2001年11月20日
「民主党 サイバーテロ対策への提言」中間報告
総務NC大臣 玄葉光一郎
IT総括副大臣 島さとし
1.民主党の「サイバーテロ」対策
(1)サイバーテロとは?
「サイバーテロ」とは、コンピューターネットワークを通じて、国防・治安をはじめ通信・交通など国民生活を支える重要なインフラ各種分野のコンピューターシステムに侵入して行うテロ行為を指す。現在までに国内で実際に人的な被害を被った実例は無いが、社会に存在する様々なシステムがコンピューターによって制御され、これが複雑にネットワーク化されている現在の日本では、常にサイバーテロの危険性にさらされていると考える必要がある。例えば
電車運行の制御系システムに侵入し、ATSをコントロールすることによって、電車の運行を支配する。その結果、車内にいる乗客が「人質化」することが考えられる。
原発の制御系システムに侵入し、燃料の操作をコントロールすることによって、炉心溶融などの極めて危機的な状況をもたらす。
極めて多数のポイントから首相官邸のホームページに対してDDoS攻撃を仕掛け、首相官邸の情報発信能力をゼロにしてしまう。
銀行間のオンラインシステムに侵入し、その決済システムをダウンさせることによって、我が国の金融機能をマヒさせる。
等々、一見フィクションのような事態であるが、それぞれがネットワークに接続されている以上、いずれも現実に起こりうる危機を、現代の日本社会は抱えているのである。
このような事態の可能性を深刻に捉えた米国では、1995年に「ザ・デイ・アフター(The Day After…)」という演習を行い、サイバーテロによる被害想定を行った。その内容は極めて詳細なものであるが、一例を挙げると「電話回線不通」「電車同士の衝突」「石油精製施設の爆破炎上」「軍の電話システムダウン」「銀行ATMダウンによる取付騒ぎ」「旅客機の着陸寸前での地上激突」「以上のような事態を受けた大統領が国家安全保障会議を開催しようとしてもメンバーに連絡が取れない」などが国家の根幹を揺さぶるようなシナリオを想定されている。
このような事態さえ招く「サイバーテロ」の手段として、一般的には以下の3つが上げられる。
特定のコンピューターに不正侵入して、データを破壊したり、改竄したりする。
特定のホームページに短期間に大量の接続要求を送り、サーバをパンクさせる(DDoS攻撃)。
コンピューターウィルスやメールを多数に送り、不特定多数のコンピューターのデータを破壊する。
またこのような手段を用いて「サイバーテロ」を行おうとする者を、ここでは「ハッカー」と呼ぶ。「ハッカー」とは元来まじめな研究者に対して用いられて用語であるが、現在の我が国社会通念上他に適当な言葉がないため、これを用いることとする。
(2)現在の対策の基本的な欠陥
国家としてのリスク感覚の欠如
「サイバーテロ」対策において現在の政府の取り組み、ひいては社会全体の取り組みの最大の欠陥は、国家として「サイバーテロ」に対する危機感が欠落していることにある。官邸に設置されている「情報セキュリティ対策推進会議」の議長が政治家ではなく、事務方の官房副長官であることが、これを如実に示している。上記に述べてきたように「サイバーテロ」は一瞬にして我が国を混乱の極みに陥れ、国民生活に重大な影響を与える可能性があることは明らかであり、また昨年の「官庁ホームページ書き換え事件」で社会にその意思と技術を有する者が存在することは明らかとなった。このような国民生活・国家の基盤に重大な影響を与えるリスクを排除・軽減するためには、政治のリーダーシップが不可欠である。
我が国は米国に続く世界第2位のネット大国であるにもかかわらず、官民を通じてネット社会のリスクに対する意識が余りにも低い。逆説的ではあるが、これは政治が国家の意思としてネット社会の危険性を認識し、この危険性から国民を守るという強い意志を示さないことが最大の理由だと考えられる。まず政治が官僚依存から脱却し、その強いリーダーシップによって省庁のみならず、社会の各般の知恵を結集して、ネット社会のリスクから国民を守るという強い意志を示すことが必要である。
実効性よりも官僚の言い訳に使われる「対策」
上記1とも関係するが、現在の政府の対策の中心は「情報セキュリティ対策推進会議」であるが、この会議自体が各省の局長級の集合体であり、結局は縦割り行政を脱却し切れていない。またその事務局を務める「情報セキュリティ対策推進室」には10名弱の職員しか配置されていない。「サイバーテロ」の恐ろしさに比べ、余りにも貧弱な組織体制に驚かされる。この「情報セキュリティ対策推進会議」或いは「情報セキュリティ対策推進室」が戦略的な「サイバーテロ」対策を講じられるとはとても考えられず、結果として「政府も取り組んでいる」というアリバイづくりの組織ではないかとさえ思える。
我が国の行政では、「薬害エイズ事件」や「狂牛病対策」に見られるように、国民の生命や財産を守るという実質的な効果を伴った政策よりも、役所或いは官僚が「政府としても精一杯やっている」という外向きの抗弁をするための政策が、往々にして散見される。この「サイバーテロ」対策についても、同様の状況となっている可能性が高い。しかし、ことは国家の基盤を左右する問題であり、実質的な効果を伴う政策が実施されなければ、意味が無い。政策の効果を、時には外部の評価も交えて、常に実証的に検証することが不可欠である。
