国の基幹産業すら攻撃対象になりつつある(神保)
神保謙氏(以下、敬称略):本セッションのテーマは「国家安全保障としてのサイバーセキュリティ」です。ビジネス環境がますます深くネットワークに依存する現代において、サイバーセキュリティは大変重要かつセンシティブな問題として台頭し、経営者のみなさまも日々、意識されている言葉かと存じます。特にここ数年、2009年から2010年にかけてサイバーセキュリティ分野はかなり新しい展開を見せているように思います。
セキュリティインシデント(不正アクセス、コンピュータウィルスへの感染など、セキュリティに関係した出来事のこと)と呼ばれる現象が深刻化していることも背景にあります。そしてそこには、リスクがグローバルに広がっているという状況、さらにはサイバーアタックの攻撃手段がかなり多様化してきているという状況がありますね。しかもその状況に、専門家でさえもついていくのがなかなか難しくなっているようなケースさえ生まれていることもあると思います。
具体的にはこれから色々な事例をご紹介いただけると思いますが、一例を挙げますとガンブラー(企業サイトなどを改ざんして閲覧したユーザーにウイルスを送る)攻撃。皆さまも聞いたことがあるかもしれません。これは改竄されたウェブサイトにアクセスしたところIDやパスワードが抜かれてしまって、結果的にさまざまな情報漏洩や攻撃に繋がってしまうというものですね。ボットネット(悪意のある攻撃者によって構築され、インターネット経由の命令によって遠隔操作をされてしまっているコンピュータ群)と呼ばれているものもあります。自分がいつのまにか攻撃者となって危害をおよぼす側になっている。しかも本人がそれに気づかない。これらの攻撃はネットの深い場所から、攻撃意図も攻撃者もインコグニーター(匿名者)となって誰なのかも分からないような形で行われる点がひとつの大きな特徴です。
また、今回この問題を提起する背景にはもうひとつ、国家安全保障という非常に大きな観点があります。これを象徴する非常に大きなセキュリティインシデントとして、2010年、イラン中部の都市ナタンツにある核施設に対して行われたスタックスネット(発電所などの制御システムを狙い、USBメモリを介して一般のパソコンから入り込む。感染後はプログラムを書き換え、システムを制御不能にする)という攻撃がありました。この攻撃によってイランの核開発プログラムが数年間は遅れてしまったとも言われています。このように、従来はネットから比較的隔絶されていた重要インフラにまで入り込んで攻撃を行うといった手法も最近は見られるようになってきました。つまり国の重要産業もしくは基幹産業すら攻撃対象になってしまっていて、サイバーセキュリティから無縁ではなくなっているということだと思います。
さらに今後は企業の事業やサービスもどんどんクラウド化していきます。つまり自社サーバで持っていたさまざまな情報がクラウド業者に移管されていく。ですから、それぞれの事業者にとってもセキュリティのあり方がさらに深く問われる年になるのではないかと、そんな風に思っています。
この問題を考えるにあたり、今回は産官学からそれぞれ傑出した方にお越しいただきました。まずはご発言の順序として、学代表の村井先生、産代表の河村社長、そして官代表の坂先生という流れに致しましょう。それぞれ7〜8分を目処にお話しいただければと思います。それでは村井先生、お願い致します。
サイバーセキュリティ“元年”の背景(村井)
村井純氏(以下、敬称略):慶應義塾大学の村井でございます。よろしくお願い致します。私自身は内閣の情報セキュリティ関係の有識者会議と申しますか、政策会議に参加しておりまして、色々な方と議論をしています。担当大臣は官房長官です。また、経済産業省でもやはり情報セキュリティに関する専門の委員会があり、そちらでは座長も務めております。そちらは神保先生にもご参加いただいております。
そういった行政との絡みもありますが、まずはインターネットの専門家として、ネットを推進する中で議論するべき情報セキュリティという視点から、本質部分を少しお話しできればと思っています。先ほど神保先生が仰っていた「今年はそろそろこの話題が来る」というのは、どの技術分野でもだいたいにおいてよく言われることです。「去年から今年が大事なときで、“元年”だ」と。現実問題としてサイバーセキュリティの分野に関してはかなりそのような部分があると私も思っています。
それは何故か。まずインターネットがグローバルに広がったことにより、人類全体でデジタル情報を共有して交換出来る準備が確実に整ってきました。もう10年ほど前にはだいたい整っていたのではないかと思っています。これがさらにインフラ化し、あらゆる社会機能、特に重要インフラもインターネットを利用して構築することで、大変効率的に運用出来るようになってきました。たとえば銀行のATMですね。従来、銀行のATMは専用線で繋がっていましたから、セキュリティも専用線で守るという形を長い間続けてきました。しかし日本では、新生銀行が一般のインターネットを銀行インフラとして活用しながらサービスを提供するという、システム上の大改革を行っています。
従来「セキュリティの関係でインターネットは使えません」と言われていたサービスでもインターネットを使うようになってきました。銀行をはじめとした金融サービスのほか、現在は緊急通信の電話までVoIP(Voice over Internet Protocol)を使いますよね。NTTの光回線を利用すると電話サービスがついてきます。電話のサービスは緊急インフラだったにも関わらず、今ではインターネットの上に乗っています。こうしたことからも、本当にインターネットが社会基盤として確立してきたと言えるのではないかと思います。
もうひとつ、セキュリティに大きく関わってくる要素があります。先ほども少しキーワードとして挙げられたと思いますが、インターネットは基本的にグローバルスペースに広がっているということです。国境がありません。情報は完全に国境を越えると言いますか、そもそも国境なる概念がないところで動いている。しかし、そこにローカルスペースもしくはナショナルバウンダリー、さらには法律が組み合わさってきて、実空間とサイバー空間との連結が確実なものになってきました。
