今日、地政学的な不確実性やデジタル化が進むにつれて、官民両セクターにシステム的な影響を及ぼすサイバー攻撃のリスクが高まっています。発展途上国が多くの技術的解決策を適用するにつれ、サイバー攻撃を含んだリスクにも備えなければなりません。サイバーセキュリティを実現するためには、国や地方政府がサイバーセキュリティやデジタル化を管理する政策や戦略について十分な情報を取得し選択できるよう、サイバー空間の十分に理解する必要があります。
世界銀行 東京開発ラーニングセンター(TDLC)は、デジタル開発・グローバル・プラクティスと共同で、サイバーセキュリティに関する都市開発実務者向け対話型研修(TDD)を2024年7月22日から26日にかけて東京で開催しました。サイバーセキュリティは、日本政府が重点的に取り組んでいる分野でもあり、本分野のTDDをTDLCが開催したのは今回が初めてです。
本TDDは、東アジア・太平洋地域およびラテンアメリカ・カリブ海地域の12カ国からサイバーセキュリティの専門家を招き、サイバーセキュリティ技術、政策、動向、慣行に関する認識を高め、国および地方自治体のサイバーセキュリティに関する理解や協力を促しました。 プログラムには、世界銀行の専門家や日本の省庁、地方自治体、準政府機関、研究機関、民間企業の代表者が参加し、学習や相互理解セッション、現地視察などが行われました。
参加者は、サイバーセキュリティが国レベルでどのように取り組まれているか、また、国のサイバーセキュリティ政策がどのように地方レベルで実施されているかについて学びました。日本の総務省から、民間企業がどのようにサイバーセキュリティ事件に関与しているかを紹介、広島市は地方レベルでのサイバーセキュリティへの取り組みや、インシデント対応の成功事例を説明しました。また、広島県は、2023年のG7サミットに向けた一連の分散型サービス拒否(DDoS)攻撃が、プロトコルや防御策の導入により成功した事例を紹介しました。
10,000件以上の行政手続きを担う横浜市のグローバル・デジタル・ネットワーク部のセッションも行われました。同市ではサイバーセキュリティを第一に考えた枠組みのもとプロセスをデジタル化し、安全で使い勝手の良いオンラインサービスを目指しているほか、市職員の技術的能力を向上させるため、市内のすべての部署で技術者を雇用しています。
東アジア・太平洋地域およびラテンアメリカ・カリブ海地域の12クライアント国が、関連するサイバーセキュリティ技術や政策について意見交換を実施。
積極的に議論し質問する参加者たち。
参加者はまた、理解をさらに深めるためのさまざまな視察に訪れました。株式会社ラック(LAC)と株式会社インターネットイニシアティブ(IIJ)の視察では、セキュリティオペレーションセンター(SOC)が政府や企業のネットワーク上で発生した悪質な活動をどのように通知するのか、サイバーインシデント発生時のプロトコルについて学びました。また、東芝の研究開発センターを訪問では、電力、水道、ガスなどの重要インフラを制御するネットワークに関する運用技術(OT)の仕組みについても理解を深めました。情報通信研究機構(NICT)訪問では、ダークネットのスキャンについての説明がありました。ダークネットとは、組織に関連する未使用のIPアドレスのことで、攻撃者が攻撃の入口として頻繁に使用するものです。NICTは攻撃に関する情報を共有し、ダークネットのスキャンを地域や経済分野に特化できるよう、世界中の他サイバー研究センターとパートナーシップを結ぶことの重要性を指摘しました。
NICTの視察に訪れた参加者たち。
本TDDの最終日には参加者がそれぞれ、サイバーセキュリティの実現に取り組むための計画を発表しました。参加者の多くは、政府の全レベルでサイバーセキュリティのプロトコルを拡大する上で、トレーニングとサイバーリテラシーが重要な課題であると指摘しました。ITシステムのアップグレードのための投資が不足していると、政府は機密データを旧式のシステムで保存・処理せざるを得ず、攻撃やデータ漏洩に対して脆弱なままになっています。ヨーロッパや北米の市場と比べると、多くの発展途上国のサイバーセキュリティ市場は依然として脆弱であり、この分野のサイバーセキュリティ企業や専門家はほんの一握りです。
データは組織や企業の生命線であり、サイバーセキュリティに関しては、予防は常に復旧に勝るといえます。攻撃後のデータの復旧においては、すべてのデータを復旧できる保証はなく、重大なレピュテーション・リスクと財務的損失をもたらす可能性があります。サイバー攻撃を予測不能で極端なものと考えられがちですが、サイバー攻撃は予防可能なリスクなのです。
研修の写真はこちらをご覧ください。
更新日: 2024年9月9日