次の日の午前、訪問先は国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)である。こちらはれっきとした政府機関で、外務・開発大臣麾下の政策通信本部(GCHQ)の一部門。訪問者にも本名を明かさず、一部の人(管理者?)を除いて名刺交換はしない人たち。写真撮影も、極めて限定的にしか許可されない。6年前に一度来ているが、相手の人の名前は分からず顔も忘れている。
サイバー防衛(防御)の中核を担う部署で、ここでの議論は「官民連携」と「Active Cyber Defense(*1)」。まず前者としては、民間の専門家を強化し、かつもっと働いてもらおうという主旨で、
1)政府のインテリ情報を(多少加工してでも)民間の専門家に提供する情報共有プラットフォーム(CISP)を運営
2)重要インフラ等の民間専門家間で、信頼できる者だけのコミュニティ<サイバーリーグ>の設立、運営
3)産業界の専門家100名をボランティア的に、自らの強化・相互協力・種々のシェア・国際協力などできるようにする<Industry100>の選抜
をしているという。立派な取り組みで、専門家の能力やモチベーション向上には役立つのだが、企業の中で専門家だけが浮いてしまうのではないかという懸念もある。CISPの枠組みには専門家以外は入れないので、専門家が経営者に「詳細は言えませんが、政府情報によれば○○です。直ちに操業停止しましょう」などと言えるはずもない。経営層をどう巻き込むのか聞くと、「経営層向けのツールキットも用意しています」とはぐらかされてしまった。
後者については、民間企業に対し、種々のリスク等のチェックをし、脅威があればこれを阻止し、組織の機能改善にも協力すること。例えば通信に異常があれば、疑わしいサーバを止めるなどの措置もする。細かなことは、専門家もいない民間企業などには知らせず対応してしまうわけだ。
国内に問題があれば警察と連携して司法手続きに入り、海外が原因なら当該国との連携で対処するという。経営層の巻き込みにやや不安が残る前者に対し、日本ではどこまでできるか不透明な「Active Cyber Defense」はについての知識は深まった。