どうして今頃そのようになったのか。主に携帯電話と位置情報の関係が挙げられます。位置情報がはっきりして地図とのバインディングが出来るようになった。そしてあらゆるサービスが位置と関連づけられるようになった。急速に発展したモバイル機器がGPS網を使い、フィジカルでジオグラフィカルなロケーションと情報を結びつけるようになった。それでさまざまなサービスに結びつけられるようになってきたのです。
ちなみに現在、『radiko』と言うラジオ番組がインターネットで放送されています。ラジオというものは県を越えるとコマーシャルが代わるという、ある種の地域性を持っています。これまではその地域性がなかったから、インターネットのラジオ放送が成功していませんでした。しかし『radiko』ではこれができるようになりました。何故かというとアプリケーションが地域や県を越えたかどうかをアプリが自分できょろきょろと見渡して「あ、自分は今、埼玉県にいる」とか、そういうことが分かるようになったからです。つまり、情報の空間と情報の地域性を完全に結び付けることが出来るようになりました。
同じようにナショナルバウンダリーの実空間とバーチャル空間も技術環境的に結びつけられることがはっきりしてきました。今までは、「グローバル空間で国境がないのだからそんなこと言っても無理だよ」となっていたところが、たとえば、「この国でこのラジオ番組は聞いてはいけない」という枠組みがあったとしたら、それが実現出来るような技術的背景が出来ました。今までは言い訳のように「グローバル空間で国境がないから仕方がない」と言っていたものにも責任が生じてしまうようになった、と言うか、責任を果たせるようになりました。
先ほどのお話にもありましたが、クラウドというのもまさにセキュリティと大いに関連するサービスですね。クラウドも去年から今年にかけて急速に出てきた技術です。クラウドでは、SLA(service level agreement)と言って、「あなたのデータはこうします」とか「こういうサービスを売ります」というアグリーメントが必要になります。「このサービスをどこでやるのかは気にしないでくださいね。このサービスを受けられればいいんですよね。データが消えたら3分以内にリカバーしますから怒らないでくださいね」といったアグリーメントを得る。それがSLAですから、実際のデータはどこにあっても構わない訳です。
よく知られているのはエコポイントに関する国民データや郵便局の国民データです。これが実はポートランドやカリフォルニアにあるということがときどき話題になりますが、「まあ、それでも良いか」と安心していられる。「SLAで『なくなったら返します』と言ってくれている。まあ良いか」と。ただ、実はこれに関してアメリカで大きな問題が生じました。アメリカの国家権力がデータセンタに入り込んで個人情報を持っていってしまったという事例があったのです。カナダとEUはこれにすぐ反応しまして「我が国の個人情報をアメリカに置くことはやめよう」というアナウンスメントを出しました。こうなると、クラウド時代の中で「完全に分散化しているから地理的な依存性はありません」と言っていたサービスについても、国民データを守るためにどうすれば良いのかという議論が出てきます。これも去年から今年の話です。
制御系ネットワークの問題も出てきました。イランの各施設などをどうするかといった事例はそのエビデンスになりますね。現在、重要インフラの制御もインターネットとの接続によって便利に行えるようになってきました。たとえば我が国はアラブのオイルプラントを制御するために、今まではすべて人を現地に送ることで対応していましたが、これをリモートで行うためにさまざまな機器、たとえば溶鉱炉のなかに入れてもきちんと働くセンサーやスイッチをつくり、すべてインターネット仕様としました。某計器メーカーなどがこの十数年つくっていたものががようやく動きはじめ、現在は日本にいながらプラント制御が出来るようになりました。戦争をしている地域の工場でも日本から安全に制御出来るようになったわけです。
この制御系ネットワークに対するアタック、いわゆる標的型攻撃という悪意のある攻撃が最近は話題になっています。そもそも攻撃には「いたずら系」と「悪意系」があって、両者は区別しなければいけません。「いたずら系」というのは愉快犯のようなものです。昔はそれが多かった。その一方で、標的型攻撃というものがあります。たとえば警察のシステムに入って、「こういうメールがやりとりされているらしいな」ということを調べる。そしてそのやりとりが分かった時点でそっくりのメールをつくってシステムのなかで流通させるとか…。それでつい引っかかってしまう。要するに手口が巧妙になってきたということだと思うのですが、そのような攻撃が増えてきました。そのように技術は日夜変わっています。これは神保先生が仰っていた「2010年から2011年にかけて考えなければいけない問題」の、インターネット側から見た背景になります。
神保:ありがとうございました。それでは次に河村社長、お願い致します。
不正データの取引市場の規模60兆円が物語るもの(河村)
河村浩明氏(以下、敬称略):シマンテックの河村です。こういったセキュリティやサイバーテロの問題に触れていると、どうも暗い話になってしまいがちです。特にセキュリティ製品のベンダーである私がこのような話をすると、どうも皆さまの不安とか恐怖感を煽って「自分たちの製品を売ろうとしているのではないか」というバイアスのかかった認識を持たれてしまいがちでして(会場笑)。ですから今日は私自身の立場を忘れまして、皆さまのお役に立てるようポジティブなお話をさせていただければと思っております。
私どもはセキュリティベンダーでございますので、日々、マルウェア(不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称)に対抗する新しいワクチン…、いわゆる定義ファイルというものを作成しております。その作成数を過去10年ぐらいに渡ってプロットしてみるとどうなるか。今から11年前の2000年、我々はウイルスワクチンを1日平均で5個つくっていました。ところが2009年には1日平均8000個を作成するようになっています。9年間で1600倍です。「ムーアの法則」はデバイスの集積度が1年半で倍になるというお話でありますが、そのさらに倍ぐらいとなるものすごいスピードで脅威が増えているということになります。それで我々も日夜、こういった対策に取り組んでいる訳ですが、特にその増加傾向が顕著に表れたのは2007年です。飛躍的に増えました。何のタイミングかというと、サイバーアタックが個人的な趣味から組織的な犯罪へと、その装いを大きく変えていった年です。それに合わせて我々の定義ファイル作成数も大きく増えてしまった訳です。
