報告者:土屋大洋(慶応義塾大学教授)
テーマ:安全保障問題としての米国のサイバーセキュリティ政策
報告概要
本報告では、近年注目されるようになってきたサイバーセキュリティについて、アメリカに限定せずに、より広い視点から明快に論じた。以下はその概要である。
まず、アメリカ政府の近年の通信傍受の方法を概観し、安全保障と情報通信が近接に結びついてきているという一側面を明らかにする。9.11直後、FBIは「carnivore:肉食獣」という通信傍受のためのシステムをISP(インターネット・サービス事業者)に導入させた。現在はさらにアップデートされたシステムが使われている。2005年には、「令状なしの傍受」がニューヨーク・タイムズ紙に暴露された。これは外国インテリジェンス監視法(FISA)に抵触する可能性があるとして裁判沙汰になっている。2008年の大統領選挙でオバマ候補は令状なしの傍受に反対していたが、選挙戦の途中で賛成に回った。現在は、傍受した通信情報の入手、保存、配布等の拡大がさらに進み、すべてのデータを入手し、保存し、インテリジェンス機関がすぐさま利用できるようになっている。こうした9.11以後の通信傍受の方法は、実はこれまでとは大きく異なる。というのも、かつては海底テーブルや人工衛星から情報を入手していたが、近年のデジタル化した通信では傍受が難しいので、通信会社の協力が不可欠となってきているのである。
ところが、実はこうした9.11以後のサイバーセキュリティを取り巻く状況は、大きく変化している。2008年、幽霊ネットワーク(GhostNet)の存在(誰が操っているかわからないネットワークの存在)が明るみに出たためである。発見のきっかけは、ダライラマの事務所のメールが漏れているようだ、という情報であった。さらに派手な国際的なサイバー紛争は、いくつも発生している。2007年シリア、エストニア、2008年リトアニア、グルジア、2009年米韓への大規模なサイバー攻撃などがよく知られている。最後の案件では、実は日本の国内のサーバー8台が関与していたが、攻撃者となったパソコンの持ち主はそのことに気付くことはなかった。
こうした状況に対して、日米でも対策が進んでいる。日本では、2009年12月、日本も攻撃対象となる可能性があり、対処する必要があるという平野官房長官のコメントが発表されたり、2010年の中国からのアクセス過多を狙ったサイバーテロを封殺したりといった事例があげられる。米国防総省ではUSCYBERCOMを設置した。国家安全保障局(NSA)長官と兼務しており、その意味は、インテリジェンスと軍が協力して対処するということだと考えられる。
強調しなければならないのは、近年、重要インフラが攻撃対象となってきている、ということである。APT(標的型電子メール攻撃)という、カスタマイズされたウイルス(つまりウイルスソフトで対処できない)によりパソコンをリモート・コントロールするタイプの攻撃と見られる事例が複数存在している。ニューヨーク・タイムズ紙記者の暴露記事(と本)によれば、実際にアメリカがこのタイプのウイルスを用いて、イランでの核施設をウイルス感染させている。
また、通常兵器による攻撃とサイバー攻撃を組み合わせると強力になる。イスラエルがシリア国内にある核施設と思われる場所を爆撃した際にも、シリアのレーダー網を操作して爆撃を検知させなかったと考えられている。こうした攻撃に対して各国は対策を進めているものの、技術者以外の人にとってはブラックボックスだというのが現状である。
こうしたサイバー攻撃が現実に被害を及ぼすようになり、国際社会や各国はさらなる対策を求められている。現在、NATOはエストニアでサイバー戦争の交戦規定を構築しようとしているが、大きく分けて三つの困難に直面している。?国際法上どこからが武力行使と認められるのか。?反撃はどこまで、どのような形で許容されるのか。?抑止できるか、集団自衛権は機能するか、集団安全保障は可能か。こういった問題にどう応じるのか、まだ見通しは立っていない。各国の取り組みとして必要なことは、ギークを取り込むことだろう。しかし彼らは、尊敬もされず、たいした報酬もない国家に奉仕する必要はないと考えている。
以上のように、5つ目の戦場としてのサイバースペースの重要性は急速に増してきている。そこには、解決しなければならない数多くの課題が残されたままである。プライバシー侵害の懸念や、ある事件が単なる犯罪なのかそれとも戦争なのかテロなのか、そしてそれに応じて誰が対応するのか、さらには、国際協力は可能かという問題をどう対処していくのかが、この先のサイバーセキュリティにとってカギとなるだろう。
質疑応答
Q:日本政府はどの程度本気になってギークを雇おうとしているのか?
A:一時的な採用。正式な公務員採用ではない。問題なのは誰が入ってくるのか分からず、そして野に放たれていく現状。どこまでセキュリティ・クリアランスをかけるか重要だが、現状ではできない。ちなみに防衛大学校がようやく昨年、専門家を雇った。
Q:韓国と比べて日本は基本が全くできていないように思える。大変な課題だろう。何か提言はあるのか?
