今月の右脳インタビューは田中達浩さんです。本日はサイバー攻撃についてお伺いしたいと思います。
 

　まず整理すると、サイバー攻撃を仕掛けてくるのは主に国家主体、非国家主体の組織、そして個人と分類されます。目的は金銭、産業スパイ、思想やイデオロギーに基づいた政治目的の達成、それから安全保障上の目的などがあります。攻撃目標は金融系、企業系のシステム、それから軍を含む政府のシステム、その他、不特定多数を目標とする場合などがあります。例えば尖閣諸島での中国漁船衝突事件後、国内の政府機関のホームページの閲覧妨害や、不特定多数の人に迷惑メールが送りつけられました。裏では安全保障上の、国家レベルの高い政治目的があったのかもしれませんが、現象としては不特定多数に対する攻撃でした。
 

　先頃、イランの原発に対するサイバー攻撃^（注1）が明らかとなり、世界に緊張が走りました。
 

　今では情報流出は頻繁に起こりうることで、サイバー攻撃の焦点は破壊、妨害のステージに移ってきています。イランの事例ではUSBメモリーによってクローズドのシステムへ侵入されましたが、水道、電気、交通などのインフラ系、特にその制御系に入りこまれてしまうと全体をコントロールされ、また電気が止まると水も交通もインターネットも止まる…というように相互に依存し合っているので大変な影響があります。当然、国としても特に重要インフラの防護を気にしており、相手もそこを狙ってきます。例えばテロに関与しているといわれている某国が更に原子力発電所の保有を進め、日米等から経済、人的移動等の制裁を受け、その反動としてサイバー攻撃を行う…。米国へダイレクトに攻撃を加える必要はなく、また破壊すると大きな問題になりますし、恫喝まででも政治的には十分な効果を出せます。そこで、どこかの国の発電系システムに入り込み発電所を停止させ、第三国から声明を流す。「どうも制裁を受けた国が発電所を止めたらしい…」という噂が流れるだけで、「そんな危険なことまでして経済制裁を行う必要があるのか」という議論が必ず世論に起きてきます。これは他人事ではありません。
 

　更に利害関係者はここぞとばかりに…。さて、一般に、報復の可能性が攻撃に対する抑止力として働きますが、サイバー攻撃の場合は如何でしょうか。
 

　抑止の基本は攻撃力だと思います。法的な問題があるので国家が公然とどこまで対抗措置をとれるのか微妙な問題もありますが、40か国以上で攻撃のツールを持っている、或は持とうという計画があるようです。
 

　それはサイバー空間の中での攻撃という意味ですね。サイバー空間に限定すると、どうしても効果が非対称、例えば日米のように経済規模が大きいと、受けるダメージと相手に与えうるダメージに大きな格差があり、抑止力になり難いのではないでしょうか。
 

　確かにそうした面があります。米国は2011年5月、国家全体のサイバーセキュリティーの方針を、同年7月、軍がサイバー軍事戦略を打ち出し、生存権に関わるようなサイバー攻撃を受けた場合は物理的な破壊も辞さないという可能性を示唆しています。
　

　実際の運用面は如何でしょうか。
 

　例えば小国Aのハッカーが米国に対して攻撃を行った。それをサイバー空間上で探知していくとハッカーの基地は大国B内にあった。ほかの情報手段で確認したところA国のハッカー集団が間違いなくそこにいて、その時刻の電話記録なども一致している…ということであれば、その基地を物理的に攻撃することが可能だろうといわれています。しかし実際に行うとなると非常に難しい側面があります。例えば先日、米国はパキスタン国内に入ってオサマ・ビンラディンの潜伏先を攻撃し殺害しました。事前に了解をとったか否かは別としてもパキスタンの国民の目から見ればどうしても受け入れ難い面もあります。同じように大国Bにしてみると、そこにハッカーの集団のアジトがあるか否かに関わらず米国が自国の主権の中に入って物理的攻撃を加えることを許容するのは難しいでしょう。また国際法上も、問題があるという意見と、その領土を管理している主権国家にはテロリストやハッカーについても監督責任があるという意見があります。
　

　タリバンの時と同じですね。日本の場合は如何でしょうか。
 

　物理的な作用を国外に対して行うとなると、正当性があったとしても難しいでしょう。そうかといってもし先日の原発事故のようなものをサイバー攻撃で引き起こされた場合、黙って座視せよとはならないでしょう。何か手があるだろう…。経済、外交を用いて多国間での制裁も行うでしょうが、それとは比較にならないような被害を日本は受けてしまっている。そうなると最後は政治決断となります。非常に難しい判断です。尤も相手にとっても、破壊まで行うとなると政治的にも敷居がかなり高い行為ですが…。
　

