第605号コラム:須川 賢洋 理事(新潟大学大学院 現代社会文化研究科・法学部 助教)
題:「新型コロナウィルス対応から見る危機管理への雑感」

世の中が新型コロナウィルス騒動の話題で持ちきりなので、今回のコラムも当初の予定を変更して、この件に絡めて思ったことを書いてみたい。と言っても、情報セキュリティに関わる人であれば誰もが感じていることをあらためて記すだけであるが。そう、サイバー・セキュリティもリアル・セキュリティも、コンピュータ・ウィルス対策もリアル・ウィルス対策もその本質は同じであるということは誰もが思っているということの再確認になる。

今、トップの人達、特に政治家が施さなければならないのは「国家という患者」へのトリアージである。トリアージ、つまり優先順位付けというものが医療だけでなく、あらゆるセキュリティ事象で適用しなければならないこともまた、情報セキュリティの世界では常識である。

今回の政府対応で一番まずいのは「人命」と「人権」と「経済活動」のプライオリティを示せず、その都度ころころ変わることである!これさえ示してしまえば、あとは行政の各部署がその方針に合わせてアクションプランを作れば良い。

また、現在の情報セキュリティのインシデント対応では、その初動をCSIRTが担うようになっていることは言うまでもない。つまり、CSIRTの対応如何でその後の被害の大きさが決まってしまう。今回の新型コロナウィルス騒ぎでは、CSIRT的な組織がそもそも無いか、あったとしても「名ばかりCSIRT」と同様で機能していなかったことが問題で、それ故その初動判断を誤ったことは明白だ。そもそもコンピュータ・セキュリティですら、封じ込めや100%の感染防止が不可能なわけで、リアル・ウィルスではなおさらなことのはずである。だが、当初からあくまでも水際での完全阻止にこだわった。前回のSARSウィルス騒動の時に懲りていたはずなのにである。もっとも、もう10年以前からサイバー・セキュリティを行う者の間では当然となっている「侵入(感染)されること前提のセキュリティ対策」という認識も、まだまだ経営者層を含む一般の人は浸透していない。それと同様だとも言える。つまり、まだまだ「小難しいことは上層部は理解できなくても良く、専門家まかせで良い」という考えが蔓延していることになる。この点は、我々も反省すべきところであろう。

それでは、そのCSIRT的な組織であるが、果たしてどのようなものが必要なのであろうか。世間では、日本にもアメリカのような「CDC:疾病管理予防センター」のないことを問題視する声が多い。だが、これは日本人お得意の非常に平和ボケした考え方であることを指摘しておきたい。米国のCDCは、「USAMRIID(ユーサムリッド):アメリカ陸軍感染症医学研究所」と車輪の両輪のような関係で相互作用することによって機能していることを忘れてはならない。この種のことは、生物兵器攻撃を受けることまでを想定したミリタリー・セクションでの知見や対応策が有効であることは言うまでもない。それを民生用にローカライズすることによって初めて有効な疾病症としてのウィルス対策になる。つまり、「日本版CDCを作るなら日本版USAMRIIDも同時に作れ!」ということになる。余談ではあるが、IT業界の人にはファンの多いトム・クランシーの小説で『合衆国崩壊』の中では、USAMRIIDの司令官(准将ポストを充てているらしい)とCDCがジャック・ライアン大統領の前で、共同してエボラ・ウィルス攻撃に対処するシーンが出てくる。こういったことが大事なことは、たとえこの小説を読んでなくても、度重なる災害での自衛隊の派遣を見ていれば直ぐにピンと来そうなものだが、なぜかこういうことを言うと軍国主義と結びつける者がいて、日本ではCDCの話しか出てこない・・・というか民間側一辺倒の偏った話しかできないことが問題である。筆者のように大学に籍を置く者がこういった話をすると「軍事研究」と言われてしまうこともある。この意識も変えていかなければならないだろう。

【著作権は、須川氏に属します】