◎『誰が安倍晋三を殺したか』(第3章 ガラパゴス・サイバー国家①)
シールドがなかった防衛省
形式に流れる日本の危機管理はサイバー面も例外ではない。象徴的と思われるので、日本の安全を任務とする防衛省・自衛隊のケースを紹介しておこう。
2008年7月28日、私は防衛省・自衛隊で相次いだ事故や汚職など不祥事を考えるヒアリングに、作家の杉山隆男氏とともに招かれた。
ヒアリングは、東京・市ヶ谷の防衛省A棟11階の第1省議室で行われた。私の正面には石破茂防衛大臣、右手に増田好平防衛事務次官、左手に江渡聡徳防衛副大臣が座り、私の左に斎藤隆統合幕僚長、折木良一陸上幕僚長、赤星慶治海上幕僚長、田母神俊雄航空幕僚長、右手に五百旗頭眞防衛大学校長、後ろに外薗健一朗情報本部長がいた。
会合の冒頭、私はポケットから携帯電話を取り出し、「これは何ですか?」と問いかけた。
石破防衛大臣以外、意表を衝かれたのか、全員が驚きの表情を浮かべていた。私は語気を強めた。
「部外者の私が、防衛省の中枢に携帯電話の持ち込みを許されるというのは、いったいどういうことでしょうか。防衛省・自衛隊は、民間企業でも当たり前の常識すら、持ち合わせていないことになる。危機管理の基本が、全くなっていない。私は、携帯を預けさせられることを前提に、携帯をもうひとつカバンの中に忍ばせてきたのだが、そのチェックすらされなかった。驚きを通り越して、呆れてしまう」
私の携帯にはアンテナマークが3本立っていた。私は続けた。
「この部屋には電磁波のシールドがない。外部から簡単に盗聴できるだけではない。私が携帯を通話状態にしておけば、防衛大臣や統合幕僚長、陸海空の幕僚長の会話が外部に漏れるということだ。この緊張感のなさは、いったい何なのですか。防衛省・自衛隊が世界の常識である『平時の戦争(peacetime war)』を戦っていないことの表れと言わざるを得ない」
ヒアリングのあと、石破大臣は私に「まったく情けない。恥ずかしい話だ」と言ったが、石破氏は私が携帯を持ちこむのを分かった上で、ヒアリングに呼んだのだった。
この当時でも、先進国の駐日大使館では、パブリックスペースから内部に入るとき、携帯は電源を切ったことを確認した上で、中が見える鍵付きのロッカーに預ける決まりになっていた。民間でも先端技術を扱うメーカーでは、個人の携帯は持ち込み禁止で、会社が配布した携帯しか使えないところも少なくなかった。だが、2008年夏の防衛省・自衛隊は、そのレベルにも達していなかった。
防衛省・自衛隊の名誉のために付記しておくと、私が指摘した直後、パブリックスペース以外に立ち入るときは携帯電話の電源を切って預ける措置が取られた。電磁波のシールドも施されたとのことだ。
この会議で私が述べたサイバー面以外の防衛省・自衛隊が抱えていた問題の詳細は第5章で明らかにする。
アメリカに20年、韓国にも10年の遅れ
私がサイバー面の危機管理に関わるようになったのは、2003年に政府に提出した報告書『米国におけるネットワーク・セキュリティの現状』がきっかけだった。
この報告書を公開することはできないが、本書では報告書の大まかな内容を明らかにし、日本のネットワーク・セキュリティの課題を考えていきたい。
報告書をまとめたきっかけは、2002年夏、住民基本台帳ネットワークシステム(住基ネット)の安全性が問題となっていたことだった。私は住基ネットをベースに電子政府実現に向けてのセキュリティを確立するため、調査委員会を立ち上げるべきだと政府に提案、委員に就任するとともにアメリカの実情についてのリサーチを委託された。
とにかく、国際水準を前提に眺めたとき、(1)住基ネットを推進する側も、反対する側も、どのような社会を実現していくかの前提条件抜きに議論しており、(2)電子政府に至るネットワーク社会への取り組みは、原子力エネルギーを扱うのと同様の危機意識が必要なのに、「失敗すれば国を傾けかねない」という認識が官民ともに希薄、という印象を抱かざるを得なかった。
まず私は、アメリカでの調査に先立って、関係政府機関や民間企業に聞き取り調査を行なったが、そこにおいて早くも(1)ネットワーク・セキュリティに関する国家的イニシアチブの不在、(2)官民ともに、ネットワーク・セキュリティに関する問題意識と情報を共有していない、(3)国際水準を満たしたネットワーク・セキュリティへの取り組みが存在しないうえ、物理的セキュリティの重要性を認識していない−−など、上記の懸念を裏付ける結果を確認することになった。
当初、調査は2003年1月に開始する予定だったが、イラク戦争の勃発により遅れが生じ、同年4~5月にアメリカを訪問し、各方面へのヒアリングやその他の調査を実施した。調査結果は同年8月にまとめられた。報告書は870ページもの分厚いもので、15部のみ作成された。そのうち1部は小泉首相に、もう1部は麻生太郎総務大臣に提出され、1部は私が保管している。残りの12部については、総務省市町村課に収められた。
