セキュリティ匠対談 十二回目
~「サイバー防衛」へどう立ち向かう~
 一回目:超大国米国と中国の動き

 セキュリティ匠対談 第十二回

  ~「サイバー防衛」へどう立ち向かう~
一回目:超大国米国と中国の動き

 

執筆者プロフィール

山崎 文明 山崎 文明:市場開発本部 エグゼクティブエキスパート
国内のセキュリティ第一人者として、今まで数多くの役職を歴任。著書多数。
官公庁に対しても、積極的なセキュリティ提言を行っている。
栗田 晴彦 栗田 晴彦:ビジネス推進本部 シニアエキスパート
CISSP/CCSP/CISA//PCI DSS QSA/PMP
セキュリティのコンサルティングや監査に長年従事。
現在は、後進の育成にも力を入れている。セキュリティ匠の会事務局。

サイバー空間での防衛が、死活的な重要項目に

栗田 十二回目の今回のテーマは、国家レベルのサイバー防衛(サイバーディフェンス)に関わる話です。三回シリーズの対談で、一回目は世界を動かす超大国の米国と中国の動きを取り上げます。二回目には、米中間のサプライチェーンに関わる攻防と日本の参考となる英国の動きを紹介し、三回目で、日本の動きにも触れたいと思います。山崎さんは、この領域での講演や執筆も多く、日本のサイバー防衛分野を代表される方なので、興味深いお話が伺えそうです。
山崎 ごく最近の話ですが、8月29日に安倍首相が「安全保障と防衛力に関する懇親会」に於いて、「陸海空という区分にとらわれた発想では、あらゆる脅威から我が国を守り抜くことは出来ない」、「サイバーや宇宙空間などの新しい領域で優位性を保つことが死活的に重要だ」と述べました。最早、国を守るにあたって、サイバーセキュリティは最重要と言っても過言ではありません。

平成30年8月29日 「安全保障と防衛力に関する懇親会」 首相挨拶:
https://www.kantei.go.jp/jp/98_abe/actions/201808/29anzen.html

栗田 本当にそう思います。海外と較べると、日本はかなり対応が遅れているのではと思いますが、国防・安全保障上の重要課題であるという認識がやっと生まれてきたという感じです。
山崎 サイバー防衛が、首相の冒頭の挨拶で言及されること自体大きな進展ですが、日本にはまだまだ検討すべきこと、やるべきことが多くあります。今回のシリーズでは、その参考となる、外国の動きをご紹介いたします。
栗田 まずは、経済力がそれぞれ1位、2位である超大国の米国と中国ですね。両国とも、防衛力、政治力でも群を抜いており、あらゆる分野で覇権争いが行われています。日本として、まず押さえていかなくてはならない動向です。

米国ではCLOUD法で、個人情報の取得が更に容易に

山崎 米国での最近の大きなトピックスは、今年の3月23日に成立した、CLOUD法(CLOUD:Clarifying Lawful Overseas Use of Data )です。丁度、略称がIT業界の重要技術の「Cloud」と同じなので覚えやすいと思います。米国政府による法的措置がある場合は、仮に海外にデータがある場合でも企業はそのデータ開示要求に応えなければならなくなります。
栗田 例えば、MicrosoftやGoogleなどのIT企業が、海外のデータセンター上でクラウドサービスを提供し、そこに個人情報がある場合が分かりやすいですね。今まではデータセンター所在地の法管轄に従っていたわけですが、今後は米国政府の指示があればデータを提供する必要があるわけです。より、米国の情報統制が進めやすくなります。
山崎 まさにそうです。典型的なケースが、Microsoft社がアイルランドのデータセンターに保有していたある個人情報を、米国司法当局が麻薬取引に関係するとして引き渡すことを求めていた紛争です。この紛争は2013年にさかのぼりますが、Microsoft社はデータ開示はアイルランド当局経由で行うべきと主張し、最高裁で争われていました。今回の法律で、この紛争が無意味とされ、要求に応じて米国当局にユーザデータを引き渡すことになります。