専門家が対策の企画立案に携われないシステム
社会の高度化、複雑化に従って、リーダーに理工系の思考力や技術的な素養が求められるようになってきた。しかし我が国では、官民共通して、このような資質を持った人材が登用されることが少ない。特に法学部系を中心とする現在の中央省庁のキャリアシステムにおいては、政策決定の場に技術的な資質・見識を持った人材が参加することは乏しく、日進月歩の技術の進展を、政策判断に生かしきれて無いことが多い。
しかし、実質的に政策効果のある「サイバーテロ」対策を企画立案するにあたっては、ネット社会のメリット、デメリットに通暁した人材の参加は不可欠である。従来の「年功序列型」「法文系優先型」の政策決定システムを改め、最も効果の高い政策を立案し、実施していくためにはどのような人材が必要なのかという観点から、組織のあり方を見直す必要がある。また一方で、いわゆる技術系の人材は、政策決定の重要場面に参加できないこともあって、技術畑に埋没し、それ以外の人々の理解を得る訓練を怠ってきた面がある。政策決定に参加するに相応しい総合的な理解力、判断力を有した技術系の人材を育成することも急務と考えられる。
また情報に関する専門家についても同様の指摘ができる。特に国家安全保障に関して、最もシビアな情報活動を行っているはずの外務省、防衛庁、公安調査庁等の情報の専門家が、「サイバーテロ」対策の企画立案に加わっていないことは、奇異とさえ言える。早急にこれらの人材を活用すると共に、これら情報の専門家を政策立案者として養成することが必要である。
過度の米国依存
昨年1月に発生した「官庁ホームページ書き換え事件」への対応として、青木官房長官は徹底的な調査を行うと共に、調査にあたってはハッカー問題に関して日本より詳しい米国政府に援助を要請する考えがあることを表明した。また防衛庁では、独自にサイバー攻撃防御対策を進めているが、この対策の重要な一項目である「人的基盤整備」においても中核的な技術要員育成のために米国の専門機関へ職員を派遣している。
言うまでもないが、戦後の我が国の安全保障は米国に依存してきた。そして冷戦構造が崩壊し、国際化・情報化等が急激に進展する「新たな時代」を迎えても、政府は米国に我が国の安全保障を完全に依存しているように見える。米国との二国間関係は、我が国にとって最も重要なものであることは言うまでもない。しかし現実には、米国は冷戦崩壊後の一時期、我が国を経済戦争の「敵」と捉え、外交交渉においても諜報活動などを行っている。日米関係に安穏とすることなく、米国は常に国益維持のために活発な活動を続けているのである。「サイバーテロ」対策においても、米国は自国の利益の範囲内において、我が国への協力は惜しまないであろう。しかし、それに安住し過ぎることは、結果的に我が国の国益を損ないかねない。
現在のネット環境では、例えば大阪から東京へ電子メールを出した場合でも、その過程で米国を経由することは、珍しいことではない。通信基盤の優劣から、米国を経由した方が経済的であることが多いためである。これは、米国がその気にならば、日本国内の情報をいつでも監視できることを意味する。このように現在でも潜在的に米国優位にある環境の中で、さらに国家の安全保障の重要な技術・人材等までも、米国に過度に依存することは、国家として疑問を持たざるを得ない。「平和ボケ」と揶揄される現象が、ネット社会の時代においても、繰り返される可能性が高いと考えるからである。
(3)民主党の提案する「サイバーテロ」対策
政治的意思の明確化と組織体制の構築
我が国は既にネット社会への大きな一歩を踏み出している。しかし政治的には産業政策面が優先され、これと裏腹にある国家或いは国民一人一人に忍び寄る危機に対する認識が極めて甘い。そこで、まず内閣としてこの潜在的危機に対する意識を明確にし、国民に対する率直な説明を行うべきである。具体的には閣議等で「サイバーテロ」対策に本格的に取り組むという政治的な意思を明確に表明した上で、内閣総理大臣を本部長とする「高度情報化社会危機管理本部」を新設すべきである。
また「情報セキュリティ対策推進本部」は廃止し、新たに政府の基本的機能及び国民生活に密接に関連する重要インフラの機能を維持するための総合的かつ専門的な政策立案を行う組織として「重要インフラ防護センター」を設置するべきである。その構成メンバー選定においては「各府省局長級」というあて職は排し、行政官にあっては危機管理或いは情報の専門家、民間からは重要インフラの管理・運営を担っている分野のセキュリティ責任者を選任することが不可欠である。また各府省においては、この組織のカウンターパートして、それぞれの府省に専任官を設置する必要がある。専任官は自らの属する府省の基本的な政府機能及び属する府省の所管する重要インフラの機能確保のため、保有するシステムの脆弱性を検証し、リスクを低減させるための計画を策定し、これを実施し、個別の府省において対応できない事例については「重要インフラ防護センター」の指示を受けて、他の府省と連絡調整にあたることを任務とする。
