慶應義塾大学大学院
政策・メディア研究科
教授
土屋 大洋 氏
――金融機関のハッキングについて…。
土屋 ハッキングの世界はすでに大きなブラックマーケットとして成立しており、金融機関も例外なく狙われている。例えば、Aという銀行に一気に大量アクセスを浴びせるような攻撃は1時間10ドル程度で、また、機密情報を抜き出すような攻撃も、安価で簡単に行われている。金融機関は業法に基づき被害情報を金融庁に報告しているようだが、金融庁は情報を外部と共有する権限を持たないため、結局、自分たちで問題を抱えこみ、その情報がサイバー攻撃対策に生かされることもない。となると、日本全体でどれだけ被害にあっているのか分からず、それを民主的に解決していくという方向にはなりにくい。そういった悪循環を改善するには、情報を共有するための法制度が必要だ。例えば上場企業がサイバー攻撃を受けた時には報告する義務を負わせ、その情報を業界内や他業界の中での共有していくことが重要だろう。
――日本のサイバー攻撃対策は他国に比べて遅れていると聞くが…。
土屋 警察としては現行法制の中でやれることはすべてやっているのではないか。例えば、昨年はパソコンが遠隔操作ウィルスに感染し、誤認逮捕されるという例が相次いだが、その根本的な問題は通信記録が残っていなかったからだ。諸外国には通信記録を残すような法律や慣行があるが、日本にはそれが無いため、通信記録を残すためのコスト負担を重いと感じる中小企業などはデータを次々と消去してしまう。警察としても、通信記録が残っていれば犯人特定が容易になるが、記録が残っていなければ監視カメラなどで犯人を特定するしかない。つまり、日本のサイバー攻撃対策は法制度を変えていくフェーズに入っているということだ。
――国会議員の問題意識は…。
土屋 日本政府が最初に大きなサイバー攻撃を受けたのは2000年で、当時、内閣官房室には情報セキュリティ対策推進室が設置され、その部署が05年に組織変更をして、内閣官房情報セキュリティーセンターとなった。その後、09年7月に米国と韓国に大規模なサイバー攻撃が行われたことで、日本でもある程度の問題意識は共有されていたが、09年7月は麻生政権の末期であり、翌月8月に政権が民主党に変わり、政治が混乱を極めていたために、日本でサイバー攻撃対策が大きな話題に上ることはなかった。ようやく、政治が落ち着きを見せ始めた12月頃に、当時の平野官房長官の下でサイバー攻撃対策の取り組みを始め、2010年5月に「国民を守る情報セキュリティ戦略」を発表するに至った訳だ。
――日本が最初にサイバー攻撃を受けてから10年。なんとも遅い…。
土屋 「国民を守る情報セキュリティ戦略」の内容は非常に濃いものに仕上がっていると思う。例えば2010年9月に尖閣諸島問題が勃発した時も、中国国内でのデモンストレーションとともに、オンラインによる日本政府への攻撃命令がたくさん掲示板に書かれ、実際に9月18日に電子メールによる一斉攻撃があったが、政府は戦略に基づき事前にきちんと対応していたため、大きな影響はなかった。しかしその後、2011年3月11日の東日本大震災の約20日後に「昨日の放射線レベルについて」と書かれた添付ファイル付の電子メールがばら撒かれた。それは一般にはまだ広まっていないカスタマイズされたウィルスであったため、多くの情報ソースが被害にあってしまった。今の日本ではこれを防ぐことは難しい。
――民間企業は、社内用と社外用でパソコンをきちんと分けて使えば良いのではないか…。
