「攻撃方法を知らねば防御もできない」
― 今回の日本政府の法案については。
(茂田)米国のようにワールドワイドでの監視には程遠い。例えば、同意によらない通信情報の取得については「国内の通信事業者」から「特定の機械的通信」(アイ・ピー・アドレス、指令情報等の意思疎通の本質的な内容ではない情報)などと制限されている。機械的通信に限定してしまっては、サイバー防衛に必要な情報が十分取得できるのか、疑問である。実効性は限定的となり、UKUSA並みのものは絶対にできない。
― 政府有識者会議でもシギントにあまり触れられず、法案でも限定的となっているのは、なぜか。
(茂田)専門家にとって、「攻撃方法を知らなければ防御もできない」ことや、UKUSAによるワールドワイドのシギントシステムがハッカー対策に使われているということは、いずれも常識の範囲と言える。それなのに政府有識者会議でほとんど取り上げられていない。私は政府のインサイダー情報を持っていないので推測の域を出ないが、無知のなせる業か、わざと避けたのか、どちらかだろう。
― いきなりワールドワイドの対応は無理としても、日本政府がまず着手すべきは何か。
(茂田)まず、首相に直結した、しっかりしたシギント機関をつくることだ。現在でも画像情報については、内閣情報衛星センターが首相に直結した形で存在する。世界のインテリジェンスでは、情報収集力ではシギント機関がナンバーワン。日本でも、首相や首相に直結する立場の人が直接的に指揮命令できるシギント機関をつくるのが第一歩だ。しかし、現時点では、残念ながら「そういうことを議論するだけ無駄」というのが大勢の認識だと思う。現在の日本のインテリジェンスのリテラシーのレベルでは、国民が同意してくれるのは、せいぜいこの法案程度の中身だと判断したのではないか。本格的なシギント機関の設置に取り組むと、おそらく日本では、憲法が保障する通信の秘密などとの兼ね合いから「反対キャンペーン」が起きる。そうしたことを避けるため、踏み込まなかったとも推察できる。
シギントによる機密知見と民間情報を総合する米
― 攻撃してくるコンピューターを無害化するには、攻めてくる相手を突き止める「アトリビューション」が必要となる。
(茂田)米国にはグーグル、アマゾンウェブサービス、マイクロソフトといった巨大プラットフォーマーがある。彼らの情報収集力は世界中に及び、NSAと密接に協力している。2020年にNSAは本部ビルの隣に民間企業との官民連携組織「サイバーセキュリティ・コラボレーションセンター」を設立した。2023年夏の時点でIT企業など約500社が参加している。そこでサイバーセキュリティの実務的な技術的知見について意見交換などをしている。NSAがシギント活動から得た機密の知見と、民間企業が収集した脅威情報と専門技術を総合する、サイバーセキュリティ対策の拠点となっている。NSA本部は秘密保持のため原則的に民間企業の人は入れないので、近くに民間企業用のビルを建設したわけだ。私はグーグルのGmailを使っており非常に便利であるが、米国政府は巨大プラットフォーマーの米国内データセンターからメールの内容を入手できる。ところが日本には巨大プラットフォーマーがない上、シギント機関と民間企業の密な情報交換もない。初期条件で既に大きなハンディキャップを背負っている。このように、法案だけを見ても始まらない。
NSAがどのようなシギント活動をしているかは秘密事項だ。しかし、これまでの情報開示でその一端が公開されたり、スノーデンの漏えい情報でも明らかになったりしている。それらによって、間接的にではあるが、シギントがアトリビューションに貢献していることが分かっている。NSAの看板プログラムとして「X-Keyscore」という非常に高性能のシステムがあり、世界中で情報を集めている。本来は情報を取るシギントシステムだが、アトリビューションなどでも役に立つ。漏えい資料の中に「X-Keyscore for cybersecurity」という表題のプレゼン資料がある。つまりサイバーセキュリティに役に立っているということだ。
― 具体的には。
(茂田)ソニー・ピクチャーズエンタテインメントが2014年に北朝鮮から大規模なサイバー攻撃を受けた。数年後、犯行グループの北朝鮮ハッカーを、個人を特定して訴追した。容疑者は国外にいたので身柄を取れなかったものの、訴追に至ったのは、NSAによるシギントの力と、FBIの捜査力があったためだ。当然のことながら、今回の日本政府の法案でアトリビューションを十分できるようになるかというと、これまで述べてきたのと同じ理由で無理なのは言うまでもない。
無害化措置実行への協議に過重さも
― では、今回の法案で相手方の無害化措置については、どうか。
(茂田)どこまで実効性ある手段が提供されているのかが、よく分からない。例えば警察が対応するケースについては、警察官職務執行法の改正案で「そのまま放置すれば、人の生命、身体または財産に対する重大な危害が発生するおそれがあるため緊急の必要があるとき」に無害化措置を実行できることになっている。では、どうやってその要件に合致するかどうかを認定するのだろうか。事前に必要な情報がなければ認定できないはずだ。情報がないと、攻撃されて被害を受けてから初めて分かるということになる。どういう集団がどうやって攻撃しようとしているかという情報を、いかに事前に把握するかが重要だ。それを把握した上で、どういうグループが、どういう攻撃をかけようとしているのかを解明できれば、攻撃の前に無害化できる。しかし、解明できないならば、やられてからでないと、分からない。
私の感覚からすると、緊急の必要があるかどうかも含め、事前に解明しておかなければ、いざというときに無害化できない。例えば、こちらから先にハッカー集団のサーバーにハッキングし、どういうマルウェアを持っているのかなどの技術、それから作戦計画、攻撃しようとしている標的―などの情報を事前に取れば、相手の攻撃前に阻止できる。問題は、そのようにアクセスすることについても、この法案には含まれていると理解すればいいのかどうかが、よく分からない。また、緊急に必要性を感じた時に、初めてアクセスの努力をできると解釈したらいいのか。そのあたりも、分かりにくい。合理的に解釈するならば、ハッカー集団のシステムへのアクセスは、無害化措置を適切に行うための正当な準備行為、すなわち正当業務行為であると解釈して、普段から行う必要があるだろう。そうしなければ、無害化措置も絵に描いた餅になる。
また、法案では、無害化措置を実行するには、外務大臣と協議し、更にサイバー通信情報監視委員会の承認を受ける必要がある。しかし、無害化措置を実行するのは「(危害防止措置を採る)緊急の必要があるときに」である。その時に大臣協議や委員会承認の時間的余裕があるのだろうか。外務大臣との協議ではなく、国家安全保障局との事前の方針協議で良いのではないか。また、サイバー通信情報監視委員会の関与は事後報告で十分ではないだろうか。
2018年以前の米国では、インテリジェンス機関のcovert action(秘密工作)という形で実際はサイバー攻撃もしていたが、秘密工作には大統領決裁が必要で、前段でNSC(国家安全保障会議)を経由(そのための関係省庁調整)する必要があるため、サイバーセキュリティ対策では機能しなかった。そこで、「伝統的軍事活動」と定義しなおすことによって、実施要件を下げて、前方防衛(Defend Forward)を実施できるようにした。つまり、武力の行使に至らないものは、国防長官の権限、実質的にサイバー司令官=NSA長官権限とすることにより、サイバーセキュリティのための無害化措置の実行を容易にしたのである。この経緯と対比すると、事前の外務大臣との協議や通信情報監視委員会の承認は過重な手続規定ではないか。
