連載
サイバースペースとセキュリティー 第6回 セキュアな文化形成へ:経産省サイバーセキュリティ審議官としての挑戦
2017 年 59 巻 12 号 p. 849-854
詳細
2017 年 59 巻 12 号 p. 849-854
インターネットの利便性をこれまでになく享受し,ネット上に拡散する情報の力が革新的な発想を後押しすることも多い21世紀初頭は,同時に情報漏えいや権利侵害,依存といった弊害や危うさを露呈し始めた時代でもある。不可視だが確実に存在する脅威,ネットにつながっているゆえの不自由さをも見極める必要がある。現代の環境を冷静に認識し,今起きていることに対してどうふるまうべきか。現代思想・法曹・警察行政・迎撃技術・情報工学・サイバーインテリジェンス等のスペシャリストが,6回に分けて考える。
最終回は,防衛省で陸上自衛隊初のサイバー部隊の初代指揮官を務め,その後,民間セキュリティー大手へ,そして今また経産省へと転身した伊東寛氏が,日本のセキュリティー産業育成について語る。インテリジェンスの観点から,また,国家安全保障上の視点からみえてくるサイバーセキュリティーの未来像とは何か。
サイバースペースをめぐって国家レベルで今起きていること,ならびに日本が今,国家の規模で何をなすべきかについて考えるうえで,まずは経産省サイバーセキュリティ・IT化審議官注1)としての私自身の任務について少しだけお話ししたい。
2016年4月,国の行政機関各府省庁に「大臣官房サイバーセキュリティ・情報化審議官(以下,サイバー審議官)」,ならびにこれに準ずるポストが一斉配置されたが,そのうち経済産業省のみが,内部登用でなく公募での任用を決めた。そこで起用されたのが,陸上自衛隊で技術や情報の指揮官・幕僚を務め,陸自初のサイバー戦部隊であるシステム防護隊の初代隊長を経験した後,外資系セキュリティー企業,日本の大手セキュリティー企業の研究所などで勤務した私であった。
サイバー審議官の本来任務は,「当該省庁内のサイバーセキュリティとIT化を推進する司令塔」である。だが,高度専門人材として民間から経産省に登用された私は,その他に「日本の産業界のセキュリティを元気づけ,守るための専門家」というミッションも預かっている。むしろ,その点が大きい。経産省は他の省庁と異なり国益を配分するのではなく増進させるための役所だから,特にそのようなことを期待されているのだ。
経産省が産業界にさまざまな提案・支援をしているのは,いわば「生産工場を作る」活動といえる。それは将来への投資である。翻って,私は自らのミッションを,産業界のセキュリティー強化,そしてサイバーセキュリティー産業を作ること,すなわち「工場の屋根や塀を作ること,および,その屋根や塀を作る会社の応援」と理解している。利益だけを追求すると,生産手段や成果物だけに投資の目先が行ってしまうのは,ある意味当然だ。その中で,忘れられがちな屋根や塀もちゃんと作るようにするのが私の役目だと思っている。いくら立派な工場ができても,屋根がなければ,雨が降った際に操業できない。塀がなければ,材料・資材や製品が盗まれるかもしれない。このようにみれば,実はセキュリティーは「コスト」ではなく,「投資の一部」なのである。
これまでの経産省としてのその屋根作りの具体的施策のひとつに,宮城県多賀城市にある「制御システムセキュリティセンター」への支援がある。ここでは,電気やガスなど重要インフラの制御システムについてのセキュリティー確保のための研究開発,演習などを実施している。また,サイバーセキュリティ経営ガイドライン注2)を策定するなど,経営層に対する意識向上のための情報発信にも励んでいる。さらに,独立行政法人情報処理推進機構(IPA) をハブとして参加組織間で標的型攻撃に関する情報共有等を行うJ-CSIPも発足させた。IPAでは一般企業,団体等のサイバー対処の初動を支援するサイバーレスキュー隊(J-CRAT)の活動も行っている。他に,これからの重要な取り組みとして人材育成があるが,これについては後述したい。
サイバー審議官に着任して取り組みたいと思っていた多くの夢のひとつに,日本のソフトウェア産業に安心安全な文化を根付かせることがある。実は,ソフトウェア産業の文化は産業界でも他分野のそれとかなり異なっている。
私自身,ソフトウェアを作ることにかかわっていた経験から,ソフトウェア開発の現場が,まずソフトが動くこと,次に,その使い勝手がよいことを満たすだけで納期を迎えてしまうことがよくあるのを知っている。バグなどプログラム内部に抱える問題を駆逐しきれずに,ともかくリリースし,後で「パッチを当てて」直そうとするのはそういう事情からだ。後で直せることに甘えがあって,つい不完全なものを出してしまうのである。
これはもちろん現場のプログラマーの甘えではない。彼らはある意味,理不尽な仕様書変更や厳しい納期と日々戦っているように思う。そもそも人間が100%完璧なソフトウェアを作れるはずもないからやむをえまい。だがこれでは,ソフトにパッチが当たるまでの間に,システムの脆弱(ぜいじゃく)性が大好物で,常に虎視眈々(こしたんたん)と目を光らせるハッカーやサイバー犯罪者のえじきになるのは当然である。
