はじめに

JPCERT/CCは、サイバーセキュリティ政策に関する諸外国の動向調査として政府機関、国際機関、企業などのニュースの収集および分析を行っています。vol.1はこちらからご覧ください。vol.2となる今回は、世界各国を対象にしたサイバーセキュリティのランキングがテーマです。

※この記事は一部、JPCERT/CCとしての公式見解ではない、職員の私見を含んでいます。

キャラクター紹介

名前：マーシー 3歳のねこ 好奇心旺盛で、独り言が多い。 飼い主がサイバーセキュリティの仕事をしている。	名前：モチチロー 7歳のいぬ コミュ力が高く、なにかと事情通。 RSSリーダーや各種SNSを駆使する姿はさながらIT業界人。

日本は世界ランク何位？

（朝の占い、6位だったあ、なーんか微妙…。ついついランキングって最後まで見ちゃうんだよね。
あ、向こうからサイバーセキュリティを語っていたあの犬が来る…！）

おはよう、最近ここでよく会うね。僕モチチローっていうんだ。

お、おはよう！なんだか元気そうだね、モチチロー。

うん、今朝のわんこ占いで1位だったんだ！今日もいい日になるぞーっ！

…。（テンションの差よ…）

そういえば昨日ランキングをまとめてみたの、マーシー、これ見てみる？

う、うん（私の名前どこで知ったの…？）
…ひえっ！いきなりボードが出てきたっ！

わあ…国家単位のサイバーセキュリティランキングを表にしたんだね！

～ モチチローはマーシーのために各ランキングを印刷して渡したようです。このままお読みいただけますが、読者の皆さまもリンクから元の情報をご確認ください。 ～

ASPI［1］は豪州の安全保障系のシンクタンクだよ。2015年から調査が行われていて、2017年版［2］が最新の調査だね。対象はアジア太平洋の国々で、サイバーセキュリティに関連する政府や民間の取組をバランス良く評価したランキングだよ。
続くベルファーセンター［3］は米国ハーバード大学公共政策大学院の研究所だよ。2020年公開のランキング［4］は、国家の能力を7分野に分けて、それを使う意思（Intent）をかけ合わせたものをパワーとして数値化したものなんだ。
ITU［5］は通信に関する国連の専門機関だよ。2015年版の第1回から合計5回ランキングが公開されて、最も歴史がある。2020年版［6］の対象は194カ国と、途上国の情報も豊富だね。ランキングの基準はブロードバンドアクセスなど、サイバーセキュリティ以前のインターネット環境の充実度が大きく関わってるんだ。
IISS［7］は英国の安全保障系のシンクタンクで、サイバー攻撃能力にフォーカスを当てたランキングを2021年に公開［8］しているよ。
他には、ポトマックインスティチュート［9］が公開したランキングCRI2.0［10］なんかも知名度があるね。

結構出ているんだね。これだけあればそれぞれの結果が割れそうだけど？

実はどのランキングもアメリカがトップなんだよ。アメリカは経済・技術大国で、サイバーセキュリティについてもシリコンバレーを中心に多くの企業がしのぎを削っているし、アメリカ軍だって50年以上サイバーセキュリティに取り組んでいるからね。
そういった背景もあって、ランキングにすると圧倒的だよね。そして、最近は中国がメキメキと順位を上げているんだ。

そんな傾向があるのか。日本はどんなところが優れているの？

うーんとね、日本はこの手のランキングで評価されやすい優等生タイプだよ！
ASPIのランキングを例に挙げると、順位を決める根拠になるのは、政府や民間の対策組織の充実、サイバーセキュリティ対策のための法律の有無、国際社会との協調、CSIRTの成熟度、金融犯罪対応、軍の役割、官民の連携、デジタル社会の浸透度、インターネット普及率などの項目があってね。
日本はそのすべてで10点満点中7点から10点の高評価を受けているよ。

へえ！あれ、でもさIISSのランキングだと、日本は一番低くて、例えばマレーシア・北朝鮮・ベトナムと同じ格付けになっているんだね。
他の３つのランキングとは評価の観点が違うのかな？

