サイバー空間の防衛力強化プロジェクト 政策提言発表 “日本にサイバーセキュリティ庁の創設を!”
第11回サイバーセキュリティ月例セミナー
田中 達浩氏(元陸上自衛隊通信学校長)
西 正典氏(元防衛事務次官)
林 紘一郎氏(情報セキュリティ大学院大学元学長/教授)
<モデレーター>大澤 淳
パネルディスカッション
まず、政府のサイバーセキュリティ戦略では「積極的サイバー防御」を明記しており、これまでのものよりは前向きに、かなり踏み込んだ面があると思います。ですが、やはり民間の立場から申し上げますと、もう少し言ってほしかったという面も大いにあります。それに符合する形で、笹川平和財団の今回の政策提言は、たいへんタイミングが良かったと思います。
政策提言では、日本と他国との比較として、項目ごとに「○、×、△」と簡潔に表が出ております。私も研究者として同じことをしておりますが、表をしげしげと眺めてみると、元気が出るより、何かげんなりしてくるというのが正直なところです。他国に追いつくにはどうしたら良いのか、というのが大きな問題になってくるからです。内閣のサイバーセキュリティ戦略本部として、当然次の戦略を考えなければいけないので、2020年の東京オリンピック・パラリンピック大会での経験も踏まえて取り組みをしていく際に、今回の政策提言が活かされるのではないかと考えております。
私からは、一番長く取り扱ってきた「通信の秘密」という問題について、問題提起をさせていただきたいと思います。普通に生活している限りでは、「通信の秘密」に問題意識を持つことは少ないと思います。これは、日本では、世界的なレベルから見ても「通信の秘密」がたいへん厳格に守られていることを示しております。関連する事業に従事していた者として、誇りと思うと同時に、果たしてそれでもって日本のサイバーセキュリティが担保されているのか、という危惧も同時に感じております。
皆さんの中には誤解があるかもしれませんが、総務省の方々の努力はたいへんなもので、担当している部署では、制度の解釈・運用においてずいぶん弾力性を持たせた仕組みになってきていると思います。問題はむしろ、私もそうですが、染みついている発想の原点があるわけです。特に現場で通信に携わっている人のメンタリティというのは、通信の秘密は極めて厳格に守らなければならないと考えているのは間違いないことで、そこは安易に崩せないのですが、戦略という面から見ますと、あまり厳格にし過ぎると、大きな法益を守れなくなると気づかされることがあります。ですから、原則は守りつつも、大きな観点、つまり、インターネットのセキュリティを守る観点から、ここまではやってよいだろうという点をきちんと整理しておく必要があります。
私は、どちらかというと、これまでの解釈・運用を変えなければいけないという時期に来たのではないか、という認識を強く持っています。つまり、どこかまでは事業者が取得したほうが良い情報というのはあるわけで、ただし、取得した情報を特定の目的だけに役立てることを許可する代わりに、その他は一切禁止することを明確に切り分ける必要があると考えております。その意味では、国会におけるプライバシー侵害監視委員会を設置することを提言していることについては、全く同感であります。
サイバーのことをやればやるほど困ってしまうのは、私が従来からやってきた仕事、つまり、戦争に関する規範性が、サイバー空間で成り立つのかという問題でした。戦争に関する規範性とは、17世紀に国民国家が成立し、国家の主権の下に領土と国民が存在し、それを守ることが国家の義務であるということから始まります。その国家間で戦争を起こさずに平和裏に暮らしていくには、相手を圧迫し、抑止するという考え方が出てきます。抑止の基本的な概念は、領土と国民が犠牲になる、またはそれを犠牲にしてしまう恐れがあるということです。それが極端な形になるのが、核兵器で抑止することでした。互いに国家と領土、国民を人質に差し出して、牽制し合うという構造が出来上がったわけです。
