2016年2月25日木曜日

激しさを増すサイバー攻撃の脅威  伊東寛氏による見解

不可視だが確実にある脅威~サイバー攻撃をめぐる近年の動向
時事ドットコム (株)ラック理事 サイバーセキュリティ研究所所長 伊東寛

すでに日本はサイバー戦争に参戦。このままいけば敗北必至
ビジネス+IT SBクリエイティブ(株) 伊東寛

伊東寛元陸自システム防護隊長と意見交換

2012.02.10 () https://jinf.jp/news/archives/7132
 ラックホールディングス社の伊東寛・サイバーセキュリティ研究所所長は2月10日、国会基本問題研究所で「サイバー防衛」について語り、同研究所の企画委員と意見交換した。伊東所長は、2007年に自衛隊を一等陸佐で退職するまで、部隊指揮官や幕僚等を歴任、陸上自衛隊初のサイバー戦部隊であるシステム防護隊の初代隊長を務めた。伊東所長の主な発言要旨は次の通り。

すでに始まっているサイバー戦
 戦争を行う力を大きく捉えると三種類ある。直接的な軍事力とそれを支える経済力、情報力である。しかし、戦争の歴史をこの3つの力から改めて見てみると、第二次大戦までは主に軍事力がそのまま主たる力として振るわれた戦いだったが、冷戦時代は経済力を使った「見えない戦争」の時代であったと言えるのではないだろうか。だとすると、21世紀は情報力の戦いの時代である。ここでは、政治、経済、外交、軍事等の、あらゆる分野で、サイバー技術つまりコンピューターとネットワークに関連する技術を使った「見えない戦争」が戦われるのだ。つまり、すでにサイバー戦争は始まっている。

見えない敵
 サイバー戦、或いは「見えない戦争」の特徴は、第一に敵がよくわからないということである。通常の戦争ではミサイルが発射されれば発射地点が分かるが、サイバー戦では技術的に成りすましが簡単にできるため真の敵が分かりにくい。
 第二の特徴は、民間人が自分の意思で勝手に戦争に参加できることだ。ロシアとグルジアが戦争状態に入った際(2008年)、軍隊同士が闘っている裏で、双方の国の一般のハッカーが互いを攻撃しあっていた。このことは、戦略理論がこれから変わる可能性を示唆している。核戦略時代の理論では核の保有が通常戦争の抑止力にもなり得たが、サイバー戦略時代では逆になるだろう。つまり、対峙する軍隊同士には戦闘開始に関して抑制がかかっていたとしても、後にいる民間人ハッカーには同じような形では抑止力が働かない。攻撃しても自分が犯人とわかる可能性が低く、その身が安全だからだ。
 現在では、サイバー技術の進歩に伴い前線後方からサイバー攻撃をしかけ相手側に物理的な被害を与えられる時代になって来ている。そうなると21世紀は危ない方向に向かう可能性がある。軍隊に抑制が利いていても民間人が勝手に戦争に参加し敵に被害を与える事で、熱い戦争の引き金を引く可能性があるのだ。
 核兵器の開発には多額の費用がかかるが、サイバー兵器は逆で、貧乏でも図抜けた天才ハッカーが一人いれば10人、20人の普通のオペレーターを容易に出し抜いてしまえ、そのコストは限りなく低い。それこそ北朝鮮のような国が非常に有利になる。21世紀は、戦略理論や国際間のパワーバランスが変わる時代になるかもしれない。
 
 ゴーストネット
 2009年にチベット亡命政府のダライラマ法王事務所で情報漏れが発覚した。調査の結果分かったのはパソコンが特別なマルウエアに感染していたということである。このマルウェアは持ち主の分からないうちにコンピューターのマイクロフォンをスイッチオンにして勝手にインターネットに接続し、事務所内の音声を誰かに送っていた。このマルウェアはアジアなど103カ国の主に政府、外交機関のパソコンに感染していた。103カ国の言語が分かるのは個人ハッカーでは無理である。明らかに国家レベルでの行為であり、中国の組織的サイバースパイ事件と言われている。
 この件に関連して、今、さらに危ないのは携帯のスマートフォンだ。スマートフォンはコンピューターと同じなので、感染したスマートフォンは持ち主が気づかぬうちに電話機能が働き、会議の内容などが筒抜けになってしまうということが考えられる。安心のためには電源を切っておくか会議室に持ち込まないようにしなければならない。

