[特別投稿]竹内幸史氏/東京財団アソシエイト
インドがサイバー空間での攻撃や脅威に対するセキュリティー対策の強化を急いでいる。インドでも経済システムのネットワーク化が進み、リスクが高まっていることが背景にあるが、中国からのサイバー上の脅威が増していることに対する懸念も強い。インド政府は、日本や米英、韓国など先進各国と相次ぎ、サイバー協力の連携関係を築いている。
日印サイバー協議が発足
2月中旬に来日したカピル・シバル通信・情報技術相にサイバー・セキュリティーについて記者会見で尋ねてみた。(*1)
「どの国もサイバー上の脅威に懸念する必要がある。インドは日本との間で協議を立ち上げ、米国とも対話に取り組んでいるところだ。今後、すべての通信がデジタル化された空間で行われるようになるが、原子力施設も、航空産業も、金融業界も防護が必要だ。それに向けて、全世界の何らかの合意と協力も必要になる。まだ、サイバー・セキュリティーの明確な定義もないのが実情だが、攻撃はどこからでも来るし、カムフラージュして襲って来る。二国間の協力など出来ることから対策を進めなければいけない」
3月末にはサルマン・クルシード外相も来日。岸田文雄外相との日印戦略対話では、海洋での協力とともに、サイバー・セキュリティーの一層の協力強化を進めることで合意した。
日印間では、2012年4月の戦略対話でサイバー協議の開催を決めた。サイバー空間の安定的な利用や、多国間で進む国際行動規範づくりへの協力などについて話し合うのが目的だ。(*2)
その第1回サイバー協議は2012年11月、東京で開催。日本側はサイバー政策担当の今井治大使をはじめ、外務、経産、防衛、総務各省、警察庁などから参加し、インド側はアショク・ムカジー外務特別次官らが参加した。安全保障の課題,サイバー犯罪への対策,情報セキュリティ・システム防護などについての情報交換が行われた。(*3)
サイバー脅威に強い懸念
インドは欧米諸国や韓国ともサイバー協力を進めている。外務省関係者によると、日本に協議を提案してきたのは、インド側だった。特にサイバー犯罪や情報システムを破壊するサイバー攻撃などの脅威に対する日本の対策を学び、協力関係を築きたいという意向が強いという。
日本では、政府が2005年にサイバー・セキュリティーの司令塔として「内閣官房情報セキュリティーセンター(NISC)」を設立。世界的にも比較的、早い段階から取り組みを始めた。その後、2009年7月に米国と韓国で大規模なサイバー攻撃が起きると、政府は安全保障上の危機管理問題として認識を強め、2010年5月に「国民を守る情報セキュリティー戦略」を打ち出した。(*4)
インドとの協力について、日本の専門家の間では「サイバー攻撃の発生件数はインドの方が多く、日本はそこから教訓を学ぶといい」との意見がある。
インドではIT産業が急成長し、技術者の水準は高い割に、一般企業、国民全般は危機意識が薄く、政府もサイバー対策は遅れている。インドでも行政や産業の情報ネットワーク化が進んでいるが、通信や電力のインフラがまだ貧弱であるため、サイバー攻撃を論じる以前に停電などで通信が停止することが珍しくない。
それでも、インドでは1998年に140万人に過ぎなかったインターネットのユーザーは、2012年で1億3700万人と100倍増の勢いだ。人口に占める普及率は0.1% から11 .4%にまで増加した(日本は2012年1億122万人、79.5%)。フェイスブックの会員は2012年で6271万人(日本は1719万人)。(*5) 中間層の人口は3億人に達し、将来は2016年までに全国1億6000万軒の会社や家庭にブロードバンドが敷設される計画がある。ネットユーザーはさらに増える見通しだ。その情報量は今後5年間で9倍に増加すると予測される。(*6)
ところが、行政や社会システム全体がインターネットで結ばれ、ネットワーク化が一層進むと、サイバー上のリスクは一層大きくなる。インドでは電力、水(水資源・水道)、通信、運輸、国防、金融の6分野をサイバー・セキュリティー対策の重点にあげている。
欧米とは日本以上の「一蓮托生」
サイバー・セキュリティーでは、欧米諸国からインド政府に対策の強化を求める圧力がかかっていた。
インドではIT関連企業が電話のコールセンターやBPO(ビジネス・プロセス・アウトソーシング)と呼ばれる事務処理の受託業務を運営し、多くの欧米企業や団体から膨大な情報を預かっている。金融、保険、クレジットカード、航空会社の消費者情報、病院などの医療情報、さらに自治体や国の税や社会保険情報まで多岐にわたる。経済のグローバル化のなかで事務処理のコスト削減を追求して来た結果が、このインドへの情報集中と依存関係である。この傾向は英語圏で著しく、日本からはほとんど進んでいない。
これでは、いくら欧米がサイバー対策を強化したところで、インドが不十分なままだと、狙い撃ちされて重要情報が盗まれる可能性がある。
最近の英国とのサイバー協力合意にもこうした背景がある。2月19日、インドを訪問した英国のキャメロン首相とインドのマンモハン・シン首相との間で「サイバー・セキュリティーの戦略的パートナーシップ」に調印。インドの警察など治安当局の要員を英国で訓練したり、両国の個人情報の機密管理を徹底したりする協力を進めることに合意した。インドは英国市民の銀行口座、クレジットカード、医療経歴などにわたる個人情報を蓄えている。インドと欧米のサイバー・リスクは「一蓮托生」であり、インドのサイバー対策を求める思いは、日本よりずっと切実なものがある。