さらに社会のネットが進み、リスクが高まると想定される将来においては「サイバーテロ」に対して、情報収集活動、防衛策の実施、警報の発令、捜査、逮捕と言った具体的な対応策を実施する機関の設置が必要である。米国では、これに該当する組織として、FBI内に「インフラ防衛センター(National Infrastructure Protection Center:NIPC)が設置されているが、国家の安全保障を維持していくためには、我が国においても同様の機関を設置することを、今から検討していく必要がある。
対策の企画立案能力の強化
「サイバーテロ」に対する総合的かつ専門的な政策の企画立案が期待される「重要インフラ防護センター」の事務局の選定にあたっては、実質的な対策の企画立案が可能な専門家集団に衣替えすべきである。また各府省においてこの組織のカウンターパートとなる専任官においても、一般行政職との兼任は論外であり、できうる限り専門的な知識・経験を有する人材を、年次等にこだわらず登用することが不可欠となる。いずれの場合においても、霞が関の人材にこだわることなく、近年導入された一般職の任期付き採用を活用することを積極的に検討し、それでもなお人材に不足する場合には新たな公務員制度の導入も検討すべきである。
関係法律の整備
昨年施行された「不正アクセス防止法」によって、他人のコンピューターへの不正侵入等については法整備が一応整備されたが、その他の面では社会の急速なネット化に法制度が対応できていない。特にネット社会における危機管理については、一般の「緊急事態法制」でさえ議論が回避されてきた傾向がある中で、ほとんど議論がされていないと言っても良い状況にある。
「サイバーテロ」という新たな概念が生まれた以上、本来ならウィルスが「武器」にあたるかどうか、ネットを通じて仕掛けられた「戦争」「テロ」が、従来の戦争と同じと見なして良いかという、非常にシビアな問題にも取り組まざるを得ない。しかしこの問題は従来の経緯があるため長期間の議論が必要であることが予想されるため、当面の法整備として、現在既存法の解釈或いは細切れの場当たり的に制定してきた法律を整理し、ネット犯罪を直接的・全般的に取り締まることができる法整備を行う必要がある。具体的には
国民生活に密接に関連し、その機能の低下が円滑な国民生活に重大な悪影響を及ぼす、社会インフラとしてのネットワークの安全性を担保し、又このネットワークに参加する国民のプライバシー等が不当に侵されないことを規定する「ネットワーク安全法(仮称)」
コンピューターネットワークを利用して、人的損害・経済的損害・物理的損害・政府機能の低下・円滑な国民生活に対する障害・適正な商業機会に対する障害等をもたらしたものを直接的に処罰する「ネット犯罪法(仮称)」
万が一「サイバーテロ」によって危機的な状況が発生した際の危機管理手順を規定する「サイバー危機事態法(仮称)」
等が必要になると考えられる。
防衛庁の対応力強化
国家の安全保障を一義的に担う防衛庁の対応力強化は、不可欠な対策である。現在防衛庁では「サイバー攻撃対処部隊」の整備を進めているところであるが、これを期限を区切って早急に整備すると共に、現在想定されている対応力をさらに拡充させる必要がある。具体的には専門家の育成を現在の規模から飛躍的に拡大し、防衛庁に対するアクセスの常時・完全監視システムを構築することが必要である。またソフト面の強化として、米国で行われた「エリジブル・レシーバー」のような演習を防衛庁においても行い、実際のシステムを常時実証的に検証することが必要である。
また現実の我が国の安全保障が日米同盟によって維持されている点を考えれば、「サイバーテロ」対策においても米国との協力関係は不可欠になってくる。この機能を今後とも維持するためには、我が国の国防における情報セキュリティのレベルを、少なくとも米国が信頼に値するものまで引き上げる必要がある。そのためには特に防衛庁の持つ情報システムのセキュリティ技術を高度化し、同時に間違っても秘密漏洩が生じない法制度・運用システムを確立することが求められる。
現在防衛庁は、自らのネットワークシステムが専用線を使っていることから、外部からの侵入はあり得ないとしているが、専用線に秘密保持を依存することは危険である。上記の常時・完全監視システムを一刻も早く完成させると共に、各基地等に出入りする者のチェックシステムの向上、内部者による秘密の漏洩の防止等に努めていくことが必要である。
警察の対応力強化
警察庁でも現在「サイバーフォース」の整備を進めているところであるが、これを期限を区切って、早急に整備すると共に、「サイバーテロ」に対する中核的な捜査機関として十分な規模にしていく必要がある。「サイバーフォース」は「サイバーテロ」の遠隔地同時多発の可能性、国際協力の必要性、高度な人材育成の必要性等から、警察庁の特別部隊として設置することが望ましく、その上で各都道府県警との連絡体制を強化することによって、実際の捜査を円滑に行える体制を整える必要がある。
対策構築にあたっての基本的考え方
