サイバーセキュリティー中国、北朝鮮の脅威に懸念

元総務大臣 自民党サイバーセキュリティ対策本部長

高市早苗氏に聞く

近年、官庁や民間へのサイバー攻撃が急増している。とりわけ懸念されるのが中国と北朝鮮のサイバー部隊だ。中国のサイバー部隊は、通信・電磁波・信号などの傍受を利用した諜報活動等を行うシギント部隊が約13万人規模だとされ、北朝鮮のサイバー部隊は約６８００人を擁しているという。５００人に満たない我が国のサイバー要員との彼我の差は大きい。サイバー攻撃をかわし、致命傷を避けるために何をすべきか元総務大臣で自民党サイバーセキュリティ対策本部長の高市早苗氏に聞いた。

──昨年、公益財団法人笹川平和財団の安全保障事業グループが、「サイバーセキュリティ庁の設置」を提言しましたが、創設の可能性は？

　私も、サイバーセキュリティ対策全般に一元的な権限と責任を持つ行政組織の構築に賛成です。

　現在は、ＮＩＳＣ（内閣サイバーセキュリティセンター）が政府機関全体の連絡調整などを行っていますが、権限も予算も人員も不十分だと感じています。

　まず、「サイバー空間全体の脅威情報収集の司令塔」が必要です。現在は、ＮＩＳＣ、ＩＰＡ（独立行政法人情報処理推進機構）、ＮＩＣＴ（情報通信研究機構）、ＪＰＣＥＲＴ（一般社団法人 ＪＰＣＥＲＴコーディネーションセンター）、ＩＳＡＣ（セキュリティ情報共有組織）が各々に対応しています。更に、「サイバーテロ対応の司令塔」も兼ねる組織であることが必要です。現在は、官邸対策室が対応しています。

　また、昨今は、ＩｏＴ、ドローン、ＡＩ（人工知能）など、所管官庁が異なる技術成果を組み合わせた製品・サービスが増えつつあります。例えば、ユーザーの安全確保やインシデント発生時の責任主体の明確化や国際連携を目的にした法整備を検討する場合に主管官庁を決めにくいこと、国民がサイバー攻撃による実害を受けた場合に政府の相談窓口が不明瞭であることなどが課題です。

　よって、『サイバーセキュリティ基本法』の改正と『サイバーセキュリティ庁設置法（仮称）』の制定により、ＮＩＳＣの権限と資源を拡充・強化し、内閣府の外局として「サイバーセキュリティ庁（仮称）」を新設するべきだと考えます。

　実現に向けては、総理は勿論、政府のサイバーセキュリティ戦略本部長である官房長官のご理解が必要ですが、財務省の「機構・定員査定」が最も高いハードルだと思います。

　『国家行政組織法』第二十三条では、政府全体で設置できる官房及び局の数を「九十七以内」としています。『国家行政組織法』上、「庁」の新設は「局」の新設には当たりませんが、「機構・定員査定」においては、「庁」の新設に当たっても、既存組織の廃止・再編を行うという方針から査定が行われるでしょう。

　例えば平成二十七年度にスポーツ庁を新設した時には、文部科学省のスポーツ・青少年局や科学技術・学術政策局次長ポストを廃止しました。防衛装備庁と防衛省整備計画局を新設した時には、運用企画局、経理装備局、技術研究本部、装備施設本部を廃止しました。

　査定する財務省の賛成だけではなく、納税者の皆様のご理解を得る上でも、新しい「庁」を設置する為には、既存の組織を廃止しなければならないのでしょうから、困難な議論になると想像します。

　また、来年には東京オリンピック・パラリンピック競技大会を控えていますから、大会期間中のサイバー攻撃対処に向けては、新組織を設置することに労力を割くよりも、今年４月１日に組織された「サイバーセキュリティ協議会」と「サイバーセキュリティ対処調整センター」を十分に機能させて、サイバー攻撃による被害の予防や被害拡大防止などに取り組む方が現実的だと思います。

　私は、関西で万博が開催される２０２５年を目途に、「サイバーセキュリティ庁（仮称）」新設に向けた法整備や機構・定員査定に向けた政府内の調整を進めるべきだと考えています。

──サイバー攻撃の増え方が半端じゃないそうですが、攻撃形態の変化や懸念される最近の傾向はあるのでしょうか？

　総務省所管の国立研究開発法人であるＮＩＣＴ（情報通信研究機構）により開発されたＮＩＣＴＥＲ（サイバー攻撃観測・分析・対策システム）が観測した「海外送信元から日本国内に向けて行われたサイバー攻撃のパケット総数」を見ますと、２０１７年は約１４００億で、これを日割りしますと、１日平均で約３億９千万回の攻撃を受けていたことになります。２０１８年は約１９００億で、１日平均で約５億２千万回の攻撃を受けています。明らかに海外送信元から日本国内に向けたサイバー攻撃は急増しています。

