「作新」43号 健全な情報化社会の発展のために

副院長  船田 恵

 7000名近くの人命を一瞬にして消し去った、9月11日の米国同時多発テロ事件。その悲劇を契機に、今、世界中で新たな戦争(New War)と呼ぶべき「テロ」、ことにコンピュータ・システムを狙うことで少人数で大規模な被害をもたらしうる「サイバー・テロ」に対する危機管理体制の強化が叫ばれています。

 いまさら言うまでもなく、インターネットは実に便利な道具で、活用次第で人々にこれまで不可能とされてきた様々なことを可能にしてくれます。大量の情報を瞬時に広範囲に伝達できますし、 しかも世界中どこからでもラインさえ繋がっていればアクセスできますので、 一度に多くの人々に対し、大量の情報をとても安価に伝達できます。ただ、そのように効果が大きければ大きいほど、それだけ使いようによってインターネットの危険性は高まるということで、電気もガスも交通網もありとあらゆる大規模インフラがコンピュータ・ネットワークに依存しているような現代の社会では、「新たな脆弱性」への正しい認識と万全な対策が今この日本でも非常に重要なのです。

 米国のある調査会社によると、最新のコンピュータウイルス「ニムダ」の被害額は世界で6億ドルにのぼり、また今年夏に猛威を振るった「コード・レッド」は26億ドルにも達したそうです。「ニムダ」は日本政府のシステムにも既に侵入しており、もはやいたずらの域を越え明らかなテロ行為となっています。

 日本でサイバー・テロが注目されたのは、99年に登場した「メリッサ」と、昨年一月に起きた政府のホームページの改ざん事件ですが、メリッサやその後継とされるラブ・ウイルスなどは個々のパソコンが標的となっていたのに対し、最近のニムダやコード・レッドなどはサーバーに直接侵入し、それ自体をウイルスの発信源に変えてしまうので、これまでのウイルスと違って添付ファイルを開かなくてもそのサーバーのホームページを見るだけで感染してしまいます。

こうしたウイルスは米国同時テロと同時期に登場したため、国際テロリストの犯行という見方もありますが、確証は今のところ得られていません。

 ということで危機がすぐ水際まで迫っているにもかかわらず、私自身が一国会議員として実感してきたことですが、日本の社会システムを構築する作業に携わっている政治家や官僚のほとんどが その危機の大きさについて余り理解していないのが実情です。

 結論じみた話になりますが、 こうした認識の薄さ・甘さが現在の日本にとって一番の危機であると私自身は思っています。

 そうした危機感から私は一議員として、自民党政務調査会の「安全保障調査会」という安全保障の中長期的政策を検討する組織の中に、サイバーセキュリティに関する研究会を平成9年に作りました。ところが、ここでの話が情報化という現象の核心を突けば突くほど、国会議員たちからのリアクションというのは私の予想を裏切るものになって行きました。「インターネット、情報化というものがそんなに危険だというなら、 いっそのこと止めてしまえばいい。そんなものをなぜ使わねばならないのか」という方向に進んでしまったのです。

 さすがに現時点では、議員たちの認識の大勢はそこまで不見識ではないと思いますが、 平成10年12月に行われた自民党の税制調査会の税制改正に関する議論では、 「中小企業は資金不足のため2000年問題に関して対応する資金がないので、対策を講じたら税制優遇を実施してほしい」と強く要望をしたのですが、 税制調査会の幹部からは、「コンピューターを使う人間だけに税を優遇をするのは、 おしなべて全国民に寄与する税体系を維持するという税の一貫性に欠ける」と言われ、 最初は却下されてしまいました。

 このような幹部の頭の中には、コンピューターというとまずキーボードが連想され、 キーボードを叩くのは「おたく」か「技術者」であり、 現代社会に生きる自分自身もコンピュータ・ネットワークの中に存在しているという意識が全くありません。そこで幹部議員に対し、「お言葉ですが、この部屋の中に電気が点いています。暖房がついています。ここに来るまで信号もありましたでしょうし、 これから飛行機にも乗られることでしょう。ガス、水道等すべてコンピューターネットワークで制御されていますので、 こうしたところにもしトラブルが起こりましたら、それは個々の企業の問題ではなく、あきらかに社会全体の安全を揺るがす危機でありまして・・・」と説明しましたら、 「なるほどそうであれば、税制優遇も必要か」と初めて理解していただき、 税制改正を行うことができました。

