見出し画像

能動的サイバー防御をめぐる議論(その3-⑦)有識者会議(第3回)まとめ

1onDo_

 今まで6回に渡ってサイバー安全保障分野での対応能力の向上に向けた有識者会議(第3回)の資料(資料構成と3つの別会合の内容)について確認してきたが、今回はそれを踏まえて、ようやく第3回の有識者会議第3回の本会議の議事要旨を確認していく。


😎会議概要

サイバー安全保障分野での対応能力の向上に向けた有識者会議(第3回)
 令和6年8月6日 (火 )
 17時00分~18時00分
 総理大臣官邸2階大ホール

 第3回の本会議の構成員及び出席者は次のとおり。

なお、毎回河野国務大臣が参加し、挨拶を行っている。
また、内閣官房サイバー安全保障体制整備準備室長も参加している。

サイバー安全保障分野での対応能力の向上に向けた有識者会議 構成員及び第3回参加状況

📒これまでの議論の整理

 事務局からこれまでの議論の整理が示された。(資料2-1(概要)、2-2
 概要は次のとおり
(議論すべき内容が多岐にわたるためボリュームがあるが、仕方なし)

Ⅰ.官民連携の強化

  • 高度な攻撃に対する支援・情報提供
    ① 政府の役割
     「平時・有事」の区別なく、状況に応じて、政府が率先して情報提供し、 官民双方向の情報共有を促進すべきで、被害組織が情報提供するインセンティブの設計が必要。
    ② 共有されるべき情報
     アナリスト向けの技術情報に加え、経営層が判断を下す際に必要な攻撃の背景や目的なども共有すべき。攻撃者の手法に関する具体的情報の提供も必要。
    ③ 情報提供の方法について
     セキュリティクリアランス制度の活用や情報共有ポリシーの設定により、適切な情報管理と情報共有を両立する仕組みを構築すべき。
     緊急性の高い情報発信は、発信機関ごとに差異が生じないよう、ワンボイスで行うべき。

  • ソフトウェア等の脆弱性対策
    ① ベンダの責務について
     安全な製品開発や脆弱性の対応に関するベンダの責任を規定すべき。
     安全性のテスト基準などベンダの規律を設定し、セキュアな製品の提供や脆弱性情報の報告等を求めるべきではないか。
     単にベンダに責任を負わせるのではなく、セキュアな製品開発・供給にあたっての支援も検討すべき。
    ② 脆弱性情報等の提供について
     ベンダが提供すべき情報を整理すべき(侵害有無の調査方法や緩和策等)
     国民生活等の基盤となる事業者については、政府が資産情報を把握し、関連するゼロデイ情報等を 速やかに提供する枠組みを構築すべき

  • 政府の情報提供・対処支援を支える制度
    ① インシデント報告の義務化、情報共有を促進する仕組みについて
         影響の大きさに応じ、インシデント報告を義務化すべき
     デジタルイ ンフラと電力は特に重要なインフラとして扱うべき
     官民の会議体を設置するなど、情報共有を促進する仕組みを設けるべき
    の既存枠組の効果を検証すべき
     現場レベルで官民の対応者が集結できる仕組みが必要
    ② インシデント報告の迅速化について
    インシデント報告先の一元化や報告様式の統 一化、速報の簡素化を進めるべき
    迅速な情報収集・共有のため、インシデント報告において自動化技術を活用すべき
    ③ 報告された情報の取扱いについて
     経営上機微な情報を含み得るため、慎重に取り扱うべき。
     報告された情報の利用目的を明確化し、情報の不用意な流出や制裁目的での利用防止を規定すべき

Ⅱ.通信情報の利用

  • 通信情報の利用の必要性
     乗っ取られた通信機器で構成されるボットネットワーク等の攻撃の実態を把握するためには、平時から通信情報の分析が必要
     先進主要国の状況に鑑み、日本でも、重大なサイバー攻撃への対策のため独自の分析を行えるよう、一定の条件の下での通信情報の利用を検討することが必要
     通信情報利用は先進主要国との連携でも有意義