そして去年も二つ、非常に顕著な現象が表れました。ひとつ目はスタックスネットという新進のマルウェア現象です。これは去年の7月から9月にかけてイランを中心に感染が広がったものがそれにあたりますね。実際、イランにある核施設の操業が止まったという風に言われております。我々自身も最初は何が起きたのかよく分かりませんでした。しかしその後の調査でドイツのシーメンスという企業がつくっていた遠心分離機用の制御モーターをコントロールするソフトウェアがマルウェアに汚染されてしまっていたということが分かりました。このソフトウェアはウィンドウズでつくられているものです。
これは非常に巧妙な手口で、我々はゼロデイアタックと呼んでいます。世の中でまだ問題が報告されていない未知のマルウェアを使った攻撃です。イランの例で言えば、ウィンドウズ上で対策がとられていない未知のバグ4つを利用して進入させたという、非常に巧妙な手口であることが分かっています。また、こういった原子力発電所ですから当然ながらインターネットから完全に遮断されたクローズドな世界でした。それなのに何故サイバーアタックが可能になったのかということを色々と調べましたら、USBメモリが原因であることが分かりました。皆さんもパソコンでよく使っておられるUSBメモリ。そのUSBメモリにサイバーアタックを仕掛けるものが入っていて、それが原子力発電所のパソコンを通じて同ネットワークに侵入した。そしてソフトウェアが汚染されていったという、非常に衝撃的な事実が分かりました。
このような攻撃を成功させるためには相当なテスト…、事前のキーウェアテストが必要だと言われています。つまり、攻撃が個人ではなくて組織だった、あるいは国家レベルの仕掛けをしないと恐らくは成功しない仕組みのものではなかったかと言われております。そうなるとイランの原子力発電所を止めて得をするところはどこかということになりますね…。今、皆さまも二つぐらい国名を頭に浮かべていらっしゃるかと思いますが、まあ…、イニシャルIではじまる国がやったのではないかというのが、我々のなかでは言われていることです。
これは大変な脅威です。インターネットに直接接続されていないところにもこのような被害がおよぶということですから。たとえばダムや水力発電所、あるいは交通機関…、そういったインフラも麻痺させること出来る。サイバーアタックは今まで、インターネットを通じた脅威だと言われていました。しかし、そうではない方法でも可能になってきた訳です。ですから各国は非常に慌てています。NATOやEU、さらにはアメリカの会議などでは現在、セキュリティに関する議論の半分はスタックスネットの話題になっているという風に言われています。
もうひとつ、ここで大きなポイントがあります。先ほどはクラウドのお話も出ましたが、さまざまなシステム製品において標準化がどんどん進んでいるということです。クラウドでも同様です。これは別にマイクロソフトさんの悪口ではありません。ウィンドウズが特別脆弱という訳ではない。ただ、最も標準化されたプラットフォームであるがゆえに、最も狙われやすくもなっているという意味です。ですから、とてもクリティカルなインフラでオープンなシステムを使うことにも問題が出てきた。それが露見したことで各国ともセキュリティに関する取り組みを変えなければいけないのではないかと。そんな懸念も生まれてきております。私どもはそんな数々の問題を乗り越えてクラウドをはじめとしたテクノロジーを進展させなければいけないと思っております。
さらにひとつのポイントとして、ツールキットと言われているものをご紹介させてください。ハッキングは従来、私のような素人では出来ないものでした。非常に高度なプログラミング技術を持った人間だけが出来るものだった。しかし現在はそのようなサイバー犯罪の産業化ともいうべきものが進んでいます。つまり誰にでもサイバーアタックが出来るような環境になってきた。インターネットを介してスパムメールを出したりマルウェアを進入させたりするさまざまな手口が、ソフトウェアとして製品化されている。こういったソフトウェアは何千〜何万ドルという価格で裏社会に流通しています。これは去年から顕著になってきた動きです。つまり現在は、誰でも自由にサイバーアタックを仕掛けることが出来るようになってきているということです。
ちなみに2009年の1年間で、不正に入手されたデータの売買を行う取引市場がどれほどの規模になっていたと思われますか?2009年の1年間における不正データの取引市場の規模、です。冷静に考えて「どうやって計算したの?」という信憑性への突っ込みが入ると困るのですが(笑)、推定でどれぐらいだと思われますか?5億円ですか?答えは60兆円です。この規模は、たとえば麻薬市場より巨大ということです。たとえば日本人が麻薬取引の多い国に行って麻薬を買って帰り、日本で売るよりも、不正にデータを入手して売買するほうが儲かるということです。これが昔なら一部の天才ハッカーしか出来なかったのですが、それが誰でも出来るようになってしまっている。そんな風にこの2〜3年で、大きく様相が変わってきたということが言えるかと思います。
こういった犯罪者は当然ながら脆弱性のあるところを狙ってくる。たとえば中国では去年からとみにウイルス汚染が大きな問題になってきています。何故か。失礼な言い方ではあるのですが、中国の方々は個人も企業も不正なソフトを使うことが多い訳です。しかし不正ソフトの何が問題かというと、脆弱性に対応したバージョンアップがされないということです。すると新しい脅威に備えた検体が乗らない。ですから簡単に色々なマルウェアに汚染してしまう。結局、中国の人は自分で自分の首を絞めるような状況になってしまっている。このような問題もなんとかしなければいけないため、現在はさまざまな取り組みが行われています。
