日本における防衛関連のサイバー危機管理、どうなっている??
ご機嫌いかがでしょうか。
視界ゼロのみこばあちゃんです。
日本の危機管理はどうなっているのだろうか…?
素朴な疑問を抱く人は少なからずあるはず!
アメリカから、不良品の防衛機器をまるで無条件で購入する日本にあって
では国の通信上における危機管理は今どのような
水準にあるのだろうかはごくごく当たり前の疑問です。
この通信障害が起きればライフラインはもとより
日本丸ごとブラックoutもないとは言えない未来!
政府直属のもとに、この防衛危機管理センターなるものは
存在はしているようだ。
防衛機器より大切なのが通信さいばー攻撃!
これは日本はかなり遅れているとも聞かされています。
日本にもとうとうやって来た、サプライチェーンに関わるサイバー防衛
昨年の12月10日に、政府はサイバーセキュリティ対策推進会議を開催し、各省庁の情
報通信機器の調達に関する新たな指針を決めています。まだ、政府からの正式な発表は
出ていませんが、安倍首相の発言では「サイバーセキュリティを確保する上で、情報の
摂取、破壊、情報システムの停止等、悪意のある機能が組み込まれた機器を調達しない
ようにする」 としています。
20181217HUAWEI-1
https://www.nikkei.com/article/DGXMZO3872805010122018MM0000/
: 「特定の企業、機器を排除することを目的としたものではない」と言っていますが
、を念頭に置いていることは間違いありませんね。
タイミングとして、中国通信機器最大手、ファーウェイ(華為技術)社の副会長兼最高
財務責任者(CFO)が米国の要請に基づいてカナダで身柄拘束されたすぐ後ですし、トラ
ンプ大統領が、12月2日の米中首脳会談の後、中国のサイバー攻撃や知的財産保護に大き
な懸案を示してもいます。同盟国としても、その動きに同調せざるを得ません。
: この調達制限の動きは、政府のシステムだけではなく、日本の産業活動を支える重
要インフラにまで広がっていますね。以下が、その14分野ですが、どれも我々の生活に
は必須です。
20181217infrastructure
http://www.police.pref.hyogo.lg.jp/seikatu/cyber_defense/index.htm
政府や自衛隊のシステムだけではなく、これらの分野は日本の経済を支える最重要イ
ンフラです。サイバー防衛の観点から、このインフラに対するセキュリティリスクを最
小限とするというのは、当たり前の話です。
: ここで制限対象と想定されているファーウェイ社あるいは同じく米国が対象として
きたZTE(中興通訊)社は、次世代移動通信規格「5G」では、世界をリードする技術を持
っています。米国とすれば、セキュリティの観点もありますが、技術戦略という観点で
も、守らなくてはいけない分野ですね。
。前回もお話ししましたが、サイバー防衛およびそれを下支えするITインフラは国防の
重要な柱の一つ、それを同盟国以外に押さえられるというのは、防衛上避けなくてはい
けない話です。
米中間のサプライチェーンに関わる攻防の歴史
: 今回は、国内の調達に大きな影響を与えるということで、日本でも大きなトピック
スとして取り上げられていますが、米中間では、すでに数年前からサプライチェーンに
対する攻防が激しく繰り広げられていたそうですね。
元々は、米国が中国に課していた中国製情報機器の輸入制限があります。現在大きな問
題となっている両国間の貿易摩擦も原因にはあるでしょうが、それとは別次元で以前か
ら、情報機器にバックドアが仕掛けられているなどの疑惑がありました。実際、中国製
のPCやNAS(ネットワークストレージ)にはそのような問題が見つかっています。
: そのような機器が、米国内、特に政府や軍のシステムに入っていたら、それはサイ
バー防衛上、大きな問題ですね。
そのため、オバマ政権の時から、対象となる中国企業を名指しで示し、政府関係のシス
テムでの購入禁止や、米国企業での使用中止の勧告を行ってきていました。5年前、米国
議会下院では、すでに以下のようなレポートを出して、今回大きな注目を浴びている中
国のファーウェイ社とZTE社の両社の製造する通信機器の使用に対する警告を出していま
す。最近では、2018年8月に2019年度国防権限法(NDAA2019)で、米政府機関とその取引
企業に対し、両社の機器を使うことを禁止しています。米国にとっては、以前から行っ
ている「サイバー戦争」がそのまま続いているということでしょう。トランプ大統領は
、その動きを加速しているように見えます。
20181217NDAA2019
https://intelligence.house.gov/sites/intelligence.house.gov/files/documents/hua
wei-zte%20investigative%20report%20(final).pdf
前回は、米国、中国、それぞれ自国内での監視の話を扱いましたが、当然それと同じ
ことを相手国でも行うことが安全保障上大切ですね。これが諜報活動というものです。
相手国の機器を排除するというのは、それを防ぐためのまずすべき対策です。ところで
、米国のこのような対応に対し、中国ではどのような対抗策を講じてきたのでしょうか
?
