第499号コラム:西川 徹矢 理事(笠原総合法律事務所 弁護士)
題:「今こそサイバー攻撃対応・対処能力の高い組織体制を」
一昨年11月、米国で大統領選挙をめぐって、サイバー攻撃が関与した不正行為が繰り広げられた。米露のスーパーカントリーの絡むこの事件は、世紀のスキャンダルと騒がれ、ご多聞に漏れず、その後1年を経てもなおその影響は、米国内は言うまでもなく、世界の政治に影を落としている。
昨年発表された米政府の公式情報によると、このサイバー攻撃は、ここ数年来の米露情報戦の中で、互いにサイバー攻撃を駆使して仕掛けた攻防戦の延長にあると報じられている。今回の米国大統領選挙をめぐる動きについては、一昨年の5月頃ロシアのプーチン大統領が指示をして口火を切ったと米国政府は非難する。サイバー攻撃のターゲットはクリントン候補者等同党要人や民主党組織を含み、ロシアに不都合と思われる周辺部の人々にまで及んでいた。攻撃は、主にロシアのサイバー部隊やそれに類する勢力、更には合法組織を装う民間グループが担当し、不利益情報の抜取りやこれらの情報を悪用したフェイクニュースを利用して大々的かつ巧妙な不正世論操作等を繰り返していたという。なお、米側の発表は、世論や選挙結果への影響を狙ったものだと厳しく指弾しながらも、面子や思惑があるためか、システムやサーバー等への直接的なデータの改ざんや破壊等はないとしている。しかし、これまでの攻撃規模や「舞台装置」から見て、すんなりその額面通りには受け取れないであろう。
クリントン候補によるセキュリティポリシー違反容疑のある携帯電話事件が発生して以来、昨年年初のこのメルマガを皮切りに、私は、米国大統領選挙をめぐる一連のサイバー攻撃は最も注目すべきものであると色々の機会に取り上げ、紹介してきた。特に、我が国でこの種の事態が生じた場合、いずれの組織が中心となり、如何なる対応・対処を行い、またそのために何を備えるのかとの観点から強い関心を抱いた。爾来、情報収集や何人もの専門家と意見交換を行い、昨年12月初旬に法改正を含めた検討を行うとの政府方針が示されたようだが、残念ながらまだ具体的な抜本対策が実施されたとは聞いていない。
このような中、昨秋、この種のサイバー攻撃への対応・対処対策について、強い関心を持ち、積極的に取り組んでいる2つのグループの人達と、第一線の実情や体制の在り方について真摯な声を聞かせてもらい、意見交換する機会を持つことができた。
1つのグループは、AIやフィンテックを活用して大変革中の分野で、一方の旗頭的な立場で取り組んでいる大手企業の人達で、現時点において、セキュリティ対策が彼らの事業全体の成否を左右するとの強い認識の下、情熱と勢いをもって取り組んでおられた。議論としては、特に「個々の企業や組織体への攻撃は未だしも、国家規模的な視野に立った大規模かつ巧妙な重大事案にあっては、セキュリティ対策を各分野の民間企業が、民間主導という形でいくら進めても、どうしても超えられない限界を感じる」「民間も精一杯頑張るが、少なくとも、何れかの国家的ないしは公権力的な機関が、口先だけで発破をかけるのではなく、本腰を入れて、対応・対処の現場まで守備範囲を拡げ、幅広く官民の迅速な連携がとれるようにしてもらいたい」等の意見交換を行った。
特に、我が国の場合、このグループが取り組む分野そのものの変革速度が余りに速く、時には行き着く先が定まらないままに、他分野との連携や調整を図りつつ、第一線でサイバー攻撃の脅威に直面せざるを得ないこともあるという。当然、その負担は想像以上に大きく、具体的な対応・対処策の早期実現を強く望んでいると感じた。
