2014 年 01 月 27 日
第 2 回:サイバー攻撃と企業の知的財産の防衛
対談者ご紹介
伊東寛(いとう ひろし)様
株式会社ラック 理事 兼 ナショナルセキュリティ研究所 所長
株式会社ラック 理事 兼 ナショナルセキュリティ研究所 所長。工学博士。1980 年、慶応義塾大学大学院(修士課程)修了。同年、陸上自衛隊入隊。以後、技術、情報およびシステム関係の部隊指揮官・幕僚等を歴任。陸自初のサイバー戦部隊であるシステム防護隊の初代隊長を務めた。2007 年に退職後、株式会社シマンテック総合研究所主席アナリスト、サイバーセキュリティ研究所所長などを経て、2014 年 1 月より現職。
慶応大学非常勤講師、日本情報セキュリティマネジメント学会理事、情報セキュリティ EXPO 専門委員、政府関係研究会 委員など
著書・監修書:詳伝社『「第 5 の戦場」サイバー戦争の脅威』(新書)
サイバー戦争はもう起こっている
すぐそこにあるサイバー戦の脅威
眞柄:安倍総理大臣は 10 月 23 日の参院予算委員会で「サイバー攻撃への対応は日本の安全保障に関わる重要な課題であり、体制強化を積極的に進めていく」と表明しました。すでに、日米防衛協力のガイドラインの見直しでも、サイバー攻撃に対する両国間での協力と強化が打ち出されています。
ただ、私たちがサイバー攻撃と聞くと自衛隊の指揮系統システムの安全保障といったことを想像してしまいがちです。しかし、もっと私たちにとって身近なインフラのシステム、例えば、発電所のシステムも飛行機の航空管制システムもネットワークにつながっていますし、こうした社会インフラもサイバー攻撃の標的になりえると考えられます。安倍総理大臣が表明したのはこうした国民の生命の安全に関する広範な課題も含んでいるのではないかと思います。
さらに、アメリカ国防総省の副長官だったウィリアム・J・リン三世氏が 2010 年にフォーリン・アフェアーズ誌に寄稿した「Defending a New Domain - The Pentagon's Cyberstrategy(ペンタゴンの新サーバー戦略〜なぜアメリカはサイバー軍を立ち上げたか)」※1 という論文を読みますと、決して軍のシステムの課題を述べているだけではなく、「米議会図書館に収められている情報の何倍にも達する知的財産の損失が続いている」と述べていて、官民の知的財産の長期的な漏えいがグローバル市場におけるアメリカの弱体化につながるということを指摘しています。
こうした状況について、伊東さんのご専門の立場からどのようにお考えになっていますか。
伊東:どこの国でも、守らなければならない一番大事なことは国民の生命や財産、そしてその繁栄です。そのために国というものが存在しているともいえます。
近年、アメリカが危惧しているのはサイバー技術を使った攻撃です。その理由はいま引用された論文にも書かれているとおり、インターネットが発達して、今日の社会システムがその上に乗ったのですが、実はそこで使っている技術自体があまり安全ではないという事実なのです。
そもそも、インターネットはオープンであるべきという思想から始まり、技術を作った人たちも「いい人」たちでしたので、悪意のある人が使うことを想定せずに、設計されたり、実装されたりしています。
しかし、現実にそこには悪意のある人たちが現れてきているのです。そして、米国はここまで発達してきたインターネットの上にある社会システムが悪意のある人たちに攻撃されたら大変なことになるということに気がつき、あのようなレポートが出るようになったわけです。
眞柄:サイバー攻撃やサイバー戦の特徴とは具体的にはどのようなものなのでしょうか。
伊東:サイバー攻撃という言葉には、いろいろな意味が含まれており、必ずしも相手方に打撃を与えるものだけではありません。ここでは狭義の意味でのサイバー攻撃についてお話します。
日本は太平洋戦争時に B29 爆撃機によって、基幹産業が破壊されるという攻撃を受けました。サイバー攻撃の一つにはそれと似ていて、国の根幹をなすシステム、例えば、電力システムや航空システムなどを攻撃して、破壊することによって、国益である産業全体に大きな影響を与えようとするものがあります。そして、それが現実に起こりうる状況になってきています。
こうした状況をふまえ、アメリカでは社会インフラを守るために、それらを 18 の分野に分け、それぞれの官庁が管轄するようになっています。なかでも、国防総省は防衛基幹産業を守るという役割を担っています。
