【導入】
今日も、私たちはあらゆる手段を用いて、情報を伝え、蓄え、行動している。その手段として、現在、そして将来、「ネット」が中心となって利用されていくことは、言うまでもない。
大学も、企業も、インフラも、人間関係も、私たち日本人の生活は、今やネットに強く依存している。
だが今、こうしたネットの利便性と依存度を逆手にとって、社会を弱体化させ、最終的には、国家の崩壊を招く脅威がある!
それが、「サイバー攻撃」である。
「サイバー攻撃」とは、ネット空間・ネットを使ったシステムから、情報を盗む、または、破壊することを目的とした行為のことを指す。
この攻撃の最大の特徴は、攻撃者が見えにくく、攻撃範囲が広いことにある。
過去には、一億件以上の個人情報の流出、ロケットなどの先端技術の流出。火力発電所や原子力発電所、電車といったインフラの停止・暴走があり、すでに負傷者もでている。
日本と同じくITが中心のエストニアでは、ウイルスに感染した100万台ものパソコンから攻撃を受け、インフラや金融などの都市機能が一か月にわたって麻痺した。
日本でも農水省、外務省が情報を流出、またはシステムを攻撃されており、民間では三菱、YAHOO等がその被害を受けている。
日本国民の8割、全企業がネットに触れ、国家の中枢にまで浸透したネット空間の「安全」を保障しなければ、これからの日本の安寧も、繁栄もありえない。
本弁論では、現在、そして将来、ネットの安全を保障するために、サイバー攻撃の脅威から、日本を最大限守ることを目的として政策を提案してゆく。
【現状分析】
まず、日本の現状を説明する。
日本は現在、判明しているだけで官庁・民間含め年間平均30億件以上のサイバー攻撃を受けている。
調査によれば、近年、日本への攻撃が急増しており、昨年は世界で確認された攻撃の17%が日本に向けたもので、米英に次ぐ世界3位の標的国となっている。
さらに、警察庁によれば、今年に入って「やりとり型」、「人質型」などの、悪意をむき出しにした戦略的な攻撃が25%から78%にまで増えている。
これにともなって、現在、被害件数は昨年に比べ5倍から6倍に増加した。
当然、政府はこうした現状を踏まえて、自衛隊に「サイバー空間防衛隊」、警察のサイバー犯罪対策課の上に新組織を創設した。
また、省庁においては、内閣府情報セキュリティセンターが設置したCYMATと呼ばれる各省庁内の防衛をする機関を新設した。情報セキュリティ予算も200億円に増額している。
加えて、人材育成事業にも力を入れ始め、今後は官民含め増員の見込みを示している。
しかしながら、先ほど述べたように被害は伸びている。なぜか?
【問題点・原因分析】
原因は次の二点。
1点目、政府の大規模なサイバー攻撃に対する体制の不備。
2点目、民間企業の情報不足によるセキュリティの遅れ。
一点目、政府の大規模なサイバー攻撃に対する体制の不備について。
ここでは、実働部隊である自衛隊と警察、予防を中心とする各省庁に分けて説明する。
自衛隊・警察について。
自衛隊のサイバー空間防衛隊は、その防衛範囲を自衛隊のシステムのみに限定しており、民間や省庁への攻撃には手が出せない。
また、自衛隊の行動基準である武力攻撃事態対処法では「サイバー攻撃」が武力の一環として使われないと反撃できないため、対応は警察頼りになっている。
しかし、その警察も、攻撃者の特定といった事後処理にとどまっている。このままだと、実際に攻撃を受けた場合、被害を最小限に食い止め防衛することが出来ない。
次に、各省庁について。
各省庁に配属された、CYMATと呼ばれる防衛組織の人員は30名程度。
要員は必ずしも情報セキュリティの専門家である必要はない。
つまり、専門家ではないセキュリティ担当者が、2名~3名ずつ配属されており、大規模な攻撃に対しては対処ができない。
また、日本の情報の中枢であるはずの、その情報セキュリティセンターでも、他の省庁からの出向者が中心のため、担当者が3年ほどで変わってしまい、長期的な研究、システムの構築が難しくなっている。
ここで行うべきは、省庁のセキュリティを向上させ、変化していくサイバー攻撃に対応していくために、専門家が中長期にわたって実務にあたることである。