　「攻撃形態」そのものには、大きな変化はないと考えます。相変わらず、脆弱性など技術的な問題、システム設定の誤りなど運用上の問題に起因しています。また、サイバー攻撃以前に、情報通信機器を使わずにパスワードを聞き出すようなソーシャルエンジニアリングなど、利用者を通じて生じる問題もあります。

　他方、「攻撃手法」という点では、攻撃の過程で収集したデータにより攻撃手法を学習させる事例があるなど、ＡＩを使った攻撃が現実のものになりつつあります。

　また、ＩｏＴの浸透により、インターネットに接続される機器が従来の情報端末だけでなく、センサーや制御機械などにも及んでおり、攻撃の対象となる機器が大幅に増加しています。

──圧倒的な陣容を誇る中国のサイバー部隊のターゲットは判明しているのでしょうか？

　私は、特に中国と北朝鮮について、サイバー空間における脅威を感じています。　

　防衛省によると、中国では、戦略支援部隊の下にサイバー部隊が編制されており、「シギント部隊（通信・電磁波・信号などの傍受を利用した諜報活動等を行う）」は約13万人規模だと言われています。その他、民間にも約２５０のハッカー集団が存在し、Ｗｅｂサイト攻撃などを実行しているものの、政府との関係については、大多数が不明だとされます。

　北朝鮮では、軍と偵察総局がサイバー戦を担当しており、約６８００人を擁しているということです。サイバー攻撃を担当する軍の中枢では、コンピュータシステムへの侵入・偵察・攻撃を担当し、国外にも拠点を設けて、秘密裏にサイバー戦の任務に従事しているという指摘もあります。サイバー心理戦の企画・実行を担当する局もあるとされます。更に、北朝鮮全土から優秀な青少年を集めて、専門教育を施したり留学をさせたりした後に、サイバー戦関連組織に配属していると報じられています。

　中国と北朝鮮による「攻撃形態」については、報道で承知している程度ですが、

両者の共通点としては、攻撃する対象を絞り込み、長期間に渡って監視・観察した上で攻撃を行う、いわゆる「標的型攻撃」ではないでしょうか。

　ただし、「目的」については、異なるように見えます。中国は、国や経済の中枢となる部分から秘匿性を有する情報を収集したり、工業所有権などに関係する技術情報を収集したりすることを目的としているように思えます。他方、北朝鮮は、経済的な利益を得る為に、暗号資産取引所や銀行を攻撃して、不正に資産を獲得していると考えられます。

──中国が開発に力を入れている量子コンピュータが完成すれば、ペンタゴンの機密を抜けると言われていますが？

　今年に入って、中国のみならず世界各地における量子コンピュータに関する研究資金が、従来注目されていた「量子アニーリング方式」（カナダＤ—Ｗａｖｅ社が実用化済）から、「量子ドット方式」（現行の計算機の情報処理を半導体から量子に置き換えたもの）にシフトしているとの情報があります。

　昨年、自民党サイバーセキュリティ対策本部でも、東京工業大学の西森秀稔教授をお招きして、量子コンピュータとサイバーセキュリティに関する講義をしていただきましたが、演算速度が劇的に向上することから、従来の暗号方式に基づく暗号では、有限の時間内に解読されるリスクが高まるということだと思います。

──中小企業対策強化が必要というのが高市議員の持論ですが、具体的には、どういった措置が必要となるのでしょうか？　

　中小企業も、例外なくサイバー攻撃の脅威に晒されている実情が明らかになりつつあります。

　特に、中小企業がサイバー攻撃を受けて、物理的被害や信用の低下が発生した場合には、経営へのダメージは大きいと思います。また、取引先にマルウェアが仕込まれたファイルを転送した場合には、被害が拡大してしまいます。

　デザインや設計図の納品日にランサムウェア（データを暗号化して、元に戻す為の身代金を要求するマルウェア）攻撃を受けてデータが取り出せなくなり、納期遅れになるリスクもありますから、重要なデータのバックアップは必ず取るという基本的な対策を社内で徹底することも必要です。　

　中小企業の経営安定の為にも、サプライチェーンリスク低減の為にも、サイバーセキュリティ対策強化の方法や留意点については、中小企業経営者の皆様にも十分なご理解をいただき、実践していただく必要があります。

　私は、多くの経営者の方々とお話をしましたが、まだサイバーセキュリティ対策への関心は低いのが現状です。対策に費用や時間をかけたくない、社内に情報通信に詳しい人材がいないなど、理由は様々でした。

　政府では、中小企業支援の為の取組が始まっています。

　２０１８年４月に、経済産業省は、『中小企業の情報セキュリティ対策ガイドライン』に基づいてセキュリティ対策を実施していることを宣言した企業に対して、マークを付与する「ＳＥＣＵＲＩＴＹ ＡＣＴＩＯＮ制度」を創設しました。全国各地で「中小企業情報セキュリティセミナー」も開催されています。

