安全保障としてのサイバーセキュリティ戦略
――慶應義塾大学SFC研究所 上席所員 小宮山 功一朗氏に聞く(2)
サイバー空間は現実世界と対のものとして存在する。世界の紛争が複雑化し錯綜するにつれて、サイバー空間での闘争領域も複雑化する。日本の安全保障上のサイバーセキュリティを考える際に、どのような視点が重要なのか。引き続き、慶應義塾大学SFC研究所 上席所員 小宮山 功一朗氏に聞いた。
取材:2022年9月29日 トリプルアイズ本社にて
小宮山 功一朗(こみやま こういちろう) 慶應義塾大学SFC研究所 上席所員。1978年長野県上田市生まれ。青山学院大学経営学部を卒業後、外資系 IT ベンダーを経て、一般社団法人JPCERTコーディネーションセンターにて国際的なサイバーセキュリティインシデントへの対応業務にあたる。FIRST.Org理事(2014-2018)、跡見学園女子大学講師、サイバースペースの安定性に関するグローバル委員会のワーキンググループ副チェアなどを務める。慶應義塾大学大学院政策・メディア研究科後期博士課程修了。博士(政策・メディア)。 |
目次
サイバーセキュリティへの考え方を変えた「Stuxnet」の衝撃
「グローバリゼーション」「民主主義」「国家主権」のせめぎ合い
サイバーセキュリティへの考え方を変えた「Stuxnet」の衝撃
――小宮山さんがサイバーセキュリティの研究に関わられた経緯を教えてください。
小宮山 もともとコンピューターには興味があったので、青山学院大学の経営学部で、ERP(Enterprise Resources Planning:統合基幹業務システム)やSCM(Supply Chain Management:供給連鎖管理)などを学んでいました。在学中に、これは趣味でプレイしていた「ハーフライフ」というシューティングゲームのサーバを管理していたのですが、それが地球の裏側に住むブラジル人にハッキングされる、という出来事がありました。東京にある私の立てたサーバをブラジル人が使っているということを目の当たりにしたことからサイバーセキュリティに興味を持ち、卒業後は外資系のセキュリティベンダーに就職しました。そこでは、IDS/IPS(Intrusion Detection System:不正侵入検知システム/Intrusion Prevention System:不正侵入防止システム)の運用を通じて、インターネット上を飛び交うさまざまな攻撃を目にしながら、それに対抗するセキュリティの技術を身に付けたり、自社製品を使って会社を守っている企業の方々と話したりして、セキュリティの現場を知ることができました。
――そこではエンジニアとして勤務されていたのですか。
小宮山 はい。データベースサーバを管理したり、スクリプトを書いたり、デバッグをしたりと、技術的には有意義でしたし、楽しんでいました。もちろん人の役に立つ仕事ではあったのですが、より公益性の高い仕事をしたいと考えるようになり、企業や団体をサイバーセキュリティの側面から補佐する公益法人に転職しました。
――サイバーセキュリティについての国際研究に進まれたのは、何かきっかけがあったのでしょうか。
小宮山 私はずっと、サイバーセキュリティというのは技術の問題だと思っていました。学生時代には技術がないせいでサーバを乗っ取られ、就職してからは知識や技術を得ることで、自社や顧客の情報を守る術を身に付けました。攻撃側の手口は常に進化しますが、私たちはそれに技術で対抗していくことができる、と考えていたのです。しかし、2010年に Stuxnet というマルウェアの存在が明るみに出ました。これは、イランの核燃料処理施設の制御システムを攻撃したマルウェアで、後にアメリカの NSA(National Security Agency:国家安全保障局) とイスラエル軍の情報機関によって共同開発されたことが報じられました。この Stuxnet は、これまでに見たどんなマルウェアと比較しても、質においても量においても圧倒的に高度なもので、少し調べただけでも、膨大なコストをかけて作られたことがわかりました。それこそ、馬車の時代に新幹線ができたぐらいの衝撃で、これからは、技術だけでサイバー空間を守っていくことが行き詰まるのではないか、と考えるようになりました。