しかし,たとえば自動車産業ではどうであろうか。もちろん欠陥車問題などなくなりはしないが,少なくとも工場の工員さんたちは自分たちが造っている自動車は安心安全なものだという誇りと自負をもって仕事をしているのではないか。自動車は,たまにブレーキが利かないことがあるとか,ハンドルが抜けることがあるとかいう状態では絶対に発売されない。自動車発明以降,長い時間をかけて,技術だけではなく制度も含め,そういう安心安全な文化が育まれてきたのだ。
このように,「日本の経済界/産業界のセキュリティを元気づけ,守る」という目的の手前には,「出荷前にできるだけ脆弱性をつぶすのが当たり前」というサイバーにおける文化を業界に形成すること,といった挑戦も横たわっている。言い換えれば,日本のソフトウェア産業,ひいてはサイバー産業全体に安心安全な文化を根付かせることだ。
2007年,バルト海に面した北欧の小国,エストニアが大規模なサイバー攻撃を受け,政府関係システム機能が妨害される事件が起こった。収束までには3週間以上かかったという。このような,ある組織あるいは国が意志をもって本気でDoS攻撃(コンピューターが提供しているサービスの利用を妨げるための攻撃)を仕掛けて来た場合,民間企業が個別に対応するのは,技術的にも金額的にも無理で,そこは国家的領域になる。
では具体的にどう対処すればよいか。
インターネットの世界はどこででもつながる無限の空間などではなく,しょせんは電線のような物理的回線でつながった有限の空間である。特に日本は周囲が海なので,日本のインターネットは世界と海底ケーブルを通してつながっている。この海底ケーブルは日本の要所要所にある海底ケーブル陸揚げ所から地上に上がってくるのだが,その海底ケーブル陸揚げ所に関所を設けて,ここをサイバー的に守るだけでかなりの防衛が可能だと思う。たとえば,明らかに攻撃用とわかるDoS攻撃のパケットは遮断し,犯罪者が利用しているサーバーなどはブロックすればよいと主張する人もいる。
また,その際,国全体でサイバー上の安全の問題を一元化して取り扱える「サイバーセキュリティ庁」のような組織を設けることも検討可能な施策である。サイバーセキュリティーの分野を国家規模で一元化するという国も出てきている。米国では2002年に各省庁のサイバー網を全部統合した「米国国土安全保障省(United States Department of Homeland Security: DHS)」が設けられ,各州においてはDHS相当の機関として「OHS: Office of Homeland Security,国土安全保障局)」がある。2015年にはシンガポールがサイバーセキュリティ庁を設立した。日本においても,垣根を取り払い,協力関係を構築することが課題であることは明白である。現在はこの任務は内閣府のNISC(内閣サイバーセキュリティセンター)が行っているが,もっと省庁の枠を超えて有機的に連携する必要があるのではないか。
ここで少し中国の状況について触れておこう。中国はインターネット技術の台頭に際し,「金字十二工程」というIT化事業に着手し,12の省庁がそれぞれIT化を推進している。その中で公安組織のものは金盾(きんじゅん)と呼ばれており,主に以下の3つの施策を行ってきたといわれている。
(1) 世界と中国との間にインターネット上の「関所」を作り,自由な情報の流入を阻止する中国へのインターネットの入り口を3か所に限定し,そこにファイアウォール(ネットワークの結節点に配置し,通過させてはいけないパケットを止める仕組み)を置き,人々にとって有害で不要な情報,ある意味,政府にとって不都合な情報が入らないようにフィルタリングをしている。このファイアウォールは,国外からは「グレート・ファイアウォール」とも揶揄(やゆ)されている。グレートウォールとは万里の長城のことで,それとファイアウォールを掛けた呼称だ。
(2) 中国国内における通信網の監視反政府分子によるメールを盗聴する仕組みを作ったといわれている。
(3) 世論操作世論操作のための仕組みもある。政府批判をブロックすると同時に,国民に政府を称賛させる仕組みだ(図1)。
中国政府はFacebook,Twitter,およびGoogleについて,最終的にすべてを遮断した。そして現状は中国製の同様なソフトが利用されているが,ネット上に投稿された政府批判はたちどころに消えていくのだ。
その一方で,逆に政府を褒めると「報奨金」が出るという話もある。
図1を参照されたい。新聞に,「正しいインターネットの使い方講習会,政府を褒めるときはこう書きましょう。50毛(毛は元の下の貨幣単位)もらえます」という記事が載ったりしている。
以上のような中国の動向・施策から日本が学べるのは,前述の関所を作る事業が,日本にも可能だろうということだ。それどころか中国よりも楽にできるはずだ。なぜなら,中国で行われているフィルタリングは,パケットをいったん元のテキストに戻し,スーパーコンピューターを用いて単語が禁止用語かどうかを判別するという仕組みで,このシステムを完成するのに10年を費やしたといわれる。しかし,日本ではフィルタリングの際にテキストの中身を見る必要はなく,パケットのヘッダーだけを見て,悪いパケット,悪いアクセス先を見つけるだけでよいからである。
