未来授業~明日の日本人たちへ
日本のサイバーセキュリティの課題と提
言
山崎文明(やまさき・ふみあき)氏
大手会計監査法人にてシステム監査に従事。ネットワークセキュリティやセキュリティポリシーに関する専門家。内閣官房安全保障危機管理室情報セキュリティ対策推進室WG委員や、警察庁不正アクセス犯罪等対策専科講師などを歴任し、政府の情報セキュリティ強化に貢献してきた。現在は会津大学の特任教授として、専門人材の育成に尽力する。
2013年08月30日https://www.blwisdom.com/linkbusiness/linktime/future/item/8963.html
今回の講師は、山崎文明さん。情報セキュリティや、サイバー攻撃に対する各国の動向の調査、分析を長年手がけ、内閣官房情報セキュリティ対策推進室の委員などを歴任。
国の情報セキュリティ対策をけん引してきた、サイバー攻撃の専門家です。
そんな立場だからこそわかるサイバー攻撃の危険性と、その対処法は?豊富な知識と経験に基づく考え方をお聞きしました。
国の情報セキュリティ対策をけん引してきた、サイバー攻撃の専門家です。
そんな立場だからこそわかるサイバー攻撃の危険性と、その対処法は?豊富な知識と経験に基づく考え方をお聞きしました。
いまそこにあるサイバー攻撃の危機
従来の戦争は、ミサイルが飛んできて人が死んでしまうというような話ですが、いま、政府レベルで警戒を高めているのはサイバー攻撃です。 サイバー攻撃には二種類あります。ひとつは、直接的に人命に危害が生ずるようなケース。化学プラントがハッキングされ、混ざってはいけないA液とB液が混ざって爆発を起こすなどということです。これは“サイバーフィジカル攻撃”というんですが、サイバーというテクニックを使って物理的な損害を与えると、直接人を殺戮する可能性も出てきます。また交通管制システムを操作して列車を衝突させるとか、あるいは飛行機の管制システムをハックして、飛行機の衝突を起こすこともできるかもしれません。そういったハッキングという技術を使った物理攻撃を受ける可能性もあるので、それに対する防衛体制や技術確立をしていかなければいけません。 そしてもうひとつはGDP攻撃です。たとえば、ある日ATMが4時間止まり、5時間後に復旧したとします。あるいは、証券取引所がハッキングされて半日取引が止まったとか。そういった場合、数時間、数日後に復旧したとしても、繰り返し攻撃を受けると経済活動が停滞します。すると確実にGDPは下がる。ですから、相手国の経済力を削いでしまえるわけです。 この「削ぐ」という行為には、知的財産の盗用もあります。何千億もかけて作ったデータベースの情報が全部持っていかれたとすれば、一瞬にして知財が失われる。そのように経済的ダメージを与えることで、その国の国力は確実に落ちていくわけです。そして、国力が落ちれば当然軍事力も落ちます。つまりGDP攻撃とは、いままでの戦争とは違ったかたちで相手国を制圧する考え方なのです。 サイバーではこれら二種類の攻撃が考えられますが、いままではこういった事態に対処できる組織もなく、法律も整備されていませんでした。そういった点をいま、政府は問題にしているわけです。そしてそのような事態に対処する場合、法律的に乗り越えていかなければいけない“武力攻撃”という定義の問題があることを指摘しているのです。
アメリカの新たな意思決定プロセス
従来のテロではそれなりの資金や、テロリストの人数を揃える必要もありました。ところがサイバー攻撃の代表的な攻撃手法である「DDoS攻撃(Distributed Denial of Service attack)」においては、それが不要です。DDoSの最初の“D”は“Distributed”の頭文字で、“Distributed”は「複数の、たくさんの」という意味。つまりDDoS攻撃とは、たくさんのパソコンからDoS攻撃をしかける攻撃です。 そしてDoS攻撃とは、サービスを不能にする攻撃という意味です。たとえばあるホームページを開いてキーボードのF5キーを押すと、ホームページのイメージをもう一度送ってくれという転送要求が出されます。これが複数のパソコンから大量に送られると、当然ホームページ側のコンピューターの能力を超えてしまい、超えた瞬間にそのホームページは閲覧不能状態になります。それが金融機関のシステムであれば、預金残高が見えなくなるとか、送金ができなくなるなど、サービス不能に陥るわけです。 そして現在、画面の再送要求をプログラムで自動的に行えるプログラムがフリーウェアでたくさん出回っており、何百台、何千台のパソコンから要求を出したと同じような信号を送りつけることができます。攻撃の自動化がものすごい勢いで進んでいるんです。そこで攻撃の自動化に対して、米軍やアメリカ政府は、自動反撃システムというものを考えています。 従来の戦争では、前線の司令官がミサイルを打ち込まれたというような、物理的な攻撃が事実確認された時点で報告を上げていきます。最終的には陸軍大将や空軍大将の耳に入り、それから大統領に報告が上がる。そして大統領が「反撃せよ」という指示を出し、軍が反撃に転じるというパターンです。 ところがサイバー戦争はコンピューターがしかける行為ですから、人間の意思決定を待っている時間的余裕はありません。そこでいまアメリカ軍が考えているのは、コンピューターでサイバー攻撃の被害予測をし、いきなり大統領に判断を求める「オートマティック・ディシジョン・メイキング」というシステムです。マシン to 大統領という意思決定プロセスを作ろうとしているんです。