――Stuxnet以前は、国家という変数を考えてはいなかった、ということでしょうか。
小宮山 Stuxnet を目の当たりにするまでは「サイバー戦争」という言葉そのものに違和感を覚えていました。インターネットに国境はないし、技術者が国境を超えて手に手を取り合って、世界を 1 つにつなぐサイバー空間を維持していると教わってきましたし、そう信じてもいました。
――ジョン・ペリー・バーロウの「サイバースペース独立宣言」やスティーヴン・レヴィの「ハッカー倫理」のようなマインドでしょうか。
小宮山 はい。そういったマインドが強く継承されていました。2000年代の技術者の間では、インターネットは国の権力が及ばないものとして認識されていて「インターネットに国境がある」なんて言おうものなら失笑される、というムードでした。国境のない空間で戦争が行われる、というのは、そもそも語義矛盾ではないかと。確かにその時代にも、自衛隊や警察のごく一部を中心に、インターネット上での軍事活動やスパイ活動の危険性を指摘していた人はいました。後に師事することになる慶應義塾大学の土屋大洋(もとひろ)先生も、2001 年のアメリカ同時多発テロを契機に早くからそのことを指摘していた 1 人でしたが、私自身は陰謀論のように捉えていました。2000年代後半に、北朝鮮の工作員が中国のあるホテルに集まってスパイ行為をしている、という話を耳にしたことがありましたが、現実味を持って捉えることはできませんでした。
技術者の視点から国際政治の視点への転換
――当時の小宮山さんは、サイバーリバタリアン的な立場をとられていた、ということでしょうか。
小宮山 カウンター・カルチャーとしての西海岸的なヒッピー的思想と、東海岸的なビジネスマインドとしてのヤッピー的思想が習合して超国家的なサイバースペースを構想してインターネット文化を形成した、というカリフォルニアン・イデオロギーの考え方に共鳴していました。また、個人の自由や社会的・経済的課題を解決する、という姿勢にも肯定的でした。
――そのような環境にいた小宮山さんの認識が、 Stuxnet という現実のマルウェアと遭遇したことで大きく変化したわけですね。
小宮山 たしかに、私たちの住んでいる世界に紛争や戦争がなければ、世界中に手と手をとりあって成立するサイバー空間というのも成立するかもしれない。でも現実に国と国とが争っているのに、なぜサイバー空間がそこから遊離した 1 つのものであると、私たちは勘違いしてしまったのだろう? という疑問に思い至りました。そこで考えを改めなければならないと思いました。そこから面白くなった、とも言えるのですが。
――そこから研究の道に歩まれた。
小宮山 慶應義塾大学大学院政策・メディア研究科の土屋大洋教授の研究室に入りました。土屋先生は先ほど触れた通り、サイバー空間のスパイ活動について最初期に指摘されていた方です。2000年代初頭に著書を読んで「インターネットについて陰謀論めいたことを言っている」と思っていたのですが、本当はこの人が一番先を見ていたのだ、と思いなおしましたので。研究室に入るとき、懺悔のような気持ちで「すみません。かつて先生のことを変わった方だと思っていましたが、5 年、10 年先について勉強したいので、研究させてください」と頭を下げたところ、先生も笑っていました。
――どのような研究をされたのでしょう。
小宮山 大学院に入る前は、日本が中国・韓国といった東アジアの国々と、サイバーセキュリティの分野でどのような協力関係を築くことができるか、ということに関心がありました。ただ、大学院にいる間に、日本と中国との関係が、かつての“戦略的互恵関係”から安全保障上の懸念国へと変わってきました。
――尖閣諸島での漁船衝突事件があった時期ですね。衝突時の海上自衛隊の映像が Youtube で拡散されたことも、日中の 2 国間の対応への議論を呼ぶきっかけになりました。