ただ,パケットを見て「中身は読まないで宛先だけ見る」ことも,現状の通信事業法に照らし厳密に解釈すれば違法かもしれないという問題は存在する。
さて,大量の情報が流通するインターネットの世界では,情報の選別(そしてむろん分析)が必須である。インターネットの時代に生きようとするとき,一人ひとりがこの能力をもたねばならないことはいうまでもない。
昔,私がインテリジェンスの世界で仕事をしていて敏感にならざるをえなかったのは,新聞をはじめとする伝統的なマスコミ報道との向き合い方である。恣意(しい)的にバイアスをかけないまでも,記者や編集者のその事例に関する専門知識量によって,結果的に,起きた事実の解釈や報道内容に偏りが生じる場合があるからだ。
そこにインターネットが登場した。見ればすこぶる多様な書き込みがあるではないか。最初は,これこそが人類が求めていたメディアだと思った。賛成反対,多種多様な意見が並列に公開され,これらがやがて集合知として収束するとすれば,理想的なメディアではないかと。
だがそのうち,インターネットの世論もまったく信用できないことがわかってきた。人には,自分に都合のよい意見を採用し,都合の悪い意見は視野の外に置こうとする傾向がある。特に同じような関心をもった人が集まるあるコミュニティーに入ると,そこでは大多数の方向性と異なる意見は排除されやすい。加えて伝統的メディアとは異なり,インターネット世論は責任者不在でもある。
とはいうものの,今日,インターネット上の情報を利用しない手はない。
では膨大な情報があふれているこの環境で,賢く情報を「選別」するにはどうしたらよいか。
私は,まず「広く読む」ことをお勧めしたい。ニュースソースを広げて反対意見も読む,そして視野を広げる。そしてその中からこれはという情報をピックアップする際には,以下の3点が手がかりになるだろう。
むろん,タグづけをするためには自分の尺度が基礎になる。そのためにも,採用した情報を記憶,保存しておき,その選別が正しかったかどうか,後で振り返りをして,将来の選択に生かすことが重要だ。これを続けているとだんだん選別に要する時間が短くなっていくはずだ。ローマは一日にして成らずである。
さて,日本には優秀な情報セキュリティー人材が足りていないという現実がある。そのために各種の人材育成プログラムが行われているところだ。きちんと基礎的なことから技術を学び正しい運用ができる人材を育てる。これは極めて重要だ。しかし,ここにまだ足りないものがあるのではないか。
私には,自衛隊でインテリジェンス組織にいてOJT(on the job training)でさまざまに学んだ結果,到達したある悟りのようなものがある。それは,敵の立場に立って物事を見,考え,それにより我の弱いところ(脆弱性)を見つけることができる人材を育てる必要があるということだ。
だが反面,このような脆弱性を発見する技術を身につけた人材は,それを悪用もできる。セキュリティー分野の技術は身につけると面白くて,ついハッキング的なことをやってみたくなるものだ。若いうちはとりわけ,そのような技術を学ぶとやってみたくなる。多くの場合は法律の知識もないし,これくらいならいいだろうと思って,あるいは本当は悪いとわかっていても見つかりっこないと考えて,ついつい試してしまう。この誘惑に自らどうあらがうかが問題である。
情報セキュリティーに関してはさまざまな資格試験があるものの,その資格で保証されるのは技術であり,本人の心やモラルの健全性は資格の対象ではないのではないか。
とすると,これからの情報セキュリティー分野に必要なのは,技術力があることはもちろん,心が真っすぐで道義心もあつい人材なのである。実はここが人材育成における最も難しい点かもしれない。
現在,経産省では「産業系サイバーセキュリティ推進センター(仮称)」を2017年春に開校すべく準備中である。重要インフラ,工場システムなど産業を支える分野のセキュリティー技術者を育て,民間で活躍してほしいと考えたためだ。
ここでは,単純に技術に長(た)けた人ではなく人格的にも信頼がおける人材を育てたいと考えている。そのような人たちが日本中の企業からわれわれのこの学校で学び,企業に戻って周囲を啓発し,その知見をシェアしてもらう構想である。その循環がうまく行けば,学んだ1人は現場で10倍の人数を育てるはずだ。開校後,何年間か経過すれば,母集団の100人が散って1,000人を育て,1,100人になって帰ってきてくれるという目算である。これを毎年続けていけば,2020年のオリンピックまでに,技術と人格を兼ね備えたセキュリティー技術者が数千人,生まれるのではないかと思っている。これもまたセキュリティーの世界に安心安全な文化をもたらす一助になればと思う。
慶應義塾大学大学院(修士課程)修了後,陸上自衛隊入隊。技術および情報系の指揮官・幕僚などを歴任。陸自システム防護隊初代隊長。退官後,シマンテック総合研究所主席アナリスト,株式会社ラック常務理事およびナショナルセキュリティ研究所所長などを経て,経産省サイバーセキュリティ・IT化審議官。工学博士。