ネット技術が急速に進展する中、実際に外部からの不正侵入を完全に遮断することは、技術的に非常に困難である。セキュリティ技術者とハッカーの戦いは「いたちごっこ」的な色彩が濃く、セキュリティ技術者が侵入困難なシステムを構築すればするほど、ハッカーの標的になるという傾向がある。そこでセキュリティ対策を構築するにあたっては、「完全な防衛」よりも「被害を最小限にすること」「一刻も早くトラブルを解消し、本来の機能を回復すること」が優先する思想が必要である。とりわけ行政が策定する政策については「無誤謬性」が重視されるために、「完全防衛」の罠に陥り勝ちである。この政策の根本的な発想を転換し、「ダメージコントロール」の思想を取り入れるべきである。
これを具体化するためには、政府のみならず民間においても、米国が行った「エリジブル・レシーバー」のような演習を行う必要がある。極端な場合には、以前ハッカーであった者を集めて、自らのシステムへ攻撃させ、その際にどの程度の被害を被るのかを把握し、その上でその被害をいかに小さく食い止めるか、いかに早く本来の機能を回復させるかという実証的な演習が不可欠となる。
現在独立行政法人「通信総合研究所」ではDDoS攻撃実験サーバーを100台用いて、自在な再構成を可能とした国内屈指の「サイバー攻撃対処研究システム」を設置している。このような既存のシステムを行政だけでなく民間にも広く活用し、政府のリーダーシップによって、一刻も早く民間においても実証的な演習を行える体制を整えることが望ましい。
人材育成・技術開発等
我が国は安全保障を全面的に米国に依存してきたこともあって、危機管理の専門家が十分に育っていない。さらに近年急速に進展したネット社会に対応した専門家となると、その存在は極めて乏しいと言わざるを得ない。このような状況を一刻も早く解消するために、適切な公的教育機関に情報セキュリティ養成機関を設置することが必要である。その際には、ハッカー等を含む高度な技術を有する専門家を活用することによって、机上の学問ではなく、実際にセキュリティ対策として活用できる実務的な教育課程を設けることが必要である。
また「侵入検知システム」「リアルタイム・トレーシング」など直接的に不正侵入に対応するシステムや「暗号技術」「指紋等による本人認証システム」等の予防策は、今後のネット社会に不可欠な技術であり、この開発を早急に進める必要がある。
平成14年度予算に対して「ネットワークの安全性及び信頼性」に向けて総額で310億円の要求がなされている。これは今年度の20億円強に比べると飛躍的な伸びといえるが、米国が同様の目的に対して約2000億円を投入していることを見ると、彼我の差は明らかである。ネットワークの安全確保のためには新たな機関の設置等他に必要な分野もあるが、当面は我が国で最も不足している人材育成、そして独自技術開発の可能性が高い技術開発に対して、より大胆に予算を投入して行くべきだと考える。
官民連携体制の強化
通信、交通等の重要インフラが民間によって所有・運営されていることから、「サイバーテロ」対策にとって官民連携強化は不可欠である。政府は、今年10月に「「サイバーテロ対策に係る官民の連絡・連携体制について」をとりまとめ、その強化に乗り出しているが、その内容は「既存連絡体制の活用」として、実際は何ら具体的な対策を取っていないに等しい。より実効的な対策をとるためには、現在の企業―所管業界―所管省庁―官邸という多段階の連絡体制を改め、被害企業と中央省庁の危機管理部門が直接的に連絡を取れる体制を構築することが必要であり、そのためにも前述した「重要インフラ防護センター」の設置が必要となる。この組織を活用することによって、重要インフラを担う企業のネットワークシステムについて官民共同の下で、その特性・限界・弱点等の検証を進め、情報を共有することが可能となる。
我が国の特徴として、民間企業における情報セキュリティ意識が極めて低いことが上げられる。上記のような日常的な官民交流を通じて、一刻も早く民間企業の意識を高めることが必要である。
また企業のみならず、一般の国民に対する危機意識の啓蒙及び適切な情報提供が必要である。現在も警察庁が随時必要情報を提供しているが、これを一歩進め、例えば現在官邸が行っているメーリングリストのような形で、登録者には素早くネット上の危険情報を提供することも検討していく必要がある。
国際協力体制の強化
「サイバーテロ」には国境は無い。昨年の「官庁ホームページ書き換え事件」からもわかるように海外からも容易にテロは仕掛けられ、また我が国から他国政府等を襲うことも可能である。そのため「サイバーテロ」対策においては、国際協調は不可欠である。
国際社会は現在「ネット犯罪防止国際条約」の締結に向けて努力を重ねている。我が国としても、通信の秘密やプライバシーの保護に十分留意しつつ一刻も早くこの条約を発効させるために全力を挙げると共に、その発効以前においても積極的に各国と情報交換に務めるべきである。
情報教育の必要性