  • 通信情報の利用の範囲と方式
     外国が関係する通信の分析が特に必要。
     日本を経由する外国から外国への通信(トランジット通信) については先進主要国と同等の方法の分析をできるようにしておく必要がある
     メールの中身を逐一全て見るようなことは、必要性もなく適当ではない
     収集したデータ全てを人間の目で判断することは不可能かつ不適切で、機械的な選別等が重要

  • 通信の秘密との関係
     通信の秘密であっても、法律により公共の福祉のために必要かつ合理的な制限を受ける。
     定められた規律の遵守を確保するための仕組みが必要で、監督する独立機関が重要。
     通信の秘密の制限に対する通信利用者の有効な同意がある場合の通信情報の利用は、憲法上許容される。同意の在り方は更に検討していく必要があるが、制度により規格化された内容による同意が方法として考えられる

  • 電気通信事業者の協力
     電気通信事業者に求められる協力が、実施可能な範囲内になるよう、明確化していく必要がある
    電気通信事業者が直面し得るリスクや負担等について回避策を十分に検討していくべき

  • 国民の理解を得るための方策
         制度の在り方の議論を深めることや透明性を確保していく視点が重要
     情報の公開が難しい部分を独立機関の監督で補う必要がある
     通信の形態の変化や各国の制度の導入の経緯を説明することで、 理解を得ていくことも重要

Ⅲ.アクセス・無害化

  • 実効的な制度構築の必要性
     被害の未然防止を目的とする重要なものであり、インシデントが起こってから令状を取得し捜査を行う、刑事手続の令状審査では対処できない
     事象や状況の変化に臨機応変に対応し、講じるべき措置を変化させていく現場対応的な力が必要
    平素から我が国を全方位でシームレスに守るための制度の構築が必要

  • 措置の実施主体・措置の対象
     日本国内においては防衛省・自衛隊、警察 等が保有する能力を活用すること、その能力を高度化することが極めて重要
     能力やリソースが限られることを勘案し、措置を講じる事案の優先順位付けを考える必要があり、国民の生命・安全に関わる重要インフラや通信・ 電力などが優先順位が高い

  • 措置と国際法との関係
     具体的にどの行為が他国の主権侵害に当たるかをあらかじめ確定することは困難。
     アクセス・無害化措置は国家実行として国際法規則の形成に影響を与える。サイバー空間での活動の特徴を踏まえ、慎重に法制度の発展が図られるべき。

  • 制度構築に当たっての留意点
         アクセス・無害化措置の適正性を確保する制度の検討(独立した立場からの監督など)、意図しない結果が生じた際の対応、現場における執行権限の必要性等に配意すべき
     個別のオペレーションに政治が個別に承認するのではなく、適切なポリシーの下で専門家集団がオペレーションを回せるようにする必要がある

  • 運用に当たっての留意点
     攻撃インフラの多重性・サイバー攻撃の技術的複雑性を踏まえ、関係国との国際連携・協力が重要。
     強度の高い措置の実施に際しては、国内法的な文脈のみならず政治、外交など他の枠組の活用可能 性を追求し、それを踏まえた総合的判断が必要であり、司令塔の存在が極めて重要。
     様々な分野における高い専門性を有する専門家が必要。そのためにも  人材の教育、登用、待遇、官民交流を含めた全体のシステムに配意すべき。

Ⅳ.横断的課題

  • サイバーセキュリティ戦略本部・NISC・関係省庁が連携した施策の推進
     事案発生時の役割や基本的な方針等を決定する役割等を踏まえて、有識者等が助言をする別の組織を設けることを含め、サイバーセキュリティ戦略本部の構成の在り方等を検討すべき
     関係省庁や地方公共団体等と戦略本部との役割分担や責任範囲を整理するとともに、関係省庁のサ イバーセキュリティ部局が物理的に同じ場所で協働できるようすべき

  • 重要インフラ事業者等の対策強化
     政府が普段から 重要インフラ等の国民生活や社会経済に対する影響度や相互依存関係を適切に把握し、必要な連携や優先度等を踏まえた対応ができるように備えるべき
     基準・ガイドライン等の手法を活用し、分かりやすく取り組むべき事項の明確化が必要