翻って日本はどうか。政府でも企業でもまだまだ古いバージョンのソフトをお使いになっているところが結構あります。経産省さんでも去年の11月か12月、スパムメールによる汚染事故がありました。要するに中国だけの問題ではなく、日本も備えが必要になっているということでもあります。
最後ですが、幸いなことに世の中には悪い人よりも良い人のほうが圧倒的に多い。ただし、悪い人は結託してこちらに挑んできます。それに対して良い人…、我々は皆さまが良い人だと確信していますが、そういう方々が協力し合ってサイバー犯罪に対抗しないと大変なことになると私は考えています。ですから、今後は色々なレベルで連携やコラボレーションを行っていくことがますます重要になっていくのではないかということを、最後にお話したいと思います。
神保:ありがとうございました。それでは最後に坂さん、お願い致します。
脅威を増すサイバーテロリズム(坂)
坂明氏(以下、敬称略):兵庫県警察本部長の坂でございます。兵庫と言いますとやはり広域暴力団の本拠地があるという事情もありまして、普段は暴力団対策などをやっています。冒頭では官の代表のような形でご紹介いただいたので非常に面映ゆいのですが、経歴的にはサイバーセキュリティ分野での仕事が長くなっています。従いまして、インターネットの大先達であり、IT戦略本部の委員でおられ情報セキュリティ政策会議のメンバーでおられた村井先生には以前よりご指導をいただいておりました。実は昨年の3月まで村井先生は慶應SFCで私の上司でもございました。神保先生からも、情報セキュリティ政策会議の重要インフラを担当されておられたこともあり、やはりさまざまなご指導をいただいてまいりました。また、シマンテックからも警察としてさまざまなご支援をいただいております。
さて、今日は「国家安全保障としてのサイバーセキュリティ」とのことで、私も「国家安全保障とサイバーとのあいだにはどのような関係があるか」について、改めて考えてみました。今までお話がありましたように、「重要インフラを支えるインターネット」という面もさることながら、やはりインターネットが人々の社会で広範に利用されるようになったということ自体も安全保障に影響してきているのではないか。私としてはそのように考えています。防衛の関係では中国がサイバー部隊を持っているのではないかということが話題になりまして、その詳細な報告書がウェブ上に出ています。日本でもこれに対抗する部隊をつくるという動きはありますが、いずれにせよ治安に関して言えば、現在はやはりサイバーテロのようなことがかなり具体的な脅威として想定される状況になってきていると考えています。また、産業技術に関してもゴーストネット、つまり民間企業や政府機関から情報を抜き出すというような活動がインターネットを通じて行われることも危惧されるようになってきました。
このほか、国際的地位という観点で考えると、インターネットの情報が日本の国際社会における地位にも影響を与えるのではないかという考え方が出来ます。インターネットはまさにグローバルなメディアであるためです。たとえばウィキペディアがありますね。最近、大学で講義をさせていただくと学生がすぐにウィキペディアを引用するものですから、「引用は良いけれども引用元をきちんと検証しなさい」と言っています。「ウィキペディアの情報は誰が書いたか分からないのだから、その都度原典にあたってくれ」と。そんなことを言わなければいけないぐらいの状況になっているということです。部下に調べものを頼んでもすぐにウィキペディアの情報を持ってきたりするので、「いい加減にしてほしい」と思うところもあるのですが…。実際、それほど充実した情報がウィキペディアなどからも得られるようになっており、そのデータは色々なところで典拠として使われるようになっています。ではそれを編集しているのは誰かということです。たとえば日本に関連する項目はどうなのか。そうした記述が、場合によって国家の国際的地位にも一定の影響を与える可能性があるということです。
また、最近はチュニジアやエジプトなどでインターネットを通じたコミュニケーションによって、国民が結束して政権をひっくり返すという状況も生まれてきました。こうしたことが現実に起こり得る世界です。まさに国民の意識やネットワークによる連携の力にも、インターネットが影響をおよぼすようになってきているという事実が感じられる時代になっている。カウンターインテリジェンスについても考えていく必要があります。インターネットをインテリジェンスに使っている勢力がいるということですから、日本としてもカウンターインテリジェンスをいかに行っていくかというのは大きな課題になります。情報保全という観点からも重要です。これは決して国だけの問題ではありません。地方や公共団体、あるいは企業…、こういったところも影響について考えていくべき状況に来ていると思います。
テロとの戦いというところですが、現在、テロ対策は本当に大きな課題となっております。こちらは私より神保先生のほうがお詳しいかもしれませんが、ホームグロウンテロリストという問題もあります。たった今も、それぞれの国でテロリストが育っているということです。自国で育った人間がテロを行うような時代になっている。これは外国から入ってくるテロリストの犯行に比べると防ぎにくいという問題があります。たとえば、私どもから見てもロンドン警視庁は非常に優れた能力を持っていると思えるのですが、そのロンドン警視庁がサミットの際、立て続けに交通機関を狙ったテロ発生を許してしまった。もちろん警察もテロリストについては事前にさまざまな情報収集を行い、何かあればすぐに対抗出来る体制をとっています。しかしそれでも連続してテロ発生を許してしまうのは、ひとつの集団ではなく複数、しかも散発的にテロを行うホームグロウンテロリストが出てきているということです。
こうしたホームグロウンテロリストというのがなぜ育ってしまうのか。このようなテロリストはリアルな人間的繋がりから育っていくパターンもありますが、現在ではインターネットを通じて思想を吹き込まれるようなケースも出てきています。サイバー空間での繋がりが非常に大きな要素になっていると言われています。これを世界的な規模で見てみますとテロを行うような勢力とそれに対抗する勢力が、グローバルなインターネット上で価値観の争いをしているということにもなります。どちらの勢力が価値観を世界に説得力のある形で伝えることが出来るのかと。そのような価値観の争いがテロとの戦いとも言えるのではないかと私は考えています。
