これは自由民主党「危機管理プロジェクトチーム」におけるプレゼンテーションの内容です。
<危機管理プロジェクトチームとは>
昨年8月31日の北朝鮮の弾道ミサイル“テポドン”発射などにより、今こそ、 わが国の安全保障上の危機管理問題を、緊急に検討する必要性が高まってきました。
そこで1月27日に、 自由民主党内の国防部会・安全保障調査会・基地対策特別委員会の下に、 額賀福志郎前防衛庁長官を座長とした「危機管理プロジェクトチーム」を設置して、 わが国の防衛・危機対応能力の強化策、各種事態への対応態勢の充実、 法制上の問題など、 各種事態への対応策について国会議員が報告者となって検討を行っています。
畑議員も「サイバーテロ対策-その脅威と対応策」 についてプレゼンテーションを行い、出席議員と議論を交わしました。
日時
平成11年2月26日(金) 8:00~9:00
会場
自由民主党本部701号
サイバーテロ-その脅威と対応策 議事録
(P.1) そもそも、サイバーテロとはどういうことか、 いろいろな定義の仕方があると思いますが、 現在警察庁では大きく「ハイテク犯罪」と「サイバーテロ」という形で仕分けをしているようです。 本来両者には本質的な相違はないと思いますが、本日の報告では、 “ナショナル・セキュリティに関わるほどのコンピューター・システムに対する攻撃”、 即ち国家インフラ、 あるいはライフラインの情報システムに攻撃を仕掛けられ破壊されるという、 非常にシリアスな問題をサイバーテロと定義しました。
(P.2) 攻撃の対象となるのは、まずは電気、ガス、水道などといった所謂ライフライン。 また、交通網、航空管制、鉄道管理にしても、 一つ一つの信号のコントロールに至るまですべてコンピューターネットワークに依存しています。 このごろは医療関係でも医療情報を電子化し、 電子カルテを採用している医療機関などもだいぶ増えてきていますし、また薬の調合、 製薬などもコンピーター管理されています。 昨今、高度情報化が著しい物流・金融は言うまでもありません。 こうしたさまざまな社会基幹システムがオープンなコンピューターネットワークにつながっていることによって、 今日、新たな「脆弱性」というものが出現し、そこへの攻撃が今、 新たな脅威として注目されています。
なかには、例えば原子力発電所の施設のように、 オープンなネットワークにはつながっていないクローズドシステムを採用しているからセキュリティは完璧であるという話をよく聞きます。 ただ、たとえ線がつながっていなくても、 もしここに電磁波で攻撃が仕掛けられたとしたらどうでしょう。 内部の温度が上昇するというメカニズムは、電子レンジと同じですから、 施設内のネットワークは焼き切れてしまう。焼き切れるとまで行かなくても、 コンピューターシステムは全般に熱変動にきわめて弱いものですから、 故障が生じてしまうことになります。また、たとえ専用回線を引いたとしても、 高い技術を持った者ならば、交換機からネットワークに入り込むこともできるので、 いかなる場合にも絶対の安全というものは存在しないと考え、 対策にあたることが肝要です。
(P.3) では、サイバーテロについてどのような事例がこれまでに発生したかといいますと、 例えばイギリスの少年ハッカーがアメリカ空軍の研究所のシステムを攻撃したという事例があります。 これは後ほど詳しく説明しますが、非常に有名な事件で、 データストリーム・カウボーイ事件と呼ばれています。 また米国・国防総省のシステムをイスラエルのハッカーが攻撃した事件、 あるいはオーストラリアの病院でカルテが改ざんされて患者が誤った薬を投与されて死に至った、 という事例もあります。マサチューセッツの空港では、ハッカーが通信回線を攻撃し、 そのため6時間ほど空港の機能が実際に麻痺するという事態が起きました。 その他、例示としては枚挙にいとまがありませんが、 どの例にも共通して言えることは、非常にわずかな人員(基本的に一人でいいのですがで、 一大惨事を引き起こすことが可能であるということです。経費も非常に安く済みます。 更には匿名性がかなりの確度で担保されますので、 当局に逮捕されるというリスクも非常に小さい。 ところがそれに比して、社会に与え得る影響・被害というのはきわめて甚大ですから、 不心得者がいればこれを犯罪や国家転覆などに利用しないわけがないのです。