  • 政府機関等の対策強化
     政府機関等のシステムに対する不正な活動を監視・制御する技術の導入や分析の向上等、政府機関等のサイバーセキュリティ水準を強固にするための取組を進めるべき
     政府機関等の対策強化に当たっては、諸外国の取組を参考にするほか、国産セキュリティ製品・技術も活用していくべき

  • サイバーセキュリティ人材の育成・確保
     広くサイバーセキュリティに関わる人材の定義(役割、知識、技術等)付けや資格による可視 化等を通じて人材育成・確保等を進めるべき
     産学官での人材交流・流動化及び、関係省庁のサイバーセキュリティ部局の人材の任期の長期化等についても検討すべき

  • 中小企業を含めた対策強化
    基幹インフラのサプライチェーンなど中小企業のセキュリティ対策について、ツールの提供などを含めた支援を検討すべき
     大企業が下請け企業のセキュリティ対策を要請することに関して、サプライチェーンセキュリティに関する独占禁止法等の明確な整理を行うべき

  • その他の論点
     政府の司令塔は、インテリジェンス能力を高め、技術・法律・外交等の多様な分野の専門家を官民 から結集し、強力な情報収集・分析、対処調整の機能を有する組織とすべき
     サイバーセキュリティ対策の重要性を広く理解いただくための取組が必要

👥有識者意見(抜粋)

 これの整理に対して、有識者から次のような意見が出た

  • 「サイバー攻撃への対応能力を欧米主要国と同等以上に」という目標のために検討を重ねてきたが、特に制度面において主要国との差を実感し、日本のセキュリティ制度・体制の大幅な強化が必要なことを再認識

  • 「通信情報の利用に関する同意」に関して、何を通信当事者が同意すれば、その後、通信情報が利用されてこういうよいことが起きるのだ、あるいは、こういうリスクの低減措置が取られているのだということがしっかりと分かることが大事

  • 様々なプレーヤー間の効果的な連携・協働こそが、このサイバー安全保 障の対応能力の向上の肝であるということ。

  • ぜひ事務局においては、通信情報、フロー情報を「平時」において通信事業者が取得し、政府に提供し、政府が分析し、それの共有、結果を返す、そして「有事」の場合に無害化措置を取るときに、どういうオペレーションが起きてくるのか、その具体的な流れや、そこにおけるプレーヤーの役割、連携とか均衡、抑制を整理していただきたい。

  • この電気通信事業者の範囲、定義はどこまでなのかが問題。いわゆるプラットフォーマーと言われているような事業者か らもデータを取れるようにするということも非常に重要。

  • 「国民の理解を得るための方策」について、日本国民の通信の秘密を侵害するようなことが、既に行われている場合、これを止めていくために、政府が適切な形で、通信情報を利用し、未然にそうした形の侵害、漏えいといったことを防いでいくという説明の仕方もあり得る

  • 平時と有事で境がないということは強調していただいているが、それに対処できる組織の在り方というのは、もう一段深めて議論する機会があるといい。

  • 「官民連携」は良く出てくるが、「官官連携」という言葉も使ってもらい、自分たちがやっていくんだという事も示してもらえると嬉しい。

  • そもそも欧米と同等とはどれぐらいかというのをあまり分かっていない部分がある。日本独自の、みたいな見せ方のほうがいいのではないか。

  • サイバーセキュリティにおいては、現場で仕事をしている人にセキュリティをプラスする、というやり方と、セキュリティ人材にビジネス観点を持ってもらうという両面をからやっていくということはできるのではないか。

  • 今や攻撃する側がAIを利用してきているので、防御する側もAIを使わなくてはいけない。最後まで人で守っているところは、 もしかしたらセキュリティホールになってしまうかもしれない。

  • これまで国のレベルでサイバーセキュリティに関してここまで集中的に、非常に多様な議論をしたことはなかったと思っており、そういう意味では、本日報告していただいた内容は、大変重要な内容を網羅しているのではないか。

  • 民主導でも民任せでもなく、官民が連携をしてこの問題に取り組む時代となった

  • 狭義の通信にとらわれず、この全体像を見ながらサイバーセキュリティのことを議論することが重要であり、土管だけが通信だと思って取り組んではいけない

  • 通信、データ、コンピュータやデータセンター、クラウド、これに電力を加えたものがデジタルインフラストラクチャとしてサイバーセキュリティの対象になるべき

  • セキュリティの新しい組織ができた際に、その人材の所属が2年で変わってしまうようなことがないように、何とかいろいろな方法を駆使して、同じ人が世界と話ができる、こういう体制を作っていただきたい