あ、マーシー、気づいたね？ 主要国をティア（Tier、層の意味）1からティア3に分類しているなかで、日本が最下層にいるのは確かに意外に思えるね。
このランキングを読み解くには2つの鍵があるよ。まずIISSのランキングは、主に「政府の」サイバーセキュリティ能力を測るもので、日本の民間企業や研究機関のさまざまな力は評価対象に入っていない。そして、「サイバー攻撃を行う力」「サイバー情報活動を行う力」が大きな評価のポイントになっている。つまり、政府や軍隊がどれだけサイバー攻撃が上手かってことが評価基準に入っているんだ。

そっか。日本は自分からサイバー攻撃しないもんね。

そういうこと！日本はそもそも、自衛のために必要な武力しか持たない国だし、他の国に一方的にサイバー攻撃を仕掛けるというのは憲法や政治上の理由から許されない。あと、人間たちがよく見ているドラマに出てくるような、大きくて華やかな情報機関もないんだよ。だから、「サイバー攻撃の上手さ」を評価されるとどうしても厳しい評価を受けちゃうんだ。

映画で見るハッキングとか、スパイってカッコイイけどな～。じゃあ、日本も攻撃する力を見せていくべきかな？そうすればランクアップできるよね！

いやこの世界はアクション映画じゃないって、マーシー。
ランクを上げるために努力するというのは、ちょっとイマイチかも。なぜならITUのランキングだけを見ても日本の順位は変動していて、5位タイ（2015年）、11位（2017年）、14位（2018年）、7位（2021年）とバラバラ。ランキング自体の評価方法だって常に変わるから、数字だけに囚われるのはナンセンスってこと。
日本は政府も、民間も、みんな真面目にコツコツとサイバーセキュリティ対策をやってるよ。だから、結果に一喜一憂せずに、今までの努力を続ければいいんじゃないかな。

なるほど。日本の頑張りを余すとこなく評価してほしいなあ。

まあアピールが不足しているっていうのはあるかもしれないから、日本国内の良い取り組みは、ちゃんと海外の人に伝えていかないといけないね。

JPCERT/CC Eyes ってEnglish versionあるよね？あれ、もっと読まれるといいな。

うんうん、民間機関からの発信だって大切だよ！
今日も反応がいいね、マーシー。近いうちに僕のお友達を紹介するよ！きっと面白い話が聞けると思う。

お、お友達？！わかった、楽しみにしてるね！

（つづく）

おわりに

ランキングの比較によって調査を実施した機関の着眼点がわかり、複数のランキングが評価している共通項をあぶり出すことで、その国の強みを把握することができます。
vol.1の記事にお寄せいただいた数々のご感想の中から、日本の取り組みを知りたいというご要望にヒントを得て、ランキングを通じた世界の中の日本を覗いてみました。お読みいただきありがとうございました。ご感想をお待ちしております。

国際部　登山 昌恵、小宮山 功一朗

参考情報

［1］ ASPI
https://www.aspi.org.au/

［2］ Cyber Maturity in The Asia-Pacific Region 2017
https://www.aspi.org.au/report/cyber-maturity-asia-pacific-region-2017

［3］ ベルファーセンター
https://www.belfercenter.org/

［4］ Belfer’s National Cyber Power Index 2020
https://www.belfercenter.org/publication/national-cyber-power-index-2020

［5］ ITU
https://www.itu.int/en/Pages/default.aspx

［6］ Global Cybersecurity Index 2020
https://www.itu.int/epublications/publication/D-STR-GCI.01-2021-HTM-E/

［7］ IISS
https://www.iiss.org/

［8］ Cyber Capabilities and National Power
https://www.iiss.org/blogs/research-paper/2021/06/cyber-capabilities-national-power

［9］ ポトマックインスティチュート
https://www.potomacinstitute.org/

［10］ Cyber Readiness Index 2.0
https://www.potomacinstitute.org/images/CRIndex2.0.pdf