併せて、国民生活への影響も考えていく必要があります。たとえば、昨年非常に話題になりました韓国と米国の政府機関に対するサイバー攻撃がありました。これは政府機関の問題とよく言われますが、実は個人のコンピュータもかなり影響を受けているという実情があります。サイバー攻撃は、実は国民生活にも非常に大きな影響を与えるということが言えます。
さて、ここで少し各論に触れていきたいと思います。まず、標的型攻撃について。この言葉は皆さまもご存知ですよね。読売新聞に以前、「『豚インフルに注意』メールに注意」といった記事が掲載されたことがあります。「注意」に「注意」というのは一体どういう意味?という感じですが、要するに「『豚インフルに注意』というメールを受信したら、それは開かないでください」という意味です。そのように、メールひとつとっても標的型攻撃が現在は大変高度になっているということです。当初はメールも日本のフォントではなかったり、日本語の文面自体も少しおかしな感じだったのですぐに分かったのですが、最近はフォントはもちろん文面も巧妙になっており、それが悪意ある標的型攻撃であるということも分かりづらくなってきました。
私のところに来たこのメールはウイルスの仕込まれたAdobe Acrobatのファイルが添付されていたのですが、タイミングとしては脆弱性に対してバッチが出たか出ないかというぎりぎりの時期に来たものです。つまり、先ほどのお話にもあったゼロデイアタックに近いものでした。怪しいことは怪しいのですが、「ちょっと開けてみようかな」という気持ちでメールに添付されているものを開いてしまう。すると妙なプログラムがダウンロードされてコンピュータが乗っ取られてしまうということです。こういった標的型攻撃の問題は経済産業省の会議でも非常に大きく取りあげられています。恐ろしいのは個人のコンピュータが完全に乗っ取られてしまうこと。「個人のコンピュータなら別にいいじゃないか」と思われる方はいるかもしれませんが、それが重要インフラを含む制御系に侵入できるコンピュータというケースはあり得る訳ですね。制御系のシステムはたとえばVPN(Virtual Private Network)やセキュアな特性を持つNGN(Next Generation Network)経由のようなネットワークを利用してセキュリティを確保しているかもしれません。しかしなんらかの形で個人のコンピュータが制御系にアクセスする権限を有していれば、そこからシステムに接続出来てしまうということになる訳です。
当然、このような脆弱性に企業として対策をとっているところは多いと思いますが、場合によっては出勤出来ないときに在宅でオペレーションが可能になっている会社もあるでしょう。そういったことまで考えていきますと、やはり標的型メールで個人のコンピュータが乗っ取られるということは、実は重要インフラが脅威に、さらには企業活動が脅威にさらされるという可能性もある訳です。この標的型メールは場合によっては、大変巧妙なつくりになっていて、知っている人のシグニチャがついてくるときもあります。ですからそのような具体的事例の情報をいかに共有していくか。そういったことも課題になっております。また、使い手側ひとりひとりの意識を高めることはとても大切だという風に感じています。
それから、たとえば日本のウェブサイトに対して一斉にDoS攻撃が来るといったようなケースは、これはやはり業務妨害になります。ですから警察庁から攻撃の出元となっている国に対してICPO(International Criminal Police Organization)ルート、あるいは外交ルートなどで捜査協力をお願いしたりします。日本のサイトだけが攻撃されるということであれば、攻撃側からすればある意味で愛国的行為のように考えられている訳ですね。とにかくそこに対しては日ごろから捜査協力を積み重ねていくことで、相手国側の機関も協力してくれるようになるというところがあります。その意味ではネット上の技術的対抗手段に加えて、人的なネットワークも含めた、サイバー攻撃に対抗する国際的なネットワークを構築していく必要もあると考えています。
神保:ありがとうございました。それぞれのお立場からサイバーセキュリティの課題をお話しいただきました。色々な論点をご提示いただきましたが、ここでは敢えてそれらを整理せず、御三方には「今のお話ではここが気になりました」という部分について個別に質問させていただきたいと思います。そのあとに、フロアの皆さまへ質問を振っていく流れと致しましょう。
村井先生のお話で大変興味深かったのが、インターネットという元来であれば空間を超える存在が、位置情報とリンクされたことで色々な可能性が生まれたという点です。他方で、たとえば国の経済活動というのは国境を超えることもある訳ですが、国の法制度で拘束力が確実に効くのは国の内側に対してですよね。となると、たとえばアメリカに愛国者法が出来て情報セキュリティに対する考え方が変わったりすると、アメリカにデータを置いていた事業者はずいぶん影響を受けてしまう。結局、国境を越えているものと国内にこもるものでパラドクスが生じてくるように思えます。村井先生としてはそのような国境の問題とどのように付き合っていけば良いとお考えでしょうか。
ローカルとグローバル、それぞれのレイヤーで考えるべきこと(村井)
村井:これは本当に大きな問題で、そもそも我々はインターネットで何をやっているのだろうというところです。恐らくG1の他セッションでもなかなか区別されない部分ではある気がします。つまりグローバルなサイバー空間の出現でどのようなイノベーションが起きていくのか。そういった問題が提起されるようになったということで、本質的に言えば二重構造、つまり「グローバルなサイバー空間における社会づくりが急速に進んでいます」という話と、地上の社会づくり。この二つがあるのだと思います。