中国の網軍、40万人か
 中国は90年代にすでにハッカー戦争について対応を初めており、人民解放軍のサイバー戦部隊、民兵、民間人のハッカーや政治的なサイバー上の色々な政府機関等、今では合わせて40万人ほどの規模になっているという観測もある。
 そのほかの国の状況だが、ロシアも同様にサイバー戦の準備を進めているし、北朝鮮は攻撃を受けても失うものがないので、サイバー戦争で最も有利な国である。
 英国にはサイバー担当大臣がいるし、イスラエルは世界で最も高いレベルの体制を作っている。アメリカはインターネットを開始した国だけに、サイバー戦争には最も力をいれている。大統領府には大統領直轄の調整官がいる。

日本のサイバー体制
 日本もサイバーに対して取り組み始めたのはそれほど最近というわけでも無かったのだが、あまり有効な対策/成果等が無いまま、昨年の三菱重工業事件が大きく報道されることとなった。これを受けて各省庁は情報共有の仕組みを立ち上げた。しかし、総務省、経産省、警察、内閣府、防衛省とそれぞれが立ち上げ、ばらばらである。ここに有機的な対処組織があるかというとかなり疑問と言わざるを得ない。さらには、法律上の問題、つまり国内法などほとんど整備されていない状況にある。これは国際法もまだ整備されていないから仕方がない部分もあるものの、出遅れている感は否めない。
  特に自衛隊法についてだが、検討すべきことは多い。そもそも普通の国の軍隊を律する法では軍は基本的に何をやってもいいけれど、これこれはやってはいけないという法体系になっている。日本の警察、自衛隊は逆で、法に明記されているやってもいいこと以外はやってはいけない。
 例えば、日本が外国からサイバー攻撃を受けた場合、自衛隊のサイバー部隊がこれに対応するには、まず命令が必要である。それは防衛出動になる。出動するには武力事態として認定されなければいけない。しかし、残念ながら現在の国の認識では、サイバー攻撃は武力事態ではない。従って、今の陸上自衛隊のサイバー戦部隊の役目は陸自のシステムを守ることにしかない。そのため、予算、装備、人員等は最小限のものだ。急に要請がきても、今の部隊規模では日本を守るのはとうてい無理である。
 なお、外国での議論であるが、例え手段がサイバーであっても物理的被害が発生するのであれば、それは武力攻撃としてみなして良いのではないか、という方向に傾きつつある。国内でこういう問題を議論している学者が一体何人いるだろうか。
 そして、このような議論を進めると、専守防衛という戦後日本の国防の基本精神の問題に関わってくる。ただ、サイバー戦では専守防衛だけでは勝てないどころか負けてしまう。何故なら、攻撃側が圧倒的に有利で、防衛側は一回やられてしまうと、回復できないところまでシステムが落ちてしまうからだ。一方、攻撃側はなんら損害を受けず(ここが物理的な普通の攻撃と違うところだ)新たな攻撃を続行できる。
 今、戦後の国防思想、ある意味歪んだ思想を覆す時が来ているのだと思う。
                  (文責・公益財団法人国家基本問題研究所)

エグゼクティブインタビュー:株式会社ラック 理事 兼 ナショナルセキュリティ研究所 所長 伊東寛 『サイバー攻撃と企業の知的財産の防衛』

2回:サイバー攻撃と企業の知的財産の防衛
伊東寛(いとう ひろし)
株式会社ラック 理事 兼 ナショナルセキュリティ研究所 所長
略歴:
株式会社ラック 理事 兼 ナショナルセキュリティ研究所 所長。工学博士。1980年、慶応義塾大学大学院(修士課程)修了。同年、陸上自衛隊入隊。以後、技術、情報およびシステム関係の部隊指揮官・幕僚等を歴任。陸自初のサイバー戦部隊であるシステム防護隊の初代隊長を務めた。2007年に退職後、株式会社シマンテック総合研究所主席アナリスト、サイバーセキュリティ研究所所長などを経て、20141月より現職。
慶応大学非常勤講師、日本情報セキュリティマネジメント学会理事、情報セキュリティEXPO専門委員、政府関係研究会 委員など
著書・監修書:
詳伝社『「第5の戦場」サイバー戦争の脅威』(新書)