(P.4) さきほど有名だと言いました、データストリーム・カウボーイ事件ですが、 1994年、イギリスに住むごく普通の16歳の少年が、 アメリカ空軍のローム研究所のコンピューターネットワークに侵入しました。 そこからさらに、韓国の研究所「Korean Atomic Research Institute」 のコンピューターネットワークに入り込んで、 この韓国の原子力研究所のコンピューター・データを、 ローム研究所のコンピューターへと移し替えてしまったのです。 このコンピーター上の異変をウォッチしていたアメリカ空軍は、 当初、“Korean”の原子力研究所ということしかわからなかったので、 このKoreanは“北朝鮮”ではないかと判断してしまいました。 つまり北朝鮮が「米国は自分達の情報を盗もうとしている。 これは戦争を仕掛けられているに違いない、戦争行為だ」というふうに考え、 報復としてミサイルを発射してきたら大変なことになると、 ローム研究所には極度の緊張が走ったという事件であります。
この例で何が言えるかといいますと、それ自体は悪意のない子供のいたずら心が、 ひょっとすると戦争をも引き起こしかねない、 少なくともそういう可能性が多分にあるのがサイバースペースであるということです。
(P.5) では実際に、 こうしたサイバーテロ防止にあたって対策としてどういうことが考えられるか。 とりあえず、ここに8項目あげてみました。
(P.6) まず第一に、「総理直属の“タスクフォース”の創設」についてご説明します。 このタスクフォースは何をする組織かといいますと、 2000年問題やハイテク犯罪なども含めて、 情報ネットワークを中心とした国家安全保障政策を専門的に企画・立案・実施する危機管理機関であります。 いまこういうマターを多く取り扱っているのは警察庁だと思いますが、 社会基盤を支えるコンピュータ・システム全般の安全保障を実施しようとすれば、 たとえば、電気・ガスなどエネルギー関係でしたら通産省、 交通や物流関係なら運輸省、医療関係なら厚生省、 金融関係なら大蔵省とその所管は各省庁に広くまたがってきますし、 しかもその対策にあたっては、日進月歩で変化する高度な技術が必要となります。 ですからこうした情報ネットワークに関する危機管理機関というのは、 是非とも総理大臣直属で内閣官房か、 今度新しくできる内閣府に設置して頂きたいのです。
米国にはすでにこうしたタスクフォースが、大統領直属で設置されておりまして、 「PCCIP(President’s Commission on Critical Infrastructure Protection)」、 日本語にすると「重要インフラ保護に関する大統領諮問委員会」という機関が、 前掲の図表に示したような、 ネットワークにつながった、 さまざまなインフラの保護を行っています。 ぜひ日本版PCCIPを日本政府にも早急に創設していただきたいと思います。
そして、このタスクフォースのメンバーとしては、 やはり“蛇の道はヘビ”ということわざにもありますように、 有能な元ハッカーを取り込むことが肝要です。 実際に自分が攻撃されてはじめてどこにセキュリティ・ホールがあいているかがわかりますので、 米国防総省は、元ハッカーを雇い入れて自分たちのシステムを攻撃させて、 そのセキュリティの実体をチェックしています。その他、企業の情報部門の責任者、 防衛機関、情報通信の関係者なども、 幅広く民間からメンバーを起用するべきでしょうし、 またサイバースペースは実社会以上に急速に変化していますので、 こうしたメンバーはフレキシブルに入れ替えられるようにしておくべきでしょう。 従来の日本の諮問機関のように、メンバーがフィックスされて、 何年経っても動かないようでは情報化社会の安全保障には対応できないと思います。
(P.7) さて、こうしたタスクフォースを創設するにつけ、 とにもかくにも先立つものは然るべき予算や人員です。日本の現状を調べましたら、 他人のホームページを無断で書き換えるとか、 情報を盗み出して誰かのプライバシーを傷つけるというような、 いわゆる「不正アクセス」全般に対する予算にその対象を拡大しても、 各省庁合わせて約30億円ぐらいしかありません。