 日本の国家として情報セキュリティに取り組もうとすると、 乗り越えなくてはいけない課題が基本的な部分でたくさんあります。例えば、秘匿をかける手間暇をかけても情報は共有すべきという必要性の認識や意志が決定的に欠けています。一概には言いにくいところもありますが、 だいたい政治家でも官僚でも権力を持つ立場にある人ほど、 こうした傾向が強いようです。

 例えば、平成10年初頭から各省庁は霞ヶ関WAN(World Area Network)によって繋がっています。にもかかわらず情報がどのように伝達されているかといえば、 インターネットの域を越えるものではありません。要するに重要な情報は全くネットワークにのることなく、 ホームページに掲載している位の内容しかお互いにやりとりをしていないということです。

 なぜかといえば、省庁というのは(中には例外もありますが) その多くは国益よりもまず「省益」を第一に考えがちです。意識の壁、慣例の壁というのが各省庁にありますから、ハードの線は繋がったがソフトの情報は繋がらないという状況が起こっているのです。

 クリティカルなコミュニケーション障害の例としてこんなことがありました。北朝鮮から不審船が日本の領海内に侵入し、 結局拿捕することができず逃げられてしまった事件を皆さんもご記憶のことと思います。初め海上保安庁がこの不審船を発見しました。ただ非常にスピードが速かったため、 自分達では追いかけられないと判断し、海上自衛隊に連絡を取り、 途中から海上自衛隊が不審船を追いかけました。当然海上自衛隊と海上保安庁との間で通信のやりとりがあったわけですが、 両者間になんと共通の秘匿手段がなかったんです。ですから双方間で話していたことは全部北朝鮮に筒抜け。北朝鮮は暗号を解読する必要もなく敵側の通信内容を傍受できたわけですが、 改めて日本というのは「すごい」国だなと、その防備の甘さに私は目を回しました。ちなみにこの件については来年度予算が確保され、 めでたく共通の秘匿手段が海自と海上保安庁間に作られることになりました。

 日本には陸・海・空と三幕がありますが、この三幕がそれぞれの暗号を持っています。「ちゃんと連携はとれているのですよね」と尋ねると、 「それぞれ独自の暗号はあるけれど、きちんと連携はとれています」 と答えが返ってくるのですが、実際はなかなか情報の連携は難しいという話を聞きます。私が実情のほどを防衛庁長官を務めたある代議士に尋ねたところ、 「なかなか難しいところがありましてね、 だいだい健康診断のやり方でさえ三幕で違うのだから」と冗談でかわされてしまいました。

 情報の秘匿に対してこのように認識の低い国ですから、 危機管理情報の一元的な収集・分析、さらにそのデータ・ベース化となると、 その実現はきわめて難しくなります。防衛庁が持っている重要情報は防衛庁が抱えたきりで、 なかなか庁の外に出てきません。警察が持っている情報もなかなか警察の中から出てきません。本当は危機が生じた際には防衛庁と警察庁、更には消防庁や海上保安庁などが持っている情報を突き合わせ、分析、 更には判断をしなくてはいけないという状況が多々あるのですが、 なかなかそれが上手くいっていないのが現状です。防衛庁でも三幕がそれぞれ得た情報を一元的に分析・管理するシステムの運用が、 やっと市ヶ谷の「情報本部」の設置とともに始まっていますが、 こちらも霞ヶ関WAN同様にハード面では整備されてきても、 人間関係といった部分でまだまだ情報の垣根が越えられません。

