組織の中で専門家が育たない
各省庁の担当者が2、3年ごとに異動してしまうことも、サイバーセキュリティーに詳しい専門家が育たない理由のようだ。
「新しい担当者がキャッチアップするまで1、2年はかかります。担当者が代わると、われわれのようなサイバーインテリジェンスの専門家は、数年前に作った説明資料を引っ張り出してきて前と同じことを説明する。でもまたすぐに担当者が異動してしまい、最初からやり直しです。10年以上、その繰り返しです」(名和氏)。
上層部の大臣や国会議員など、国に必要な法整備をつかさどる人たちの中に、サイバーセキュリティーの経験や知見を持つ人がほとんどいないと名和氏は憂慮している。
攻撃を受けてからでは遅すぎる
サイバーテロは、いとも簡単に、瞬時に国境を越えて行われる。これほどサイバーテロが増えている状況では、攻撃を受けてから対応するのでは遅く、被害が広がりすぎてしまう。そのため、欧米などの先進国では、積極的にサイバー攻撃を防御しようという動きが活発になっている。それが「能動的サイバー防衛(Active Cyber Defense)」だ。日本はこの分野でも、ようやく動き出したばかりだ。
これは、サイバー攻撃に遭ってから対応するいわゆる「受け身(Passive Cyber Defense)」の防御態勢ではなく、攻撃の前に行われる不審なアクセスなどから攻撃元を探知し、時には先手を打って相手のシステムにアクセスして対抗措置をとり、攻撃を未然に防ぐものだ。
政府は昨年末に策定した国家安全保障戦略に「可能な限り未然に攻撃者のサーバーなどへの侵入・無害化ができるよう政府に必要な権限を付与する」と明記しており、今年の夏以降には「能動的サイバー防御」に関する有識者会議を発足させる計画だ。
現在「能動的サイバー防御」を日本で実現しようとすると、法的制約という大きな“足かせ”がある。携帯電話の通話内容や、メールでのやりとりなど、「通信に関する個人や企業間のやりとり」は秘密事項に該当し、憲法および電気通信法、電波法などの法律で守られているからだ。そのため、政府は電気通信事業法などに例外規定を設けることを検討しているといわれている。
サイバー犯罪やサイバーインテリジェンスの専門家で、日本サイバーセキュリティ・イノベーション委員会(JCIC)の樋田拓也研究員は、こう解説する。
「例えばアメリカなどは、ハッカー集団などのサーバーに侵入し、彼らがどこを攻撃のターゲットにしているかといった情報収集を行って防御に役立てていると聞きます。しかし日本は専守防衛の国ですから、あくまでも自国の防御のみです。ただ、サイバーセキュリティーの世界は、それだけでは足りません。(有識者会議が立ち上がることで)ようやく日本が法整備をして、(能動的サイバー防御への)動きが進むのではないかと思います」