  • 国民やメディアに勘違いされているかもしれないのは、どういう通信を収集するかという観点である。通信の本質的な中身までは収集する必要がないかもしれないが、それ以外については全て収集、分析していく必要がある。

  • 無害化措置については、サイバー攻撃だけではなく、幅広いサイバー活動、例えば偽情報や影響工作という問題もスコープに入ってくるのではないかと考える。具体的には、外国が特定のサーバーやインフラを用いて、意図的な情報操作を試みている場合、そうしたインフラは無害化措置の対象になるのではないのか。

  • NISCの後継組織あるいは新しいNISCの下に何らかの官民協議会をつくるということになると思われるが、この官民の協議体をどのように発展、充実させていくかが非常に重要ではないかと思う。あまり前例のない、お手本のない組織活動になると思われる。

  • 3つのテーマ(官民連携の強化/通信情報の利用/アクセス・無害化)は当然だが独立したものでなく非常に関連が深いと感じた。そして、それぞれについて議論があったが、これを組み合わせて見たときに初めて出る視点とか課題というのもあるかもしれない。

  • 人材育成というのは、これまでも政府諸機関が実施しており、IPA、 経済産業省、総務省、防衛省、その他もそれぞれ実施していると思う。このようにばらばらに実施していることを政府の中央組織、中央政府が把握していないということが重要な問題。

🫠感想

  • 有識者意見の中で「これまで国のレベルでサイバーセキュリティに関してここまで集中的に、非常に多様な議論をしたことはなかったと思っている」という一文があった。私は過去のサイバーセキュリティについての議論はよく知らないが、現状に非常に物足りなさを感じていたので、この言葉に強く希望を感じた。

  • 実際、これまで議論されてきた内容をひとつずつ見てきたが、かなりまっとうだし、有識者が頭でっかちにならずに、非常に地に足の着いた議論だと思った。

  • デジタル化の波が、本当に色々なものの在り方や形を変えてきており、正に日本のサイバーセキュリティにおいては、大きな曲がり角に来ているのを感じる。その中で、この有識者会議が開かれていることは本当に幸運だと思う。

  • 「無害化措置の対象に、偽情報や影響工作も含まれるのでは」という発言。気持ちは非常に分かる。現実に様々なところで影響工作等が実際に行われている状況に焦りすら覚えている。
     だが、「偽情報・影響工作」は非常に”判断”が難しい分野だ。嘘の中に少しの真実を混ぜたり、一部の主張を誇張して伝えたり…。無害化措置の対象となるかどうかの判断は困難を極めるだろう。また、曖昧にそれを強行してしまうと、逆に為政者が言論の自由を脅かす危険を孕む。
     扱いを誤れば、「無害化措置」そのものが国民からNoを突き付けられてしまうのではないだろうか。

 これでようやく有識者会議第3回の内容の確認が終わった。良い方向に話が進んでいるので、より細かい部分を決めていく際に、どれだけ実効性を持たせられるのかについても期待していきたい。

 ところで、有識者会議第4回の資料はまだ公開されていない。今ま有識者会議はおおむね1か月に一回、月の上旬に行われていたのだが、第4回はそもそも開催されたのだろうか?開催されたのなら、事務局さん、ぜひ資料をお願いします。
 無いと思いたいが、政局絡みで会議が開かれていないとかだったら、ホント勘弁してほしい。

<関連記事リンク>
サイバー安全保障分野での対応能力の向上に向けた有識者会議 第3回関係
 ・第3回有識者会議の資料の構成についてはこちらの記事
・テーマ別会合「官民連携」(第1、2回)についてはこちらの記事
 ・テーマ別会合「通信情報の利用」(第1回)についてはこちらの記事
・テーマ別会合「通信情報の利用」(第2回)についてはこちらの記事
・テーマ別会合「アクセス・無害化措置」(第1回)についてはこちらの記事
・テーマ別会合「アクセス・無害化措置」(第2回)についてはこちらの記事


いいなと思ったら応援しよう!