 ただ、たまたま平成10年にテポドンが飛んできて、 日本も独自に情報収集衛星を持つための予算がつきました。そこで今、この情報収集衛星から地上に降りてくる「インフォメーション」を、 意味のある「インテリジェンス」に読み替えるための分析機能を、 内閣の情報調査室の中に設置しようとしています。そこでは情報収集衛星から得た情報以外にも他の衛星から得られた情報、 あるいはそれ以外の方法で収集された情報などを含め、国としての危機管理情報を、 限定的ではありますが、 各省庁バラバラではなく一元的にデータ・ベース化するという方向性が打ち出されています。どれだけの予算規模が得られるかということにもかかっていますが、 国レベルで情報共有化の効果を発揮するには その前提条件として、それぞれの情報の重要性に応じ各段階でセキュリティ(秘匿)をかけていかなくてはいけません。セキュリティをかけさえすれば、 かなりの部分で情報の共有化というのは安全に行えるということ、 そして情報の共有化が進むことは、 国務の質と効率の飛躍的アップにいかに資するかということ、 このような基本的認識も国レベルではまだまだ欠けています。

 さて、そこで情報化を進めるにあたっては、 利便性と安全性をはかりにかけてどの辺の落し所が最適なのか、 評価をしなくてはいけません。ところが、そもそもセキュリティをかけないと情報は共有できない、 情報を共有するためにはセキュリティが必要という大前提が理解されていない国ですので、 評価システムを構築するところまでなかなか至りません。以前から経済産業省がリードして、サイバーテロも含めての重要インフラに対するセキュリティ対策が進められていますが、非常に予算規模が小さくて国全体でシステムを構築するには到底至っていません。

 民間の方々を含めて話をしてみましても、 利便性というところに重きを置いている人もいれば、 安全性・プライバシーの方に重きを置いている人もいまして、 なかなかゼロか100かといったレベルから動きません。本当に国益とか地球益というところまで考えて、 最適のバランスを探っていこうという議論の場が、 日本ではまだまだ公式には生まれていないというのが現状です。

 では実際、具体的にサイバーセキュリティに関してどのように取り組んでいくべきかという点ですが、 ここに9項目をあげました。

 一つ目はサイバーセキュリティということに専門的に取り組む機関、 情報ネットワークを中心とした国家安全保障政策を専門的に企画・立案する 「タスクフォース」を、是非総理直属で作るべきだということです。

 米国にはそのような大統領の諮問機関があり、 ここで国家として情報セキュリティ・ビジョンを策定しています。一番問題なのはメンバーですが、ここにそれぞれの各関係官庁から担当者が出向して論議しますと、 またもや国家戦略的ではなく、総花的調整型になってしまいますので、 有能なハッカーとか、 各企業の情報部門の責任者あるいは保険会社のリスクマネージメントの担当者など、 更には防衛、警察関係で安全保障もわかってなおかつITについても高度な理解力がある人材を採用すべきでしょう。なお、 情報セキュリティをめぐる状況というのは常に急速なスピードで変化していきますので、 メンバーはフィックスせず、 フレキシブルに入れ替えられるようにすべきでないかと思います。

 ここでのミーティングの進め方ですが、一月に一度定例で集まりましょうとなると、 本当に機能するようなキーパーソンたちが集まらなくなります。別に審議会に集まっている人がろくな人ではない、というわけではないのですけれど、 どうしてあんなに年配の方々しか集まらないかというと、 いきなり総理の都合とか官庁の都合で「明後日の朝十時に来てください」と言われてスケジュールの空いている人というのは、 アカデミズムの長老とか、会長職などいわゆる名誉職にある人しか考えられません。そういう意味でこういう機関を作ったら、 ミーティングはできる限り短期間かつ集中的に行い、 その後のフォローアップを基本的にサイバー上で行う。サイバー上でやりとりができない人は反対にそういう場にはいられないというようなタスクフォースを作る必要があると思います。

 実は昨年、官庁のホームページが改ざんされる事件があり、私はその対応を協議する(自民)党内委員会のメンバーに選ばれていましたので、タスクフォースの設置を提言し、この案は採用されて内閣官房にセキュリティ対策室が組織されました。ただ、そのメンバー選定や活動状況はきわめて透明性が低くまた不活発で、いまだに情報危機管理の方針である、セキュリティ・ポリシーが政府や各官庁から発表されたという報告すら聞いていません。