土屋 そうともいえない。2010年6月にイランの核施設を標的としたスタックスネットというコンピュータウィルスは、インターネットから隔離されたスタンドアローンの産業用制御システムにも感染し、実害を生じさせると言われている。イランの核開発を止めるために米国とイスラエルが共同で開発したものだったといわれているそのウィルスは、ドイツのシーメンスという会社が使っている制御システムプログラムだけを探して感染するような指令が出されており、普通のウィルスと違ってプログラムのサイズも桁違いに大きく、インパクトも相当なものだ。このような高度な攻撃は、相手がどのようなシステムを使っているのかを事前に調べていなければ不可能で、まさにスパイ活動の一環として行われている。もちろん戦前・戦中の日本では、陸軍中野学校や明石元二郎、福島安正などに見られるように、諜報活動のレベルは低いものではなかった。戦後にスパイ活動が禁止されたことで表に出ないだけで、そういった攻撃を何とかしたいと考えている日本人は沢山いると思う。
――今秋の臨時国会に提出予定の「秘密保全法」に、国民は反対しているという報道もあるが…。
土屋 「秘密保全法」を作るにあたっては、何が政府にとって重要な秘密なのかを定義する必要がある。例えば、尖閣諸島における中国漁船衝突映像が流出した時、映像を流出させた人が刑法的に問われなかったのは、流出映像が機密事項なのかどうかがはっきりしていなかったからだ。こうしている今でも、至る所で情報を抜き出すためのサイバー攻撃は行われているが、何が秘密情報なのかが定かでないため、実際にサイバー攻撃にあい、国民にとって重要な情報が盗まれていても、「たいしたものは盗まれていません」というばかりで責任感に極めて乏しい。だからこそ、「秘密保全法」を国会で通して、何が秘密なのか、その秘密情報に誰がアクセス出来るのかを決めなくてはならない。もちろん、アクセスが許される人のセキュリティクリアランスが必要なのは言うまでも無い。「それは政府職員に対するプライバシーの侵害だ」という声や、「秘密保全法が出来ることで政府がさらに秘密を増やし、国民の知る権利を阻害する」というような反対の声はあるが、それではサイバーテロ対策は全くすすまない。政府は批判を納得させるような説明をきちんとしていかなければならない。
――確かに、情報が筒抜けの国に、諸外国は重要な情報を提供しようとは思わない…。
土屋 「秘密保全法」と「セキュリティクリアランス」がないことには、サイバーテロ対策は進まない。また、そこを改善しないことには諸外国との情報交換も進まない。日本では「通信の秘密」が憲法第21条、電気通信事業法第4条に記され、すべての通信内容を一切見てはいけないと定められているが、少なくとも、国外からどのような通信が行われているのか、誰と誰が通信しているのか、どのようなプロトコールを使っているのか程度は見ておく意味がある。米国では、米政府による広範囲な市民監視をCIA元職員が暴露し、大きな問題となったが、あれは範囲が広すぎ、監査体制にも不備があったことが問題だったわけで、諸外国では普通、不正で悪意のある通信は事前に止められるように、ある程度通信内容をチェックしている。日本でも徐々にその方向に動いてはいるが、反対もあるため、例えば民間の通信事業者が顧客から責められないような一定の配慮は必要だろう。
――その他、サイバー攻撃対策における課題は…。
土屋 防衛省の問題も一つの課題だ。現行の防衛省の法律の解釈では、防衛省が守るのは防衛省と自衛隊のネットワークだけであり、サイバーの世界で国民を守る義務は無いという認識だ。しかし実際には、戦争はむしろサイバーの中で行われている。私はこの部分の自衛隊法を変えるなり、解釈を変える必要があると思う。来年3月までには自衛隊に「サイバー防衛隊(仮)」を設立する予定だが、その規模も約90人と、米国がサイバー防衛にかける人数4000人と比べてはるかに少ない。また、若い人達に大学や専門学校などで情報セキュリティを学ぼうという気概があまりないことも問題だ。それは、大学に研究開発費などがつかないため研究が存分に出来なかったり、就職の間口が狭いというような日本の現状が背景にある。セキュリティ人材のキャリアパスを描くことも必要だろう。(了)