しかし、すべての議論がこの二つをごっちゃにして進められている。たとえば「インターネットが出来たせいで子どもが変な情報にアクセスする」と言う人がいますよね。インターネットが出来たからアクセスするようになったのではありません。子どもにどのような情報を与えるかという問題です。我々が子どもにどういう教育をすれば良いのかということであれば、それは今まで通りの理念で良いと私は思います。ただし状況が変わった訳ですから、それにきちんと対応していこうねと。私のところにも「ネットの上で悪いことが起こった。村井のせいなのできちんと責任を持って答えなさい」という話がたくさん来ます。インターネットでねずみ講が流行ったら、「ねずみ講を流行らせたインターネット悪い。どうしてあんなものをつくったのか」という取材を実際に受けたこともあります。ねずみ講は悪いことですが、それはインターネットと関係ないでしょうと私は思いたい。厳密にはまったく関係ないのではなくて、「すぐにできるようになってしまった」という現象がある訳ですが。
本質的にやらないといけないこと、裁かなければいけないこと、あるいは国を超えた犯罪…、こういったものはもともとある訳です。ですからそれをどのように見直していくのか。グローバルに繋がることで大量の情報がものすごい早さで流通し、そしてさまざまな展開をするというこの時代に、何をどのように見直していくのか。これがナショナルセキュリティという面から見たひとつのアプローチだと思います。
また、グローバルな空間は誰がどのようにつくるのかという問題もありますね。グローバル空間のガバナンスやコンセンサスとは一体何か。そしてそれをどうやってつくるのか。これが出来ていない。従って、グローバル社会をつくるというもうひとつの大きな使命があると思っています。
まとめます。まずはインターネットを前提にしたローカル社会における安全に関するミッションに対して、私たちはこれからどのステークホルダーと何をすべきか。ここについてきちんと考えるのが一点目。二点目は、グローバルなサイバー空間をどのようにつくり、日本はそこにどういった形で貢献していくのか。また、どのようにしてそこに参加する人材をつくりだしていくのか。この二つを分けて議論できると素晴らしいのではないかと思います。
神保:ありがとうございます。次は河村社長にお伺いしたいと思います。今度はビジネスというコンテキストからこの問題をどのように捉えるか、お聞かせください。ひとつは私の興味でもあります。河村社長としては、たとえば5年後に直面しているセキュリティリスクというのは、一体どのようなものになっているとご想像していらっしゃいますか?二つ目の質問は、ビジネスにおけるセキュリティリスクとの付き合い方です。決済、会計、あるいは法務…。さまざまなビジネスがサイバー空間へ移管していくなかで、我々はサイバー空間とビジネスの関係をどのように規定すべきなのかというお話をぜひお伺い出来ればと思っています。
個人や企業がサイバー空間で快適に、自信を持ち、行動出来るようにしたい(河村)
河村:まずは5年後にどうなっているかというご質問ですが、2009年であれば毎日8000件の定義ファイルをつくっています。もう本当に四苦八苦しています。私としてはこれを解決する鍵が、先ほど村井先生のほうからありました「グローバルなサイバー空間でガバナンスを効かせる」というお話だと思います。企業の単位でも国家の単位でもそういったガバナンスをまとめるのはなかなか難しい状況ですよね。実際のところ、今は中国やアメリカやロシアなどすべてを巻き込んで、サイバー空間におけるグローバルなガバナンスをつくるためのものすごい戦いが続いている状況だと思います。そして5年後もそれは恐らく解決出来ず、我々も含めて四苦八苦しながら続けているような状況なのかなと思います。
二つ目のご質問ですが、我々はやはりメーカーですから、テクノロジーのイノベーションで今後も勝負したい。何かが便利になれば脅威も増えるものです。クラウドひとつとっても簡単には普及出来ないと思っています。セキュリティ面や情報の保護といった課題をどうしていくのか。問題はたくさんあります。そこに対する我が社の方針を個別にお話しするのも恐縮ではありますが、シマンテックの基本的な考え方は、「我々が守るのはデバイスやシステムではなく人と情報だ」ということになります。特に数年、鍵となる技術はID認証と暗号化であると考えています。この二つが安全な商取引やコミュニケーションにかなり役立つのではないかなと思っているので、我が社としても力を入れています。また、自社の開発だけではなくM&Aも通して次々にイノベーティブなテクノロジーをつくりあげる。個人や企業がもっともっとサイバー空間で快適に、自信を持ち、行動出来るようにしたい。今後ともそういうことを背伸びしながらも続けていきたいと思っています。言い換えれば、そこでうまくいったところが将来の成功を掴むことになるのではないかと思います。
神保:ありがとうございます。最後に坂さんにお伺い致します。私も村井先生の情報セキュリティ政策会議における分科会のようなところに加わって議論を垣間見ているのですが、今、内閣官房にはNISC(内閣官房情報セキュリティセンター)という組織が出来ていますよね。そこが全体の情報セキュリティ政策を一応統括するようなことになっている。ただ、私が外部から見た感じでは、やはりNISCというのはかなりボランタリーな組織だなと。基本的には事業者や専門家がさまざまな知見を持ち寄って情報を共有し、何らかのリスクが起きたときにはその相互依存性みたいなものをうまく解析して調整しましょうというメカニズムの組織だと思います。しかし、恐らくこれは諸外国のモデルと比べると強制力がかなり弱い。この場合、リスクの共有はするけれども、それにどう対処していくかという段階で難しい壁にぶち当たるような気がします。たとえば「情報を開示してください」というと、そこに企業の秘匿という権利がぶつかったりする。ですからその法整備が十分に進んでいないという状況があると思っています。そこでお伺いしたいのが、坂先生のお立場から見て、政府で進める情報セキュリティ制度というものがどうあるべきなのかという点です。政府のなかで各省庁がどのようにセキュリティリスクを管理するかという問題もありますが、同時に政府と民間との関係というところにどう向き合うべきか。ここについて少しご意見をいただきたいと思っています。
