ロシアで1999年以降、国を率いてきたウラジーミル・プーチン大統領が、3月17日までに実施された大統領選で再び勝利した。これからさらに2030年までロシアのトップに君臨する。

 そんなロシアでは22年2月のウクライナへの侵攻により、欧米企業が抗議の意味で次々とロシアを離れたり、ビジネス規模を停止・縮小したりしている。そうした企業の数は現時点までに1000社を超えるという。

 さらに24年3月20日からは、マイクロソフトやアマゾン、グーグルも同様に、ロシアでクラウドサービスを停止した。ロシア国内のビジネスには大きな痛手であり、日本でもロシア系企業との取引などに影響が出てくる可能性がある。

 欧米にサイバー攻撃などを仕掛けてきたロシアに対しては、ウクライナ侵攻前から、米国などがロシア製サイバーセキュリティソフトウェアなどの政府での使用を禁止にしてきた事実もある。実はロシアとの分断はビジネス分野で深まっている。

 そうした情勢の中、日本の中央省庁などが欧米で警戒されているロシア製のソフトウェアを使用していることが独自取材で判明した。

 国外勢力による情報収集が取り沙汰され、経済安全保障やセキュリティクリアランス制度(機密情報にアクセスできる資格者を政府が認定する)などの整備が進められている昨今、日本企業はリスクになる可能性がある外国企業と関わる場合に非常に警戒する必要がある。例えば、欧米の制裁措置を受けている企業などとの関わりは、場合によっては罰金などの対象になることもあるので要注意だ。

 そんな中で、最も警戒すべき政府が「問題視されているロシア製ソフトウェアを導入しているのはいかがなものか」と、日本の経済安保関係の当局者は指摘する。

●各地の測量データが漏れる可能性

 筆者が入手した政府文書によれば、このソフトウェアは、ロシアのA社という企業が製造・販売している。同社はデジタル画像処理や3次元空間データを生成するソフトを開発しており、ロシアのウクライナ侵攻以降、英国やエストニアといった国では販売代理店が取り扱いを中止している。

 だが日本では、公的機関などが使用しており、ウクライナ侵攻以降も使い続けている。前出の経済安保当局者は「国土交通省の事業などで現在も現役だ。しかも地方自治体や企業でもこのソフトが幅広く使われているので、欧米からも目を付けられている」と言う。

 このソフトはもともと、セスナなどの航空測量のツールとして使われていたものだ。今では、日本の地形情報や地図用のデータ出力などを実施でき、集められた情報は同社のクラウドなどに保存されて処理を行うことができる。つまり、日本各地の国土の状況をスキャンすることになるのだが、そうした情報がロシア側に筒抜けになる可能性がある。

 これはロシアに限らないことだが、日本人の生活に直結する重要インフラの詳細情報が国外に漏れる可能性があるということだ。これは国や国民の安全を守るための国防の問題、つまり経済安保にもつながっていく。

 A社のソフトウェアは、国産のソフトウェアと比較して維持費がかからず、安価で利用できると喧伝(けんでん)されている。中央省庁や自治体には、かなりアピールとなるポイントだ。

 国土交通省は、近畿地方整備局大規模土砂災害対策センターなどがまとめている報告書でも、無人機を使って撮影したデータからA社のソフトで空中写真を生成している。日本の国土の地形や、森林の害虫被害の状況なども把握できてしまう。ダムや公的施設のみならず、港湾施設なども位置関係が丸裸になる。

 また、民間の企業が同ソフトを導入して別のサービスを提供しているケースもあり、原子力発電所の周囲や放射能汚染のデータも吸い上げられているという。しかも問題は、ロシアがこうしたデータを入手することにより、自衛隊の基地や政府機関、周辺環境などの情報も収集されてしまう可能性があることだ。

●カスペルスキーの前例もある

 日本企業として、国際的に問題になっているソフトウェアに対してどう対応すべきだろうか。こうしたソフトウェアの導入には、その裏にリスクが隠されていないかどうかを調べるべきだが、クラウド化などが進んだ現在ではなかなか判断しにくい。

 そうなると、国や民間企業から脅威情報を得るなどの対応が必要になる。ただ、民間でできることには限界があるので、国がリスクを放置しないよう、しっかりと対応することが求められるだろう。

 だがこんなケースもある。ある地方自治体が、港湾施設の点検などに関わる業務で、A社製品を使う企業に業務委託するのを躊躇(ちゅうちょ)したことがあった。自治体職員は、このソフトウェアがロシアなどへのデータ流出につながる可能性があると難色を示したのである。だが企業側から同ソフトは「外部のインターネットには接続しない」などと口説かれているという。

 「そう言われると導入してしまうこともあるだろうが、そもそも懸念も出ている企業だけに慎重に検討すべきだろう」と、前出の経済安保当局者は言う。「カスペルスキーの例を出すまでもなく、ロシア政府に日本の河川や山林、港湾など各種施設のデータがクラウドから盗まれていく可能性がある」

 先に触れたが、米政府が禁止にした、ロシアに拠点を置く民間サイバーセキュリティ企業であるカスペルスキーの場合は、ロシアの情報機関がそのソフトを悪用してユーザーなどのPCから不正にデータを盗んでいたと指摘されている。さらに近く、米商務省がカスペルスキーの使用制限などを強化すると見られている。

 もちろん紛争当事国だからといって、全ての企業や製品にリスクがあるわけではない。このA社の製品もそうだ。だが、政府を挙げて国民やインフラなどに対するリスク要因を排除していこうとする流れの中では、企業も慎重にならざるを得ないだろう。

 海外のテクノロジー関連企業であれば、データ収集の状況やクラウドサーバーの設置場所などもチェックしたほうがいい。日本で集められたデータが、日本の規制や法律が届かない国外に保存される可能性もある。そこからデータ漏洩が起きるかもしれない。そもそも政府としても、インフラや政府機関などにからんだデータ収集を外国企業に担わせるのは得策ではないとの認識をもっと広く共有すべきだろう。

(山田敏弘)