年金情報が外部からの攻撃によって流出した、という事実は大きな社会問題として取り上げられています。さらに、東京商工会議所でも、コンピューターウイルスを介した感染により、会員情報が外部に漏れるという事件も生じています。そこで今回は、我が国のITセキュリティはどうなっているのか、論じることにします。

こうした、「情報」に対する攻撃は、インターネットが普及しだした1990年代から増え始め、現在では、攻撃の手段も巧妙化しています。ITネットワークに対する攻撃は、個人のみならず、企業、団体、ひいては国家の脅威となっており、国家レベルの攻撃に及んだ場合、サイバーテロと呼ばれます。警察庁はこれを以下のように説明しています。

“サイバーテロとは、重要インフラの基幹システムに対する電子的攻撃又は重要インフラの基幹システムにおける重大な障害で電子的攻撃による可能性が高いものとされており、一般的にはコンピュータ・システムに侵入し、データを破壊、改ざんするなどの手段により、国家又は社会の重要な基盤を機能不全に陥れる行為をいい、サイバー犯罪の中でも最も甚大で深刻な被害を及ぼす危険があると考えられています”http://www.keishicho.metro.tokyo.jp/haiteku/cyber/cyber.htm

世界にサイバー攻撃の重要性を認識させたのが2009年に起こった、米韓政府に対するサイバーテロでした。我が国は2005年に情報セキュリティ保護に帰するため、NISC(National center of Incident readiness and Strategy for Cybersecurity:内閣サイバーセキュリティ)を発足させました。しかし、2011年、防衛産業の一角を担う三菱重工票がサイバー攻撃を受け、大きく報道されました。この事件後、衆議院議員のパスワードが盗まれていた可能性や、外務省の在外公館のコンピューターにウイルス攻撃にあったことなどが、明らかになりました。時代が進むにつれ、サイバー攻撃も進化し、DDOS(Distribute Denial of Service：分散サービス拒否)から、より重篤な標的型攻撃へと変わって行きました。国際社会はサイバーセキュリティの問題に対しては早くから反応しており、2001年にサイバー犯罪条約を採決しています。日本では欧米に遅れて、2012年に正式批准されました。

情報に関しての重要性は、フランシス・ベーコンの「知は力なり」という言葉に集約されています。経験論と科学的方法を主体とした考えは、近代の情報戦の基礎となりました。米国国防省の情報認知局（Information Awareness Office）は そのロゴに、scientia est potentia(knowledge is power)を用いていることからも、現代の国防に情報はもっとも重要なものであることがわかります。実際、米国が大戦で日本に圧倒的に勝利したのも、日本の暗号化された情報を、ほぼすべて把握した事が大きく影響している、といわれています。こうした苦い経験を持つ我が国のサイバーセキュリティは十分かと言われれば、そうとは言えないのが現状です。

第一に予算の問題です。アメリカ合衆国と日本の国家予算は国民一人あたりについていえば、それほど変わりません(2015年人口はアメリカ：日本は、約２．４；１)。しかしながら情報セキュリティに係る日本の予算は、585億円（2016年）です。これに比して米国は140億ドル（約１．７兆円）という2016年大統領予算を示しています。

http://www.nisc.go.jp/conference/seisaku/dai37/pdf/37shiryou05.pdf

https://www.whitehouse.gov/omb/budget

我が国では、2015年から2016年にこの分野の予算は100億円以上の増加を示しており、政府として重要視している分野であることは確かです。しかし、様々な目的に使われる予算の中で、どの分野に予算を多くあてるかは、国がその部分をどれだけ重要視しているかの現れですから、依然として存在する両国間の大きな差は一目瞭然と言えるでしょう。

二番目の問題は、体制に関することです。2009年7月、米国と韓国政府は同時攻撃を受けました。韓国のサイバーテロ対応は、政府部門、民間部門、軍事部門の３つに分けられています。この3部門の総括をするのが国家サイバー安全戦略会議です。この安全会議は、2004年大統領令によって発足され、その議長となる国家情報院長には絶大な権限が付与されています。2009年のサイバー攻撃以降、その体制は強化され、実効的なガバナンス機能を有するモデルと言われています。我が国のNISCは当初のNational Information Security CenterからNational center of Incident readiness and Strategy for Cybersecurityと名前を変え、国家の危機管理組織として成長を遂げています。しかし、NICSのstake holdersとして、警察庁、防衛省、総務省、外務省、経産省など多数の組織が関わり、予算立ても各々によって別立てです。こうした仕組みでは、どこが責任母体なのか曖昧になり、効率性を欠くことになります。クリントン政権時代、初代FEMA （Federal Emergency Management Agency：アメリカ合衆国連邦緊急事態管理庁）長官を務めたジェームズ・ウイット氏は、講演で、我が国の危機管理体制について以下のように言及しています。「日本においては、多くの異なる省庁が異なる責任をもっているようである（中略）どこが総括的な計画をもっているのか、どうやって一緒に協力していくか、どうやって資源を調節するのか。中央のレベルから実際の地方のレベルまでどのように協力し、どうやって一定の資源から最大の効果を引き出すのか。資源は限定されており、いかにむだを省くかなど計画はあるのかがはっきりしない」サイバー攻撃対する対応についても、この言葉が当てはまるといってよいでしょう。国家の危機にあたっては、各省庁間の枠を取り払い、迅速かつ効率的、効果的な活動ができるようにすることが緊急の課題と言えます。

最後の大きな問題はsecurity clearanceです。各国のサイバーセキュリティ対策はインテリジェンス（諜報機関）が主導で行われているため、政府、民間を問わず、秘密保持制度が整備されています。我が国にはインテリジェンス部門をどこが担当しているのか明らかになっていません。2010年の尖閣諸島に関する画像流出問題をうけて、特定機密の保護に関する法律を成立させました。しかし、今回の年金流出問題から、これほど重要な個人情報保護に関与している職員が、単なる国家公務員法違反のみによって処分されるだけで、刑法などには抵触することがないことからも、そのセキュリティクリアランスの認識が十分でなく、それ故法整備を含めた対策が、他の先進諸国と比して遅れをとっているのが現状ではないか、と思います。情報がその国の存亡を左右することから、今後抜本的な意識改革が求められる分野だと考えます。

また、事件が起きた際、その状況を認識し、原因解明を行うととともに、その背景に関する想像力が必要です。今回の個人情報流出に関して、ある特定の国の関与が取りざたされています。その国の関与の有り無しは別にして、もしそうであった場合のその国や、周辺国の意図、今後の影響や再び同様の事件が起こらないか、などの討議が徹底化されるべきであると考えます。この部分が我が国のもっとも弱いところであり、力を注ぐことが重要でしょう。

（木村盛世のメディカル・ジオポリティクス カフェより）