このところのハイテク犯罪の急増に対応して、 警察庁の取り組みも昨今非常に活発で、 今国会に警察法の改正を提出して“サイバーポリス”を1つの課として設置する予定です。 ただこの機関にしても人員・予算とも大幅に拡充しなくてはいけません。 また通産省は、オープンネットワークにつながっているさまざまな大規模プラントに対して、 セキュリティの評価などを行っていますが、 これまでサイバー・セキュリティ管理の先陣を切ってきた「IPA」(情報処理振興協会)に対しても、更なる予算の拡充が必要です。
以上のようなわが国の現状に対して、米国はどうかといいますと、 先月22日(1999.1.22)に、クリントン大統領が「サイバー部隊構想」を発表しました。 具体的には、サイバーテロ対策のみに14億6000万ドル、1ドル128円で換算して、 日本円で約1800億円という巨費を投じるということを発表しています。
日経、朝日、読売、毎日、産経、東京と新聞各紙に記事が掲載されていたのでご覧になった方も多いと思いますが、 この朝日新聞の記事によれば国家安全保障会議のクラークテロ対策担当調整官もはっきりと「爆弾の代わりに、 サイバー攻撃で国全体の機能を麻痺させる“情報戦争”への対応を急がなければならない」と述べており、 戦争のコンセプトというものに、これまでのミサイル兵器等に加え、 「情報」という新たな概念が登場したという認識を米軍はもっています。 先程のPCCIPからのリポートなどを受けて、サイバー攻撃対策費を2年前よりも4割増額して、 1800億円を2000会計年度予算に計上する方針を示すなど、 米国はサイバーテロへの対応を急いでいます。
(P.8) 3番目のサイバーテロ対策としては、「警察庁と防衛庁の緊密な連携」が必須だと思います。
まず一つの理由は、国防総省を含めて、 防衛関連のネットワークというのはハッカーにとって格好の標的とされているということです。 警察白書によれば、米国防総省は1年間で25万回の不正アクセス攻撃を受け、 そのうち65%が成功、 即ちネットワークのなかに侵入できた可能性があるとみなされています。 別に警察にやってもらわなくても防衛庁のサイバー・セキュリティ管理は防衛庁自身でやっていると言われるかもしれませんが、 本当にそれで充分なのか。 誰か他者がそのセキュリティ・チェックを行わなければならないのではないかと思うのです。 と言いますのも、日本の警察白書に、アメリカの国防総省の資料はこれほど詳細に記載されているにもかかわらず、 日本の防衛庁に関しては一切記述はありません。 国防総省がなぜこのような数字をもっているかと言えば、 国防総省に雇われた元ハッカー達がチームを作り、 自分達で自分達を攻撃するというシミュレーションを徹底的に行い、 その結果65%が入り込むことができるという現状を自分達できちんと認識して適切な措置を講じ、 さらには情報公開も行っているわけです。国の安全保障に関わる問題ですので、 その公開は慎重になされるべきとは考えますが、 やはりこういう評価体制はいずれ日本でもつくらなければならないものだと思います。
もう一つの理由は、サイバースぺースのボーダレス性です。先程述べましたように、 悪ふざけとかいたずらという軽犯罪法にも触れないような問題が、 戦争とか国家転覆にまで結びつくのがサイバースペースの特色ですので、 起きた事象についてこれは警察マターだ、 これは防衛マターだというような仕分けがなかなかしにくい問題だと思います。 また当然サイバースペースに国境というものはありませんので、 あらゆる不正アクセス攻撃にも国境はありません。 国内、国外どちらからのアタックかなどと見きわめている余裕もないし、 意味もありません。サイバースペースに限らず、わが国の危機管理全般において、 警察庁と防衛庁が緊密な連携を取っていくことは何より肝要なことだと思いますが、 その基本は綿密な情報交換でありますので、 国家国民のため一致団結してお願いいたします。
(P.9) 4番目は、いうまでもありませんが、「民間との協力態勢の強化」です。 ご承知のとおり、政府の安全保障に関する通信網のほとんどは民間に依存しています。 専用回線を引いている所もごく一部ありますが、 アメリカでさえもクリティカルな部分の通信の90%が民間通信網を使用しているという調査結果が、PCCIPのリポートで報告されています。
