地政学リスクが映すサイバーインテリジェンスの重要性

脅威を増すサイバー攻撃の動向、半導体分野への影響、企業がとるべき対応

地政学リスクが収まる気配はありません。ロシアによるウクライナ侵攻は１年以上たっても解決の糸口が見えず、台湾海峡を巡る米中のさや当てや北朝鮮のミサイル問題など東アジア情勢の緊迫度も高まっています。東西冷戦の終結から約30年たった今、米欧日を軸にする民主主義陣営、中露に代表される権威主義陣営、どちらにもはっきりとくみしない第三勢力が混在する「曖昧な新冷戦」時代を迎えています。

国・地域間の争いは実空間だけにとどまりません。デジタルの技術革新も加わり、今やサイバー空間が新たな争いの舞台となっています。姿かたちを変えるサイバー攻撃によって、政府や民間企業の機密情報、重要インフラは日々、脅威にさらされています。サイバーリスクは従来の常識では捉えられず、企業は日々より高度な対応に迫られています。

今後、注目されるのは半導体関連業界への影響です。半導体はあらゆる産業の基盤です。半導体の関連業界がサイバー攻撃を受ければ、網の目のように広がるサプライチェーンだけでなく、社会インフラそのものも止まりかねず、経済活動に甚大な影響を及ぼしかねません。

地政学リスクとサイバー空間の脅威を別々に捉えていては、もはや適切な経営判断を下せない時代になりました。地政学的な戦略意図を達成するためにサイバー攻撃が活用されていることに加え、サイバー空間における攻撃手段があるからこそ、その封じ込めや多面的な対応のために新たな政策や規制が生み出されています。いまや両者は相互の在り方を変容させる重要ファクターとして深く結びついています。そのため、地政学とサイバーのインテリジェンスを高め、成功事例を蓄積することで「統合知」として経営戦略に生かす必要性が高まっています。本レポートでは、経営に必要なインテリジェンスの本質、国・地域間の力学の変化によって生じるサイバー空間への影響、それらに伴いグローバルや日本の半導体関連産業に起き得るリスク、企業がとるべき備えや対応策などについて包括的に考察し、サイバー攻撃のリスクに対する処方箋を探ります。

4．変化し続けるサイバー攻撃に企業はどう備え、対応するべきか

サイバー脅威アクターは日々、企業活動のあらゆる「穴」を狙っています。PwCの観測によると、2023年3月時点で特定・追跡中の脅威アクター数は296、このうち製造業を標的とするのは47、さらに日本国内の半導体企業を標的とするのは3に上ります。

攻撃対象となるセクターは半導体のほか、政府や宇宙、防衛、テクノロジー、金融など多岐にわたります。特に半導体では米国、日本、オランダ、台湾が主な標的になっていることも確認されました。一般的なランサムウェアに加え、中国を拠点とする「Red Djinn」「Red Kelpie」「Red Typhon」の3つの脅威アクターも特定されています。Red Kelpieは中国の中期政策大綱「5カ年計画」で重視する分野ごとに標的を変えています。それぞれのセクターごとに強みを持つ国・地域に照準をあてて攻撃をしていることがうかがえます（図表5）。

Red Kelpieの代表的な戦術、技術、手順をまとめました（図表6）。米非営利研究機関MITRE（マイター）のATT&CK（Adversarial Tactics Techniques and Common Knowledge：サイバー攻撃の戦術や技術に関する共通知識の枠組み）に基づいた分析です。これによると、VPＮや仮想デスクトップなどリモートアクセスサービスの脆弱性を突いて侵入する手口が増えています。侵入後、攻撃対象に自分たちの拠点をつくり、情報の持ち出しを狙います。

こうした戦術、技術、手順のなかでも、特に警戒すべきサイバー脅威はVPN機器を狙った攻撃です。警察庁が公表した「令和4年度におけるサイバー空間をめぐる脅威の情勢等について」によると、システムへの侵入・感染経路の6割超がVPN機器でした。これは世界的にも同じ傾向です。ダークウェブやディープウェブでは、脆弱な機器を運用しているIPアドレスの一覧が売買されています。中国を拠点とする脅威アクターとの関連性では、「ゼロデイ」脆弱性の発見能力向上も大きなリスクです。ゼロデイ脆弱性とはソフトウエアに存在する未公開の脆弱性です。こうした脆弱性を悪用することで修正プログラム公開前（公開からの経過時間が0日）に攻撃を実施することができます。中国では2021年に脆弱性管理に関する規定が施行されました。従来欧米圏で開催されていたゼロデイ脆弱性を発見するためのハッキングコンテストを国内で開催し、関連技術を磨く環境を整えています。

日本企業は何をすべきか

高まるサイバー脅威のリスクに日本企業はどのように対抗すればいいのでしょうか。

1つはインテリジェンスを磨くことです。国内の半導体産業を取り巻く環境の変化とともに、サイバー犯罪者集団やランサムウェアなどのサイバー脅威の変化を、常に把握する体制を整えることが欠かせません。インテリジェンスを基にセキュリティ投資や対策実行の時期や規模、将来の計画をつくり、更新し続けることへの重要性が増しています。

2つ目はコンプライアンスの再構築です。半導体業界の国際団体「SEMI」が公表した半導体セキュリティ規格に沿ってアセスメントを実施し、自社のセキュリティ対策の「現在地」を客観的に把握して改善項目を洗い出すことが必要です。定期的に自社の対策レベルを把握し続けることで、あるべき対策の「将来像」を社内で共有することができるのです。

また、1つ目と関連し、改善に取り組む項目の優先度付けにインテリジェンスを活用することできます。脅威アクターが悪用するTTP（Tactics：戦術、Techniques：技術、Procedures：手順）と、既存のセキュリティ対策を基礎として「どのフェーズにどのような対策を適用するか」という戦略を不断に練り、策定し、実行する。「Threat-Informed Defense」を採り入れ、グループ全体で素早くシフトできるかどうかが、サイバー対策の成否を左右するといっても過言ではありません。

直面する課題がたくさんある中、一度に全ての課題に手を付けるのは人材やコスト、時間などを考えると現実的ではありません。しかし、サイバーリスクが加速度的に高まる今、対策を施さなければ競合と比べたサイバー脅威への防衛力は劣後しかねません。自社のポートフォリオやビジネスを取り巻く環境に応じて優先順位を付け、着実に取り組み続けることが、サイバーリスクを軽減する近道であり、有効な手立てになるのです。