　まだ経済産業省の取組をご存じではない中小企業経営者も多く、政府は、「施策広報の強化」とともに、「リスク評価ツールやベストプラクティスの普及」に努めるべきです。

　昨年度第２次補正予算では、経済産業省が、「中小企業等強靭化対策事業」として、①中小企業に対し、セキュリティ対策の普及啓発を行うとともに、専門家を派遣して、マネジメント指導を実施、②サイバー攻撃によるトラブル時に相談対応や現場派遣を担う支援サービスの提供体制を整備するなど、ニーズに沿ったセキュリティ技術・サービスの実証事業を実施しています。

　総務省や経済産業省が所管する政府関係機関や金融庁が実施している多種多様なサイバー演習の中には、職場に居たままで参加可能な演習もありますので、中小企業の経営者や社員の方々にも積極的に参加していただきたいですね。

　また、今後は、産学官が力を合わせて、「事後対策まで含めた現場支援体制の構築」や「中小企業が使い易いセキュリティ製品の普及促進」などに取り組むべきです。

　更に、「情報セキュリティ投資の促進支援」も必要です。中小企業については、サイバーセキュリティ対策に十分な資金を配分することが困難な場合もありますので、政府は、「サイバーセキュリティに対する投資にインセンティブが生まれる環境」を作らなければなりません。参考になる事例としては、総務省と経済産業省の共同要望により、２０１８年６月から、一定のサイバーセキュリティ対策を講じたデータ連携・利活用による生産性向上の取組を支援する「コネクテッド・インダストリーズ税制」が創設され、税制優遇を措置できるようになりました。センサーなどのデータ収集機器、データ連携・分析に必要なシステム（サーバ・ＡＩ・ソフトウェア）、データ分析に基づいて自動化するロボットや工作機械、サイバーセキュリティ対策製品などへの設備投資も対象としています。適用期限は２０２０年度末までです。

　この税制の活用状況と企業の取組状況を調査した上で、全省庁の所管業界を俯瞰しながら、「サイバーセキュリティ対策」を１つの要件とする効果的な税制や助成金制度など、継続的な支援が必要だと思います。ちなみに、中小企業のセキュアな情報化投資については、日本政策金融公庫から特別利率による融資も受けられます。

　私は、民間セクターも行政機関も、サイバーセキュリティ対策にかかる費用や時間を、やむを得ない「コスト」として捉えるのではなく、「投資」と考え、積極的な対応を行うべきだと確信しています。

──サイバーセキュリティはコストではなく投資だという発想について、具体的には、どういった波及効果が考えられるのでしょうか？

　大企業から中小企業・小規模事業者に至るまで、大規模なサイバー攻撃発生時にも「事業継続性を確保できること」は、市場での高い評価に繋がります。

　政府機関や地方公共団体においても、サイバー攻撃発生時に、「機密情報・個人情報の流出を防ぎ、行政サービスの継続性を確保できる体制が整っていること」によって、国民・住民の皆様の安心感を確保することができます。

　また、「セキュアな情報通信環境の整備」は、日本への投資促進など立地競争力の強化にも繋がります。　

　更に、「サイバーセキュリティの産業化」を促進することが未来を拓きます。個人的には、サイバーセキュリティ保険の普及やクラウドの国産化、ＡＩの省エネ化に期待しています。

　現政権は、安倍晋三総理の強いリーダーシップと外交力によって、「情報通信」「電波監視」「宇宙」「航空」「鉄道」「港湾」「電力」「ガス」「水道」「石油」「医療」「リサイクル」「農業・食品」「スマート・コミュニティ」など、各府省庁が一丸となって分野別・国別の戦略を立て、「インフラシステム輸出」を精力的に進めています。海外展開の対象となる殆ど全分野のシステムに情報通信技術が活用されていますから、「世界トップレベルの利便性と高度なサイバーセキュリティを両立したインフラシステム」であれば、それが大きなセールスポイントになります。

　政府は、必要なセキュリティ技術の開発支援や情報通信系企業の育成を行うとともに、海外展開を目指す企業を積極的に支援するべきです。

　まずは、世界各国に在る日本国大使館やＪＥＴＲＯ（日本貿易振興機構）事務所などが、諸外国の公共インフラの現状や国民生活におけるニーズを把握し、当該国の各種規制や税制などの法制度を調査し、各都道府県に設置されているＪＥＴＲＯ事務所などで、日本企業が手軽に情報を入手できるようにすることが必要です。

　また、輸出先となる国のキーマンとの交渉を可能にする環境を整えること、各種国際会議や閣僚の海外出張の折に購入後のメンテナンスまで含めた日本のセキュアな製品・サービスを積極的にアピールすること、輸出先国でのセキュリティ・メンテナンス人材育成支援を行うことも必要です。

　サイバーセキュリティ対策の強化は、日本の持続的成長に大いに資するものだと考えています。