A:長期的にはセキュリティ・クリアランスをしっかりとして、国会の中に情報委員会をつくる。
Q:どこの国でも情報機関がばらばらに乱立していて、連携が取れていない制度設計になっているかもしれないと考えられるのだが、どうか。たとえば中国では人民解放軍とは別に、共産党中枢が独自にサイバー攻撃をやっているという情報がでている。
A:アメリカは巨大で大変ではあるが、NSAがやるというコンセンサスができている。NSAの人がペンタゴンなどに出向したりなど。中国は確かに、軍部が勝手に色々なことをやっているという情報が出ている。日本では何らかの統合する機関が必要だろう。
Q:サイバー戦争における抑止について。今考えられている抑止理論は何かあるのか。高い技術をもっていたら相手からの仕返しが怖い、というようなものか。
A:まだ確固としたものがないのが現状。だれが本当の攻撃者かがわからず、元を辿ることができればよいが、なかなかわからない。国は特定できても国内事業者の協力が得られないとパソコンの特定は難しく、それを使っている個人を特定することも難しい。近年、サイバー・スペースで悪いことはやめましょうという提案をロシア、中国、ウズベキスタン等が国連に問題提起している。
Q:国をつきとめることができたとき、挙証責任の話はどうなるのか。
A:元をたどることができれば、責任を問うことは可能だが、国が特定できても、国内のネットワークの情報を開示させるのは困難。そこで、特定された国が何らかの説明などをしなかった場合、その国に対して反撃できるよう決めようと国連で議論されようとしている。
Q:しかし中国は拒否権を持っている。
A:不思議なことに、これを提起したのが中国、ロシア、ウズベキスタンであった。
コメント:理念だけ決めれば、道徳的規制が働くというメリットがあるので、こうした国の行動は理解できる。
Q:憲法9条とサイバー空間との間の議論はどうなっているのか。
A:公式見解はないが、政府内の共通了解として、先制攻撃はできない、と考えられている。しかし、ある情報が「意図を持った人間による攻撃」であるかどうかを判断するのは難しい。
Q:日本が中国からの攻撃を待ち構えていて、うまく遮断して対応したという話があったが、どのように?
A:おそらくだが、通信事業に頼んでいたのだろう。政府は独自の回線をもっているわけではなく、通信業者の回線を借りているので。ちなみにウイルスに感染しているかどうかは通信内容をみればわかるが、それは法律と憲法で禁止されている。
Q:NISCは国内の防衛はできないのか。
A:NISCは行政府を守るためのものだというのがNISCの認識。サイバー空間を守るには通信を傍受する必要があり、プライバシーとの両立が難しい。機密保全法とクリアランスをしっかりとすることが大切だろう。
Q:攻撃か防御かでいったら、攻撃が支配的といわれているが、なぜか?今後はどうなるのか?
A:セキュリティの穴がどこにあるのかを把握しているのは誰かというと、マイクロソフトやアップルではない。開発側が気付いていない穴を見つけ、それを開発側に伝えないブラック・ハッカーの方が多いのが現状。やられるのが前提で、やられたらどう対処するのかを考えることが主軸。各国に対応する自律的な民間組織が存在する。日本ではJPCERT/CCと呼ばれるものがあり、民間のコミュニティによる防衛システムがある。しかし政府のクリアランスはかかっておらず、課題となっている。行政府からの出向者もいる、数十人の組織。他にもモニタリングしている団体は警察など8つほどある。
Q:ITUで抑えることはできないのか。また、民間でどこまで抑えられるのか。
A:ITUでインターネットは抑えられないというのが現状。12月に会議がある。インターネットを政府管理の方向に、というのが、現在の潮流になりつつある。中国等が主導。日本やアメリカが反対。
Q:ネットは自由な空間というイメージだが、現実は変わりつつあるということか。
A:現在は厳しく規制された世界となっていってしまうような段階だと思われる。技術だけでは対応できるレベルではないというのが共通認識。
Q:どういった状態がサイバー戦争状態なのか。
A:もはやサイバー上だけでは完結しない。首都機能を麻痺させた上で攻撃をおこなう、レーダーを止めてミサイルを撃つ、など。陸海空宇宙全てに関わってくる。特に航空、宇宙は重要。
Q:スタックスネットの報道が出てきた頃とアメリカの公表の時期が奇妙な一致。誰かが背後にいるように思えてならない。
A:スタックスネット(オリンピック・ゲームズ作戦)はブッシュ政権時にできた。しかしばれないようにやってきた。ばれてしまったから、そのタイミングで、対応すると宣言したと捉えることができるかもしれない。ただ、アメリカ政府はスタックスネットを公式には認めていない。
Q:民間の自主規制には限度がある。何らかの取り決めが必要で、国家権力の介入が不可欠では。
A:サイバー犯罪条約を日本はようやく来月批准する。締約国間で情報交換ができるようになるが、中国は批准しておらず、意味があるものになるかは不明。
Q:当分、国内法上は違法だが国際法上は問題ないということか。
A:一応はその通り。
■報告:石川葉菜(東京大学大学院法学政治学研究科博士課程)