　サイバー攻撃の場合、攻撃が表面化した時にはすでに至る所に潜入されているといった難しさもありますね。
 

　例えばボットウイルスは標的の弱点を見つけて潜入してくるエージェントのようなもので、メールの添付ファイル等に仕込まれています。それも誰が考えても本物のメールで開けてしまうように作ってあり、開けた瞬間に侵入し、バックドアを作ったりトロイの木馬のようになったり、またAPT(Advanced Persistent Threat)といわれているものはウィルスの増殖と違って内部で仕掛けを作っていきます。それらがあるトリガーで動きだし、情報を取ったり妨害活動をしたりするようになります。こうしたものをすべて防ぐことは不可能です。サイバー攻撃の特徴は�@国境がない。�Aインフラのように相互依存性が強いところを攻撃すれば大きなダメージを与えられる。�B証拠が残り難い。�C技術的に容易に作れる。�Dコストが安いといったものです。このため政治的に使いやすい。例えばロシアによるグルジア侵攻の前に、グルジアの政府系の組織に対してサイバー攻撃が行われました。ロシアが行ったのではないかという人も多いのですが、ロシア政府がやったのか、ボランティアがやったのかは、はっきりせず、その確証は取れません。こういう特徴を考えると個々の国で守るだけでなく、連携して防いでいかないといけません。安全保障の観点に、締め付けていくcontainmentと、関与して育てていくcommitmentがあります。この両方を使わないとできないでしょう。また方法論としては技術的に証拠が残る仕組みを作っていく、或は条約を作りそこに入らない国に網を張っていく…。例えば、その国から出てくるインターネットの出口はそれほど沢山ありませんので、そこを抑えていくことができます。それからInternet Service Provider(ISP)はアドレスをすべて見ることができるので、ここもある程度巻き込んでいくことになるでしょう。ただISPは民間のネットワークですのでプライバシーの保護とサイバー空間を使って活動する自由という原則は外せませんので、時間をかけて話し合っていかないといけません。こうした問題は脅威認識が低いとなかなか進まず、実際に被害が出始めると一気に進むでしょう。
　

　サイバーセキュリティー対策に掛ける費用は国によって違いがあるのでしょうか。
 

　欧米とはこの1,2年で差がついた可能性があります。欧米ではサイバー攻撃による被害を公表し、その結果、脅威認識が高まり、国家全体として取り組むようになってきました。特に米国と英国は進んでいます。国家としてセキュリティーのcriteriaを示し、2年ほど前にはサイバー軍も創設しました。日本の防衛省も2,3年内にサイバー空間防護隊（仮称）という新しい組織を作りますが、それでも2年くらいズレがある感じです。技術的なツールは日本でも米国でも進みます。結局は意識の問題で、優先順位を高くしてセキュリティーのためにコストをかけてツールを入れていく…。これで8割程度は守れます。更に民間のセキュリティー会社などもモニターしていますので9割くらいになるでしょう。しかし最後は人です。ことが起こるまではお金をかけてモニターしながら、一人一人が起こすエラーもカバー出来るシステムを開発しようとしています。例えば標的型攻撃でウィルスに侵入されても、それでも守る。つまり既に入っているという前提で情報を取られないようにしようとしています。それでも起こってしまった場合は被害を極小化、戦略的に波及が小さくて済むような方法をとります。先日、国会議員のパソコンがウィルス感染、衆議院のサーバーも感染していました。^（注2）。もともとなぜそれが起こったかというと、メールが盗まれていたからです。それをコピーされて「追加情報が添付ファイルにあります」というようなメールが送られてきました。こんなメールが国会議員から送られて来れば誰でも開けてしまいます。
　

　サイバーセキュリティーを担う人材の育成についてもお教え下さい。
 

　中国や北朝鮮は万の単位でサイバーの技術者を育成しています。日本でも技術と人材の育成は大きな問題です。こうした職務はかなりきわどい情報に接しますので、愛国精神を持っていないと困ります。勿論、処遇も良くしないといけません。また米国の法律では国家の機密情報を漏らせば国家反逆罪も適用されますが、日本は懲役と罰金だけで、長くても懲役5年程度でしょう。そうしたことも考えていかないといけません。
　

　貴重なお話を有難うございました。