問題点の二点目、民間企業の情報不足によるセキュリティの遅れについて。
警察庁の調査によれば、ネットセキュリティ対策を重要視している企業は98.7%である。
にも関わらず、昨年、政府機関や重要産業に送られたハッキング用プログラム付きメールは判明したものだけでも1009件。
そのうち、87パーセントが国内からのものであった。
つまり、攻撃者による遠隔操作が可能なパソコンが大量にある事が示され、国内の多くのパソコンがウイルスに感染していると見られている。
このパソコンを放置すれば、国外から攻撃される機会を助長することになり、極めて危険だ。
この対策が遅れている原因は、情報の共有が少ないことと、ガイドラインの曖昧さにある。
実際に、42.3%の企業がセキュリティ対策の規模や種類をより把握したいと答えている。
つまり、意識はしているものの、やるべき内容が不明瞭であるために、十分な対策がすすんでいないのだ。
企業がより積極的な対策を進めていくには、国が民間企業に向けて必要な対策をはっきりと示す必要がある。
【解決策】
そこで私は、こうした法制度・体制・民間対策の問題を解決し、社会を崩壊させうるサイバー攻撃を最大限減らすために、それぞれ三点の政策を提案する。
一点目に、武力攻撃事態対処法において、サイバー攻撃を明確に定義し、「武力」として認定すること。
二点目に、内閣府情報セキュリティセンターの指揮のもと、自衛隊のテロ対策を拡大・運用すること。
三点目に、「サイバーセキュリティ要綱」の発表。
これら、3点の政策について説明する。
一点目、武力攻撃事態対処法において、サイバー攻撃を明確に定義し、「武力」として認定することについて。
これは、自衛隊がよりスピーディに行動できるようになることを目的として行う。
これにより、サイバー攻撃に対する自衛隊の反撃及び集団的自衛権の適用の、法的な根拠ができ、それまで対応できなかった、サイバー攻撃のみの攻撃にも対応できる体制づくりが可能となる。
なお、憲法9条の定める武力の行使にあたらぬよう、自衛隊は外部からの脅威主体以外に「サイバー攻撃」を行わないことを明示する。
あくまで防衛と、攻撃者の手段を封じる反撃のみにその「防衛力」を行使することとする。
二点目に、情報セキュリティセンターの指揮のもと、自衛隊のテロ対策を拡大・運用することについて。
これは、情報セキュリティセンターを中心として、今までのシステムでは不十分だった、大規模攻撃への抑止の拡充を目的として行う。
自衛隊は、これまでの防衛範囲に加えて、新たに省庁の防衛にあたる。
また、大規模攻撃を受け、防衛手段がネット上に限定される場合のみ、攻撃者のプログラムを停止させるなどの防衛措置を許可する。
また、情報の中心となる情報セキュリティセンターの管理者は、情報の有効な運用の為に、同じソフトを運用している場合は原則、同一人物が年数を問わず担当する。
これらの政策によって、国家システムの保護と、企業間のセキュリティ環境の強化がされ、日本全体のテロ対策が可能になる。
三点目に、「サイバーセキュリティ要綱」の発表について。
これは、二点目の政策と関連し、民間での対策を促すことを目的として行う。
「サイバーセキュリティ要綱」は、必要とされるセキュリティの規模等をまとめた要綱で、警察庁と民間が共同で制作し、発表後、ガイドラインとしてこれを用いる。
つまり、最新のデータを多く持つ者がセキュリティの解説書を明確に提示することで、民間企業はこれまで手さぐりだった、行うべき対策のモノサシを得ることができ、より合理的な対策を進められるのだ。
これら、三点の政策を政府の現政策と並行して運用していくことで、日本のネットにおける「安全」を保障する。
【展望】
右傾化といわれながら、「安全」を保障するために、集団的自衛権も認めはじめ、離島の防衛もすすんでいる。
だが、国民のほぼ全員がネットに触れる今、攻撃者が安価に、直接に攻撃を仕掛けるサイバー攻撃を防がなければ、本当の「安全」とは呼べない。
自衛隊は、警察は、誰の為にその銃を持つのか?
それは、国民のためであると、願いたい。
「今日も、平和だ」と言えるように。
ご清聴ありがとうございました。
このページを閉じる