サイバー空間という闘争領域とその拡大
――慶應義塾大学SFC研究所 上席所員 小宮山 功一朗氏に聞く(1)
2022 年 2 月 24 日、ロシアがウクライナに侵攻し、首都キーウを包囲したことに端を発するロシア・ウクライナ戦争。日々変化する戦況とともに、武力とサイバー攻撃を組み合わせたハイブリッド戦争の実例としても大きく報じられた。サイバー空間での争いについて、世界の現状と今後のありようについて、慶應義塾大学SFC研究所 上席所員 小宮山 功一朗氏に聞いた。
取材:2022年9月29日 トリプルアイズ本社にて
 |
小宮山 功一朗(こみやま こういちろう) 慶應義塾大学SFC研究所 上席所員。1978年長野県上田市生まれ。青山学院大学経営学部を卒業後、外資系 IT ベンダーを経て、一般社団法人JPCERTコーディネーションセンターにて国際的なサイバーセキュリティインシデントへの対応業務にあたる。FIRST.Org理事(2014-2018)、跡見学園女子大学講師、サイバースペースの安定性に関するグローバル委員会のワーキンググループ副チェアなどを務める。慶應義塾大学大学院政策・メディア研究科後期博士課程修了。博士(政策・メディア)。 |
目次
当事者国の背後にどれだけサイバー攻撃能力のある国家の戦いがあるか
サイバー空間という「見えない戦場」
都築正明(以下――)今回のロシアによる第2次ウクライナ侵攻では、2 月にロシアよりウクライナの主要機関に「ワイパー」という強力なウィルスが用いられ、その直後に物理的な軍事侵攻が行われたことが報じられています。この「ワイパー」というのは、どのようなウイルスですか。
小宮山功一朗氏(以下、小宮山) ワイパーはウイルスの一種で、感染後にディスク上のデータを消去して、起動できなくするという特徴があります。過去には、北朝鮮により韓国マスメディアや金融機関、またサウジアラビアの石油会社への攻撃に使用されたことがあります。技術的に特筆すべき点はありませんが、攻撃されたということは明らかになりますので、ロシア側には攻撃そのものを隠す意図が薄かった、ということがわかります。
――今回の戦争は、武力とサイバー攻撃とを組み合わせた「ハイブリッド戦争」としても大きな注目を集めています。
小宮山 サイバー空間という視点からは、現在のロシアとウクライナは、それほど高いサイバー攻撃能力を持たない 2 国です。ウクライナは高い IT 技術を持つ国ではありますが、その規模や能力的にはアメリカや中国はもちろんのこと、イギリスや日本、オーストラリアにも及びません。また、ロシアのサイバー戦能力については、大きく報道されているようですが、かなり過大評価がなされていると感じます。
――多くの人にとっては、いまだに冷戦時代の旧ソ連のイメージが強い、ということでしょうか。GDP は現在 11 位にまで後退していますが。
小宮山 過去の戦争をもとに安全保障を考える立場の方々には、ロシアの攻撃能力を大きく見積もる傾向がありますが、サイバー攻撃能力という点ではそれほどでもありません。現在のロシアの国としての強みは核を保有していることや、広い国土や多くの人口を擁していることですが、サイバー空間での攻撃能力においては、国土の広さや人数の多さというのは、あまり重要な変数ではありません。ロシアは自国で半導体を生産する能力も低いですし、海底ケーブルこそウラジオストックに敷かれているものの、データセンターなどの、サイバー戦闘能力に直結する IT インフラをさほど持っていません。ロシアには優秀な技術者は多く育っていますが、その多くは海外で活躍していて、ロシアの国内にはほとんど残っていません。
当事者国の背後にどれだけサイバー攻撃能力のある国家の戦いがあるか
――今回の戦争では、ロシアの Killnet のようなハクティビストやハッカー集団、またウクライナが募った IT 義勇軍などについても報じられています。こうした国境を持たない集団がある程度の存在感を持つことも考えられるのでしょうか。
小宮山 短期的には、ある程度の影響力を及ぼすことはあるかもしれません。しかし、どの程度組織化されているかが不明ですし、短期スパンを超えて存在するかどうかはかなり疑わしいですから、長期的には大きな影響力を持つとは考えていません。
――では、サイバー戦争としての今回の戦争を考えるにあたって、戦闘能力についてどう捉えればよいのでしょうか。
小宮山 重要なのは、ロシアのサイバー戦能力やウクライナのサイバー戦能力、という国家単位でなく、 それぞれの国を後方で支える国の能力という観点から捉えることです。ウクライナに対して、アメリカがどの程度の支援をしているのかは明らかではありませんが、相当踏み込んだ協力をしているのではないかと推察できます。だからこそ、ウクライナは現在まで防戦を続けられているのではないかと考えられます。そう考えると、いかにアメリカの情報収集能力が秀でているか、ということを窺い知ることができます。サイバー戦争においては、当事者国だけでなく、背後にどれだけサイバー攻撃能力のある国家の戦いがあるか、ということを考慮しなければなりません。
塗り替わるサイバー時代の世界勢力図
――サイバー攻撃能力を有する国家同士の争いという観点でいうと、今後の各国の軍事力の比較についての観点も、従来の火力を中心としたものとは異なってくるのでしょうか。