もう1つのグループは、学問的な考察を重ね、我が国におけるサイバー攻撃への取組が、これまでも「民」主導でかなりの実績を挙げてきたと認めつつも、「我が国ほどの国に『ナショナルCERT』がなく、国家全体として見たときにその対応能力(耐性)に疑問符がつく」と指摘する。そして、独自の分析を加え、サイバー攻撃における攻撃側優位の非対称性やその底流に潜むいわゆる「attribution問題」等の難しさを克服するため、昨今のサイバー犯罪とサイバーテロ(攻撃)の区分の曖昧化、更にはインテリジェンスの軍事・非軍事の区分の不明確化という兆候を踏まえ、インシデント情報の共有や連携体制の在り方(活用)に力点を置いた体制の強化を図ることによって、事前情報の収集・分析から対応・対処まで一貫した国全体のサイバー攻撃対策能力を高めるべきだとする。具体的には、国がサイバー攻撃対処・対応のための実働中核組織を設け、これを中心に、事案発生の兆候を把握した段階から、民の関連対応・対処部署との迅速かつ円滑な協働関係を確立し、被害の予防や軽減を実現しようとするものである。
いずれの考え方も、前述の米国大統領選挙事案のような大規模・巧妙化するサイバー攻撃に対する国家レベルのインシデント対処・対応に不満や不安を感じたことが背景にあると思う。1月15日付日経は、その核心欄で、昨年は、身代金要求型ウイルス「ランサムウエア」が5月に世界で猛威を振い、6月にはウクライナで空港や電力会社、通信会社等が標的型攻撃で大打撃を受け、「今年も、国家絡みの経済利得を目的とする攻撃が相次ぐ」と予測する。これに対し、各国ではこれまでに「サイバー軍」創設の動きが相次ぎ、我が国でも自衛隊がサイバー防衛隊を持つが、その守備対象は、防衛省・自衛隊の施設だけである。また、日本政府は東京オリンピック・パラリンピックを控え、サイバー攻撃への備えを固めようとして、分野横断的な演習や日常的な脅威情報の提供等も行っているが、内閣官房のNISC(*)も大規模な「安全保障や犯罪への対応・対処は専門外で、国家の関与する攻撃には、安全保障局や危機管理監等官邸が一体で対応するしかない」という。「五輪を控えて、重要施設やシステムを守るには、縦割りの壁もあるが、攻撃に関する事前の情報収集・分析を特別に認める立法措置が必要ではないか」との有識者の声を紹介している。
*内閣サイバーセキュリティセンター
私も同様の危惧を持っており、これらの考え方に改めて共感するところが多い。これまでも、機会があれば、次に示すような項目を課題として取り上げ、国レベルのサイバー攻撃対処・対応能力の強化を図るべきだと訴えてきた。
(1)リスクの深刻化に伴う官民学連携の質的変革を図る。例えば、セキュリティの安全性を確保しつつ官民の流動性を高めるために、サイバーセキュリティ分野に限った準セキュリティ・クリアランス制というべきものを民間分野にも導入する。
(2)将来的には、上記(1)を満たした上で、他国の信頼を得て、サイバー攻撃情報やその分析に関するノウハウ等をこの分野で交換・共有できるようにする。
(3)サイバー攻撃対応・対処を迅速・的確に実施するために、24時間体制の中核オペレーション組織として国に「Gov-CERT」(仮称)を設置・運営し、ここが中心となって予防から応急措置まで官民連携のオペレーションレベルでの一貫した対応・対処を実施する。
(4)事案対応・対処能力を強化するため、現場レベルに各分野の専門要員からなる複数のユニットを構成し、ユニット単位での機能活用を図り、現場レベルでの関係機関との調整力を向上させる。
(5)警察、防衛、インテリジェンス部門との連携システムの再構築と連携強化を推進する。
(6)NISCを含む危機管理・安全保障部門による重要インフラ防護に重点をおいた重要インフラセキュリティ体制の再編も視野に入れる。
これらはいずれも、実現までにかなり高いハードルが予測されるが、我が国が、実効性ある対策を取り、他国と互角に肩を並べるためには、必須不可欠なものだと言えよう。たとえ一足飛びでストレートな対策の実現ができなくても、実質的同一策ないしは次善の策として着実にその機能実現を図るべきものである。個人的には、「今こそ機は熟した」のではないかと思う。今後は是非多くの方との賛同の輪を拡げ、一日も早く、実効性の高いサイバー攻撃対応・対処能力の高い体制を実現していただきたいと希う。
【著作権は、西川氏に属します】