日本のサイバーセキュリティの課題と提言
そんななか、我が国では「サイバー防衛隊」の設立を閣議決定しています。今回公表されたサイバーセキュリティ戦略のなかでも、その体制の強化を謳っているんです。 ところがサイバー防衛隊は自衛隊内部に作ることになっていますので、自衛権の発動要件を満たさなければならない。ミサイルが打ち込まれ、前後してサイバー攻撃が併用されたといったときには明らかに武力事態だと解釈されるでしょうから、サイバー防衛隊は出動できる。しかし、今年3月に韓国で起きた大規模サイバー攻撃のようなケースではどうでしょうか? このときは、ミサイルはひとつも打ち込まれていません。しかしATMが止まったり、テレビ局の放送に支障が出たり、広範囲の金融取引にも影響が出ました。これは純粋なサイバー攻撃です。ところが我が国の武力攻撃に対する解釈では、純粋なサイバー攻撃に対しては自衛権の発動要求を満たさないということになっているので、サイバー防衛隊が出動できないのです。すると「税金を投入して部隊を新設したのに、結局役に立たないのか」と批判を浴びます。この点を議論し、サイバー防衛隊が合法的に動けるようにしたいというのが私の思いです。 そして、もうひとつ問題があります。サイバー戦争は軍事作戦行動に置き換えると、「コンピューター・ネットワーク・オペレーション(以下CNO)」といいますが、CNOの勝敗を決するのは「コンピューター・ネットワーク・エクスプロイテーション(以下CNE)」だといわれています。つまり、相手の国のネットワークがどういう構成になっていて、どのコンピューターを叩けば何が起こるかを事前に調べておく必要がある。戦争状態になってから調べても遅いですから、平時から相手の国のネットワークを正確に押さえるわけです。現在、各国がCNEに多くの人と予算を割いています。 ところが日本の自衛隊にそれが可能かというと、そもそもそれらの行為自体が、不正アクセス禁止法や威力業務妨害などの現行法に縛られているため不可能。ましてアタックは攻撃ですから、その兵器を開発すること自体がウイルス作成罪に抵触するわけです。なので、自衛隊は手足を縛られていて何もできないと話題になっていますけれども、同じような状況がサイバー防衛隊にもいえるわけです。
即戦力として使える人材の育成
サイバー攻撃への対処能力を高めるためには人材確保が重要で、今後は数と質の充足を図っていかなければなりません。しかし残念ながら今年、我が国が立ち上げるサイバー防衛隊は100人という少人数からスタートします。アメリカと比較しても、1/10、1/20の規模です。当然、数的には足りませんから、私はいま、予備自衛官補という制度を使って、サイバー防衛隊の隊員を増やすという考え方を政府に提言しています。 予備自衛官補とは自衛隊員ではなく、IT企業やサイバーセキュリティ関連会社に勤めている方などに登録しておいていただき、有事に駆けつけてもらうというものです。この制度を利用して、「サイバー攻撃に対処する訓練を受けた方が、日本国内に常時1万人います」という体制を作りたいと思っているのです。 それから私はもうひとつ、サイバー警備隊の創設も政府に提言しています。サイバー攻撃が武力攻撃であるかどうかの国際コンセンサスがないという事実を逆手に取った、「従来の武力攻撃とは違うのだから、自衛隊内部に設立するサイバー防衛隊とは別に、独自で動けるような部隊を新設してはどうか?」という考え方です。 サイバー警備隊の創設にあたっても、サイバー攻撃に対処できる人材の教育が必要になってきます。そこで我々がいま準備を進めているのは、サイバーレンジという仮想の演習場です。コンピューターのなかに発電所や交通管制システムを作り、ハッカーやテロリストや仮想敵国の攻撃に対して防御側が対処していくというような、サイバー戦の実戦に近い模擬環境を構築しているのです。座学だけではなく、重視しているのは実際に攻撃してみたり、あるいは攻撃を受けて防御をしてみたり、体で感じて理解してもらうこと。実戦で役に立つ、即戦力として使える人材を作っていこうと取り組んでいるのです。
(2013年8月30日公開)
サイバー戦争に向けた国際条約の締結を提言するジョゼフ・ナイ教授
岡崎研究所 2015年06月22日(Mon) http://wedge.ismedia.jp/articles/-/5062
米ハーバード大学のジョゼフ・ナイ教授が、5月11日付でProject Syndicateに掲載された論説において、サイバー・テロに対する国際的規制強化の動きを、かつての核兵器軍備管理交渉の長い過程になぞらえて論じています。