小宮山 従来の軍事力比較においても推計できない要素が多くあります。それをサイバー攻撃能力について応用すると、さらに推計が難しくなってきます。私自身は、結局は国土の中にどれだけのデータが保存されているか、ということに帰着すると考えています。例えば、データセンターの延床面積や消費電力量、HDDメーカーの世界での売上比などを参考にすると、新しい勢力図が大まかに見えてきます。明らかにいえるのは、いかに世界のサイバー空間におけるアメリカの影響力が大きいか、ということです。また、アジアの中心は、すでに日本ではなく中国になっています。
出典「小宮山功一朗. 2020. “サイバーセキュリティのグローバル・ガバナンス.” 慶應義塾大学大学院政策・メディア研究科 学位請求論文」
――インドも IT 大国だと言われていますが。
小宮山 インドは、国内の技術者のレベルがそれほど高いというわけではありません。インドの技術者に聞くと、国内にデータがないので、AI やビッグデータについての研究もできない、と言います。そういう研究がしたい人は、アメリカの大学に留学するそうです。
――その意味では、国内にいる技術者のレベルというのも、国の有しているデータに依拠している、ということですね。
小宮山 そうですね。やはりアメリカの水準が圧倒的なものになってきます。
――アメリカという国家の論理とシリコンバレーを中心とした IT 企業の論理とが乖離することはないのでしょうか。アメリカの国家がナショナリズムの観点から IT 企業に技術協力を求めたい一方、企業側は、望んでもいない国家安全保障のコストを負いたくない、というような。
小宮山 たしかに国家間の比較では MicrosoftやGoogle、facebook や Apple、Amazonなどの巨大 IT 企業の持っているデータをアメリカという国のデータとしてカウントしているので、そこを切り離して考えると、見え方が変わってくる可能性はあります。顧客情報をはじめ大量のデータを有しているこれらの企業の意向が、必ずしもアメリカ政府の意向と一致するとは限らない、という見方もあります。ただし、今後はむしろ両者を切り分けるのが難しくなってくるかもしれません。
――小宮山さんは論文「サイバーセキュリティの未来」(“Nextcom 2020 Autumn”所収)で、アメリカを中心とする資本主義国家群・中国を中心とする権威主義国家群にグローバルテックカンパニーを加えたサイバー空間における三項対立の図式を示されていました。今後はその図式が変わってくる、ということでしょうか。
小宮山 切り分けることが難しい側面と、ギャップが明らかになる側面との両方が生じて、一層複雑になると考えられます。アメリカでは、米国防総省がマルチクラウドベンダー契約 JWCC (Joint Warfighting Cloud Capability)への応札を、Amazon Web Services(AWS) とGoogle、Microsoft、Oracleに呼びかけています。中止となった先行プロジェクト“JEDI”(Joint Enterprise Defense Infrastructure)の Microsoft との契約が 100億 ドル規模でしたから、これから、さまざまな意味で前例のない大規模のデータセンターが誕生することになります。このような経緯では、国家の論理と企業の論理とを切り分けて考えることは難しくなります。一方、戦争のありかたも変わってきます。国際法上は軍事施設でない場所を攻撃対象にしてはいけません。これまでは、民間企業の使用するデータセンターを攻撃することはできませんでした。しかし、民間施設とはいえ、アメリカ国防総省だけが軍事目的で使っているデータセンターを完全に民間施設といえるかどうか、というのは難しい問題ですし、解釈次第ではそこが攻撃対象になる可能性があります。一方、国防総省をクライアントとして施設やデータを提供している IT 企業の従業員が、自分のいる職場が攻撃目標になるかもしれない、という覚悟を持っているわけでもありません。その意味では国家と企業との意識のギャップは、より大きくなってきます。
プライバシーと安全保障の二律背反
――今回の戦争では、ウクライナが NATO に加盟するかどうか、ということが争点になっていますが、ウクライナが国境を接しているヨーロッパについてはいかがでしょうか。
小宮山 インターネット上には、さまざまな対立が起きています。アメリカやヨーロッパ諸国のような民主主義国家と中国やロシアのような権威主義国家の方向性とが相容れないことは言うまでもありません。これからは、民主主義国家内でも多くの人にはあまり意識されてこなかった、アメリカとヨーロッパ諸国との間にも大きなギャップが存在する、ということが、もっと顕在化していくと思います。
――どのような違いがあるのでしょうか。