すぐそこにあるサイバー戦の脅威
眞柄:安倍総理大臣は1023日の参院予算委員会で「サイバー攻撃への対応は日本の安全保障に関わる重要な課題であり、体制強化を積極的に進めていく」と表明しました。すでに、日米防衛協力のガイドラインの見直しでも、サイバー攻撃に対する両国間での協力と強化が打ち出されています。ただ、私たちがサイバー攻撃と聞くと自衛隊の指揮系統システムの安全保障といったことを想像してしまいがちです。しかし、もっと私たちにとって身近なインフラのシステム、例えば、発電所のシステムも飛行機の航空管制システムもネットワークにつながっていますし、こうした社会インフラもサイバー攻撃の標的になりえると考えられます。安倍総理大臣が表明したのはこうした国民の生命の安全に関する広範な課題も含んでいるのではないかと思います。
さらに、アメリカ国防総省の副長官だったウィリアム・J・リン三世氏が2010年にフォーリン・アフェアーズ誌に寄稿した「Defending a New Domain - The Pentagon's Cyberstrategy(ペンタゴンの新サーバー戦略〜なぜアメリカはサイバー軍を立ち上げたか)」※1という論文を読みますと、決して軍のシステムの課題を述べているだけではなく、「米議会図書館に収められている情報の何倍にも達する知的財産の損失が続いている」と述べていて、官民の知的財産の長期的な漏えいがグローバル市場におけるアメリカの弱体化につながるということを指摘しています。
こうした状況について、伊東さんのご専門の立場からどのようにお考えになっていますか。
伊東:どこの国でも、守らなければならない一番大事なことは国民の生命や財産、そしてその繁栄です。そのために国というものが存在しているともいえます。近年、アメリカが危惧しているのはサイバー技術を使った攻撃です。その理由はいま引用された論文にも書かれているとおり、インターネットが発達して、今日の社会システムがその上に乗ったのですが、実はそこで使っている技術自体があまり安全ではないという事実なのです。そもそも、インターネットはオープンであるべきという思想から始まり、技術を作った人たちも「いい人」たちでしたので、悪意のある人が使うことを想定せずに、設計されたり、実装されたりしています。しかし、現実にそこには悪意のある人たちが現れてきているのです。そして、米国はここまで発達してきたインターネットの上にある社会システムが悪意のある人たちに攻撃されたら大変なことになるということに気がつき、あのようなレポートが出るようになったわけです。
眞柄:サイバー攻撃やサイバー戦の特徴とは具体的にはどのようなものなのでしょうか。
伊東:サイバー攻撃という言葉には、いろいろな意味が含まれており、必ずしも相手方に打撃を与えるものだけではありません。ここでは狭義の意味でのサイバー攻撃についてお話します。日本は太平洋戦争時にB29爆撃機によって、基幹産業が破壊されるという攻撃を受けました。サイバー攻撃の一つにはそれと似ていて、国の根幹をなすシステム、例えば、電力システムや航空システムなどを攻撃して、破壊することによって、国益である産業全体に大きな影響を与えようとするものがあります。そして、それが現実に起こりうる状況になってきています。
こうした状況をふまえ、アメリカでは社会インフラを守るために、それらを18の分野に分け、それぞれの官庁が管轄するようになっています。なかでも、国防総省は防衛基幹産業を守るという役割を担っています。ご存じのとおり、兵器というものは国が作っているわけではなく、民間企業で製造し、それを軍が調達しているわけです。もし、民間企業にある設計図がどこかの国に盗まれて同じ兵器を造られたり、その設計図を分析することで、その弱点を知られたら、有事の際には大変な問題になります。
眞柄:サイバー戦というと国と国との争いをイメージしますが、ハードウエア、ソフトウエア、ノウハウ、知財、さらには人材育成なども含めて民間企業から情報が流出することは大きな問題になるというわけですね。
伊東:サイバー戦は未来の話ではなく、いますでに起こっているとも考えられます。そもそも、戦争が始まってから相手のことを調べるような軍隊はありません。平時だからこそ相手のことを調べるのは国際的には当たり前のことです。もし、どこかの国にサイバー戦部隊があって、将来、日本とサイバー戦をしようと考えたのなら、すでに日本のサイバー上の弱点を調べあげているはずです。例えば、原因不明のシステムダウンがそれだったりする可能性もありますし、日常的に情報を盗むこともあるでしょう。このように、一般の企業も狙われているわけですから、一般産業の利益が損なわれているということになります。つまり一種の戦争のような状態になっているともいえると思います。