平成30年4月17日 米国最高裁の判断:
https://www.supremecourt.gov/opinions/17pdf/17-2_1824.pdf

栗田 実は、この件はクラウドセキュリティではトレーニングでも引用されるぐらい象徴的な事案です。3年ぐらい前に、CCSP(Certified Cloud Security Professional)の講義を英語のWebinarで受けていましたが、講師がこの題材を「Legal And Compliance」の章で取り上げていました。事業者、利用者、設置拠点、それぞれがすべて異なる国となるなどが当たり前に起きるクラウドで、どこの法律が適用されるかは大問題です。

政府が情報統制を行う流れが加速

山崎 米国が、インターネット上のサイバー空間を自由に使わせる考えから、安全保障上の理由から適切な統制を図っていく方向に舵を切ったきっかけが、あの2001年9月11日の同時多発テロと、そのすぐ後に制定された愛国者法(反テロ法:Patriot Act)です。
栗田 愛国者法は、テロのすぐ後の2001年10月に発行されましたね。第816条に「サイバーセキュリティの法的能力の向上及び支援」が規定され、サイバー防衛能力の大幅な向上がうたわれています。
山崎 その後、テロ対策という名のもと、電話や電子メールなどの監視が行われるようになりました。その結果は、テロ事件の再発防止やテロ実行犯の逮捕などにつながったのですが、その監視実態が行き過ぎていたのではないかという疑問もわき上がってきたのも事実です。
栗田 例のCIAに務めていたスノーデンの事件ですね。仕事柄、そのニュースにはかなりの衝撃を受けました。いろいろ噂では聞いていましたが、実際そこまで情報入手や分析をしていたということは、「やはり」という考えと「まさかそこまで」という考えが相混じった感覚でした。
山崎 インターネットが犯罪やテロにも使われている現状を見ると、安全保障上はやむを得ないということでしょう。通信の自由や人権保護の観点から問題視する意見はあるものの、当事者の米国でも多くの国民が支援しているのも事実です。
栗田 昔から、「電子メールは盗聴される、暗号化せずデータを送られるとそれが読まれてしまう」などが、実しやかに語られますが、実態はこういうことだということが、IT関係者は、身をもってわかったということでしょう。
山崎 その後、このスノーデン事件への反動もあり、また、愛国者法の期限切れということもあり、2015年には「米国自由法」ができ、政府の監視プログラムにはある程度の歯止めがかけられるようになりました。ただし、冒頭説明したCLOUD法で、やはり統制への考えを強めていると考えられます。特にトランプ大統領は、ますます政府による管理を強める政策を打ち出してくるでしょう。
栗田 アップル、ファイスブック、グーグル、マイクロソフト、Oathの米国を代表するIT大手は共同で、「我々各社は顧客と世界中のインターネットユーザーを保護するための、国際的な合意と世界的なソリューションを長年主張してきた。訴訟ではなく、対話と法律が最良のアプローチだと、ずっと強調してきた。CLOUD法が制定されれば、顧客の権利保護に向けた大きな前進であり、法への抵触が減るだろう」とCLOUD法への支持を発表しています。
山崎 どこまで、強制的にデータの提供が行われるかに寄りますが、基本はプライバシーが守られないリスクがあるということを、我々も考えなくてはいけないでしょう。代表的なクラウドサービスであるAWSやAzureでは、重要な情報は暗号化することを推奨しますが、やはり利用者自身で最後は情報を守るしかないという割り切りが必要です。
栗田 本当にそう思います。とはいっても、司法当局の要請によって、情報漏洩してしまうことに伴うリスクは一般的には低く通常のビジネス活動では許容の範囲内と見なせるでしょう。もちろん、政府などではそのリスクは当然容認できないという考えになります。海外の法制度や体制にも詳しいセキュリティ専門家の意見がますます重要と思います。