: 中国では、2012年から2015年にかけ、CISCOやIBM、Microsoftなど、米国を代表する
IT企業の大手の製品を重要なシステムから排除することを進めて来ました。例えば、銀
行基幹系ではIBM製コンピュータが使用禁止となっています。また、2014年10月には、「
テロ対策法」の中で、IT企業に暗号の解読方法の開示などを求めています。これは、IT
企業のノウハウを丸裸にするリスクがあり、知的財産の保護の観点から当時のオバマ政
権から批判を浴びています。
同盟国での同調の動き
この米国の動きは同盟国に対して大きな影響を与えていますね。
米国が、諜報活動や安全保障活動を共同する同盟国として、「ファイブ・アイズ」と
いうのが有名です。オーストラリア、カナダ、ニュージーランド、英国、米国の5か国か
らなり、UKUSA協定とも言われます。
: 米国と英国が主導して作られた協定ですね。1948年にカナダが、そして1956年にオ
ーストラリアやニュージーランドが参加し、現在の姿になったと聞いています。
また、米国は認めていませんが、存在が噂されている諜報システム「エシュロン」は、
この協定が諜報活動に用いているコンピュータネットワークです。この同盟国では、日
本に先んじて中国製機器に対する制限を実施しています。オーストラリア、ニュージー
ランドでは、5Gへの参入を認めていません。英国では通信大手のBTグループで使用しな
い方針を出しています。
危機意識に乏しかった日本
: この動きが日本にも波及し、現在の状況につながっているのですね。ファーウェイ
社の調達問題があり、このサプライチェーン問題にようやく日本でも大きな関心がもた
れていますが、今まではどのような対応だったのでしょうか?
: 全く、お寒い限りでした。皆様の記憶から消えかけているかもしれませんが、2013
年12月に、政府内でも使用されていた中国製日本語入力フリーソフトで、入力した日本
語が意図せずソフト提供元のサーバ送信させていることが発覚した事件がありました。
その提供元は変換効率を上げるためで悪意はないというコメントを出していますが、職
員の使用が確認された外務省はこれを「意図せぬ情報漏洩の情報セキュリティインシデ
ント」に登録し、対策が講じられています
これも、基本的にはサプライチェーンに関わるセキュリティですね。国産技術に固執
するというのはもちろん問題ですが、少なくとも官公庁は最大限の注意を払うべきでし
た。最悪は国家機密の情報漏えいにつながっていたわけですからね。
: 米中両国で見られるサイバー空間での安全保障戦略、調達戦略から考えると、やは
り、日本は脇が甘かったということは、認めざるを得ませんね。私は数年前からこの問
題を話してきていましたが、今回の件があってやっとサイバー防衛に与える影響の大き
さが強く認識されたと思っています。
「日本のサイバー環境は恵まれています。停電が起きることはないし、欲しいソフトウ
ェアや機器もすぐに手に入る…インターネットが全然使えなくなるということはほとん
どないですから。そういう環境が整っているからこそ、技術力が他国に比べて高いのは
当然ではないかと思う」
個人の技術力が評価されているというのは、別の外国人専門家の口からも聞いたことが
あったので、その点は間違いないと言えそうだ。では国家としてはどうなのか。
日本人の多くは、政府がどんなサイバーセキュリティ政策を実施しているのか、あまり
よく知らないだろう。そもそも、日本のサイバー戦略は世界に伍できるのかーー。それ
もよくわからない人が多いはずだ。そこで今回は、日本の国家としてのサイバーセキュ
リティ対策を見ていきたい。
日本サイバー史の夜明け
まず少し日本のサイバー史をさかのぼりたい。日本が初めてサイバーセキュリティ対策
に乗り出したのは、2000年のことだ。
当時の背景を少し説明すると、米国では1980年代半ばには、米軍などがすでに国外から
ハッキング被害を受けている状態だった。有名なケースでは、1986年にドイツ人ハッカ
ーが米軍から核・原子力、さらにはスターウォーズ計画(米戦略防衛構想)などの軍事