眞柄:民間人からしますと、軍需産業というのは高い壁の向こうにある自分たちとは別の世界のものと思っていましたが、その別世界も同じネットワークでつながっていて、私たちもそれに依存していることは間違いありません。ですから、バックドアをしかけられたり、キルスイッチが入っていたりすることは、軍需産業という壁の向こう側の世界にこちら側の人でも接点があるため、アクセスされる可能性があるという、そういう危機にさらされているのですね。
伊東:日本の防衛産業ですが、その企業が自衛隊の仕事だけをしているわけではありません。むしろその業務量は、会社全体の仕事の1割でしかないかもしれません。しかし、サイバー攻撃をしかけようとしている相手から見れば、ネットワーク上で防衛産業の企業を標的とすることは自衛隊を間接的に標的とするのと何も変わらないので、もしそのような企業が大きな損害を受けていたとすれば、いやおうなく、私たちの生活と密接な関係を持ってきます。
眞柄:日本には素材、医療、科学や、製造業など国際競争力が高い企業がたくさんあります。こうした企業もネットワークインフラに依存しないと競争力は維持できなくなりますし、それが危機、例えば、図面や設計図など知的財産が流出してしまう可能性もはらんでいます。
伊東:他国で開発された製品とそっくりなものを平気で作ってしまう国があるといわれています。アメリカの企業が作ったものとまったく同じものがあったりするのです。しかし、被害を受けているのはアメリカだけではなく、同様に日本で開発された製品もそっくりに作られてしまっている可能性も高いわけです。しかも、われわれが作るよりも、はるかに安価に作っているわけです。本来であれば、製造者が特許料を払うべきものまで、勝手に作られています。このように、すでに経済的にも大きな損失が発生している可能性があるのです。
眞柄:日本では著作物のような、どちらかというと作品性の高い知的財産についてはマネをされると名誉なことだと考える風潮が一部ではあるように思います。一方で、アメリカでは過去のレーガン政権時代にプロパテント政策(知的財産権の保護、強化政策)を明確にし、もの作りから脱却し、知的財産の輸出でグローバル市場を取るという政策を打ち出し、日本でも知財立国ということで、それに追従するような動きも出ました。日本では多様な観点をお持ちの方々がおられて、守らなければならない範囲も多岐にわたり幅広いのではないかと思います。このような状況において、知的財産が流出してしまうということで国益が著しく損なわれますし、その危うさもひしひしと感じます。
サイバー戦に備える国家や組織のあり方とは
眞柄:アメリカの情報セキュリティ予算が80億ドル、2万人を雇用しているという数字があります。それに対して、日本のセキュリティ予算は300億円、内閣官房情報セキュリティセンター(National Information Security CenterNISC)は各省庁からの出向者による組織で、国が果たすべき役割やストラテジーが明確ではないように思うことがあります。また、日本は人材育成、法制度、暗号技術、企業が果たす役割や義務に対する感覚が鈍いのではないかと感じています。技術立国「日本」としては、どうしたらいいとお考えですか?
伊東:日本は全体として危機感が少なく、サイバー攻撃に対する対策が遅れています。アメリカの場合、サイバーインフラを守るために各省庁にそれぞれのミッションがあります。すなわち、国が民間企業も含めて国民を守る仕組みがしっかりあります。日本の官庁にもそうしたミッションはあるにはありますが、たくさんの要素が抜け落ちています。言い換えますと、日本では国が民間企業を守っていないということです。2011年に日本の防衛産業に対する攻撃事件が発生しましたが、攻撃の対象となっていたのはほとんどが民間企業です。攻撃してくる相手は国のレベルなのに、対するのは国ではなく民間企業でした。外国の政府レベルの攻撃に対して、民間企業は自分で自分の身を守れというのはアンフェアだと思います。日本国政府として、国の盾を立てるべきではないでしょうか。国の盾とは具体的には法律、技術支援、産業保護育成など、いろいろあると思います。そう考えたとき、日本の現状は決して十分ではありません。
アメリカでは、軍のサイバーコマンドなどが2万人いるといわれています。また、アメリカには国土安全保障省という官庁が、アメリカのサイバー防衛を一元的に管理していますが、日本でそういう組織といえば、NISCなのでしょうが、ここの人員は各省庁から出向してきていますので、およそ2年すると元の組織に帰ってしまいます。そうした短い任期の人たちでは長期的レンジで戦略を考えられないのではないかと思います。すなわち日本はサイバー攻撃に対する危機感も乏しく、国としての一貫したポリシーもなく、責任を持った省庁もなく、残念ですがまだまだ日本のサイバー防衛はとても貧弱だといわざるを得ません。
眞柄:そう考えますと、安倍総理大臣がおっしゃった言葉は重いということですね。
伊東:防衛省も、以前は外国からサイバー攻撃をされても自衛隊は出動できないだろうという考え方をしていました。当然のことながら、自衛隊が出動するためには防衛出動が下されなければならないのですが、そのためには武力攻撃事態とみなされるなどの、なんらかの要件を満たしている必要があるわけです。しかし、従来の考え方ではサイバー攻撃は武力ではないという議論になり、自衛隊の出動は見送られるものとされてしまいました。
