間違いなく英国は、サイバーセキュリティの先進国だ。初めてオリ/パラがサイバー攻撃にさらされたのが2012年のロンドンだったこともあるが、伝統あるインテリジェンスのノウハウをサイバー空間での闘いにも活かしている。
日本でも新たなサイバーセキュリティ戦略として、国家安全保障も絡んだ方針の変更が論じられている。代表的なものが「Active Cyber Defense(ACD)」だし、Security Clearance制度(SC)が必要との意見もある。これらの点、先進国英国はどうなっているか、大使館の担当官から聞く機会があった。
英国政府は、2017年のWannaCryの跳梁などの事態を受け、いかにデジタル分野のこととはいえ民間に任せるわけではいけないと判断し、積極的に関与するようになったと彼は言う。国家が戦略的に5本の柱(人材育成、研究開発、社会全体の抗湛性向上、国際連携の主導、攻撃に対する検出や妨害・阻止の手法)を掲げているのだ。
英国のACDは、民間から見ればサービスである。
・民間企業などが意識しないハイレベルでのメールやWebサイトのチェック
・脆弱性や危険なメール等に対する警告
・悪意あるサイトやインフラ(サービス)の除去
・サイバーインシデント対応のためのツールキット配布
のような例が挙げられていた。日本でACDといえば「憲法21条通信の秘密に関わりかねないデータの提供を政府が通信事業者に求める」などの議論になっているのだが、英国でも民間への情報提供は求めながら、民間のメリットを前面に出して説明しているところが違う。
SCについては、4区分あることを教えてくれた。
・Accreditation(認定) Check(例えば空港保安管理官など初歩的なレベル)
・Counter Terrorism Check(テロの標的になりやすい人やその周辺)
・Security Check(監視付きなら最高機密にアクセスできる)
・Developed Vetting(単独で最高機密にアクセスできる)
SC獲得は個人にとっても(種々の)コストがかかること。取得するメリットはと聞くと、
・政府調達では要件とされることがある
・民民協力でも(兵器開発等で)必要とされることも
・取引相手にこれを求める場合も
あると教えてくれた。日本のACDやSCの議論にあたり、参考になる話だった。
