第324号コラム:西川 徹矢 理事
(株式会社損害保険ジャパン 顧問、笠原総合法律事務所 弁護士)
題:「忙中小閑話--最近”ふと”思ったこと」

昨年6月、政府の方針として「サイバーセキュリティ戦略」が制定されました。近年の脅威の深刻化に立ち向かうため、各種の変革を実践すべく、精力的に動きだしたのです。戦略そのものに盛り込まれた多種多様な対策は大変意欲的なものであり、その一日も早い実現に期待するものでありますが、何人かの専門家と話してみると、一部にやや意欲的過ぎるものもあって、実現のためには関係筋との調整等にかなり手こずるものがありそうだと危惧する人もおりました。
しかし、その後、「サイバーセキュリティ戦略本部」の設置を含む「サイバーセキュリティ基本法」の制定への動きや、人材育成、研究開発についての基本資料の整備として、大幅な改正等立て続いての改革の動きを拝見していると、担当者や関係者の努力の程が窺え、着々と前進しているのではないかと心強く思うところであります。
ただ、現時点においては、同基本法案が、議員立法として、先般の通常国会に上程され衆議院を通過した後、参議院において継続審議となっている実情にあって、その具体的な政策の中身はもう少し関連法案や下位法令案の議論の様子を見てから述べる方が良いと思いますので、ここでは、より基本的な関連事項のうちで、平生から気になっている点について、ふと思い付いたことを、独断と偏見に満ちた目で、簡単に触れてみたいと思います。

* * *

その第1点は、我が国の情報セキュリティ政策の検討過程における関心の在りどころ、即ちスタンスについてであります。
事柄の性格上、ITに関わる情報セキュリティ活動については、国際的な協力や連携の必要性が高く、程度の差こそあれその強力な推進が常に強く求められてきました。我が国内でも、この点については早くから官民ともに積極的な取り上げ方をしております。しかし、他方で、情報セキュリティという観点からの調整役的な立場あるいは国際会議で取り上げられているアジェンダや議論の実際の現場で、我が国流の問題意識を取り上げようとするとどこかその場の雰囲気等に合わないことがあるという人が多くおられます。しかも、政府部内で長くかつ深く情報セキュリティ分野に従事する人からも同じようなジレンマをより強く感じると聞くことが何度かありました。
これについては、つい最近、米国滞在中のIPA研究員の方が2010年にまとめられた報告書を目にしましたが、そこでは、日本とアメリカの関心の焦点がズレているとし、アメリカでは、官民を問わず、システム故障や物理的情報流出等のアクシデンタルな事象よりも、悪意的、能動的なサイバー攻撃、サイバースパイ等のいわゆるサイバーセキュリティそのものにいかに対応するかに関心が強いのに対し、我が国では必ずしもそのようにはなっていないと明言されていました。
実は、私も随分前から同じように「もやもや感」を持っていましたが、この間大きな弊害もなく、大したことではないと考えて放置してきた節がありました。しかし、私が2009年に内閣官房のNISCで勤務するようになり、かつて1999年防衛庁に出向し情報セキュリティの仕事に関わり、2002年まで初代防衛庁IT担当防衛参事官として直接携わった期間に垣間見た我が国政府を取り巻く情報セキュリティにおける「風景」がすっかり変わっているのに驚きました。
まず、かつては、米国のCERT/CCをはじめ数多あるCERTsが殆ど民間サイドのものであったのに対し、10年後にはCERTsが質量ともに増強され、しかも政府機関としてのCERTs、いわゆるGOV-CERTsが多く設置されました。これらが政府対処の中核となって、相互に活発な情報交換を行っておりましたが、GOV-CERTについては我が国がやや取り残されている感じがしました。
更に、海外では政府攻撃等の重大なインシデントが多数発生しており、これらの機関が政府レベルでも活発に対処機関として動いているようです。然るに、我が国では、原則として、これらの事象対処は省庁レベルが行うべき問題とされており、事実上、事案発生に際しては事案対処に当たった省庁から独自に報告することとされており、政府としての事象の重要性の評価や対処指針の決定については必ずしも適切に行われたとは言えない恨みがありました。
2010年制定の「国民を守る情報セキュリティ戦略」では政府の責任を明確にしましたが、まだ純粋な意味でのGOV-CERTなるものはできていなかった。昨年策定された「サイバーセキュリティ戦略」はこの点でも中央機関の権限・機能強化が強く打ち出されており、今後の行方が楽しみであります。