予想していたとはいえ、アメリカでの現地調査は事前調査で浮かび上がった課題を裏付ける結果に終わった。そのうえ、(1)「外部からの侵入はファイアウォールや専用回線によって阻止できる」とする日本の認識は世界の笑いものになっている、(2)各国の連絡官組織に要員を派遣していないのは、先進国では日本だけ など、日本のネットワーク・セキュリティの後進性を象徴する問題点が浮き彫りとなった。
報告書の冒頭で、私は次の緊急提言を行った。
(1)国家的イニシアチブの中核として、IT版「危機管理庁」を設立すべきである。
(2)重要インフラのセクターごとにISAC(アイザック、情報共有分析センター)を設置すべきである。
(3)IT版「政府存続計画」を立案、法制化すべきである。
(4)テロリストや犯罪者の立場で侵入テストするための法律を整備すべきである。
残念なことに、2024年段階でも提言のほとんどが実現していない。(2)のISACについては、最も重要であるはずの金融分野においても半数近い企業がサイバー攻撃に対応する計画を持ち合わせておらず、その他の重要インフラ分野では業界団体に名ばかりの組織が存在するのみだ。(1)、(3)、(4)についても、日本では話題にすら上っていない。
調査を行った2003年段階の日本のネットワーク・セキュリティは、アメリカに20年、韓国にも10年ほど遅れをとっていた。技術的には2~3年程度の遅れだったが、日本の政府や企業は一度対策を講じると安心する傾向にある。そのため、1~2年の間に、日進月歩のアメリカや韓国に大きく水をあけられてしまうのだ。
アメリカでの調査では、多くのハッカー出身の専門家にヒアリングを行った。
彼らは、「日本には我々と同レベルの人材が常に2~3人しか存在しない。技術大国の日本だから何百人も出そうなものだが、日本の子どもは受験競争の勝者になるための塾通いに謀殺され、幼児期からコンピュータに接していない」と、日本の教育の問題点を指摘していた。
また、「日本の政府や企業のネットワーク・セキュリティは穴だらけだ。ネットから侵入できない日本の組織は基本的に存在しない」とも豪語していたが、それから20年が経過しても日本の低水準ぶりは続いている。
アメリカでの調査を受けて、私は内閣官房の内閣官房情報セキュリティ対策推進室に設置されていた緊急対応支援チーム(NIRT)の強化に動いた。当時のNIRTは人員9人。サイバー・セキュリティを任務としているとはいっても、形ばかりの組織だった。
私は関係する閣僚全員と面談し、内閣官房情報セキュリティセンター(NISC)の創設に漕ぎ着けた。今日の内閣サイバーセキュリティセンター(NISC)の母体である。
担当の麻生太郎総務大臣、中川昭一経産大臣、谷垣禎一財務大臣は積極的に協力してくれ、谷垣大臣などは関係があるからといって情報通信技術(IT)担当の棚橋泰文大臣の日程まで押さえてくれたほどだ。しかし、NIRTからNISCへの変遷を経ても関係省庁からの出向者の寄せ集めの弊害は払拭できず、国際水準の能力を備えることなく今日に到っている。
私はコロナが蔓延する前の数年間、シンクタンクなどが主催するサイバー・セキュリティのセミナーや勉強会に、時間の許す限り参加するようにしてきた。サイバー・セキュリティの分野は日進月歩で、学習を怠ると取り残されてしまうという危機感を抱いたからだ。
しかし、そうした勉強会に参加して明らかになったのは、日本の政府や企業が、私が2003年に報告書で指摘した問題に未だに悪戦苦闘し、克服できていないという現実だった。
勉強会に参加する大企業の上級研究員やサイバー担当役員は、問題の所在を依然として理解しておらず、質疑応答の際に、私が2003年に首相に提出した報告書に勉強会のテーマになっている問題が既に記載されていたことを指摘しても、誰も報告書の存在すら知らなかった。
情報漏洩事件が発生すると、政府・自治体や同業他社は、まず「自分の組織は大丈夫か」と調査を行う。しかし、その時点でのセキュリティに関する知識や技術レベルで、しかも慌てて調べるわけだから、通り一遍の調査しかできない。当然ながら漏洩の証拠など見つかるわけがないのだが、悪いことに、日本の組織は漏洩の痕跡が見つからなかったことを根拠に安心してしまうのである。
このような「調査」においては、情報取り扱いに関する検討委員会を立ち上げ、特定の文書をどの文書ロッカーに鍵をかけて保管するか、コンピュータ室の管理者を誰にするかといったことを決定し、書類にまとめて各部署に配布し、多くの場合、以上で一件落着となる。決められた通りに確実に実行されているかどうか、全組織を挙げて毎年チェックするところまでは至らない。
サイバー犯罪者の能力は日進月歩で高まっているにもかかわらず、多くの役所や企業は、ソフトウェア納入業者やコンピュータ管理会社に業務を丸投げした時点で、安心してしまうのだ。
能動的サイバー防御だって?