小宮山 そうですね。そこで、日本・中国・韓国の国家間の協力ということを議論する前提が変わってきたので、研究テーマを変える必要がありました。当時、北朝鮮から日本へのサイバー攻撃が実際にありましたので、その背景を調べました。すると北朝鮮では高度な知識やスキルを持つ技術者が養成されつつも、それを自国でマネタイズする手段が限られている、という構図が見えてきました。その上で、各国のサイバーセキュリティ対策組織が国境を超えて、どのように協力していくべきかを研究者の視点から考察する論文を書きました。
「グローバリゼーション」「民主主義」「国家主権」のせめぎ合い
――国家間でのサイバーセキュリティ協力の課題は、どういったことでしょうか。
小宮山 まずは、現実の世界の例で説明します。例えば、みなさんが何らかの被害――車を運転していて後続車に追突されるなど――に遭ったとすると、その次に何をするべきかというのははっきりしています。まずは最寄りの警察に行って被害届を出し、警察は加害者を逮捕して、裁判所で起訴が決まれば加害者は裁判の後にしかるべき処罰を受ける。これが私たちの社会のシステムとして機能しています。
――権力の制限と行使のスキームが確立している、ということですね。
小宮山 では、みなさんの会社がサイバー攻撃を受けた際にどうすべきか、というのはいまだに解決できていません。もちろん最寄りの警察に行くべきですが、行ったとしても最寄りの警察では何もできないというのが現状です。まして、そのサイバー攻撃をしかけてくる人物が海外にいたら……と考えると、先程の交通事故の例よりも、加害側の責任を追求できる可能性が低いことは、だれもが想像に難くないと思います。私の問題意識は、サイバー空間は無秩序で、強いものが勝つという、ルールのない世界だろうか? という問いからはじまっています。そこから秩序の土台となるものを探りました。そこで世界中の人がサイバー空間に望んでいる、共通の 3 つの価値観を指摘し、論文で提示しました。
――3 つの価値観というのは、どのようなものでしょう。
小宮山 グローバリゼーション、民主主義、国家主権の 3 つです。1 つめのグローバリゼーションは、世界が 1 つになってほしいという価値観です。2 つめの民主主義というのは、サイバー空間を通じて 1 人ひとりの意見が意思決定に生かされる民主的な世界が実現してほしい、という価値観です。また国家主権というのは、これまでに認められていた正当な領域の支配が、サイバー空間を通じて、よりスムーズかつ効率的に行われるよう確保されるべきだ、とする価値観です。
――後 2 者はそれぞれ対立した見地になるようですが。
小宮山 そうですね。民主主義と国家主権はときに対立します。今の世界情勢でいえば、民主主義というのは、アメリカや日本、ヨーロッパ諸国の立場であり、国家主権をきちんと確保したいというのは、中国やロシアのような権威主義国家の立場です。国家間の現在の緊張状態をみると、相反する価値観だということが明らかです。また、シリコンパレーのテックカンパニーなどにとっては、自分たちの商品やサービスを世界中で使ってもらえるグローバルな市場というのが最も大切です。企業も利益が得られるし、素晴らしい製品によって、皆がより便利で楽しい生活をおくることができる。
――そうすると、グローバリゼーションと国家主権、さらにグローバリゼーションと民主主義も相反する図式になりますね。
小宮山 はい、結局のところ、この 3 つの価値観のせめぎ合いになるわけです。また、それぞれの国や企業の中にもそれぞれの価値観が内包されています。日本の中でもいずれかの価値観を優先する人がいるでしょうし、時代の変化でも変わってきます。
日本のサイバーセキュリティ戦略の課題
――日本のサイバーセキュリティ戦略上の課題というのは、どのようなことでしょう。