情報システムの共有をどう進めていくか(坂)
坂:大変難しい問題ですね。たしかに情報共有を中心として進めてきた政府の情報セキュリティ対策ではこれまで非常に苦労してきた面があります。特に一般企業の方々にとって情報システムは事業の根幹ですから、その情報を外に出すということについて大きなご懸念があるのはよく理解出来ます。しかし情報インフラに対する攻撃に関してはやはり情報を共有しなければいけない。グローバルな空間でさまざまな組織が色々と組織的に攻撃を行ってくる可能性があるということを考えると、やはり情報共有は必要だと考えています。
もうひとつ重要なのは、しっかりと攻撃を遮断して事業を継続していくことと併せて、攻撃元を特定していくという作業になります。少なくともどのような形で、かつどのような意図で攻撃しているのか。これが分かるような情報をやはり政府としてしっかり把握出来るような体勢をつくる必要があると思っています。具体的なやり方については色々な議論があるとは思いますが。
ただ、日本の場合は情報を収集するための手続きなどについて非常にしっかりとした法整備がなされていますよね。ですから情報共有に関しても適正な手続きに則った対応をしていくことで、今後もご協力いただけるような体制つくりの努力を続けていくということに尽きると思います。そういった点については他国からみても非常に安心感があり、正直な部分があると思っておりますので。それで他国にやられっぱなしという部分もあるような気はしますが(笑)。いずれにせよ、情報セキュリティの運用などについてもそのような面は活かせるのではないかと考えています。
神保:たしかに正直さというのはこの世界では必ずしも褒め言葉ではないような気もしますが(会場笑)。村井先生はいかがでしょうか。この点について。
村井:やはり日本は情報や通信の秘匿に関する法律が機能していますし、警察との関係においても、ある意味で透明性がありますよね。秘密警察などがプロセスを経ずにデータをとっていくとか、そういうことはありません。学生と話していても、「データは安全に保管しよう」と言うと「政府に預けましょう」と、皆言う。「どこの政府を前提にして考えているんだ?」と言うのですが、日本にいるとやはり安心してしまう。まあそれはともかく、いずれにしても制度面での、あるいは技術面での課題を含め、色々な意味で信頼を確立させていくという努力は我が国としても継続していくべきだと思います。これは大きなビジネスチャンスにもなると思っていますので。
神保:ありがとうございました。さまざまな論点が出てきたところではありますが、それではここからフロアにいらっしゃる皆さまのほうへマイクを振ってみたいと思います。いかがでしょうか。
今こそ、国、企業をあげてサイバーディフェンスに重点的に投資すべき(河村)
会場:数カ月前に『フィナンシャル・タイムズ』で読んだ記憶があるのですが、アメリカはサイバースペースを、陸、海、空、宇宙に続く5番目の防衛カテゴリーとして明確に定義し、そのうえでセキュリティ組織をつくったということです。これは非常にロジカルで分かりやすいと思いました。翻って日本は、色々な意味でスパイ天国だと言われたり、防衛はアメリカに頼りっぱなしであったり…、アメリカのような戦略や考え方がなかなか出来ていないのかもしれないと思っております。この点についてはいかがお考えでしょうか。あと、村井先生が仰っていたビジネスチャンスというところで思い浮かんだのですが、たとえばスイスはつい最近まで金融業で個人のデータなどを外部に出さなかったがゆえにお金が集まった訳ですよね。そう考えると、たしかに日本のセキュリティに関する良心的でかつ技術の裏づけがあるトラストというのはビジネスチャンスに繋がるかもしれないとは思います。ただその一方で、やはり防衛などを他国に頼り過ぎているといった自主性のなさが、ほかの国から信頼を得るためのネックにならないかという印象も持ちました。この点についてもご見解があればお聞かせいただきたいと思っております。
村井:今のご指摘はある面でその通りだと思います。ただ、最初の定義に戻りますが、ローカルなシステムとグローバルな情報空間におけるセキュリティシステムとの二つがあって、この両方が関係してきます。後者のグローバルなセキュリティシステムについて考えてみると、これはひとりではできない。必ず連携して、世界で力を合わせなければいけない。ですからフィジカルの軍備ということではなく…、もちろん自分の責任は自分で果たしますが、そこからさらにグローバルな空間で連携するという責任がある訳で、むしろそこが重要になると思っています。
たとえばインターネットが動くとき、絶対に必要となるものがあります。ルートネームサーバー、つまりDNSですね。各種のセキュリティインシデントもすべてここに帰着します。地球上でこのインフラを動かしているのは日本を含めた13のエンティティです。これは完全に連結しており、セキュリティについても基本的な責任を負っています。そしてその連携による成果としてセキュリティレベルはどんどん上がっています。難しい問題を次々と解決しながらも進んでいます。これはどの国家にも依存しない活動で、ただただエンティティが連携してやっている。グローバルガバナンスの確立やグローバルイシューに対する意思決定をする組織がそもそもない訳ですから。ですからこれは、そのようなインターネットガバナンスやグローバルガバナンスに関する人類としての最初の実験です。
ご質問にあった懸念に対して私が楽観的なのは、そういった技術的調整や事故が起こったときの対応に関してグローバルな連携ができているという事実があるからです。また、日本がたとえばフィジカルな軍備で遅れをとっているとか、予算は十分についていないとか、そういったロジックがサイバースペースではあまり足かせになりません。そういう意味でも幸いではありますが、グローバルかつシームレスに連携しながら進めていくという部分について言えば、上手にシステムが働いているのではないかと思っています。
河村:私としては、日本は恐らく他国と同じことをやっていてもなかなか勝ち残れないから、あくまでユニークな価値を追求すべきだと思っています。具体的にはサイバーディフェンスの強化ではないかと私は考えています。国家としてフィジカルな軍備に対する投資を抑えてでも、サイバーディフェンスのほうに重点的な投資をするべきではないかと思っています。
