戦地からの撤退・退避――その時、企業が直面する「IT資産とサイバーセキュリティ」の難題
2022年2月24日にロシアがウクライナへ軍事侵攻を開始して以降、ドローンの戦場における活用をはじめ、軍事面での教訓が数多く導き出されてきた。対照的に、有事に企業がどう備えるべきかについてはあまり議論が進んでいない。
しかし、日本国外で戦争や紛争が発生すれば、企業がその国や地域の市場から撤退・退避することはあり得る。その際、考慮が必要となる項目の一つがIT資産の管理とサイバーセキュリティである。例えば、撤退時に紛争当事者に接収されたネットワーク機器などから社員のアカウントが乗っ取られてしまえば、そこから重要な情報が窃取あるいは破壊される恐れがあるだけでなく、サイバー攻撃に悪用されてしまいかねない。
***
有事に企業のIT資産とアカウントが乗っ取られるリスク
台湾有事に備え、企業が検討すべきサイバーセキュリティ上の教訓をロシア・ウクライナ戦争から学ぶべきと警鐘を鳴らしているのが、米国家安全保障局(NSA)のロブ・ジョイス元サイバーセキュリティ局長だ。
現役時の2023年4月11日、米ワシントンDCにある大手シンクタンク「米戦略国際問題研究所(CSIS)」のイベントに登壇したジョイス氏は、2022年2月の軍事侵攻発生当初、米国企業が直面した課題を振り返った。企業は自社のITネットワークからウクライナとロシアを切り離すか、ウクライナとロシアにいるシステム管理者にどの程度権限を残すか、短期間の間に難しい決断を迫られたという。
実際ウクライナの占領地域では、先ごろ上梓した『ウクライナ企業の死闘』(産経新聞出版)で詳述したように、通信やガスなど重要インフラ企業で働く社員のアカウントがロシア軍に乗っ取られている。そこからサイバー攻撃が他の地域に仕掛けられてきた。
米サイバーセキュリティ企業レコーデッド・フューチャー(2024年に米決済大手マスターカードが同社を買収した)のオウンドメディア「ザ・レコード」の報道によると、ロシアは占領地域でウクライナ国営ガス会社「ナフトガス」のデータセンターを接収した。そして、ロシア側のシステムを繋ぎ、ナフトガスの他のネットワークへのサイバー攻撃に使っていたという。
それを知ったナフトガスは、リスク管理対策を変えた。従業員に対し、住んでいる町がロシア軍に占領されたならば、退避する際に上司に連絡するよう求めた。IT資産が敵の手中に落ちてしまう前にネットワークを切り離し、サイバー攻撃のリスクを最小化するためである。
欧米企業が直面したITネットワーク切り離しの難しさ
軍事侵攻後、欧州中央銀行など規制当局は、ロシアがウクライナに味方する国々の経済の不安定化を狙っており、報復としてサイバー攻撃の恐れがあると注意喚起していた。
ロイターの2022年3月9日付スクープによると、仏メガバンクのBNPパリバは同年2月下旬から警戒レベルを高めていた。そして3月初め、モスクワ支社で働いている行員が行内ITネットワークにアクセスできないようにしている。
他方、軍事侵攻後に欧米IT企業がロシア市場から撤退してしまい、ロシア支社のITインフラを分離するための支援が得られずに困ってしまった欧米企業もあった。
例えば、米金融大手シティグループは、2021年4月、ロシアでの個人向け銀行業務を今後終了する予定であると既に発表していた。軍事侵攻を受け、2022年3月14日、その他の業種についても終了分野を拡大していく旨決定したと明らかにしている。
シティグループは、米大手IT企業のシスコとオラクルのソフトウェアとハードウェアを使っている。また、同行のロシア国内のITインフラは、インドなど複数の国にまたがっているため、分離がもともと簡単にはできない状況だった。
軍事侵攻後、シスコもオラクルも、2022年3月初旬にロシア国内でのビジネス停止を発表した。それゆえ、2023年3月27日付露日刊紙「イズベスチヤ」によると、シティグループはロシア内で両社のサポートを得られなくなってしまったのである。
しかもロシアは制裁の下にあり、ソフトウェアなどを他社に譲渡することができない。それゆえ同行ロシア支社の売却は、ロシア国内の三つの金融機関から断られてしまったとイズベスチヤ紙は報じている。
ドイツ銀行が行ったIT人材の大移動
もう一つ留意の必要なのが、戦争・紛争当事国出身の人材の扱いである。ウクライナ軍事侵攻以降、複数の欧米企業がロシアにいるIT人材を他国へ異動させた。
そのうちの一つが、ドイツのメガバンク「ドイツ銀行」だ。同行は、20年前にモスクワとサンクトペテルブルグに技術センターを設立した。ロシアのIT人材を活用し、投資用などのソフトウェア開発とメンテナンスを進めてきたため、軍事侵攻前に同社が世界に有するIT人材の1割に相当する1500人がロシアに集中していた。
しかし欧米諸国によるロシアへの制裁発動に伴い、ロシアの技術センターの運用に支障が出る恐れが出てきた。2022年6月7日付英フィナンシャル・タイムズ紙の報道によると、ドイツ銀行は3月以降、人事、法務、IT担当部門からなる50人体制の特別チームを密かに立ち上げ、ロシアのIT担当者とその家族をドイツに転属させる準備を進めていった。2023年4月までにITスタッフとその家族の計2000人ほどが引っ越している。
ドイツ銀行は、ロシア国内に残っているITスタッフへの当局からの報復や、情報機関のスパイが紛れ込むリスクも心配していたようだ。ロシアのITスタッフにはバックグラウンドチェックを行い、ロシアで書かれたプログラミングコードは全てスキャンしている。
戦争・紛争当事国におけるIT資産の悪用とサイバー攻撃のリスク、ITネットワークの分離、ITやサイバーセキュリティ人材の処遇をどうするかなどを有事になってから慌てて検討するのは難しい。移動が難しくなる有事においては、措置を取るのは一層困難を極める。
だからこそ、前述のジョイス氏は、ロシア・ウクライナ戦争の事象を中国・台湾に置き換えたシナリオにし、台湾有事になる前に企業経営層が机上演習を行うよう促している。日本企業も欧米企業から轍を学び、有事に備えていくべきだ。
注:本稿は、『JFSS Quarterly Report Vol.106 」掲載の「リレーエッセイ 百家争鳴」に筆者が加筆修正したものである。
- ◎松原実穂子(まつばら・みほこ)
NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)、『ウクライナのサイバー戦争』(新潮新書、サイバーセキュリティアワード書籍部門優秀賞)。近著に『ウクライナ企業の死闘』(産経新聞出版)。