ライフラインを含めまして社会基盤システムの管理者のほとんどが民間ですので、 民間の情報危機管理レベルがそのまま国家の情報危機管理レベルになります。 ところが、民間からすれば「われわれ企業にもコスト・パフォーマンスというものがある。 何故天下国家の安全保障のコストまで、自分たちが負わされなければならないのか」 といった不満が当然起きますので、そういうことに配慮しながら、 民間との協力態勢を強化することが大切です。
さらに、いわゆる諜報機関とみなせるくらいの情報機関、 もちろん内閣情報調査室も含めまして日本にもその種の機関は存在していますが、 CIAやKGBなどと比肩しうる能力のある情報機関というのは日本にはありません。 したがって、民間からの自発的な情報提供がない限り、 セキュリティに関する実態というのも政府では把握できませんので、 やはり民間との協力は非常に大切なわけであります。
このような状況のなかで、いま警察庁でも民間に対し助言、指導、広報啓発、 捜査協力への環境づくりなどいろいろな取り組みを行っているようですが、 私がいちばん大切だと思うのは、民間と同じ目線での、 いえむしろ民間の立場に立った上での「意見交換」であります。 同じ目線で民間からの要望を聞き、 問題解決に向けてともに取り組んでいく姿勢が必須であるとともに、そのためにも、 やはり然るべき予算を確保することが同時に必要ではないかと思います。
(P.10) 時間も迫っていますので、細かく説明するのはここまでに留めますが、 5番目「日本独自の暗号技術・認証システムの開発」とは、 要するにハード面での整備ということで、鍵をしっかりかけて、 見ず知らずの人物が自分のコンピューターに入らないようにするということです。 こう言ってしまうと余りに当然なのですが、ここで非常に肝要なのは、 同じ暗号でも日本独自のシステムをつくり、そしてそれを使うということであります。 欧米系のシステムをそのまま日本に導入しますと、 そのシステムを開発したアメリカやその他の国々に対して国内外のやりとりが筒抜けになってしまう危険性があります。 暗号・認証システムで世界の標準を獲得すれば、 世界中のネットワークを自由にコントロールできるわけですから、 まさしく“暗号”というのは、世界覇権そのものと言えます。ですからわが国も、 必ず日本独自のものを開発し採用する必要があるわけです。
6番目は「法整備」であります。 これから今国会に不正アクセス防止法案が提出されますが、 前述のデータストリーム・カウボーイ事件のような不正アクセスによる事件を、 いま日本では取り締まる法律がありません。 またサミット参加国のなかで不正アクセスを罰していない国はロシアは別として日本だけです。 このことが国際捜査上どのような問題を引き起こすかと言いますと、 もし同様の事件を起こした少年が日本のなかにいて、 他国から捕まえるよう日本の警察に要請があったとしても、 警察庁は何一つこの少年を取り締まれないのです。 こうした状況を放置しておくことは国際協調という観点からも重大な問題ですので、 一刻も早く法律の整備を進めなくてはいけません。
7番目として、さまざまなコンピューター危機に対応できる十分な技術力を持ち、 かつ危機管理も行える専門家の育成が肝要であります。 米国では、産・官・学の連携により、 大学院の教育などに情報セキュリティに関する研究カリキュラムを導入するなど、 今後のサイバーテロに対抗できる人材の育成に積極的に取り組んでいます。 日本でも官民の連携を強化して、こうした育成システムを構築すべきでしょう。
そして8番目最後の項目は、「バックアップ体制の整備」です。 ここだけなぜ文字を赤くしてあるかといいますと、冒頭でも述べましたように、 セキュリティ対策を行う際100%の安全ということは、 サイバースペースに限らず決してありえません。ですから、 ハッカーから攻撃され、それが万が一成功してしまった場合にどうするかという「バックアップ体制」を必ず考えておくということが、 危機管理上いちばん重要なことだと思います。 ところがセキュリティ対策のため予算や人員を要求するとなると、 省庁としては自分たちのセキュリティに不備があることを認めなければならないわけですから、 なかなか自分からは言い出しにくい。 しかし、言わないと予算は増えないというジレンマがセキュリティという問題には常にあります。 リアリティのあるシミュレーションを綿密に行った上で、 被害にあった際のバックアップ体制を整えておくということが肝要だと思います。 時代は移れど”備えあれば憂いなし#は、 危機管理のいろはの“い”の字であるということです。