もうひとつ。グローバルなアランアンスでガバナンスをつくっていくにはかなりの時間がかかると思います。待っていられないので、いかにサイバー空間で効果的にアライアンスをつくっていくかが問われると思うのですが、私としては当面はやはりアメリカしかないと思っています。アメリカに頼るというよりも、言い方は悪いのですがアメリカを利用するといった考え方です。彼らが持っているノウハウを徹底的に活用していく。実際に我々も各国の部門と仕事をしていますが、日本政府もそういった働きかけはどんどんしています。非常に良い傾向です。
情報セキュリティ技術者というなかなか難しい認定レベルがあるのですが、それがアメリカには4万人いて、日本には1200人しかいない。4万人対1200人。今は日本独自のものをはじめても恐らく10年はかかってしまいます。ですからそのあいだ、いかにうまくサイバーセキュリティを立ち上げて、国家として、または企業として安全性を担保するかというところを、今は血道をあげてやるべきなのかなという感じがしています。
坂:ビジネスにおける信頼というお話についてですが、思い切りお答えを逸らしてしまうようで恐縮なのですが、ビジネス関係の前にまず、「国として大丈夫ですか?」と問いたいです。
アメリカでは「信頼されている」とか「秘密を守る」ということについてセキュリティクリアランスという資格制度をとっています。これはいくつかの要件をクリアした人に与えられるものです。要するにその人が信頼に足る人か否かをチェックするというものですが、これはもう金融機関や医療機関が保有するデータに加え、たとえば航空会社が保有する移動履歴のデータなどすべてを政府にさらす形になります。申請書にも「どこに住んでいたか」、「どういった職に就いていたか」、さらには「どういう結婚をしたか」などについて、それを証明してくれる人の名前とともにすべてを書きます。そのような審査を経たうえで取得出来る資格です。民間人についてもこうした国家的な重要事項に携わる人は全員が審査を受けるという形です。
米国だけでなくほかの国々もそうですが、こういった形できちんと審査されているセキュリティクリアランスに我々も対応していかなければいけない。本来であれば国と国との関係でも、形式的には同じセキュリティクリアランスレベルの人とでなければ情報交換はしないというのが国際社会の原則です。そうした意味で、現在は日本でも同様の制度が2009年から導入はされているところではありますが、まだまだこれから魂を入れていく段階ではないかなと思っております。こうした制度的担保というのも信頼を確保していくうえでは重要なのではないかと考えております。
神保:そのセキュリティクリアランスで運用を誤った最大の例がウィキリークスという問題なのかもしれないです。まさにクリアランスレベルとヒューマンエラーが融合したといった感じが致しますし。
坂:そうですね。ただ、ウィキリークスはまさにテロ対策のための情報共有によって多くの人に権限を与えたために生じてしまった問題です。情報漏洩を防ぐというより、むしろ情報共有をするためのセキュリティクリアランスということなので…、まあここは大変難しいところですが。
神保:ありがとうございます。ではあと少しだけご質問を募りましょう。まとめてお二方ぐらいからいただきまして、そのあと最後にパネリストの御三方へ戻したいと思います。いかがでしょうか。
会場:世界で毎年60兆円にあたる不正データが売買されているという部分についてですが、そうすると日本はGDPの規模も考えると5〜6兆円なのでしょうか…。こういった部分でのセキュリティに対して、特に予防保全的にどのぐらいのコストをかければ良いものなのでしょうか。コストとその効果について、どのように考えたら良いかをお聞かせいただきたいと思っています。
会場:「良い人たちが協力してサイバーアタックに対抗していかなければいけない」というお話についてですが、そこで組織のリーダーは何をすべきなのかという点をお伺いしたい。また、産業機械とインターネットを繋いでいくという際、メーカーとしてはどういったことに気をつければ良いか。どういった協力が出来るかということについてもお伺い出来ればと思っております。
河村:コストパフォーマンスについて「ここまで」という定量的なデータはないのですが、たとえばバージョンアップをきちんとやるとか、そういったお金をかけない基本的努力で解決出来ると思っています。そこへさらに我が社として新しい技術を使うことでよりセキュアにしたいと。そういった感じですね。
あとは、やはり企業または国家のレベルでセキュリティのプロを育てていくこと。我々シマンテックはそういうことを…、売り込みになるといけませんね(会場笑)。儲からなくても良いから地道にやっていきたいと思っております。あとはサイバーセキュリティに関する啓蒙活動などの部分を、我々としてもう少しレベルアップしていきたいとは思っています。
村井:コストをどのぐらいかけるべきかという問題は難しいのですが、まず行政の仕組みとしてきちんとつくらなければいけないと思います。それから私としては、民間だってもっとインセンティブやモチベーションのメカニズムをつくるべきだと思います。たとえば「こういった基準でセキュリティ対策をしています」という明示があれば市場で高く評価されるとか、アナリストの評価が高くなるとか…。そんな仕組みがとても大事になると思います。
神保:ありがとうございました。そろそろ時間がやってきてしまいました。やはりインターネット空間の本質というのはグローバルであると。そしてグローバルな空間にはルールがないからこそ、ガバナンスをつくっていかなければならない。重要な問題提起だと思います。ただ、ルールが出来るまでは時間がかかるので、そのあいだは民間の信頼性をどこまで社会のなかで確立していくかという論点についても議論していくということですね。私としては今回、大変にエキサイティングな議論が出来たと思っています。来年もまた同様の議論を続けていけたらいいなと思いました。皆さま、本日は誠にありがとうございました。改めまして3人のスピーカーに盛大な拍手をお願い致します(会場拍手)。
