第３９７号コラム「初夢に想う」

第３９７号コラム：西川 徹矢　理事（笠原総合法律事務所　弁護士）
題：「初夢に想う」

明けましておめでとうございます。
本信は丁度松の内を終えた頃に皆様のお目に触れますが、遅ればせながら、新年のご挨拶をさせていただきました。

さて、この１年間のサイバーセキュリティ情勢を顧みますと、我が国をはじめ多くの国々で官民挙ってこの問題に熱心かつ強力な取り組みが見られましたが、その割には、国内外ともにサイバーセキュリティを取り巻く脅威の高まりが伝えられ、警鐘の鳴り止まぬ厳しい状況が続いたと思います。とりわけ、我が国では一昨年末に成立したサイバーセキュリティ基本法が昨年１月９日に全面施行され、サイバーセキュリティ戦略本部の設置を皮切りに、各種体制の整備・充実や新サイバーセキュリティ戦略の制定・施行、人材育成のための各種施策等と矢継ぎ早に抜本的対策が推し進められました。しかし、他方で標的型攻撃の猛威は已むこと無く、前半期に発生した米国の連邦職員管理局の桁外れな大量個人情報漏洩事件と軌を一にするがごとく、我が国の年金機構においても大量個人情報漏洩事件が発生するなど重大な事案が発生しました。この間、昨春には制定が期待された我が国の新サイバーセキュリティ戦略は、そのあおりを受け秋口になってやっと日の目を見たほか、その後も制定間もない基本法の改正等も検討課題に上がっているのが現状です。

個人的には、米国で自動車の無線通信を使ったハッキングの可能性を実証したビデオが報道され、最も恐れていた、特定個人をピンポイントでテロ攻撃を行うことが出来るツールが世に現れたことに身震いするほどの脅威を感じました。サミットやオリンピック・パラリンピックの安全・円滑な実現に向けてサイバー攻撃を如何に抑え込むのかの関心が高まる中で最重要課題とされるサイバーテロ対策は更に難しさを増したと言わざるを得ません。政府をはじめ世界の自動車関連会社等は直ちに具体的な安全強化策を打っていますが、インテリジェンス情報等の情報収集、分析評価、オペレイション部門との連携等その実現のための道行きは考えるだけでもため息が出ます。

年末年始のゆったりとした時間の中で、自由な立場から、サイバーセキュリティ対策として今少し力を入れるべきことはないのかと考えていますとたわいのない初夢のようなものに辿り着きました。勿論技術者でもない身でありますので、技術的な裏付けのある発想にまで至りませんが、新春に免じて認めさせていただきます。

それは、ソフトウエア、ハードウエア両技術の全面的なコラボレーションによる革新的なセキュリティ技術が開発出来ないかというものでした。仕事柄これまで多くの専門的技術者の方々とお会いし高い学識と豊富な実績に裏打ちされたご意見やご指導をご教示いただく機会に恵まれました。いずれもソフトウエア、ハードウエアの最先端技術を駆使した高度で画期的なものであり、示唆に富むものでありました。ただ、いつ頃からか定かではありませんが、これらの技術が最先端に近いものであればあるほど、また真剣に取り組まれるほどに、それぞれの専門分野内で極めようとする意思や姿勢が強く窺え、今少し他分野の専門技術と全面的なコラボレ－ションを行うことができればもっと良くなると感じることがしばしばありました。

この分野では、ハードウエア技術を駆使して高度なセキュリティを実現しようとすると、一般的に①各装置の単価が高くなり総事業費が大きくなり過ぎる、②装置等レガシー資産が積み重なると後年の更新や新技術の開発・導入の大きな壁となり易い、③営業上販途を拡大し、製品として広く行き渡るようになると秘密性が保ちにくくなるなどの難点が指摘されてきました。これらの指摘は、開発経費と開発期間の削減を唱えてＣＯＴＳ(商用オフザシェルフ)の旋風が吹き荒れたときから特に意識されるようになりました。それは１９９０年代から急速に民政分野の市場が拡大し、それに伴い急速な技術革新が行われたため、特定の情報システムや政府向けシステムの開発に対して開発経費と開発期間の大幅な削減が強く求められたからであります。

私はその渦中で予算やサイバーセキュリティ業務に正面から携わりましたが、その経験からいうと、この流れはそれなりに情報システムの開発手法や関連制度見直しなどに効果がありましたが、指摘されるようにそのリスクも大きく深いものがありました。とりわけ昨今のサイバー攻撃がインフラまでを攻撃対象にしていることを考えますとコスト削減の重圧に屈して、安易に、インフラ、特に重要インフラの信頼性や制御可能性を失することは許されないと考えます。

これまでも、ソフトウエア技術とハードウエア技術のコラボレーションについては各国においても地道な積み重ねが行われており、雑誌や人伝にその奮闘振りを承知していますが、敢えて私はまだまだ工夫の余地があると考えています。

例えば、その適用対象をある種の重要インフラに絞り込むことでその条件等を分析し、説得力のあるカテゴリーとして再構成できないかと思います。具体的には、①その対象である重要インフラシステムをコスト面でスケールメリットの出る一定規模のものに絞り、出来ればそれを数量化する、②ソフトウエアとハードウエアを組み合わせブラックボックス化したモジュラー等を随所に取り入れ、両技術の多面・多様なコラボレーションを実現する、③保秘性を高めるためこれらのシステムや装置全体を運営主体の隔離型で監視・管理可能な範囲のものに絞る、④将来の技術進歩に対応するため、ライフサイクル管理的な発想を取り入れモジュール単位の装置置換方法等による簡素化を図るなど、ハードウエア技術とソフトウエア技術の良いとこ取りは出来ないでしょうか。

なお、③については昨今のセキュリティ対策としての｢境界防護｣限界論からすると時代錯誤だとか、文字通り夢想であるとかのご指摘を受けるかも知れませんが、人類にとってデジタル技術が必須不可欠なものになった現代社会にあっては何としてもトータルとしての安全性を守り切らねばなりません。攻める側が自由で奇抜な手口や技術を盾に攻めるのであれば護る側あるいは反撃する側にも同じように多様で追従を許さない発想で手法や技術を駆使して対応しても良いのではないかと、思います。

【著作権は、西川氏に属します】