サイバー攻撃で死者が出ることもあり得る
日本の同盟国であるアメリカでは、米軍はNSA(国家安全保障局)の監視活動や、重要インフラ事業者からもデータや情報を集めて分析して、国外からのサイバー攻撃に備えているのである。
そこは軍が出てこなければいけない話なのだ。
写真=iStock.com/Smederevac
※写真はイメージです - 写真=iStock.com/Smederevac新型コロナウイルス感染症は人の命を奪う。一方で、サイバー空間のウイルスであるマルウェアでは人は直接的には死なないが、パソコンやサーバーなどの「命」が奪われる。そしてそんな破壊が大規模であったり、長く続くようなことがあれば、ビジネスや産業が死ぬかもしれない。
結果として、我々の生活に多大なる影響を与えることになる。さらに電力などのインフラや、自動運転システムなどが攻撃されると、実際に死者が出ることだってあり得ることも覚えておいたほうがいい。
「国民を守るために撃ち返します」と宣言するべき
日本の自衛隊は、北朝鮮のミサイル脅威にはイージス艦などで対抗能力を上げている。
ところが毎日、巡航ミサイルのように目には見えはしないが、同じレベルで悪意のあるサイバー攻撃が日本に「着弾」している現実を前に、何ができるのか。
それを打ち落としてくれるのだろうか。
国土を守るサイバー防衛のためのシステムを構築してくれているのか。
残念ながら、今は着弾されっぱなしである。
「悪意のあるマルウェア攻撃にさらされています。危険な状況です。国民を守るために撃ち返します!」
と宣言でもするべきだろう。そうすれば、サイバー攻撃の被害に遭っている多くの企業や国民が賛同してくれるに違いない。
経済大国を守る対策ができているとは言い難い
2019年7月、「国際電気通信連合(ITU)」は、2018年版「グローバル・サイバーセキュリティ・インデックス(GCI)」を発表した。GCIは各国のサイバーセキュリティの取り組み状況について、次の5つの観点から総合的に評価している。
(ⅰ)法整備
(ⅱ)技術
(ⅲ)組織
(ⅳ)キャパシティ・ビルディング
(v)国際協力
このサイバーセキュリティの取り組み指数で、日本は世界で14位だった(2020年版では7位)。要は、世界第3位の経済大国を守るための対策ができているとは言い難いのである。
日本の官庁では、諸外国に比べて機密情報を扱うのに十分な対策ができていないと批判されることがある。もちろん、公務員などには特定秘密保護法などで情報を外部に漏らすことができないというルールがあるが、そもそも誰がどれほどの機密情報を扱うことができるのかについての規定は、個々の省庁や部署などの単位で緩い決まりはあっても、国家的なシステムとして存在していない。
たとえばアメリカでは、機密情報を扱える人に資格を与えるセキュリティクリアランス制度というものがある。4段階や12段階というかたちに情報をカテゴライズして、誰がどんな機密情報を扱うことができるのかを決めている。
よく聞く「トップシークレット」に指定された情報は、米政府の中でも限られた人たちしか見ることも聞くこともできない。しかもセキュリティクリアランスの資格を得るのには、家族構成から外国人との交友関係まで、あらゆる項目で書類審査が行われ、外部に情報が漏れるリスクがある場合には、資格は得られない。トップシークレットを扱うランクともなれば、ポリグラフ(うそ発見器)まで受ける必要がある。
日本のトップシークレットは誰が知っているのか
一方で、日本にはセキュリティクリアランスはない。これは大問題である。
日本国内で機密情報に触れる人の素性がわからない。
その人が、どんな情報漏洩のリスク要因を持っているのかもわからない。
データがこれまで以上にデジタル化されている世界において、情報伝達や端末の持ち運びが以前にも増して簡単になっていることを考えると、そのリスクは大きくなっているはずだが、それに対応するシステムがないのは心許ない。
しかもこうした情報は政府の中だけでなく民間企業が共有することもあり、機密情報のアクセス権限がどうしても曖昧になってしまう民間から情報が海外のハッカーに漏れていく可能性がある。
機密情報を保全する3つのポイント
まさに、最近話題になっている経済安全保障の問題だ。この観点からの情報保全については3つのポイントがある。
まず資本。つまり資金を提供して株主になることによって、内部情報にアクセスできる立場を確保した上で、必要な情報収集をする。株主には情報開示権がある。企業の知的財産情報の開示が要求されることもあるだろう。また企業を買収するなどして内部の機密情報へのアクセスを可能にもできる。
中谷昇『超入門 デジタルセキュリティ』(講談社+α新書)
2つ目は、技術の提供である。ハードやソフトウエアのどちらも考えられるが、電子機器やサービスにバックドア(遠隔操作でアクセスできるようにする不正プログラム)を埋め込んでおくというものである。
これは基本的に、限られた国でしかできない。また、インテリジェンスの世界でのことであり、最終的には曖昧なままで終わることも多いが、ファーウェイ製品がこうしたかたちで使われてきたという報道が世界的にも多数なされているのは周知の通りである。
3つ目は人である。人のセキュリティクリアランスを制度化し、政府関係者のみならず、そこにかかわる民間にも情報アクセスを厳格にし、官民のインフラ、とくに情報インフラで使用するハード・ソフトの調達をしっかりと管理することで、こうした事態を防げる可能性は高まると思う。
----------
中谷 昇(なかたに・のぼる)
元警察官僚
1969年、神奈川県生まれ。元インターポール・サイバーセキュリティ総局長。1993年に警察庁入庁。神奈川県警察外事課長、国家公安委員会補佐官、インターポール(国際刑事警察機構)経済ハイテク犯罪課長、同情報システム・技術局長。INTERPOL Global Complex for Innovation(IGCI)初代総局長、警察庁長官官房国際課長等を歴任。2019年から「ヤフー」執行役員。2020年からZホールディングス常務執行役員。Group Chief Trust & Safety Officer。日本IT団体連盟専務理事。
----------
(元警察官僚 中谷 昇)
- PRESIDENT Online
- プレジデント社の新メディアサイト。