小宮山 インターネットについて日本でどのよう発展させていくか、ということを定めた「高度情報通信ネットワーク社会形成基本法」(通称:IT 基本法)には、日本という国をグローバルに成長させること、民主主義が確保されること、なおかつ国が適切な行政を行えること、と私の挙げた 3 つの価値観がすべて書かれています。私の主張は、この 3 つが共存することはありえない、ということです。そもそも、最初からありえない目標設定をしているのが混乱の原因なので、3 つの価値観のうち何を重視するか、というプライオリティを再考する必要があると思います。
――他国との安全保障上の交流というのも重要になってくるのでしょうか。武力による戦争と同様に、サイバー空間においても、たとえば日本が攻撃されたときに 1 国だけで防衛する、というのは困難な気がします。
小宮山 2021年に閣議決定された「サイバーセキュリティ戦略」には、国内への悪意あるサイバー攻撃については、アメリカと共同で対処していくことが明確に書かれています。アメリカの国務大臣と国防長官、日本の外務大臣と防衛大臣がそれぞれ出席した日米協同安全保障委員会(2 + 2)では、日米安保条約第 5 条にある対日防衛義務をサイバー空間にも適用する場合があることが確認されました。非常に深刻なサイバー攻撃については集団的自衛権の発動が認められる――つまりアメリカ軍が日本の防衛に参加できる、ということです。これを「サイバーセキュリティ戦略」に改めて書き込んだというのは、日本の安全保障上の懸念国に対して、アメリカの存在をアピールする意図があるわけです。アピールだけでなく、自衛隊とアメリカ軍が、サイバー攻撃を想定した共同訓練を行ったりもしています。
――そうした場合、日本でのイニシアチブは、防衛省がとっていくことになるのでしょうか。
小宮山 やはり、サイバー防衛という文脈で、防衛省と自衛隊が先頭に立っているのだと思います。日本の警察庁とアメリカの FBI との協力など、さまざまなレベルでの協力関係はありますが、防衛上の日米同盟という強固な基盤がありますので、そこを軸に進められています。
――日米の安全保障の文脈でいうと、アメリカの「核の傘」に次いで「サイバーの傘」に入るようにも見受けられます。
小宮山 アメリカやオーストラリア、イギリスなどが加盟する UKUSA は、サイバー空間で攻撃されたら加盟国とともに反撃する、ということを明確にしています。ただし、日本の場合は、特にサイバー空間では、どこまでが自衛権の発動として認められる範囲なのかという具体的な区分がなされていません。かつての防衛大臣がサイバー攻撃をされた場合、現行の制度の枠内でも相手側を反撃できる、と発言したこともありますし、2018 年の防衛大綱には既存の陸・海・空の 3 自衛隊に加えて、宇宙・サイバー・電磁波統合運用の領域を加えた多次元統合防衛力が明記されましたが、運用についての明確なコンセンサスには至っていません。
――冒頭にお話いただいた、ロシアのウクライナに対する「ワイパー」攻撃のように、サイバー攻撃については宣戦布告があるわけでもないですし、日本では自国はもちろん他国の監視もできない、というのは大きなビハインドになりそうです。
小宮山 日本の抑止力の強化や敵基地攻撃能力や反撃能力、ということが国会でも議論されていますが、あくまでも現在進行形での話ですし、少なくとも先制攻撃は難しそうです。そこで「アクティブサイバー攻撃能力を備えることを検討する」という書き方をしたり、アメリカが防衛参加する、ということを表明するところにとどまらざるを得ません。そこが難しい点ですね。
情報のコントロールが国家の手を離れつつある
――メディアとしては、印刷やラジオ、メディアがプロパガンダの役割を果たした歴史がありました。また冷戦時代には東側諸国が国境沿いにパラボラアンテナを立てて西側諸国の衛星放送を受信することがありましたし、カラー革命では SNS が大きな役割を果たしました。このような情報の非対称性が戦局に影響を及ぼすことが多くなると思うのですが、現状ではどのような見取り図を描けるのでしょうか。