ですが、裏を返せば、国家と領土、国民がいなければ、抑止の概念は成立しません。その典型的な例が2001年の「9・11テロ」でした。テロリストは国家も領土も、国民も持たない集団ですから、抑止が機能しません。それと似たような現象が起きているのが、サイバー空間での在り様なのです。サイバー空間には国境もなく、国家主権もありません。そこでは個人が全く裸の状態で放り出されていると言っても過言ではありません。そこで秩序を作るためには何をすれば良いか、概念設定をどうするのか、もっと言えば、我々が今まで現実世界で使ってきた戦争法規が、サイバー空間で有効なのか、という根源的な問題にまで直面し、非常に面倒くさい状況にあります。
私の問題意識は、それをどのように処理するかでありますが、まだ定見はありません。むしろ、日々刻々、概念が変化しているために自分でも収拾できていません。現実は待ってくれませんので、偏頗な考え方が前提になっていきます。たとえば、4、5年前か非常に面白い、小さな記事が出たことがあります。ロシアが中国の電気湯沸かし器の輸入を全面禁止したというものです。理由は簡単で、盗聴用チップが埋め込まれていたからというのです。盗聴を防ぐシステムが完備している会議室でも電気ポットがあり、それが電源につながり、中での会話が流されていたら、防ぎようがありません。そこまで危なかっしい時代になっています。
先日も自宅にあるスマートスピーカーが突然黙り込んでしまい、チェックしたら、コネクトするアドレスが知らないアドレスに切り替わっていました。誰かが侵入して書き換えたと思いますが、私のように防衛事務次官という要職を務めてしまうと、一生涯そうした盗聴のリスクを暮らしていかないといけません。もちろん、外国の友人からは当たり前だろうと言われて、おしまいでしたが。これは、皆さま方にとっても、明日には当たり前になる現実です。その現実の中で、どうやって安全を守っていくのかが、私の問題意識です。
残りの二つのディメンションの、一つは抑止です。サイバー攻撃が多様化し、「APT攻撃」(高度標的型攻撃)のように、本丸を攻撃する前に弱者から攻撃することがあるので、戦略的にどのようにサイバー攻撃を抑止するのかを考える必要があると思います。抑止として考えられているのは、自衛権を行使するような攻撃をされた場合、何らかの報復をするというのが一般的な原則ですが、しっかりとした分析と考え方を整理しておかないと、途中であたふたするようなことになりかねません。
もう一つは、「インテリジェンス・ドリブン」(情報に基づく対応)です。さきほど「インシデント・ドリブン」と申し上げましたが、攻撃を受けてから一年後にレポートが出てくるようでは話にならないわけです。ならば、できるだけ攻撃を受けても被害を最小限に食い止める、できれば、攻撃される前に止めさせるためにインテリジェンスを使うことを世界では行っていると思います。サイバーセキュリティ上で情報を集約し、できれば、「インテリジェンス・ドリブン」の対処ができるようになればと、日ごろから思っています。
私がサイバー部隊長だった時、問題の一つとして、自国民が外国からサイバー攻撃を受けても守ってあげられないことでした。サイバー部隊はあくまで自衛隊を守ることが任務でした。では、政府のどの官庁がサイバー攻撃から国民を守るのでしょうか。警察は、犯罪には対応しますが、外国勢力の攻撃には対応できません。経産省、総務省もやはり攻撃に対処できるとは思えません。各省庁とも現状の中で努力はしておりますが、一元的に国民を守る仕組みはないわけです。そこで、少なくともサイバーセキュリティ庁という一元的な役所ができることは、日本の防衛にとって進歩になるだろうと考えています。
民間のサイバーセキュリティ企業で10年間在籍していた時に感じたことは、各官庁の指導がバラバラだということでした。日本には10年前からサイバー攻撃を報告する仕組みがあります。経産省、総務省、防衛省、警察の各省庁にあります。ですが、個々バラバラなので、ほとんど機能しておりません。それ以上に企業は、サイバー攻撃を報告したがりません。なぜか。一つ目に顧客に迷惑が掛かります。二つ目に株価が下がり、株主に迷惑が掛かります。三つ目に経産省に呼びつけられて怒られます。報告しても怒られるだけなら、何のメリットもありません。とどめは、報告の書式や手順もバラバラなことです。これでは面倒くさくて報告するモチベーションも下がります。これが、私が民間にいた時、政府はサイバーセキュリティ庁のような組織で対応を一本化してもらえると良いと思った理由です。
