主なポイント:
- NATOは、戦争で民間資産が標的となるケースが増加していることを受け、重要インフラ保護にGDPの1.5%を支出することで合意
- イランによる石油精製所、データセンター、淡水化プラントへの攻撃は、企業の安全保障と国家の安全保障の重なりが拡大していることを浮き彫りに
- 民間インフラの堅牢化に伴う数十億ドルのコストを誰が負担するかで、企業と政府の対立が激化
主なポイント:

現代戦争では民間インフラを主要な標的とすることが常態化し、企業と国家の安全保障というかつては別々だった領域の融合が、高額なコストを伴いながら進んでいる。
NATOの32カ国は昨年、経済産出量の1.5%を重要インフラ保護に拠出することで合意した。イランが石油精製所からアマゾンのデータセンターに至るまで民間資産を攻撃対象とする中、企業安全保障と国家安全保障の線引きはますます曖昧になっている。
「私たちは長年にわたり、平和に甘やかされてきた」と、ボーダフォンでグローバル企業セキュリティ・レジリエンス責任者を務めるノーマン・ハイト氏は語る。「人々は、企業向けの物理的セキュリティが防衛と同じ公共財であることを理解していない」。
対米・対イスラエル紛争において、イランはペルシャ湾岸地域の石油精製所、石油化学施設、海水淡水化プラント、そしてアマゾンのデータセンターを攻撃した。ロシアのハッカーと見られるグループは昨年、ノルウェーの水力発電ダムのバルブを遠隔操作。米当局は4月、イランのハッカーが米国の飲料水システムを標的にしていると警告した。これらの攻撃はより広範な変化を反映している。ウクライナの発電所、米国の公共施設、バルト海から台湾に至る海底ケーブル — すべてが戦時の標的となっている。
民間資産の堅牢化 — データセンターの鉄筋コンクリート補強、淡水化プラントの地下移設、重要ネットワークの二重化 — には数十億ドルのコストがかかり、誰が負担すべきかをめぐって企業と政府の間で既に議論が始まっている。
新たな防衛計算
北大西洋条約機構(NATO)の今回のコミットメントは、GDPの5%を防衛・安全保障に充てるというより広範な協定の一部であり、サイバーセキュリティ、産業能力、鉄道、橋梁、軍事兵站に必要な港湾など、軍事に隣接する分野への資金を振り向けるものだ。これらの取り組みの進捗状況は、火曜日にトルコで開幕するNATO首脳会議の焦点となる。
「防衛の広義の概念が必要だ。防衛はもはや単なる軍事ではない」と、NATOの最高軍事顧問であるジュゼッペ・カーボ・ドラゴーネ海軍大将は述べた。
この支出目標が設定された背景には、企業が直面する脅威の表面積が急速に拡大している現実がある。ハッカーはコンピュータファイルだけでなく、建物の入退管理や工場制御などの重要機能を管理するシステムを標的にし、遠隔操作で物理的損害を引き起こす。「物理システムへのデジタル攻撃は物理的な問題を生み出す」と、イタリアのサイバーセキュリティ企業エクセインの最高経営責任者ジャンニ・クオッツォ氏は指摘する。
年間3000億ドルの貨物を扱うカリフォルニア州ロングビーチ港の最高経営責任者ノエル・ハセガバ氏は、毎日数万件に上る攻撃を阻止するため、5月にサイバー防衛司令センターを開設した。「5年前、港湾セキュリティは主に人と貨物の問題だった。今日では、人、貨物、ソフトウェア、ハードウェア、空域がすべて同時に関わる」と同氏は述べている。
誰がコストを負担するのか
ドイツでは、民間企業や地方公共事業体を代表する強力な業界団体が新たな物理的保護基準に反発し、財政破綻につながる可能性があると警告している。ニュージーランド政府は、重要インフラ企業とその取締役に対しサイバーセキュリティ違反の罰金を科す提案に抵抗に直面した。
「民間事業者は冗長性、監視、修復能力に投資できるが、抑止、哨戒、属性特定、または敵対的国家活動への対処を真に行えるのは政府と軍だけだ」と、米国運輸省と国土安全保障省で30年にわたりサイバーセキュリティとインフラセキュリティに従事したマーク・グラッサー氏は語る。
欧州連合(EU)はロシアによるウクライナ全面侵攻後、各国に脆弱性低減を義務付ける新たな規制を採択したが、多くの加盟国は今月期限の国家リスク評価の提出が遅れている。英国は、19世紀にさかのぼる法典を更新し、海底ケーブルへの破壊行為に対する罰則を強化する新法を提案した。米国では2018年に設立されたサイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)の予算とスタッフが近年縮小している。
3月のイランのドローン攻撃により、アラブ首長国連邦とバーレーンの銀行業務など商業目的で使用されていたデータセンターが機能を停止した。これらは現在もオフラインのままであり、人工知能(AI)への依存度が高まる中でデータセンターが不可欠な存在になっていることを示す一連の警告の一部である。「これらの教訓は後ではなく今学ぶ方が良い」と、カーネギー国際平和財団の技術・国際問題プログラムのフェロー、サム・ウィンター=リービー氏は述べる。
ほとんどの政府は、最低限の法的レジリエンス要件を超える投資を行う企業にインセンティブを提供しておらず、投資余力のある企業はレジリエンスを競争優位性として訴求することになる。「企業に重要インフラ保護のために国家を支援することが期待されるのであれば、そのためのインセンティブを与える必要がある」とハイト氏は指摘する。ボーダフォンと他の8つの通信企業は昨年、欧州当局とNATOに対し、海底ケーブル保護における公的支援と調整の強化を求めた。
最新の取り組みは、2001年9月11日の同時多発テロ後の対応を彷彿とさせる。当時、効率性を重視して設計された空港は、セキュリティを優先するために運用を根本から見直した。米国は連邦政府を再編し、数千億ドルを国土安全保障に投入した。現在ではほぼあらゆる種類の施設が潜在的な標的となっているが、誰もその代価を支払っていない。
※本記事は情報提供のみを目的としており、投資助言を構成するものではありません。