ホーム > blog > サイバーアタック常習化：今後の流れと経営責任

サイバーアタック常習化：今後の流れと経営責任

2025.10.21UP!

• blog
• APT
• RaaS
• サイバーセキュリティ
• リスクマネジメント
• 取締役責任
• 善管注意義務
• 株主代表訴訟
• 経営責任

「サイバーセキュリティは金にならない」と言われた時代は終わりました。現代のサイバー攻撃は、もはや「100年に一度の天災」ではなく、「予見可能な人災」として経営者の責任が問われる時代に入っています。

国際協調が崩壊し、国家支援型ハッカー（APT）やRaaS（サービスとしてのランサムウェア）が「デジタル私掠船」として経済活動を脅かす中、セキュリティ投資を怠ることは、株主代表訴訟のリスクを抱えることに直結します。

そこでこの記事では、現代のサイバー攻撃がなぜ「海賊」に例えることができるのか、その構造的背景と、取締役が負うべき「善管注意義務」について、法的リスクの観点から説明します。

サイバーアタック常習化の背景：海賊とハッカーの類似性

現代のサイバー攻撃は、なぜ常習化しているのでしょうか。その理由は、かつての大航海時代における「海賊」と構造が類似しているためです。国家が直接手を汚さず、非正規戦力（ハッカー集団）を利用して富と覇権を得る「国家公認の略奪」が、サイバー空間で再現されています。

サイバーセキュリティは「金にならない」と言われがちです。しかし、危険にさらされた瞬間にだけ金になるのであれば、その構造は戦争がなければ食えない傭兵と同じです。

平時は忘れられ、有事になれば最も重宝される。サイバー空間の傭兵──それが現代のハッカーであり、筆者が彼らを「海賊」に重ねる理由もそこにあります。

かつての大航海時代、国家は海賊を利用しました。例えば、フランシス・ドレークのような”王の許可を得た海賊（プライベティア）”がスペイン船を襲い、その戦利品を王室に献上する。この「国家公認の略奪」が、イギリス海軍の基盤をつくったのです。

Ⅰ. 構造的類似：「国際法の空白」と「海の無秩序」

国家が直接手を汚さず、非正規戦力を利用して富と覇権を得る構図は、現代の「国家支援型ハッカー」と全く同じです。そして、法の外に追いやられた者が、自ら秩序を生む。つまり、海賊にとっての公海とは、今のサイバー空間そのものです。

Ⅱ. 国際協調の「ハレーション」と分断構造

（1）政治的側面：デジタル私掠国家の再来

国際協調は形式的に存在しますが、徐々に中国とアメリカなどの国家がパワーゲームを繰り返し、国家は非正規戦力を「軍事的資産」として活用するようになりました。

米国：Persistent Engagement（継続的関与）

2018年の国防省サイバー戦略で「defend forward」が導入され、敵対勢力のサイバー活動を源で妨害する先制的な活動を許可するようになりました。さらに、2018年NDAAがこれを法的枠組みとして支え、サイバー兵器の使用通知などを規定しています。
（参照：U.S. Cyber Command “CYBER 101”）

中国：軍民融合戦略と国内法

中国企業は、国家安全保障および情報活動に関する複数の国内法の適用対象となっています。これらの法制度は、国家安全保障を「社会全体で支える」という包括的なアプローチを採用している点が特徴です。

• 【国家安全法】（2015年）: 第11条および第77条で、すべての組織と公民に国家安全保障への協力・支援義務を課しています。
• 【国家情報法】（2017年）: 第7条で「いかなる組織および公民も、法に基づき国家の情報活動を支持し、援助し、協力しなければならない」と定めています。また、第14条では国家情報機関への協力義務を規定しています。
• 【サイバーセキュリティ法】（2017年）: ネットワーク運営者に対し、国家の安全審査や公安機関の技術検査への協力を義務づけています。
• 【ネットワーク製品セキュリティ脆弱性管理規定】（2021年）: 脆弱性発見時、48時間以内に工業情報化部（MIIT）への報告を義務づけています。

この結果として、中国国内で活動する企業や個人は、国家情報活動への協力を求められる法的可能性を否定できない構造となっています。

ロシア：非対称的不作為

ContiやREvilは、複数の国際捜査・分析機関（米国FBI、CISAなど）により、ロシア語圏・ロシア拠点で活動するランサムウェア集団として特定されています。特徴的なのは、被害者の大半が西側諸国企業・政府機関であり、ロシア国内組織を標的にしない傾向が一貫して確認されている点です。