監視超大国中国:「金盾」と「天網」で両面からの監視

山崎 この米国が後を追おうとしているのが、中国です。ご存知のように、中国ではインターネット上では自由がないというほど、徹底的な監視が行われています。インターネットを経由してくるサイバー攻撃から国を守るには、その自由な利用を極力制限して統制を図るのが残念ながら一番の近道です。
栗田 中国では、Googleが自由な検索が提供できないので撤退する件が8年前に話題となりました。公安や秩序を維持するため国家レベルで検閲が行われ、不適切なWeb閲覧やSNS投稿が厳しく制限されています。Great China Firewallで守っているのですよね。
山崎 はい。このGreat China Firewallは「金盾」と言われるインターネット情報検閲、ブロッキングシステムの中核となるものです。金盾は、1993年の「金字行程」と呼ばれる情報化・電子政府化に向けた国家戦略の中の一つで、1999年からシステム開発が行われています。
栗田 知り合いが中国に出張に行った後に話したのですが、現地ではインターネットがほとんどつながらずに、仕事がうまく進まず非常に苦労したと言っていました。
山崎 2003年ぐらいから、有害サイトのブロック、個人情報の管理、アクセス監視などを始めており、今ではIPアドレスブロック、URLフィルタリング、パケットフィルタリング、コネクションリセットなどの技術で、徹底的な監視・制御を行っています。監視を有効にするため、国内では暗号化通信を禁止し、インターネット利用を登録制にするなど、統制を強めています。現在ではAI技術を用いて個人毎の利用履歴や言動を追跡・解析も実施しています。
栗田 昨年には、インターネット安全法が制定されましたね。中国で活動する日系企業も大きく影響を受けそうですね。

2017年6月施行の中国のインターネット安全法:
http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm

山崎 この法律では、中国国内で収集し作成した個人情報と重要データを中国国内で保存すること、海外に持ち出す際は中国当局審査を受けることなどが定められています。具体的な適用の範囲はこれからでしょうが、基本的には中国で入手したさまざまなデータの海外持ち出しが大きく制限されるので、ビジネスには少なからぬ影響が出てくるでしょう。
栗田 また、物理セキュリティの分野では、監視カメラなどを用いた監視も徹底的に行っていますね。今まで述べてきたインターネット上で実施されている監視と統合された「天網」という仕組みが有名です。
山崎 はい、2000年ぐらいから監視カメラの導入が始まり、今では、全国土に2億台の監視カメラが設置、ネットワーク化され、AI技術を駆使した監視を行っています。それが、「天網」と呼ばれるコンピュータネットワークです。中国では、音声、顔、指紋、DNAなどの生体認証データベースが構築され、インターネットのアクセス履歴などと統合がされています。
栗田 今年初めのニュースで、警官に「天網」と接続した眼鏡(スマートグラス)を提供し、眼鏡で見た人を即座にAIで顔認証し、その人の過去の経歴やインターネットの履歴などとの照合を瞬時にできるシステムが提供されたとありました。

平成30年2月7日 人民日報のTwitter記事
https://twitter.com/pdchina/status/961167664956649473/photo/1

最初の5日間で7人の容疑者が見つかったということですが、SF映画を思い起こさせますね。国家レベルで本格的な取り組みをされたら、技術的には十分に可能ですね。

山崎 間違いなく、質、量ともに、サイバー空間では中国が一番の監視社会であると言えます。ただし、全世界を見てみると、安全保障という建前の元、米国だけではなく多くの国がこの統制の方向に舵を切っていると言えます。

次回は米中間のサプライチェーンの攻防と英国の動き

栗田 山崎さん、興味深い話を有難うございました。紙面の関係で、今回はこれで終わりにしたいと思います。次回は、米中のサイバー戦略の続きで、サプライチェーンに関わる攻防ですね。
山崎 はい、この動きも我々が知っておくべき内容です。次に英国の動きを述べますが、米国や中国のように覇権争いを行う超大国ではないが、高いIT技術を有する西欧先進国として、日本が参考にすべきことが多くあります。
栗田 次回もよろしくお願い致します。

イベント/レポート

pagetop