次に経産省の審議官になった時、民間のために仕事をしようと思い、10項目のリストを作成しました。すると、「審議官、これは総務省の管轄ですね」との答えが返ってきてしまう。おわかりだと思いますが、各省庁の権益があるために、なかなか思い切った事業に踏み切れないわけです。部下にはすでに「総経戦(総務省と経産省の戦い)」の時代ではないから、一緒にやる雰囲気を作ろうと強調しましたが、それ以上は申し上げるのを止めておきましょう。
審議官の仕事は先日任期を終えましたが、その後、外資系の民間セキュリティ企業で仕事をするようになりました。自衛隊にいた時、防衛陣地を作る訓練をします。陣地を作り、敵が来るのを待ち構えてやっつけることです。陣地を作ったら、敵はどっちから来るのか、戦車なのか歩兵なのか、偵察しなければなりません。また、予行演習も行います。敵の立場になって、どこかに弱点はないかとチェックします。また、現代戦では線で守るのではなく、面で守ります。そうしたことを自衛隊で学びました。そこで、セキュリティ業界に来ると、なんと線で守っていて、相手の偵察もしません。線が突破されたら、次の線に後退するという第一次世界大戦の塹壕戦をやっています。感覚的に遅れているなと思いました。ところが、いまいる会社は、積極的に脅威となる情報を取りに行く「スレット・インテリジェンス」を行っているのです。それが、私がこの会社で仕事をしようとした理由ですが、外資系の企業なのです。日本のサイバーセキュリティ企業を育てることが、私が経産省にいた時の仕事だったのですが、ちゃんとできませんでした。今回の提言では、サイバーセキュリティの産業と人材を一元的に育成するとありますが、まさにそれだと思います。
大澤 ありがとうございます。私からは三つぐらい論点を出して、議論を進めていきたいと思います。一つ目は、サイバー攻撃の抑止はできるのかどうか、できるとしたら、どんな政策手段が使えるのか。二つ目は、サイバー攻撃の対応においてなかなか耳慣れない「インテリジェンス・ドリブン」とは、民間のセキュリティ会社ではイメージとしてどのようにやるものなのか。三つ目は、「積極的サイバー防御」の方策としては、通信事業者のどのような情報を活かして、具体的にどのような行動をとっていくか、少しかみ砕いでお話しいただければと思います。
田中 一つ目の点ですが、抑止できるのかというと、私が数年前にサイバー抑止のことを考え始めた時、抑止はできないという人がほとんどでした。しかし、そうではなく、抑止しなければならないという視点でものを考えなければならないというのが、私の結論であり、研究方向でした。国家は、国民の生命財産と生活を守っているとすると、そこにインパクトのある攻撃は抑止すべきではないかということです。では、攻撃を仕掛けるのは誰なのかというと、国家であるとか、テロ集団だとかになると思いますが、とりあえず、具体的なことはさておいて、そうした視点を持つことです。
もう一つが拒否的抑止です。要するに、強い者に対しては最初から攻撃することが無駄だと思わせることです。ですが、サイバーでは攻撃して、しくじっても損害が発生しません。反対に防御側はやられたら損害が発生します。守っているだけだと損害だけが蓄積してしまいます。守っているだけでは必ず負けるため、一般的にサイバー抑止は難しいという説明になります。
西 サイバー空間での抑止は不可能に近い。では、それにどう対抗するかというと、アトリビューション(攻撃者の特定)が不可欠ですね。どこのどなたか、後ろから追いかけてチェックすることです。イタチごっこになると思いますが、アトリビューションをしない限り、わが身は守れないということです。
中国の兵法書「孫子」の最後に、用間編、スパイの話があります。孫氏によれば、スパイには、生間、死間、反間、内間、郷間という5つがいる。生間は、生きて帰ってくる、相手の情報をわが方にもたらすためのスパイ。死間は、スパイというよりも破壊工作で、自分が死ぬことを前提にして相手を破壊する。反間は、相手の国内の敵対勢力、反乱分子と交流する。内間は、相手のシステムの中に裏切り者を作る。そして最後の郷間は、相手の土地に何世代もわたってずっと住み続けるスリーパーです。サイバーの世界で動いているファクターは、この5種類と基本的に同じです。まさか今頃になって、2000年前の本がこんなに生き生きとして目の前に立ち上るとは思わなかったのですが、そういったものが縦横無尽に動き回っているというのがサイバー・インテリジェンスの世界。そこに我々はもっと敏感にならないと足元をすくわれる、そういうことだと思います。