（2）経済的側面：何を奪い合うのか

分断されたサプライチェーンの中で、「報復」「懲罰」「制裁」を目的としたサイバー攻撃が急増しています。AI、量子暗号、エネルギー基盤をめぐる攻防は、まさに“経済版私掠戦争（Economic Privateering）”です。

各国が「制度・法的」に正当化した私掠行為は、具体的には以下の３つの経済的戦果を狙っています。

1. 知的財産・データ戦場：「イノベーションの私掠」
   狙われる戦果は、AIモデル、量子アルゴリズム、新薬の設計図などです。私掠の目的は「開発コストのゼロ化」と「デファクトスタンダードの奪取」にあります。国家支援ハッカーが窃取した知的財産を、国内の「私掠船団」が即座に製品化・商用化する。これは「他国の未来の成長エンジンそのもの」を奪う行為です。
2. サプライチェーン戦場：「物流の私掠（チョークポイント化）」
   狙われる戦果は、半導体、重要鉱物、食料の「サプライチェーン情報（機密）」です。目的は「生産ノードの可視化」と「戦略的チョークポイントの掌握」です。サイバー攻撃によってターゲット国のサプライチェーンの脆弱性を洗い出し、有事には（あるいは経済報復として）、そのチョークポイントを遮断します。
3. インフラ戦場：「安定性の私掠（経済的恐喝）」
   狙われる戦果は、敵対国の経済活動の「継続性・安定性」そのものです。目的は「市場の意図的混乱」と「経済的報復（恐喝）」です。

Ⅲ. 「ホワイトハッカー」と「裏切り」の構造

現代のサイバー空間で、秩序を保つのはホワイトハッカーたちです。

彼らは、国家や企業の防衛線を担う”善なる傭兵”です。しかし、報酬格差や倫理の曖昧さから、彼らの一部が”裏切り者”に転じる現象も起きています。

• 正義の不一致：国家・企業・個人が守る価値が異なる
• 不当報酬：成果が可視化されず、社会的承認が少ない
• アイデンティティの分裂：匿名性の中で倫理基準が曖昧化

その結果、ホワイトとブラックの境界は「行為」ではなく「目的」でしか定義できません。これは、海賊と私掠船を分けた”免状の有無”と同じ構造です。

Ⅳ. メタ構造：国家と無国籍の「共依存」

国家もまた、裏側のハッカーを必要としています。例えば、イングランドがスペイン艦隊に対抗するために海賊を黙認したように、現代の国家は、自国の戦略目的のために”匿名の攻撃者”を利用します。

しかし一度制御を失えば、彼らは「裏切り者」として排除されます。まさに国家が依存し、やがて恐れる存在。それが、現代のサイバー”海賊”なのです。

---

デジタル私掠船の経済的制度化：統制不能な市場

サイバー攻撃はもはや軍事行為ではなく、「市場行為」として制度化されています。RaaS（サービスとしてのランサムウェア）など攻撃の「商品化」が進み、国家は統制を失いつつあります。これは、国家が私掠免状を発行し、やがて海賊を制御できなくなった歴史の再現です。

1. 戦略構造：市場化としての「私掠資本主義」

歴史的に、国家は戦時の費用対効果を高めるため、敵国船舶の略奪を「私掠免状」で合法化しました。ですが、同時にそれは国家主権の一部を市場に譲り渡す行為でもありました。

現代のサイバー空間では、この「国家委託型略奪」が再現されています。例えば、APTやRaaSは、国家による私掠免状のデジタル版と言えるでしょう。World Economic Forum（WEF）の公式サイトによれば、グローバルなサイバー犯罪は2025年までに年間約10.5兆ドルに達する見込みです。
（参照：WEF “How AI-driven fraud challenges…”）

💡 理論的含意：
市場主導の私掠構造では、経済的合理性が国家忠誠を上回り、結果として国家は統制を失います。

歴史的アナロジー

認可

歴史的：国家の私掠免状 → サイバー相当：国家支援ツール／APT

委託

歴史的：船と船員 → サイバー相当：RaaSプラットフォーム

経済動機

歴史的：戦利品の分配 → サイバー相当：サブスクリプション収益・アフィL.A.（Legal Assistance）

統制逸脱

歴史的：独立海賊化 → サイバー相当：rogueハッカー化・副業化

致命的欠陥

歴史的：国家への反逆 → サイバー相当：経済的自治による国家制約からの逸脱

2. 経済進化：攻撃の「商品化」とスケーリング

攻撃ツールはもはや国家独占資産ではありません。なぜなら、オープンマーケットで売買され、誰でも「攻撃を外注できる時代」に入ったからです。

3. 組織経済学：三者取引モデル（国家・企業・ハッカー）

要するに、国家は「否認可能な攻撃」を外注し、企業は「予見的防御」を市場から購入し、ハッカーは「技能の商業化」によって独立経済を築きます。これは、サイバー戦争の民営化＝非対称的な資本主義戦争です。