安全なネット社会の構築をするために欠かせないのが、国民一人一人の理解と意識である。ネットを活用した社会は確かに個人生活の利便性を飛躍的に向上させ、国内はおろか海外とのコミュニケーション・交流も容易になった。しかし、それは一方で潜在的なリスクを拡大させ、時には自らが意識せずとも「サイバーテロ」に加担することもあり得る社会になったのである。このような国民生活の取り巻く環境が大きく変わったことについて、国民の理解を進めるためには、初等教育からそのメリット・デメリットを的確に説明していく必要がある。単にコンピューターの使用技術を教える「マニュアル教育」ではなく、それが社会にどのような影響をもたらしたか、どのように社会に活用して行くべきか、コンピューターに使われるのではなく、いかに使いこなしていくかをできるだけ早い段階から教えて行く必要がある。そのためにも1年でも早く小学校における「1人1台のコンピューター」の環境を整え、またそれを教える教員の育成を急ぐ必要がある。
2.「サイバーテロ」の現状
(1)9月11日の衝撃
9月11日、米国を襲った同時多発テロは全世界の人々に大きな衝撃を与えた。自由主義経済の象徴とも言える世界貿易センター、世界の安全保障の中心をなす米国防総省(ペンダゴン)に民間航空機が突入し、数千人にも及ぶ死者を発生したことに、世界中の人々が深い悲しみと激しい怒りを感じた。この「テロ」という言葉では表現しきれない大量殺人を、米国は「21世紀型の戦争」と位置付け、見えない敵に対して国力を上げて戦うことを宣言した。この日を境に、安全保障における概念が、20世紀型の「国家対国家」だけでなく、「国家対テロ」という新たな形態を包括した概念に変わらざるを得なくなった。まさに9月11日を境に世界は変わったのである。
新たに安全保障の対象とする「見えない敵」には二つ意味がある。一つは、まさに今回の米国同時多発テロに見られる、「一定の領土を持たず、その政治的統合を受けている国民が存在しないテロ組織」を相手にするという意味である。同時に、その手段においても「見えない敵」が存在する。それが「サイバーテロ」である。国家の安全保障を維持するための様々な国防システム、社会の根幹をなす経済活動・行政サービス等、国民生活に不可欠な通信・交通・流通・報道等がコンピューター化され、ネットワーク化されている現在において、このネットワークがテロによって機能不全に陥れば、戦争にも等しい打撃を国民生活全般が受けることになる。
米同時多発テロの犯人であるウサマ・ビンラディンには、このテロを起こす前から「サイバーテロ」の準備をしているとの疑いがあった。また米国のハッカー活動の監視サービスを提供している「アイ・デフェンス」の調査によれば、テロ発生後の9月15日にはビンラディンのシンパと言われるハッカー集団「イリーガル・グループ」が米企業などを狙ったホームページの改竄攻撃を開始したされている。
このような事件を通して、今後の国家の安全保障を守っていく上で「見えない敵」を意識せざるを得ないこと痛感した。我が国としても国民の生命・財産を守っていくために、一刻も早くこの「見えない敵」に対する対応力を向上させる必要がある。
(2)ネットワーク社会の進展
80年代に国民生活に普及しだしたコンピューターは、90年代に高機能化・低価格化が急激に進展した結果、国民生活に密接に関連した情報機器となった。とりわけ90年代半ばから国民生活に浸透してきたインターネットは、国民にテレビや新聞と言った従来型メディアを超える情報収集能力や電話やfaxを超えるコミュニケーション・情報交換手段を提供した。今やインターネットを利用する国民は2000万人を超え、iモードなどの携帯電話を含めれば4000万人を超える国民がネットを利用していると考えられる。まさにパソコン・携帯電話を通じたネット機器は国民生活に不可欠な「国民機器」であり、我が国は間違いなくネット型社会への転換を果たしたと言えるだろう。
この社会のネットワーク化は、更に進展し、国民生活により深く浸透していくことは間違いがない。その大きな基盤となるのが、現在進行中の「IPv6」への転換である。ネットワークに接続するためには、それぞれの機器に固有のアドレスが必要となるが、現在のシステムでは全世界中で約43億個にしか、このアドレスを付与することができない。しかし新たに導入されている「IPv6」では、このアドレス付与可能機器数が「43億X43億X43億X43億」個にまで拡大し、実質的に無制限にアドレスを付与することが可能となる。
現在電機各社からネットワークに接続する家電製品が発売されている。これは、例えば外出先から自宅に電話をかけることによって、エアコンを帰宅前に起動させて帰宅時には室内を快適な温度にしておく、また冷蔵庫をネットワークに接続して庫内にある素材等を入力すれば、この素材を使った適切な料理のレシピをネットワークからダウンロードするといった機能が付与されている。いずれの場合でも個々の機器にアドレスを付与することが必要だが、従来のシステムでは近い将来にアドレスが枯渇し、このサービスにも上限があることが明らかであった。しかし「IPv6」が導入されることによって、この物理的制限が無くなり、ほぼ無制限に家電機器に対して、アドレスを付与することが可能となるのである。