政府は2024年6月7日、サイバー攻撃を未然に防ぐ「能動的サイバー防御」の導入に向けた有識者会議の初会合を首相官邸で開いた。
能動的サイバー防御は、被害の未然防止を目的に平時から通信を監視。攻撃の予兆を検知すれば相手方のサーバーに侵入して無害化する措置を指す。防御対象は政府機関や電力、通信、空港などの重要インフラを想定している。
会議はサイバー防御に詳しい専門家ら17人で構成。座長に佐々江賢一郎・元駐米大使が就いた。会議を担当する河野太郎デジタル相は議題として▽官民の情報共有▽攻撃に悪用されるサーバーの検知の在り方▽政府への権限付与―を挙げた。テーマごとに作業部会を設け、議論を進める。会議の成果を数カ月以内に取りまとめる方針という。
このニュースを聴きながら、またかと落胆せざるをえなかった。17人のメンバーのうち一人として、世界に通用するネットワーク・セキュリティの専門家が含まれていなかったからだ。
別項で述べるが、サイバー・セキュリティは重要ではあってもネットワーク・セキュリティの一部でしかない。会議の冒頭で、その点を指摘した専門家がいないとあれば、これまでの首相官邸の会議と変わるところがなく、サイバー防御など期待できそうにないと思った。
また、日本のサイバー・セキュリティにすっぽりと抜け落ちているのは、サイバー攻撃の主体に対する物理的反撃の議論である。
ハッカー集団などの拠点を突き止めたら、サイバー面で反撃するだけではない。可能なら踏み込んで逮捕するし、場合によっては殺害する。国境を越えてミサイル攻撃する場合もあり得る。それが日本以外の国のやり方だ。
その問題が政府の会議のテーマに上がらないことを見ただけで、日本の議論が世界の現実に無知であるか、いかに井の中の蛙か、わかるだろう。
私が能動的サイバー防御の有識者会議にそんな想いを抱くのは、様々な分野について設けられてきた首相官邸の会議こそ日本の重要課題への取り組みが形式に流れてきたことの象徴的存在だからである。
重要分野のセキュリティを例に取れば、原子力や道路交通の専門家でなくても、セキュリティの専門家であれば、原子力発電所や道路交通システムについて、一定のセキュリティ対策を講じ、安全を確保することが可能だ。
しかし、その逆は成り立たない。原子力の専門家やノーベル賞級の物理学者を何人連れてきても、セキュリティ対策はできないのだ。サイバーはむろんのこと、宇宙、海洋など他の分野も同様である。
それなのに、政府はその点を理解しておらず、官邸の会議に担当大臣の人脈や過去に付き合いのあった学者やコンサルタントを並べてしまう。他の政府・自治体や多くの企業の審議会や委員会が機能しないのも、原因は同じところにある。この問題は私自身が委員として経験してきたことでもある。
私は政府や巨大インフラ産業について、コンピュータ・センターを中心とするセキュリティ・チェックを担当したことが何度もある。
そのたびに、セキュリティの穴を見つけ、早急に対処しなければならないと報告書を提出してきたが、そこに至る過程で「なぜ小川氏に頼むのか」という声が少なからず上がった。「小川氏は軍事の専門家で、セキュリティ問題全般についても専門家に違いない。しかし、我々の業界(または役所)の仕事については専門外で、何一つ知らないのではないか。それなのに調査を依頼できるのか?」というのだ。
これは、セキュリティ問題について全く理解しておらず、日本でしか通用しないレベルの専門家の肩書きに振り回されてきた結果である。
ある電力会社のトップと会合で立ち話をした際、「我が社の原子力発電のセキュリティは万全で、東京電力など目ではない。我が社のセキュリティ対策が日本のスタンダードだ」と豪語したので、私が「貴社にはセキュリティ上のこのような穴がある」と具体例を指摘したところ、その経営者は不機嫌そうな顔で立ち去ってしまった。
しかし横にいた別の電力会社のトップは、「小川さんのおっしゃる通りだ。原子力の専門家でなくても安全対策はできる」と言った。この人の認識が正しいことは明らかだろう。企業のセキュリティ対策がどの程度進んでいるかは、経営トップがどの程度理解しているかによって、大きく左右されるのである。