 2番目に重要な要素ですが、とにもかくにもそうしたタスクフォースを作るためには、 「予算」ですとか「人員」が必要です。平成11年の日本の状況ですが、各省庁の自分達の通信インフラに関するコンピューターセキュリティという部分は除いて、 いわゆるコンピューター犯罪ですとかサイバーテロを含んでの、 不正アクセス対策関連予算というのが大体30億円であります。これに対して米国は同じ年の1月22日サイバー部隊構想というのを発表し、 サイバーテロのみの対策費として14億6000万ドル、約1800億円を計上しました。実際構想は発表したけれど、具体的に何をするのかということは、 米国も結構困っているという話がもれ伝わってはきますが、 少なくともこれ位の意気込みでサイバーセキュリティの重要性・ 危険性ということをきちんと認識した上で、 日本も然るべき対応をとるべきだと考えます。

 3番目に指摘しておきたい点は、「警察庁」と「防衛庁」の連携の必要性ということです。日本の安全保障問題を所管しているのは、警察と防衛というこの二つの庁ですから緊急事態対応を含め情報のやりとりなど適時適切に行って欲しいと願うのですが、実はこの二つの役所間の連携にはなかなか難しいものがあります。

 サイバースペースはボーダレスですから、国の中からの攻撃なのか外からなのかまったくわかりません。警察庁も防衛庁もそれぞれ独自にCIAですとかKGBですとか様々な諜報機関との情報交換は行っていると聞きます。しかし、非常に重要な情報を持ったとしてもそのままそれぞれ自分達の中で持ったきりというのでは、 いざというとき国民の為に役立たないこともあるでしょうから、 国益という名の下に警察庁と防衛庁には是非連絡を密にしていただきたい。情報交換といかなくても、 せめて内閣官房の安全保障・危機管理室にきわめて強いセキュリティをかけたデータ・ベースを作って、 国家安全保障に関する機密の情報は一元化しておいて欲しいと思うのです。

 4番目としては、情報を専門的に収集、分析、管理する機関、 ありていに言えば諜報機関というのが日本にはないということです。「内閣情報調査室」というのが内閣官房の中にあるにはありますが、 FBIやCIAですとか、イギリスのMI5やMI6とは比べようもありません。まず人数が174名、しかもプロパーの人間は86名です。この人たちも例えば外務省からですとか、防衛庁からとか警察庁から、 それぞれ出向になってくるということですので、 最初から最後まで内閣情報調査室にいて情報の収集とか分析を専門に行っているような調査官というのはおりません。

 予算も平成11年度が34億円ですが、 ここに情報収集衛星関係費というのが入っているものですから、 実際にその分差し引きますと、情報調査という目的では20億円しかありません。これでは情報を集めるだの分析するだのと言っても自ずから限界があって、 まずは予算・人員の拡充をしてもらわなくては話になりません。

 特に問題なのは、内閣情報調査室から各省庁に対し、 必要な情報の提供を求めることができる「アクセス権」が担保されていないことです。現状では、各省庁から与えられた情報のみをそのままファイルしておくくらいしかできず、 「今このような危機が起きているから、何々省は関連の情報をもっているはずなので提出して下さい」 というように内閣情報調査室の方から、 強制的に情報を取りに行って提出してもらうということはできません。内閣法を改正できないかと、 中央省庁再編法案を審議する際に党の幹部や内閣官房の官僚たちに提案したのですけれども、 なかなか難しく実現できませんでした。

 5番目としては、防衛に関わる通信網もその多くが民間に依存しているので、 何としても政府と民間との協力体制を強化してほしいということです。民間の情報ネットワークというのは国家の情報ネットワークそのものと言えるわけですが、 言うまでもなく、民間というのはそれぞれ自分達の利潤追求で動いています。セキュリティ対策を万全に行うに越したことはないですが、 セキュリティをかけるにも相応のコストが発生しますので、 何かしら政府の方からセキュリティ対策を整備する上でのモチベーションやインセンティブというのものを与えないと、なかなか民間は国が望むほどには情報危機管理に力をいれてくれません。一つは税制優遇をするとか補助金を出す、 もう一方は責任体制を民間の中で構築させるということです。もしどこかの企業でセキュリティ問題が発生した際は、 誰が責任者であるかを決めておくように、国が規制なり、法的基準を与えるだけでも、 大分この部分は改善されると思います。

