ティファート氏が考える今後に向けた留意点

　ティファート氏は、国や研究機関が有効なセキュリティプログラムを構造する際に、重要な資産の把握が必要と述べている。

　とりわけ、AIの技術的な進展がこれまでの概念を一変させたとしており、AIのように急速に発展する分野が台頭してきた場合を念頭に、「常に研究セキュリティに対する既存の考え方の妥当性」を問いかけるべきとした点が興味深い。

　いわゆる「デュアル・ユース」において、「AIに化学兵器のデータを学習させ、新たな化学兵器や合成麻薬を開発することもできる」点などを例示したうえで警鐘を鳴らした。

　ここから得られる示唆は、こうした新たな技術の進展を適宜捕捉、評価し、我が国における優位な技術を特定したうえで、定期的に「リスクに晒されている対象」の洗い替えを行うことを、国の施策として取り入れる必要があるということにほかならない。

　これはいわば、国を挙げたリスクアセスメントともいえる活動と言えよう。

　金融機関においては、かねてリスクベースド・アプローチ（RBA）の概念が導入されており、自行庫を取り巻くセキュリティ上のリスクを対象に、当該リスクの発生確率や発生時の影響度合いを踏まえ、優先的に対応すべきリスクの特定、評価、低減に向けた活動が実践されてきた。ティファート氏が言及したのは、これに近似する活動をあらゆるセクターにおいて浸透させるべき、といった趣旨と認識すれば良いだろう。

経済安全保障関連法における新たな指定先インフラ

　我が国では経済安全保障に関する関連法において、特に重要なインフラ分野が定義され、それぞれの基幹業務・役務およびこれを支える技術基盤や設備・システムなどを対象に、物品や用いる技術、ソフトウェアの開発や更改において、法の定める指定先における制約要件が課されている。

　この対象となる業として、経済安全保障関連法公布時には14のインフラ事業が法の定める指定先とされた。ただし、昨今のサイバー攻撃の傾向や具体的な攻撃事案を勘案し、新たに複数のインフラ事業（者）が法の定める指定先として追加されることが公表されている。

　一般港湾運送事業と医療機関である。一般港湾運送事業については、令和6年の法改正により指定先として追加されている。

　また近年、医療機関がサイバー攻撃などを受けてシステムに影響が生じる事案が世を騒がせているが、医療機関においては、今後もデジタル化・ネットワーク化が一層進展することが見込まれている。

　したがって、今後、サイバー攻撃などを受けた場合には医療の安定的な提供への影響が現在よりも増大するおそれがある。

　そこで、医療機関がサイバー攻撃などを受けた場合でも、地域の医療を安定的に提供するための「最後の砦」を確保することが必要と考えられ、高度な医療（救命・災害医療などを含む）を提供する能力などを有する特定の医療機関については、地域の医療の安定的な提供の確保に重要な役割を果たしている医療機関として基幹インフラ制度の対象とし、サイバー攻撃などへの対応強化を図ることとされた。

　なお、医療の安定的な提供において欠かせない特定重要設備については、令和8年3月時点で明確な特定がなされていない状況にあり、引き続き検討が加えられる見通しとされる。

　次回は経済安全保障への対応として、警視庁公安部が公表する技術情報流出の具体的な手口を念頭に、金融機関をはじめ事業会社として取るべき具体的な対策の在り方について解説する。