眞柄:こうしたことに対処するために、国がやるべきことと、民間がやるべきことがそれぞれあると思います。民間企業では、最近BYODBring Your Own Device:個人が所有するパソコンなどの機器を社内に持ち込んで使うこと)などの利用形態も徐々に広まっていて、いろいろなデバイスを有効利用しようという取り組みが始まっています。大企業であればそれを管理するために、それなりに経営資源を割いて対応にあたれますが、全体の9割以上を占める中小企業ではそういうわけにはいかないのが現実でしょう。特に、日本の基幹産業ともいえる中小の製造業ではCISOChief Information Security Officer:情報管理担当役員)のような役職もなく、社長がすべてを取り仕切らなければならない状況も多いと思います。そうした方たちのお話を伺いますと、必要性は認識されているものの、セキュリティに余計なコストをかけられないという声をよく聞きます。
伊東:経済的にコストをかけられないという民間企業の声はやむを得ないと思います。しかし、それではすまない状況になっているのです。実際に損害を受けていても、それをわかっていないとか、わかっていても見ぬふりをしていては、犯罪者が一方的に優位に立ってしまうことになります。私自身はリベラルな方ですので、インターネットは自由だと思っていた時代もありますが、そんなことをいっている場合ではありません。もう国が積極的な政策をとるべき時期にきていると思います。
眞柄:日本は垂直型の産業構造になっていて、それに合わせてシステムも垂直に統合されている場合が多いと思います。サイバー攻撃をしかける方としては、比較的堅ろうな上位を攻撃しないで、下位のセキュリティの甘いところから攻撃してくる危険がありますね。
伊東:もちろんそうです。最も強そうなところから攻撃するという戦略はありません。まずは偵察をして、相手の弱点を調べて、そこから攻撃していくのが当たり前です。泥棒でもそうですよね。正面玄関をおので割って入る犯人はなく、裏口の人目につかない、壊しやすいガラス窓から入るわけです。
眞柄:サイバー戦に備えるためには、日本は産業構造的にも解決すべき課題があるかもしれません。あらためて、日本が危機に直面しているということがよくわかりました。ネットワークインフラの上で生活を営み、ビジネスをし、国や自治体が行政サービスを提供している今の時代、システムだけでなく、われわれのライフスタイルのなかにも隠れたぜい弱性があります。安倍総理大臣から、情報セキュリティ分野で堅ろうなものを作らなければならないという方針が初めて出されましたし、今後はセキュリティの専門家の役割はさらに重要になっていくと思います。
当社サイバートラストではコンテキスト(多要素)ベースのセキュリティソリューションについて業界内の各社と勉強を始めたところです。お話にもあったように、インターネットはオープンな技術で、それがここまで普及する原動力ではあったのですが、その上に経済活動が乗ったことで、さまざまな犯罪も起こっていることも事実です。そこで、「いつ・どこで・誰が」というコンテキストを認証あるいは証明してみてはどうかと考えています。例えば、特定の場所に行かないとファイルを開けないというようなこと、いつ、どこで、どのパソコンで、誰がファイルを開いたかということが履歴を残せるのではないかと考えています。
伊東:私も10年ほど前に自衛隊に所属したときに類似の論文を発表したことがあります。位置情報センサーで、その場にいない人が認証をかけたらアウトにするとか、さっきまで東京で認証していた人が、5分後に名古屋から認証するというのはどう考えてもおかしいのでアウトにするとかということです。こういう商用サービスが登場するのは必然だと思います。
眞柄:今後は測位衛星もいくつか上げる計画があり、その精度も向上するでしょうし、位置を特定してファイルを開けるようにするクラウドサービスも出てくると思います。時間・場所・デバイス・個人の情報を組み合わせることでさらに安全性が増すと思います。

【伊東寛】北朝鮮とアメリカのサイバーをめぐる戦い[H27/2/24]
2015/02/26 に公開
陸上自衛隊システム防護隊の初代隊長をつとめられ、現在はネットセキュリティー分野のスペシャリストとして活躍なさっている伊東寛氏をお迎えし、米映画会社ソニー・ピクチ­ャーズエンタテインメントに対するサイバー攻撃を行った犯人として米国が北朝鮮を名指しした事件を振り返りながら、考えられる犯人像からも浮かび上がるサイバー戦をめぐる米国の強かさや、北朝鮮のインターネットをダウンさせた DoS攻撃の正体、そして、我が国の深刻なまでに脆弱なサイバー態勢などについて、お話を伺います。


0 件のコメント:

コメントを投稿