4. 統制の崩壊：経済サイクルの4段階

歴史は、この市場が自己再生し、統制が崩壊するサイクルを示しています。

---

経営責任の追及：サイバー攻撃は「予見可能な人災」へ

日本ではサイバー攻撃を「天災」と捉える風潮が残っていますが、攻撃が常習化する現代において、それは「予見可能な人災」です。一度目の被害は不可抗力でも、二度目は怠慢と見なされます。

したがって、対策を怠った場合、経営者・取締役は株主代表訴訟などで「善管注意義務違反」を問われる法的リスクを負うことになります。

東電の福島第一原発事故は”１００年に一度の津波”と言われました。しかし、株主代表訴訟が起きています。同様に、基幹システムを狙ったサイバー攻撃でも、企業は法的リスクを免れません。

（1）法的基盤：取締役の善管注意義務

取締役は、会社に対して「善良な管理者の注意義務（善管注意義務）」（【会社法第330条】、【民法第644条】）を負います。これは、単に「頑張りました」では済まされません。

サイバーセキュリティにおいては、以下が善管注意義務の対象となります。

• リスクの予見可能性：業界標準や過去の攻撃事例から、自社が標的になり得ることを認識していましたか？
• 対策の実施義務：認識したリスクに対し、合理的な防御措置を講じていましたか？
• 監督義務：システム部門やCISOに適切な権限と予算を与え、監督していましたか？

（2）予見可能性の立証：「業界標準」と「過去事例」

株主代表訴訟において、原告（株主）は何を主張すべきでしょうか。それは、「取締役はサイバー攻撃のリスクを予見できた、あるいは予見すべきだった」という点です。

立証のポイント①：業界での攻撃常習化
同業他社が既に被害を受けていた場合、自社も標的になることは容易に予見できます。取締役がこれらの警告を把握せず、対策を怠った場合、情報収集義務違反が問われる可能性があります。

立証のポイント②：自社内での兆候
過去に軽微なインシデント（不正アクセス試行、フィッシングメール増加）があったにもかかわらず、取締役会がこれを軽視し、追加投資を承認しなかった場合、予見可能性はさらに明確になります。

（3）回避可能性の立証：「合理的対策」の不実施

予見可能性が認められても、「対策を講じても防げなかった」と反論される可能性があります。しかし、以下の場合、回避可能性が認められ、取締役の責任は免れません。

立証のポイント①：最低限の対策すら実施していない
業界標準に照らして、明らかに不十分な対策しか取っていなかった場合です。

• 多要素認証（MFA）の未導入
• 定期的なバックアップの欠如
• 脆弱性管理の放置（パッチ未適用）
• インシデント対応計画（BCP/DR）の不在

立証のポイント②：費用対効果の誤認
「セキュリティ投資は費用対効果が見えない」という理由で対策を先送りした場合、しかし、それは経営判断の誤りとして責任が問われます。「対策コスト < 被害額の期待値」が明らかな場合、対策を怠ることは不合理と判断されます。

（4）因果関係の立証：「対策不備」と「損害」の結びつき

株主代表訴訟では、因果関係の立証が求められます。つまり、取締役の義務違反と会社の損害を結びつける必要があるのです。

具体的には、損害には、システム復旧費用（直接損害）、事業停止による逸失利益（間接損害）、ブランド毀損（社会的損害）などが含まれます。

（5）東電株主代表訴訟との類比構造

東京電力福島第一原発事故（２０１1年）では、株主が取締役に対し、津波対策を怠ったことによる善管注意義務違反を主張しました。

つまり、「１００年に一度の津波」であっても、予見可能性があれば責任が問われるのです。同様に、基幹システムへのサイバー攻撃で甚大な損害が発生した場合、株主が経営陣の責任を追及するのは当然の流れと言えます。

結論：サイバーセキュリティは「費用」ではなく「信頼資本」

もはや、サイバー攻撃は減りません。なぜなら、国際協調が失われ、分断が制度化されつつあるからです。そして、その社会において、防御に投資しない企業は、信頼と共に市場から退場することになります。

もちろん、取締役個人にとっても、サイバーセキュリティは他人事ではありません。

ご相談はこちらから