すなわち、インターネットを用いて安全保障上の損害を与える技術は、既に十分確立しているが、これまで、サイバー空間の安全保障についての議論は、少数の専門家のコミュニティーに限定されてきた。しかし、サイバー・テロは国家の安全保障問題である。核兵器戦略は1950年代に精緻化され始め、「攻撃」、「自衛」、「抑止」、「エスカレーション」、「規範」、そして軍備管理といった言葉の具体的意味が明確に定義されていった。サイバーの問題は、今この段階にある。
“cyber war”という言葉自体に、厳密な定義がない。もっとも、それは“war”という言葉の厳密な定義がないのと同様である。私(ナイ)は、「大規模な物的破壊に等しい効果をもたらす、サイバー空間における敵対的行為」をcyber warと定義したい。そしてサイバー空間でもたらされる安全保障上の脅威には主として次の4種類があり、それぞれが異なる対策を要する。(1)国家組織が行うcyber war、(2)国家組織が行う経済スパイ行為、(3)非国家組織が行うサイバー犯罪、(4)非国家組織が行うサイバー・テロである。
冷戦の時代、米ソは軍事的衝突を避けるため、一種の行動規範を作っていった。最初の軍備管理合意は1963年の部分的核実験禁止条約であり、次の重要な合意は1968年のNPT条約である。これは環境破壊防止、米ソ以外の第三国の核開発制限を包含していたが故に、米ソが前向きに対処できたのである。
サイバーについても同様に、国際的協調を容易にするためには、まず犯罪者・テロリスト集団が引き起こす問題への対処から始めるのが良かろう。中ロは、インターネットを規制する条約を、国連をベースに作ることを提案しているが、これはインターネット情報に対する政府検閲を可能にしようとするもので賛成はできない。しかし、「如何なる国においても非合法と見なされるような行為」を抽出してこれを国際条約で規制することならできるだろう。
サイバー・テロは核兵器と異なり、民間組織が行うことが容易である。しかしインターネットを国際的に管理しているICANN(在米のNPO)がインターネットのアドレス・ブックをより厳格に監督すれば対策の一環にはなり、またEU委員会は国際刑事機構及び欧州刑事機構と提携してサイバー犯罪条約を採択している。
他方、インターネットを用いての他国でのスパイ行為や準戦争行為等については規制について合意が得にくく、時間がかかるだろう。
核兵器軍備管理が進展するまで20年はかかった。サイバースペースの管理の問題はちょうど初期の時点にさしかかっている、と述べています。
出典:Joseph S. Nye,‘International Norms in Cyberspace’(Project Syndicate,
May 11, 2015)
http://www.project-syndicate.org/commentary/international-norms-cyberspace-by-joseph-s--nye-2015-05
http://www.project-syndicate.org/commentary/international-norms-cyberspace-by-joseph-s--nye-2015-05
* * *
この論説でナイは、サイバー・テロをめぐるいくつかの概念の整理・定義を試みるとともに、今後の交渉の進め方についていくつかの提言を行っています。よく考え抜かれた優れた論考であり、傾聴すべきものと思います。特に、政府による検閲を正当化する、中国が言う「インターネット主権」のような考えを排しつつ、サイバースペースから来る危険に対応するためには、「如何なる国においても非合法と見なされるような行為」に的を絞って国際条約で規制することから始めてはどうかとの提言は、現実的で適切と言えるでしょう。
現在は、世界的・歴史的なイノベーション、技術パラダイム変化の時代であり、これは大きな経済成長要因となり得ます。他方ドローン(今のところ原始的な技術ですが)、IOT(Internet of Things。モノというモノ、あるいはヒトにセンサーを取り付け、データを刻々中央で収集、分析。あるいは中央から指令をモノやヒトに発信して操作する)、通信、人工知能、遺伝子技術等は、悪用された場合、独裁・搾取・差別の手段となります。
これら新技術の多くについては、米国からの発信が目立ちます。そして、これら新技術がもたらす道義上の問題点、規制についても、米国からの発信が目立ちます。しかし、これら新技術は、これから新たな巨大な需要を創出するもので、日本も能動的な対応をしなければ、国・社会全体がガラパゴス化する恐れがあります。
ナイが論説で指摘している、これら新技術への国際的規制を定める動きにおいても、日本は発言力を強化する必要があります。他国では、この種の交渉には一人の個人が数十年も携わって強力な発言力を築く例が多いのですが、ローテーションを旨とする日本の組織原則ではこのやり方は難しいでしょう。問題毎に産官学の小規模、インフォーマルな集まりを形成して認識をすり合せるとともに、日本代表を務める者は少なくとも5年はポストに止まることとする、といったような手立てが必要になるのではないでしょうか
0 件のコメント:
コメントを投稿