これ自体は、国民生活の利便性向上に資することであり、民間企業の努力の賜物と言える。しかし、一方でコンピューターネットワークが国民生活により深く浸透することによって、内在する危機が高まる可能性もある。例えば電子レンジがネットワークと結びつくことによって、全く関係の無い人間が、この電子レンジを利用することが可能となる。極端な場合には、火事を起こすことも可能なのである。各家庭の冷房機器を、ネットワークを悪用する人間が一斉に起動したとすると、無駄なエネルギーの消費を助長するだけでなく、大規模な場合には地域一帯の停電にも結びつきかねない。
このネットワークに接続された膨大な家電機器を使った「サイバーテロ」はよりリアリティがあると考えられる。現在多用される「サイバーテロ」の手法として、あるホームページに対して数十台、数百台のコンピューターからアクセスして、そのホームページをパンクさせてしまうDDoS攻撃(分散型サービス拒否攻撃)というものがある。家電機器がネットワークに接続された場合、その家電機器自体がこのDDoS攻撃の拠点になりかねないのである。家電を保有する人には何らのその意図が無くても、ネットワークを通じてハッカーが攻撃用のソフトを家電機器に忍び込ませ、ある時を決めて一斉に一つのホームページにアクセスすれば、比較的容易にこの「サイバーテロ」は実行できる。即ち一般の国民が、自らの知らない間に「サイバーテロ」の加害者となりうるのである。現在でもハッカーは、他人のコンピューターを利用してこのDDoS攻撃を仕掛けており、通常人が向き合っていない家電機器を利用することは、一層容易であると考えられる。
このようにして、社会のネット化が進展するにつれ、潜在的な危機は高まっていく。テロ組織にような「見えない敵」は、ネット化という「見えない手段」があるからこそ、その危険性が高まっているとも言える。とりわけ我が国の場合、アメリカに追いつけ、追い越せの勢いで官民一体となってネット化を進めてくる中で、その影の部分とも言える危険性に対する認識は極めて甘い。ネット社会に潜在している国民全体に忍び寄る危機に対しては、全く対策が講じられていないと言っても過言ではない。政府は「5年以内に世界最先端のIT国家となる」と高らかに宣言しているが、その影にあるリスクについても国民に対し明確に説明し、これへの対応策を講じていく必要がある。
(3)海外における「サイバーテロ」の現状
サイバーテロが可能となるためには、その国、社会において相当程度ネット化が進んでいることが必要である。そして世界で最もネット化が進んでいるのは、米国である。そのため米国では既に「サイバーテロ」的行為が頻発している。
1999年5月米国FBIは、インターネットの世界で有名なハッカー集団の一員を逮捕・起訴し、これを知ったハッカー仲間からの集中攻撃を政府機関が受けることとなった。5月27日米国上院のウェブサイトに対する攻撃で始まり、FBIも攻撃を受けた。その結果FBIのウェブサイトは「いつ使用できるようになるか未定」という極めて深刻なダメージを受けることとなった(実際には1週間使用不能の状態が続いた)。さらにFBIとハッカーとの戦いは続き、その他の政府機関のウェブサイトも破壊された上で、再度上院が攻撃を受け、ここも世界各国からのアクセスが数日間不能となる大打撃を被った。
このように政府機関のウェブサイトを自由に侵入し、実際に物理的な被害を与えた「サイバーテロ」によって、例えばペンダゴンの核兵器の制御系のシステムを乗っ取ることによって世界を支配することも不可能ではないこと、そしてそれを現実化できる予備軍が、現在の社会に存在するという新しく、そして極めて危険なリスクが存在することが如実に証明された。
その他米国における代表的な「サイバーテロ」の事例を上げれば次の通りである。
1996年12月、あるハッカーが米空軍のウェブサイトに侵入。「これが君たちの政府が毎日君たちにしていることだ」というキャプションのついた血の滴る画像を掲載した。
1998年4月、ペンダゴンの軍事コンピューターシステムに、あるハッカー集団が侵入。攻撃を受けたのは機密解除されている通信機関だけだったとペンダゴンは発表したが、ハッカー集団は、「自分たちは地球上の位置確認軍事用衛星システムの操作に使われているソフトを手に入れた」という声明を発表した。
2000年2月、ハッカーが「ヤフー」に集中攻撃を開始、その結果、数時間に渡ってサイトが閉鎖された。続いてオンライン書店「アマゾン」、オンライン・オークション「Eベイ」など数十のサイトが次々と攻撃され、数億ドル相当の被害を与えた。
(以上、「SAPIO 2000.4.12」より)
(4)国内における「サイバーテロ」の現状
国内において「サイバーテロ」が明確に意識され始めたのは、2000年の1月に発生した「官庁ホームページ書き換え事件」であろう。この事件の発端は、事件の起こる前日に大阪で開催された小さな集会にあるとされている。中国政府は事前に南京大虐殺に疑問を呈するこの集会の中止を日本政府に要請したが、これを政府が受け入れなかったために、これに対する抗議の意味から、日本政府機関のウェブサイトを狙ったとされている。