第2点は、重要インフラ防護についてであります。
私が引っかかるきっかけとしては、些細なことですが2つありました。
一つは、3.11の際のことです。あの原発の地震・津波被害にかかる対処の中で、「大停電発生」の一報が危機管理センターにいる小生らの所にNISCの重要インフラグループから入ってこなかったことであります。もちろん、停電であるということはその瞬間から分かっているのですが、その規模や復旧の見通し、更にはそのリスクないしは危険性等について、システム監視を含む専門家グループからの情報として接することがなかったのです。ただ、あのような未曾有の事態であったがため、一応報告はされたが大混乱の中で偶々小生らの耳にまで系統立った報告が届かなかったのではないかとも思い、その後色々な人に尋ねたが、「報告があった」ということが確認できないままであります。
この点を少し割り引くとしても、かかる情報こそ迅速かつ確実な脅威情報として危機管理センターまであがってくるべきものであったと思います。正に、多数の国民の生命、身体に直接重大な影響を与える情報であり、いかに専門的領域に属するものであろうとも、当然危機管理部門と共有され、活用されるべきものであったと思います。同じように地震の被害を受けながら福島第二原発が所属専門家諸氏の力で惨事を回避し得たのと同じように、第一原発の難を逃れ得る一助になったのではないかと悔やまれるところであります。

次にもう一つのひっかかりであります。先般米国の情報セキュリティの専門家であるハワード・シュミット氏が来日し講演会を行いました。同氏はこれまでに2度大統領官邸において専門家として要職を勤め、米国重要インフラ行政の基礎を担った人でもあります。講演後の小生との談話で「米国で重要インフラの対象分野とされる『国定記念物・建築物』とはどのようなものを想定しているのか」と尋ねたところ、「ディズニーランドのようなものを考えている」とのことであったので、「自由の女神像は入らないのか」と確認したら「勿論入る」とのことでありました。その後少々やりとりをしたが、この範疇では殆どコンピュターセキュリティ云々の余地はありませんでした。やはり、米国では重要インフラを語るには常にその「防護」にウエイトが置かれているのであって、我が国のようにコンピュターセキュリティそのものを第一に観念しているのではありませんでした。
他方、我が国の基本計画を見ると、そこでは「重要インフラにおける情報セキュリティ」について規定されており、防護そのものを主体としていないし、そもそも体制的にもそのような規模でありません。そのためか、他国の場合と肝心なところで微妙にズレた部分があるように感じられました。我が国の危機管理部門における近い概念としては、長年使われてきた「ライフラインの確保」あるいは主に警備で使われる「重要防護施設」ということでなかろうかと思いますが、これらの言葉が実際に対象としているものとはかなり差異があります。
我が国で「重要インフラ(における情報セキュリティ)」を語るときは、得てして「(における情報セキュリティ)」という言葉のないまま使われ、一人歩きしていることが思いの外多くあります。他方、他国では重要インフラ防護の一環としての情報セキュリティを話すことはあっても、飽くまでもそれは重要インフラの防護の一部として語られます。その結果、国情の違いもあって重点の置き方や評価の仕方等を介して我が国とは微妙なニュアンスの違いが出てくるのではないかと思います。
この度の基本法案の中では、基本的施策として重要インフラの概念が明文化され、その担い手である「重要社会基盤事業者」が登場し、サイバーセキュリティの確保、推進の一翼を担うこととされますが、これを契機に、国内外ともに十分に整合性のとれた歪みのない重要インフラ防護の緊急措置が実現できるよう期待したいと思います。

* * *

いずれにせよ、サイバーセキュリティの必要性はこれまで以上に増大していくことと思います。ただ、その中で、過去の経緯から生じた制度や概念の矛盾や歪みがサイバーセキュリティ確保上看過できない影響を生み出すおそれがあります。しかも、技術的専門性の高いサイバー分野の特殊性や既存分野のグループ権益を保持しようとする動きが現れると、知らず識らずのうちに専門家グループの体制の狭間にこれらの矛盾が奥深く隠されることが間々あり得ます。この度のサイバーセキュリティ分野の抜本的改革のような勢いのあるときにこそ、意識して、このような表面化しにくい問題にも深く踏み込んだ改革を行っていただきたいと考えるところであります。

【著作権は、西川氏に属します】