、下請けいじめと指摘さてることを怖れるあまり、企業が取引先にサイバーセキュリティ強化を求められない事態は避けたいと考え、経産省に公取との交渉を依頼した。その結果、

サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて | 公正取引委員会 (jftc.go.jp)

　との文書を、経産・公取共同文書を出してもらうことができた。要した期間は約半年、この世界では非常に迅速な対応だった。文書が出ただけでは不十分なので、両機関には個別業界や企業とのコミュニケーションを深め、文書に表現できなかったニュアンスを伝えるよう依頼を続けている。

　中央管理者のいないシステムは、一般的に効率的になる。コンピュータの学界としては自律分散学会が追及しているもので、メインフレームを中心としたCentralized Systemから、個々の端末機が能力を高めてネットワーク化したDecentralized Systemとしようというものだった。初代学会長には、私の恩師の伊藤正美教授（名古屋大学）が就いた。

　システムアーキテクチャとして、クライアントサーバ型にその萌芽が見られるし、インターネットそのものがDNS（*1）などを除けば、管理者がいないシステムだった。例えば、Wikipedeiaは皆で書き込む百科事典で、社会システムとしてDecentralizedを実現したものと言える。徐々に広まっていたこのシステムだが、21世紀になって大きな技術革命が起きる。それがブロックチェーン。

　基本的には電子署名技術の応用だが、それまでのDecentralized Systemの信頼性を飛躍的に高めた。今日の日経紙にも、医療分野や農業分野でのブロックチェーン活用事例が紹介されている。前者では医薬品の流通コストを下げ、後者では産品の産地偽装防止が容易になるという。いずれも、

・履歴等の改ざんが難しい

・透明性が高い

・エラーに強い

　ことから実用化されつつある。ただ中央の管理者がいないというのは、何かあった時にだれも責任をとらないと思われる。「皆で支える」というのは美しい言葉だが、最後のよりどころ（ラストマン）がいなくていいのかについては議論の余地があろう。

　現状の社会システムについては、国がラストマン。大震災や原発事故、あるいは大規模な公害問題まで「国が全面的に･･･」と対処を求めていることからもわかる。しかし国境のないサイバー空間では、国がラストマンたり得るのだろうか？

　もちろん、Decentralized Systemの信頼性を高める動きはある。MasterCardが、

・NFT（*2）含む決裁ソリューションの検証強化

・国境を越えたトラベルルール遵守のサポート

　などに乗り出している。ひょっとすると関連保険商品も出てくるかもしれない。国がラストマンでも、絶対の安全や保障はない。Decentralized Systemがどこまで浸透するか、その安全性をどう高めるかは恐らく産業界の仕事になるだろう。

*1：Domain Name System

*2：Non-Fungible Token

　実は「Apache Log4j」事件以前から、ソフトウェア管理台帳を作って利用しようという話はあった。米国バイデン政権は、2021年５月のサイバーセキュリティ強化に関する大統領令で、ソフトウェアのサプライチェーン強化を謳いSBOM（Software Bill of Materials）に言及している。

　SBOMがまさに上記の管理台帳にあたるのだが、膨大過ぎる対象を登録することができるとは、多くの関係者が考えていなかった。しかし大統領令に触れられたことから、SBOM登録は少なくとも米国政府調達の要件にはなると思われ、前向きに考える人が多くなった。この管理台帳には、次の項目が集約されている。

・台帳に記載した人の名前

・ソフトウェアの供給者名

・ソフトウェア（コンポーネント）名

・バージョン情報

・コンポーネントのハッシュ値

・同識別子

・関係（本体か構成要素か等）

　これに発見された脆弱性情報データベースが付属していて、ソフトウェア（コンポーネント）をどう利用しているかが、サプライヤー・最終ベンダー・ユーザらで共有できるわけだ。他者が開発したソフトウェアを利用する場合、

・脆弱性に気付かず使ってしまう

・有償か無償かが分からない

・ライセンスにあたっての特別な要件が見えない

　などの問題があったが、このような台帳が整備されていれば、安心して利用できる。ただ実際問題として、全てのソフトウェアを登録することは不可能だ。登録ソフトウェアが限定されている現状では、最終ベンダーがソフトウェア構造分析ツールを使って脆弱性情報を集めるのが次善の策とも言われている。

　生成AIはプログラミングやそのデバッグも可能である。生成AIを使って既存のソフトウェア（コンポーネント）を精査し、SBOM登録することもできないかと考えるのだが。

　日本に留学していた時に、SNS上で「香港独立」を主張したとして、香港人の女性が帰国してから逮捕された。2020年に施行された国家安全維持法に違反した容疑である。

日本留学中に「香港独立」に関する書き込み、香港の女子大学生を逮捕…国安法初の域外適用 : 読売新聞 (yomiuri.co.jp)

　この記事は、国安法の域外適用だとしている。この女性が法に触れる行為をしたとされるのは日本にいた時で、通常なら香港の法律で裁かれることは無い。しかし近年種々の法律の域外適用は増えていて、そのひとつだというのだ。

　私が経験したことでいうと、欧州の個人情報保護法（GDPR）が日本においても適用されたのが最初だった。例えば欧州からの旅行者の情報（住所・電話番号等）を、日本の旅館が漏洩したらこの法律で裁かれるというわけ。巨額の罰金が適用される可能性もある。

　日本の法律も域外適用をしているケースがある。個人情報保護法などデジタル関係の法令だけでなく、フィリピンやカンボジアから犯罪指揮をしていた集団が、日本に移送される航空機内で逮捕される案件もあった。

　ただ今回のケースで、中国の国安法に関しては、域外適用ではないと思う。それはこの違反容疑が日本で行われたというより、サイバー空間で行われたと中国当局は考えているからだ。中国で2021年に制定されたデジタル基本３法は「サイバー空間は国家主権の範囲」との前提で運用されている。中国国防法では「主権たるサイバー空間に攻撃が加えられたら、国家への攻撃とみなす」というくらいなのだから。

　サイバー空間には本来国境はなく、国境を置くことも難しい。本来なら科学技術発展によって利用されるようになった南極を各国が領土としないことを定めた「南極条約」に類した条約をサイバー空間でも締結すべきだった。しかしもうその可能性は小さくなり、サイバー空間は各国の思惑が交差する無法地帯に近い状態である。

　本件はG7会合でも議論し、条約は無理でも、内外に強いメッセージ（サイバー空間は国が支配するものではない）を出して欲しいと思う。