 6番目としては、「日本独自の暗号技術・認証システムの開発」です。日本は技術的には世界でもトップレベルの暗号技術を誇っていますが、残念ながら外交的な力の弱さから、その暗号技術が世界での共通技術、いわゆるデファクトスタンダードとして国際会議で採用されることが少ないのはとても口惜しい事です。

 7番目は「情報セキュリティの法整備」です。

 情報セキュリティに関する法律として「不正アクセス防止法」が平成11年の8月に成立しましたが、 ただこの取締り対象はあくまで不正アクセスという事象のみで、 それによって得た情報を他者に売却、あるいは譲渡し、 更にその人間がその情報を売りさばいても、その行為は罰せられません。では何が一番問題なのかと言いますと、 日本では未だに情報そのものに価値があるということが認められていないことです。もし何かの書類を誰かが盗めば紙を盗んだという意味で窃盗にはなりますが、書類に記載された情報内容を盗んだということに関しては罪を問われません。

 ですからもし誰かが私の事務所に何がしかの許可をもらって入ったとします。許しをもらって入れば不法侵入ではありませんので、 たとえ情報をフロッピーに落として持っていってしまったとしても、そのあと金銭的あるいはプライバシー上のトラブルが起きなければ、 情報を持ち出したり、書き換えたり、消したりということに関しては、 残念ながら今のところ、その行為自体は法的に取締れないのです。

 さて、いくら万全の対策を取っても100%の安全はありえません。従って8番目としては、必ず危機は起きるのだということを前提とした「バックアップ体制」を整えておくことがとても重要です。これはサイバーセキュリティだけではなく、あらゆる危機管理に言えることですが、 東海村での臨海事故の際にも政府側の責任者が、「あってはならない事故が起きた」 という趣旨の発言を繰り返していましたが、 あってはならない事故だって起きてしまう時には起きてしまうのですから、どんな状態でも起きることを前提にして必ず周到なバックアップ体制を整えておくということが重要なわけです。

 9番目として最後に一番大切だと思うのは、やはり個人個人の心のありようを理想的なものに近づけるための「心の教育」です。情報セキュリティに関する被害というのは明確な悪意があるとか、 攻撃しようとする意図の有る無しに関わらず、 悲惨な状況というのは引き起こされてしまうので、 日頃からそれぞれ個人が自分の心にしっかり理性の鍵を締めることが何より肝要です。

 ネットワークが発達すると、それぞれがバラバラに好き勝手な行動をしてしまう、 あるいはしてしまえるような状況になると一般に考えられがちですが、 実際にはむしろ逆で、望むと望まざるとに関わらず、 それぞれの行動が非常に深い関連をもってしまうのが情報化社会の特徴だと思います。自分が軽はずみでやってしまったこと、おもしろ半分でおこなったことが、自分を含めて多くの人々の財産や身体を傷つける、更には国家を転覆させる、 あるいは地球そのものを絶滅に導いてしまうようなことにもなりかねないのです。

 これまでの「何々をせねばならない」「何々をしてはならない」という規範ではなくて、 自分が今こうして安全に平穏に暮らしているということは、 実はいろいろな人たちとの繋がりやバランスの上に成り立っているという事実をはっきりと想起できる“イマジネーション(想像力)”が大切になってきます。もし誰かが自分一人くらいいいじゃないかと引き金を引いたら、 そのワンプッシュが全体のバランスを崩して、やがてドミノ倒しのようにその本人自身をもなぎ倒してしまう危険性があるというイマジネーションを持てるように、 情報ネットワークがどういう功罪を持っているかを、 幼いころから教育することが日本には早急に必要なのではないかと思います