警視庁に提出された被害届けによれば、この集中的な政府サイトの攻撃は17件に及んだ。具体的には科学技術庁、総務庁、運輸省、毎日新聞等のホームページが書き換えられ、また総務庁統計局のホームページでは全てのデータが消去された。ホームページの書き換えという被害までは生じなかったが、同時に人事院、大蔵省、防衛庁など多数の官庁や日銀においても不正なアクセスを受けていた形跡が判明した。とりわけ被害を受けたのは科学技術庁のホームページで2日にわたり2回の侵入を受けている。
この事件で特徴的なことは、「サイバーテロ」を行った侵入者が政治的な意思を持っているということである。政治的な意思を持つ者が、一定のハッキング技術を身につければ、「サイバーテロ」は現実化する。その意味で、我が国も米国と同様にいつ政府機関が「サイバーテロ」に遭うかも知れないというリスクにさらされているのである。
同時に政府機関、民間機関において十分な防護策が採られていないことも明らかになった。今回被害を受けた機関だけが、攻撃の的にさらされたと考えるよりは、政府及び民間の主たる機関に無差別に攻撃を仕掛けた結果、侵入が容易であった機関が被害を受けたと考える方が合理的であろう。とりわけ2日にわたり2回の侵入を許した科学技術庁は、その安全策において非常に貧弱であることが推定される。
さらに同様の政治的な意思を持った「サイバーテロ」は、今年も日本を襲った。今回は教科書問題が発端になり、4月に文部科学省、自民党、北海道議会、産経新聞、出版社などに対し、DDoS攻撃が仕掛けられ、これらのホームページへの接続が一時的に困難となった。
我が国の民間企業においては、目立った「サイバーテロ」の被害は生じていないように見える。しかし、一般に企業は自らが何らかの形で被害を受けても消費者等に対する信頼性の観点から、この被害を外部に公表しない例が多いと考えられる。昨年警察庁が行った調査によると、回答した上場企業及びライフラインを担う特定業種844社中、6.7%にあたる32社がコンピューターウィルスや事故などで情報システムに深刻な被害を受けた経験があるとしている。また電力、ガス、水道などエネルギー関連企業58社のうち、約3割の企業が、サイバーテロに乗っ取られた場合、「ライフラインやプラントが停止・暴走する可能性がある」と回答、112の医療機関の半数が「人命にかかわるシステムがある」と回答している。甚大な被害をもたらした「サイバーテロ」こそ発生していないが、我が国においてもその兆しは見られ、仮に発生した場合においては、国民生活に重大な影響を与える可能性があることを、このアンケート結果は表している。
3.「サイバーテロ」対策の現状
(1)海外における対策の現状
「サイバーテロ」に対して深刻な危機感を抱いている米国においては、様々な法整備や組織作りが進められている。その基本となっているのが、1995年クリントン大統領が決定した「PDD39」と呼ばれる大統領決定指令39号である。この指令は、連邦ビル爆破事件と我が国のオウム真理教による地下鉄サリン事件を契機としている。その後、この指令を受け、「重要インフラ作業グループ」が設置され、このグループの勧告に基づき「重要インフラ防護のための大統領行政命令13010号」が署名された。その中では1.電気通信・電力・ガス・石油・銀行・運輸・水道・救急サービス(医療、警察、消防、救助)・政府活動の8つを「重要インフラ」と規定し、これの無力化や破壊は、米国の防衛或いは経済の安全保障を弱体させる 2.重要インフラに対する脅威には、物理的な脅威とソフト面での脅威の2つにカテゴライズされる 3.重要インフラの多くは民間により所有・運営されているため、官民の協力が必要、という政府がインフラの防護を進める上で、重要かつ基本的な考え方が示されている。
このような認識の下で、1996年には官民合同委員会である「重要インフラ防護大統領委員会」が設置された。また併せて機動部隊としてFBI長官を議長とする「インフラ防護タスクフォース」が司法省内に設置された。これらの組織を基盤として、米国においては様々な「サイバーテロ」対策が講じられているが、その中でも特筆すべきものを以下に簡略に記す。
「国家インフラ防護センター(NIPC)」設置
「サイバーテロ」脅威のタイムリーな警告、包括的な分析、執行分野の捜査及び対応サービスを任務とし、FBI・シークレットサービスその他の機関のコンピューター犯罪やインフラ防護経験のある捜査官、国防総省、情報諸機関等から派遣された代表からなっている。「サイバーテロ」に具体的に対応する機関として情報収集に努め、仮に「サイバーテロ」が発生した場合に、全国家的に対応する機関である。
国防総省の演習「エリジブル・レシーバー」
1997年に国防総省が行った演習であり、国家安全保障関連の機関に勤めていた35人の職員をして「疑似サイバーテロ」を仕掛けさせたものである。35人に与えられた任務は2つあり、1つは「米国中の電力・通信システムのスイッチを切る方法を見つけること」、もう1つは「国防総省の中のコンピューターのネットワークシステムに不正侵入を試みること」であった。結果としていずれの任務も「成功」に終わった。このことは35人という非常に小規模の組織でも、米国政府或いは重要インフラの中枢に侵入することができる、即ち米国社会を混乱に陥れることができることを明らかにした。