機密を盗み、ソ連に売っていたことが判明している。この事件は、後に『ザ・カッコー
ズ・エッグ』(カッコウはコンピュータに卵を産む / 草思社)という本にまとめられたが
、これこそが国際的な「サイバー紛争の始まり」となる出来事だったと見る欧米専門家
は少なくない。
さらに、1990年代にインターネットの商業利用が広がっていくようになると、1994年に
は米大手金融機関シティバンクがロシア人によってハッキングされる事件が発生、1000
万ドルが盗まれる強奪事件が話題になった。こうしたケースを受けて、民間でもサイバ
ー空間の脅威が認識されるようになる時期だった。
内閣府庁舎
国家のサイバーセキュリティ戦略は内閣官房の配下組織によって議論されている(写真
By Yuukokusya [CC BY-SA 3.0 ], from Wikimedia Commons
こう見ると、2000年に日本でもサイバーセキュリティが議論されるようになったのは当
然のことだった。その年、内閣官房に情報セキュリティ対策推進室が設置され、日本と
してサイバー脅威とどう向き合い、どうサイバー対策を実施するのかが議論されるよう
になった。そして2005年になると、それまでの内閣官房情報セキュリティ対策推進室は
、内閣総理大臣の決定により、内閣官房情報セキュリティセンターに組織を改編した。
内閣サイバーセキュリティセンター(NISC)誕生
日本にとって大きな契機となったのは、2014年に制定された「サイバーセキュリティ基
本法」だ。この法律に伴い、それまでの内閣官房情報セキュリティセンターは、内閣サ
イバーセキュリティセンター(NISC)に変わった。また「サイバーセキュリティ戦略」
も閣議決定された。
現在は、このNISCが日本におけるサイバー対策の司令塔的な役割をしている。ではNISC
は、日本のサイバーセキュリティのために、一体何をしているのか。
NISCの役割 ~省庁横断の司令塔~
NSCの公式サイトによれば
閣議決定された「サイバーセキュリティ戦略」は、我が国のサイバーセキュリティに関
する国家戦略です。NISCでは本戦略に基づき、サイバーセキュリティ政策に関する総合
調整を行いつつ、「自由、公正かつ安全なサイバー空間」の創出に向け、官民一体とな
って様々な活動に取り組んでいます。
出典:内閣サイバーセキュリティセンター
という。
NISCは、敵対国とサイバー戦を戦ったりしないし、調査のために敵国にハッキングする
こともない。とにかく「総合調整」を行なっているというイメージが正しい。
例えば、政府機関がサイバー攻撃を受けて機能が麻痺するのを食い止めるため、NISCは
省庁などを日常的にチェックしている。基本的に日本の省庁は、各省庁ごとにサイバー
攻撃対策やシステム構築を行なっている。そこでNISCは省庁に対してヒアリングを行な
ったり、事前に知らせた上でペネトレーションテストなども実施している。
日本がサイバー攻撃を受ければ、様々な機関が対策などに関与する。例えば銀行やクレ
ジットカードなど狙うサイバー犯罪が起きれば警察当局が捜査に乗り出し、ケースによ
っては金融庁なども動くことになる。通信インフラが攻撃されれば担当の総務省も動き
、IoTなど電気機器が狙われれば経済産業省も動く。原発などが攻撃されれば、経産省や
エネルギー庁などが対策に関与する。NISCはそうした政府機関や当局にも、サイバー対
策をきちんと行うよう指示を出す役割を担うのだ。
NISCの役割 ~民間との連携~
NISCが対象としているのは、何も政府機関だけではない。サイバーセキュリティ基本法
の枠組みの中で、例えば民間の社会インフラ事業者、サイバー空間管理事業者などがセ
キュリティ対策をしっかりと行なっているのかを監査し、事故が起きた場合は勧告も行
う。通信会社や金融機関、交通機関、電気ガス、医療機関などが重点的なチェックの対
象になっている。そうした分野の業界団体とつながって、情報を交換したり、セキュリ
ティ対策を促すのだ。
サイバー攻撃 官民の連携で防御態勢を築け宇うう https://www.yomiuri.co.jp/editor
ial/20190317-OYT1T50211/