林 政府のサイバーセキュリティ戦略はすでに英訳されており、「積極的サイバー防御」は、「プロアクティブ・サイバー・ディフェンス」と訳されております。「アクティブ・サイバー・ディフェンス」と違うと言いたいようですが、私はむしろ「同じレベルに到達するにはどうするか」という議論をすべきだと思います。たとえばアメリカでは匿名訴訟が認められていますが、日本の民事訴訟では被告を特定することが原告の責任になっています。アトリビューションをしなければ、裁判が起こせないことになっている。そうすると、誰がやっているのか、という蓋然性が高いところまで突き止めるような手段を認めてあげなければなりません。同じようにボットネットの場合、極端なことを言えば、インフルエンザが流行り始めたら強制隔離するようなことも含めて、なんらかのアクションを起こせるようにしないといけません。
大澤 現場から見た場合、「インテリジェンス・ドリブン」で、誰がやっていることは分かるものなのでしょうか。
田中 テクニカルなアトリビューションでは、どのような機械が発起点になっているかはおそらくわかります。そして、過去のデータからある程度のパターンで誰から発信されているのかを調べるというのは、インテリジェンスのジャンルでしょう。おそらく一国、一組織だけでインテリジェンスを見ているのではなく、国際的に秘匿度の高い情報を共有している場合もあると思います。セキュリティベンダーが公開している情報からわかる範囲もあると思います。もう一つは、政治的に攻撃主体が理解できる、判断できるというポリティカル・アトリビューションという分野が出てくるのではないかと思います。我々は、この三つの世界のメカニズムを作り上げておかないと、ちゃんとしたアトリビューションはできないと思います。
伊東 話は重なるかと思いますが、たとえば、警察は、物的証拠、状況証拠、動機等を総合して犯人と思しき容疑者を犯人と特定します。それと同じで、技術的なアトリビューションだけでは攻撃者にたどり着くことはできないと思いますが、技術的にも状況的にもこの国があやしく、動機もあると考えられるのならば、それが犯人だと言わざるを得ない。それは逆に抑止にもなります。総合的に見て、あなたが犯人ですと言われるならば、攻撃のモチベーションは下がります。また、インターネットにある仕掛けをすることで、犯人にたどり着く技術もあります。
ただ、インテリジェンスだけで犯人を特定することは、ほぼできないと思った方が良いでしょう。インテリジェンスで犯人を特定すると、その手法を言わなければなりません。すると、敵はそこを塞いでしまいます。インテリジェンスのつらいところは、知り得た情報の使い方を間違えると、その経路が消されてしまうので、軽々と発表できないのです。また、敵の情報をどうやって得るのかということですが、サイバー犯罪者はダーク・ウェブとかダーク・ネットと呼ばれるコミュニティを作っています。スレット・インテリジェンスとは、そうした世界に潜り込んで、聞き耳を立てるということです。
西 実はグーグルで検索できるのは、ネットのわずか5%で、残りの95%はダーク・ウェブです。我々は、ごく狭い現実しか知らないわけです。現実のはるか向こうには、とんでもない闇が広がっているということです。
大澤 そうしたダーク・ウェブ対策のためにも、政策提言ではサイバーセキュリティ庁の中に情報分析をするユニットで300人ぐらい必要だとしております。過去の情報も含めて、インテリジェンスの情報をちゃんと政府で蓄積して対処していくことが日本のサイバー空間の安全を守る上で必要でして、消防士さんやお巡りさんのような役割を果たす対処部門と同時に、情報をちゃんと集めてそれを活かす部門が重要であると指摘しております。林先生の積極的サイバー防御においても、誰がやっているのかという情報を集めていくことが必要かと思っております。
本日はありがとうございました。
以上