このような対策を踏まえ、米国では国防総省ネットワーク監視の24時間体制化、コンピューター犯罪研究所の設置、公開カギのインフラ整備等様々な対策を講じることとなり、その結果「サイバーテロ」に対する予算をとして20億ドルを投入している。
(2)国内における対策の現状
我が国においても高度情報化社会を迎えるにあたって様々な施策が講じられてきたが、産業政策面が優先され、「サイバーテロ」等安全保障面の取り組みは遅れていた。通産省は97年に「大規模プラント・ネットワーク・セキュリティ対策委員会」を設置し、警察庁や防衛庁がまだ「サイバーテロ」対策に取り組んでいない段階から積極的に取り組んできたが、政府全体として具体的に取り組みを開始したのは1999年9月に内閣に設置された「情報セキュリティ関係省庁局長等会議」からである。しかし米国では1995年に既に大統領指令をもって対策に取り組んでいることに比べれば、情報セキュリティ対策に対する日本政府の意識の低さを再確認するものでしかない。しかし内閣に専門の会議が設置されたことによって、その後の施策の展開は、従来に比べれば比較的速やかに進むようになった。
この99年に設置された会議では3つの指針が決められた。一つは政府や企業の重要情報を盗もうとする反社会的行為に対して、現在の法制度が十分かどうかの検討である。二つ目は政府全体として総合的なハッカー対策を講じるために、99年をメドにアクション・プログラムを策定することである。三つ目は「サイバーテロ対策」である。国民の生命や財産が重大な影響を受ける可能性がある「サイバーテロ」に対して、特別の施策を講じていこうとするものである。この基本的な指針に基づき政府部内で検討が進められ、以下に示すような施策が提案されることとなった。
2000年1月「ハッカー対策等の基盤整備に係る行動計画」
政府が電子政府の基盤を構築するとして平成15年を当面の目標として、この電子政府が国民及び海外の信頼を得るだけの情報セキュリティ水準を確保する。そのために従来情報システム部門における取り組みに止まっていたものを、政府全体で取り組むべき課題として、施策の推進を図る。また民間に対しては政府の取組強化をモデルとして提示していく。
2000年7月「情報セキュリティポリシーに関するガイドライン」
各省庁の情報システムにおけるセキュリティ対策をとりまとめる情報セキュリティポリシー策定のためのガイドライン。政府のセキュリティ対策の基本的な考え方、ポリシー策定の手順及び各省庁の情報システムにおける必須対策等を明示。
2000年12月「重要インフラのサイバーテロ対策に係る特別行動計画」
情報通信・金融・航空・鉄道・電力・ガス、政府行政サービスを重要インフラ分野と定め、これらの「サイバーテロ」対策として1.セキュリティ水準の向上を通じた被害の予防、2.セキュリティ情報、警報情報等の共有等官民の連絡体制の確立・強化、3.官民連携によるサイバー攻撃の検知と緊急対処、4.人材の育成、研究開発等情報セキュリティ基盤の構築、5.国際連携、を図ることとする。
2001年10月「サイバーテロ対策に係る官民の連絡・連携体制について」
上記「特別行動計画」に基づき、サイバーテロ対策に係る官民の連絡・連携体制の構築するにあたって、基本的な考え方を示す。既存の連絡体制の活用、情報手段の2ルート確保、情報連絡の対象となる情報の範囲等。
現在政府においては、情報セキュリティ対策を進めるために「高度情報通信ネットワーク社会推進本部(本部長:内閣総理大臣)」の下に、各省庁局長級をメンバーとする「情報セキュリティ対策推進会議(議長:官房副長官)及び民間有識者をメンバーとする「情報セキュリティ専門調査会」を設置し、対策費として444億円を投じている。
また「不正アクセス防止法」が昨年2月に施行され、他人のパスワードを利用して不正にコンピューターに侵入したり、ソフトウェアの欠陥をついて侵入することなどが違法行為とされた。これに対応する捜査機関として警察庁は「サイバーフォース(24時間のリアルタイム検知を行い、県警とともに被害の拡大阻止や捜査にあたる)」の体制づくりを進めている。
〜まとめ〜
ブッシュ大統領の肝いりでホワイトハウス入りしたライス国家安全保障担当大統領補佐官は「米国経済に活力を与え、軍事力の優位を支えている、まさにその技術が我々を脆弱にしている」と語っている。この言葉は、まさに日本にもそのまま当てはまる。「我が国経済の生命線であり、国民生活の利便性の向上に甚大な貢献をしているネットという技術が、我々の社会に脆弱性をもたらし、国民生活の隠れたリスクとして存在しているのである」。もはやネットの無い社会など考えられないところまで進んでしまった我が国においては、ネットが持つリスクを適切にコントロールし、そのマイナス面を極小化することによって、安全な社会を構築して行く他、道はない。そのためには、そのリスクと正面から向き合い、その実態を適切に把握して上で、最も適切な対応策を採っていくしかないのである。
民主党は、これらの国民の潜在的リスクに正面から対応し、国民に率直にネット社会のメリットとデメリットを説明した上で、安心できる社会を構築していく。この提言は、そのための第一歩である。
以上
|