ご存じのとおり、兵器というものは国が作っているわけではなく、民間企業で製造し、それを軍が調達しているわけです。もし、民間企業にある設計図がどこかの国に盗まれて同じ兵器を造られたり、その設計図を分析することで、その弱点を知られたら、有事の際には大変な問題になります。
眞柄:サイバー戦というと国と国との争いをイメージしますが、ハードウエア、ソフトウエア、ノウハウ、知財、さらには人材育成なども含めて民間企業から情報が流出することは大きな問題になるというわけですね。
伊東:サイバー戦は未来の話ではなく、いますでに起こっているとも考えられます。そもそも、戦争が始まってから相手のことを調べるような軍隊はありません。平時だからこそ相手のことを調べるのは国際的には当たり前のことです。
もし、どこかの国にサイバー戦部隊があって、将来、日本とサイバー戦をしようと考えたのなら、すでに日本のサイバー上の弱点を調べあげているはずです。例えば、原因不明のシステムダウンがそれだったりする可能性もありますし、日常的に情報を盗むこともあるでしょう。
このように、一般の企業も狙われているわけですから、一般産業の利益が損なわれているということになります。つまり一種の戦争のような状態になっているともいえると思います。
眞柄:民間人からしますと、軍需産業というのは高い壁の向こうにある自分たちとは別の世界のものと思っていましたが、その別世界も同じネットワークでつながっていて、私たちもそれに依存していることは間違いありません。ですから、バックドアをしかけられたり、キルスイッチが入っていたりすることは、軍需産業という壁の向こう側の世界にこちら側の人でも接点があるため、アクセスされる可能性があるという、そういう危機にさらされているのですね。
伊東:日本の防衛産業ですが、その企業が自衛隊の仕事だけをしているわけではありません。むしろその業務量は、会社全体の仕事の 1 割でしかないかもしれません。しかし、サイバー攻撃をしかけようとしている相手から見れば、ネットワーク上で防衛産業の企業を標的とすることは自衛隊を間接的に標的とするのと何も変わらないので、もしそのような企業が大きな損害を受けていたとすれば、いやおうなく、私たちの生活と密接な関係を持ってきます。
眞柄:日本には素材、医療、科学や、製造業など国際競争力が高い企業がたくさんあります。こうした企業もネットワークインフラに依存しないと競争力は維持できなくなりますし、それが危機、例えば、図面や設計図など知的財産が流出してしまう可能性もはらんでいます。
伊東:他国で開発された製品とそっくりなものを平気で作ってしまう国があるといわれています。アメリカの企業が作ったものとまったく同じものがあったりするのです。しかし、被害を受けているのはアメリカだけではなく、同様に日本で開発された製品もそっくりに作られてしまっている可能性も高いわけです。
しかも、われわれが作るよりも、はるかに安価に作っているわけです。本来であれば、製造者が特許料を払うべきものまで、勝手に作られています。このように、すでに経済的にも大きな損失が発生している可能性があるのです。
眞柄:日本では著作物のような、どちらかというと作品性の高い知的財産についてはマネをされると名誉なことだと考える風潮が一部ではあるように思います。
一方で、アメリカでは過去のレーガン政権時代にプロパテント政策(知的財産権の保護、強化政策)を明確にし、もの作りから脱却し、知的財産の輸出でグローバル市場を取るという政策を打ち出し、日本でも知財立国ということで、それに追従するような動きも出ました。
日本では多様な観点をお持ちの方々がおられて、守らなければならない範囲も多岐にわたり幅広いのではないかと思います。このような状況において、知的財産が流出してしまうということで国益が著しく損なわれますし、その危うさもひしひしと感じます。
サイバー戦に備える国家や組織のあり方とは
眞柄:アメリカの情報セキュリティ予算が 80 億ドル、2 万人を雇用しているという数字があります。それに対して、日本のセキュリティ予算は 300 億円、内閣官房情報セキュリティセンター(National Information Security Center:NISC)は各省庁からの出向者による組織で、国が果たすべき役割やストラテジーが明確ではないように思うことがあります。また、日本は人材育成、法制度、暗号技術、企業が果たす役割や義務に対する感覚が鈍いのではないかと感じています。技術立国「日本」としては、どうしたらいいとお考えですか?