「中国発」のサイバー脅威
インドでもすでにサイバー空間の脅威は現実化している。2008年にインドで開催された英連邦スポーツ大会では開催期間中の2週間で計8000回のサイバー攻撃があったとされる。2004年に23件だったのが、2011年に13301件、2012年には2万件を超したと言われる。原子力公社も一日10件程度の攻撃に遭っている。(*6)
中国からとみられるサイバー攻撃も頻繁に起きている。
2012年3月にトレンドマイクロ社が発表したリポートによると、2011年6月以降、日本とインド、チベットの活動家のコンピューターに対する攻撃が90回あり、軍事、エネルギー、航空、海運、チベットなどの分野の情報が狙われた。メールの添付ファイルを開くと、ハッカー側のサーバーに接続され、コンピューターのデータが盗まれる仕組みだった。ハッカーのIP アドレスは中国内のものだった。(*7)
インドもこの頃から危機感を高め、政府系シンクタンクの国防問題分析研究所(IDSA)が2011年にサイバー・セキュリティーのタスクフォースを設置。2012年5月、「インドのサイバー・セキュリティーの挑戦」と題する報告書を発表した。そこでは、中国のサイバー戦略を次のように分析している。(*8)
「歴史的に見て、中国は1991年の湾岸戦争から学んだ。それは、数や技術の力では米国に勝てないということだった。このため、中国はサイバー空間における米国の脆弱性をついた非対称の戦争という概念を採用するに至った」
そして、情報戦争のための作業部会を発足させたほか、4つの大学を設立。ハッカーの組織を支援し、演習を実施し、2003年には情報戦ユニットまで組織した、と指摘している。そのうえで「中国は、サイバー上の諜報活動、リバース・エンジニアリング、ソースコードの共有、ハードウェアの製造、大規模な人材資源などを通じ、情報戦争の能力を向上させている」と結論づけた。
今年2月には、米国のセキュリティー企業、マンディアント社が過去数年にわたる米国などに対するサイバー攻撃を分析した報告書を発表。中国人民解放軍のうち上海に拠点を置く特定の部隊が関与していた、と明らかにした。(*9)
このサイバー攻撃を受けたのは世界の企業や団体など141組織。このうち3組織はインド、1組織は日本だった。 4月に来日したインド政府幹部に尋ねると、「サイバー攻撃を受けたインドの組織は国防関係ではなかったが、中国からの脅威を深刻に考えている。少なくとも、一般的なインターネットと政府系ネットを区分けする必要がある」と語っていた。
とはいえ、日印サイバー協議の雰囲気を聞くと、まだ顔合わせの域を出ず、およそ第三国からの脅威にどう対処するか、具体的に話す率直さはない。外務省関係者によると、日本はサイバー空間でも、戦争と同様に「専守防衛」に徹する必要があるため、そもそも同盟国でもないインドとの踏み込んだ協議には慎重だ。
だが、マンディアントが報告したような脅威は、今後も増して来ると思われる。インドと同盟関係はなくとも、戦略的グローバルパートナーシップを結び、外務、防衛両省の「2プラス2」の対話枠組みを持つ数少ない関係だ。日印サイバー協力も、着実に進化していくことが必要だし、日米サイバー協力との連携も不可欠である。
- (*1) 2013年2月14日、日本記者クラブでの記者会見 http://www.jnpc.or.jp/activities/news/report/201/02/r00025351/
- (*2) 外務省ホームページhttp://www.mofa.go.jp/mofaj/kaidan/g_gemba/120428/india_fmm.html
- (*3) 外務省ホームページ http://www.mofa.go.jp/mofaj/press/release/24/11/1105_07.html
- (*4) 土屋大洋著『サイバー・テロ日米vs.中国』文春新書、2012年
- (*5) http://www.internetworldstats.com/stats3.htm
- (*6) ASIA PACIFIC DEFENSE FORUM, “India,Britain combat cyber threat from China” http://apdforum.com/en_GB/article/rmiap/articles/online/features/2013/02/28/india-britain-cyber
- (*7) Trend Micro, “Research Paper 2012 LUCKYCAT REDUX”, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_luckycat_redux.pdf
- (*8) IDSA, “India’s Cyber Security Challenge”, http://ja.scribd.com/doc/93825487/India-s-Cyber-Security-Challenge-IDSA
- (*9) MANDIANT, “APT1: Exposing One of China's Cyber Espionage Units”, http://intelreport.mandiant.com