小宮山 個人情報やプライバシーについての考え方が大きく異なります。アメリカや、シリコンバレーを中心とする IT 企業の論理は、たとえば次のようなものです。Facebook や Google を利用する場合、ユーザーは個人と企業とが、個々に契約することになります。個人情報や位置情報を預けるということが約款に書いてあり、契約した時点でユーザーと企業との間には合意が成立するので、契約の範囲で企業がプライバシーを保持することは正当な行為である、というわけです。しかし、この論理はヨーロッパでは通用しません。ヨーロッパには、プライバシーは、いわば基本的人権のように人類共通で保護されるべきものである、という価値観があります。ヨーロッパは、国土を舞台としたさまざまな戦争を経験してきましたし、ナチスがユダヤ人の個人情報を管理してきたことの傷が完全に癒えているわけではありません。ですから、プライバシーを個人でコントロールする、ということについては、個々の契約や合意を超えた、はるかに重いものとして捉えています。2016 年には、個人情報を EC 外に持ち出さないことを定めた GDPR(General Data Protection Regulation:一般データ保護規則)という、従来よりも厳格な法制度も成立しています。そこで、アメリカとヨーロッパ、あるいはシリコンバレーの IT 企業とヨーロッパの国々の制度の間にも対立が生じています。
―― EU を離脱したイギリスはどのようなポジションなのでしょうか。UKUSA 協定があるように、旧英国圏はアメリカに近いようにも思えますが。
小宮山 イギリスの場合はヨーロッパの中でも少し特殊で、古くからインテリジェンスの伝統があります。それ故にフランスとの戦争に負けなかったり、ドイツに侵略されなかったり、という歴史的な国民理解があるので、法律のどこにも記されていないにもかかわらず、情報機関が国民の情報を収集することに寛容です。
――一方、中国では国家の監視やフィルタリングが厳しい、というイメージがあります。
小宮山 監視というと、抑圧的な規制をイメージする方が多いと思いますが、中国の場合はもっと高度で間接的な整備がなされています。中国には「社会信用システム」という、人々の行動をスコアリングする制度があります。もちろん犯罪など行えば個人のスコアは減りますが、一般の市民にとっては、地域の活動に参加をすればポイントが増える、といった認識しかされていません。これが奏功しているのは、行動を規制することよりも、スコアリング制度の存在そのものが国民に周知されていることで、犯罪などの極端な行動を思いとどまらせるところに効果があります。実際に中国の市民はそれほどストレスを感じていません。そのような緩やかな規制だからこそ、技術的・経済的な発展もできているのでしょう。一方、今まで通りの情報フィルタリングや検閲というのもなされています。7 月に、上海国家警察のデータベースがハッキングされて大量の操作記録や個人情報がインターネット上に流出した、という報道がされましたが、中国国内ではそのような情報は一切流されることがなく、国民が意識することもありません。結果として、国家と国民との双方がメリットを感じられる仕組みになっています。
日本ほどインターネットの規制に国家権力が抑制的な国はない
――日本はどのような位置づけになるのでしょうか。
小宮山 私が研究してきた中で、日本ほどインターネットの規制に国家権力が抑制的な国はありません。アメリカもイギリスも、またリベラルだと言われているカナダですら、警察やインテリジェンス機関が市民間のさまざまな情報を精査して、そこにテロの芽がないかどうかを監視しています。
――それは、サイバーセキュリティ基本法が成立したものの、それが機能していないという法律上の問題でしょうか。または、デジタル庁ができたけれど、安全保障についてはまだ縦割りの行政になっている、というような行政上の問題でしょうか。
小宮山 法律や行政以前の問題があると思います。1 つには、まだ治安がよいという認識があることと、諸外国からの脅威もあまり感じずに生活できている、ということがあります。たとえばシンガポールやアメリカ、イギリスでは、そのようなことはありません。治安が悪いし、テロリストもいるし、家の近所に英語を話せない人たちが引っ越してきた、ということも多いですから、国家が管理してくれないと安全が保たれない、という国民からの要望があります。もう 1つは、やはり太平洋戦争中に大政翼賛会が国民の言動を誘導し、選挙に干渉し、その結果大きな戦禍に巻き込まれて敗戦した、という負の記憶が国民感情に強く残っていることです。だからこそ、憲法第 9 条には専守防衛が大きく書かれ、第 21 条で通信の秘密を侵すことが禁じられて、それを最も大事なものとしてきているんですね。多くの日本人にとって、法律どうこうよりも、憲法を超えて通信の秘密を割り引いて考えることは、現実的ではありません。「メールなどのメッセージを国が監視することが必要か」と聞かれると、日本人のほとんどの方は「それはプライバシーの侵害で、私たちはそんなことは求めていない」とおっしゃるだろうと思います。これは、世界のプライバシーについてのトレンドから見ると、かなり異質です。
――サイバー空間の安全保障という見地から、小宮山さんは日本の現状をどう捉えられますか。
小宮山 国民の安全を守るためには、個人の権利に配慮しつつも、もっと国が規制を強めてもよいと思います。日本では憲法第 21 条に加え、不正アクセス禁止法もあるので、国がネットワーク上の監視をすることができません。その結果、ネットの世界では、掲示板や通信アプリを通じた違法な薬物の売買など、現実の世界で許されないことが、まだまだ野放図に許容されています。私は、まだ少数派に属する意見であることは自覚していますが、ソーシャルメディアやメールのメッセージをある程度監視することが必要だと考えています。もっと規制を強めなければ、国際競争に負けてしまうでしょうし、安全保障上の大きなリスクを負うことになると考えています。