伊東:日本は全体として危機感が少なく、サイバー攻撃に対する対策が遅れています。アメリカの場合、サイバーインフラを守るために各省庁にそれぞれのミッションがあります。すなわち、国が民間企業も含めて国民を守る仕組みがしっかりあります。
日本の官庁にもそうしたミッションはあるにはありますが、たくさんの要素が抜け落ちています。言い換えますと、日本では国が民間企業を守っていないということです。2011 年に日本の防衛産業に対する攻撃事件が発生しましたが、攻撃の対象となっていたのはほとんどが民間企業です。攻撃してくる相手は国のレベルなのに、対するのは国ではなく民間企業でした。
外国の政府レベルの攻撃に対して、民間企業は自分で自分の身を守れというのはアンフェアだと思います。日本国政府として、国の盾を立てるべきではないでしょうか。国の盾とは具体的には法律、技術支援、産業保護育成など、いろいろあると思います。そう考えたとき、日本の現状は決して十分ではありません。
アメリカでは、軍のサイバーコマンドなどが 2 万人いるといわれています。また、アメリカには国土安全保障省という官庁が、アメリカのサイバー防衛を一元的に管理していますが、日本でそういう組織といえば、NISC なのでしょうが、ここの人員は各省庁から出向してきていますので、およそ 2 年すると元の組織に帰ってしまいます。そうした短い任期の人たちでは長期的レンジで戦略を考えられないのではないかと思います。
すなわち日本はサイバー攻撃に対する危機感も乏しく、国としての一貫したポリシーもなく、責任を持った省庁もなく、残念ですがまだまだ日本のサイバー防衛はとても貧弱だといわざるを得ません。
眞柄:そう考えますと、安倍総理大臣がおっしゃった言葉は重いということですね。
伊東:防衛省も、以前は外国からサイバー攻撃をされても自衛隊は出動できないだろうという考え方をしていました。当然のことながら、自衛隊が出動するためには防衛出動が下されなければならないのですが、そのためには武力攻撃事態とみなされるなどの、なんらかの要件を満たしている必要があるわけです。
しかし、従来の考え方ではサイバー攻撃は武力ではないという議論になり、自衛隊の出動は見送られるものとされてしまいました。
眞柄:こうしたことに対処するために、国がやるべきことと、民間がやるべきことがそれぞれあると思います。民間企業では、最近 BYOD(Bring Your Own Device:個人が所有するパソコンなどの機器を社内に持ち込んで使うこと)などの利用形態も徐々に広まっていて、いろいろなデバイスを有効利用しようという取り組みが始まっています。
大企業であればそれを管理するために、それなりに経営資源を割いて対応にあたれますが、全体の 9 割以上を占める中小企業ではそういうわけにはいかないのが現実でしょう。特に、日本の基幹産業ともいえる中小の製造業では CISO(Chief Information Security Officer:情報管理担当役員)のような役職もなく、社長がすべてを取り仕切らなければならない状況も多いと思います。
そうした方たちのお話を伺いますと、必要性は認識されているものの、セキュリティに余計なコストをかけられないという声をよく聞きます。
伊東:経済的にコストをかけられないという民間企業の声はやむを得ないと思います。しかし、それではすまない状況になっているのです。実際に損害を受けていても、それをわかっていないとか、わかっていても見ぬふりをしていては、犯罪者が一方的に優位に立ってしまうことになります。
私自身はリベラルな方ですので、インターネットは自由だと思っていた時代もありますが、そんなことをいっている場合ではありません。もう国が積極的な政策をとるべき時期にきていると思います。
眞柄:日本は垂直型の産業構造になっていて、それに合わせてシステムも垂直に統合されている場合が多いと思います。サイバー攻撃をしかける方としては、比較的堅ろうな上位を攻撃しないで、下位のセキュリティの甘いところから攻撃してくる危険がありますね。
伊東:もちろんそうです。最も強そうなところから攻撃するという戦略はありません。まずは偵察をして、相手の弱点を調べて、そこから攻撃していくのが当たり前です。泥棒でもそうですよね。正面玄関をおので割って入る犯人はなく、裏口の人目につかない、壊しやすいガラス窓から入るわけです。
眞柄:サイバー戦に備えるためには、日本は産業構造的にも解決すべき課題があるかもしれません。あらためて、日本が危機に直面しているということがよくわかりました。ネットワークインフラの上で生活を営み、ビジネスをし、国や自治体が行政サービスを提供している今の時代、システムだけでなく、われわれのライフスタイルのなかにも隠れたぜい弱性があります。安倍総理大臣から、情報セキュリティ分野で堅ろうなものを作らなければならないという方針が初めて出されましたし、今後はセキュリティの専門家の役割はさらに重要になっていくと思います。
当社サイバートラストではコンテキスト(多要素)ベースのセキュリティソリューションについて業界内の各社と勉強を始めたところです。お話にもあったように、インターネットはオープンな技術で、それがここまで普及する原動力ではあったのですが、その上に経済活動が乗ったことで、さまざまな犯罪も起こっていることも事実です。
そこで、「いつ・どこで・誰が」というコンテキストを認証あるいは証明してみてはどうかと考えています。例えば、特定の場所に行かないとファイルを開けないというようなこと、いつ、どこで、どのパソコンで、誰がファイルを開いたかということが履歴を残せるのではないかと考えています。
伊東:私も 10 年ほど前に自衛隊に所属したときに類似の論文を発表したことがあります。位置情報センサーで、その場にいない人が認証をかけたらアウトにするとか、さっきまで東京で認証していた人が、5 分後に名古屋から認証するというのはどう考えてもおかしいのでアウトにするとかということです。こういう商用サービスが登場するのは必然だと思います。
眞柄:今後は測位衛星もいくつか上げる計画があり、その精度も向上するでしょうし、位置を特定してファイルを開けるようにするクラウドサービスも出てくると思います。時間・場所・デバイス・個人の情報を組み合わせることでさらに安全性が増すと思います。