小宮山 ほぼすべての情報がサイバー空間を流れていますから、情報戦においてサイバー空間でのイニシアチブをとることは、極めて重要です。ただしここで考えておかなければならないのは、情報のコントロールが国家の手をだんだん離れつつあるということです。そのような環境下では、国家が独自の情報収集を行うよりも、Google や Apple、Microsoft をはじめとする巨大テック企業に協力を求めるのが最も効率的です。今回のロシア・ウクライナ危機におけるサイバー攻撃についても、ウクライナやロシアの技術者ではなく大手テック企業から最新の情報が提供されることが多くあります。私を含め、大手テック企業の外の者は、情報収集の手段をかなり狭められている、というのが現実です。
――今回、ロシアは早い段階で国外へのインターネット経由の情報アクセスを遮断しました。国民のアクセスできる情報という点では、自国から孤立を選んだともいえます。
小宮山 ロシアが世界から孤立しないか、というのが最大の懸念です。先ほどもお話した通り、私は北朝鮮の IT 企業を研究していましたが、60 年以上世界から孤立したこの国では、優秀な人材は育っているものの、それをマネタイズできる市場がありません。国内では携帯電話番号もすべて国に提出されていますし、携帯電話自体に政府認証局の証明書が入っていて、政府公認のアプリしかインストールできないようになっています。ロシアでのサービスを停止しているグローバル IT 企業も多くある中で、ロシアが同じ途をたどる可能性もあります。
――資本主義陣営からのロシアに対する経済制裁も進んでいます。第 3 次核戦争に向かうエスカレーションが回避されることを前提としても、安全保障上の脅威は大きくなる可能性がありますね。
小宮山 これからロシアは海外への依存度をできるだけ減らし、さまざまな意味での自給自足が成立するように政策を決めていくだろうと思われます。現代において情報をシャットアウトするだけでなく、国境を閉じてヒト・モノ・カネの往来を制限するとなると、経済的に苦しくなるのは目に見えています。ロシアが北朝鮮の轍を踏まないかどうか、ということがとても心配です。
サイバー空間における技術が覇権の遷移に大きく影響する
――インターネットが物理的な事物とリンクしている、という現実感も大切ですよね。実際にウクライナでは、情報を遮断するためにテレビ塔やデータセンターにミサイルが撃ち込まれたりもしています。
小宮山 先日、台湾の方たちとのセミナーに出席したのですが、彼らは海底ケーブルを切られてしまう、ということをとても懸念しています。もしそうなれば、自分たちが世界の中で孤立してしまうのではないかと。国土が小さいですし、海底ケーブルのランディングポイントが国土の北西部に集中していますので、国としてのリスクは高いと思います。
――台湾有事があった際には、日本も対岸の火事として傍観するわけにはいかないですね。国の規模としても中国はロシアの比ではないでしょうし。
小宮山 台湾有事があった際には、日本に対するサイバー空間での攻撃も行われるでしょうし、やはり沖縄でどのような情報作戦がなされるかということが気になるところです。一方、中国の IT 技術は、計り知れないものがあります。大学院の研究テーマとして北朝鮮の研究をした、と言いましたけれど、当時でも中国のサイバー攻撃能力は北朝鮮の10 倍ほどの厚みや深みがありました。その後、右肩上がりの経済発展を遂げている現状では、質量ともにさらに大きくハイレベルになっていると考えられます。これについては、もっと詳しく調べていく必要があると思っています。
――先ほど述べられていたサイバー攻撃能力の世界図絵の重要性も増してくるし、各国の構図も次第に塗り替わっていくことになりますね。
小宮山 過去にさかのぼっても、火薬・航空機・戦車から核ミサイルへと、新しい技術が生まれると、戦争の形も変わり、覇権を持つ国家も遷移します。新しい技術を手にして効果的に活用した国家が強い影響力を持つという歴史の上では、現在はサイバー空間における技術が大きな影響を持っています。私もまだまだ研究を進めていかなければならないと考えています。(了)