安全保障としてのサイバーセキュリティ戦略
慶應義塾大学SFC研究所 上席所員 小宮山 功一朗氏に聞く(2)
サイバー空間は現実世界と対のものとして存在する。世界の紛争が複雑化し錯綜するにつれて、サイバー空間での闘争領域も複雑化する。日本の安全保障上のサイバーセキュリティを考える際に、どのような視点が重要なのか。引き続き、慶應義塾大学SFC研究所 上席所員 小宮山 功一朗氏に聞いた。
小宮山 功一朗(こみやま こういちろう)
慶應義塾大学SFC研究所 上席所員。1978年長野県上田市生まれ。青山学院大学経営学部を卒業後、外資系 IT ベンダーを経て、一般社団法人JPCERTコーディネーションセンターにて国際的なサイバーセキュリティインシデントへの対応業務にあたる。FIRST.Org理事(2014-2018)、跡見学園女子大学講師、サイバースペースの安定性に関するグローバル委員会のワーキンググループ副チェアなどを務める。慶應義塾大学大学院政策・メディア研究科後期博士課程修了。博士(政策・メディア)。
目次
- サイバーセキュリティへの考え方を変えた「Stuxnet」の衝撃
- 技術者の視点から国際政治の視点への転換
- 「グローバリゼーション」「民主主義」「国家主権」のせめぎ合い
- 日本のサイバーセキュリティ戦略の課題
- 情報のコントロールが国家の手を離れつつある
- サイバー空間における技術が覇権の遷移に大きく影響する
サイバーセキュリティへの考え方を変えた「Stuxnet」の衝撃
小宮山さんがサイバーセキュリティの研究に関わられた経緯を教えてください。
小宮山 もともとコンピューターには興味があったので、青山学院大学の経営学部で、ERP(Enterprise Resources Planning:統合基幹業務システム)やSCM(Supply Chain Management:供給連鎖管理)などを学んでいました。在学中に、これは趣味でプレイしていた「ハーフライフ」というシューティングゲームのサーバを管理していたのですが、それが地球の裏側に住むブラジル人にハッキングされる、という出来事がありました。東京にある私の立てたサーバをブラジル人が使っているということを目の当たりにしたことからサイバーセキュリティに興味を持ち、卒業後は外資系のセキュリティベンダーに就職しました。そこでは、IDS/IPS(Intrusion Detection System:不正侵入検知システム/Intrusion Prevention System:不正侵入防止システム)の運用を通じて、インターネット上を飛び交うさまざまな攻撃を目にしながら、それに対抗するセキュリティの技術を身に付けたり、自社製品を使って会社を守っている企業の方々と話したりして、セキュリティの現場を知ることができました。
そこではエンジニアとして勤務されていたのですか。
小宮山 はい。データベースサーバを管理したり、スクリプトを書いたり、デバッグをしたりと、技術的には有意義でしたし、楽しんでいました。もちろん人の役に立つ仕事ではあったのですが、より公益性の高い仕事をしたいと考えるようになり、企業や団体をサイバーセキュリティの側面から補佐する公益法人に転職しました。
サイバーセキュリティについての国際研究に進まれたのは、何かきっかけがあったのでしょうか。
小宮山 私はずっと、サイバーセキュリティというのは技術の問題だと思っていました。学生時代には技術がないせいでサーバを乗っ取られ、就職してからは知識や技術を得ることで、自社や顧客の情報を守る術を身に付けました。攻撃側の手口は常に進化しますが、私たちはそれに技術で対抗していくことができる、と考えていたのです。しかし、2010年に Stuxnet というマルウェアの存在が明るみに出ました。これは、イランの核燃料処理施設の制御システムを攻撃したマルウェアで、後にアメリカの NSA(National Security Agency:国家安全保障局) とイスラエル軍の情報機関によって共同開発されたことが報じられました。この Stuxnet は、これまでに見たどんなマルウェアと比較しても、質においても量においても圧倒的に高度なもので、少し調べただけでも、膨大なコストをかけて作られたことがわかりました。それこそ、馬車の時代に新幹線ができたぐらいの衝撃で、これからは、技術だけでサイバー空間を守っていくことが行き詰まるのではないか、と考えるようになりました。
Stuxnet以前は、国家という変数を考えてはいなかった、ということでしょうか。
小宮山 Stuxnet を目の当たりにするまでは「サイバー戦争」という言葉そのものに違和感を覚えていました。インターネットに国境はないし、技術者が国境を超えて手に手を取り合って、世界を 1 つにつなぐサイバー空間を維持していると教わってきましたし、そう信じてもいました。
ジョン・ペリー・バーロウの「サイバースペース独立宣言」やスティーヴン・レヴィの「ハッカー倫理」のようなマインドでしょうか。
小宮山 はい。そういったマインドが強く継承されていました。2000年代の技術者の間では、インターネットは国の権力が及ばないものとして認識されていて「インターネットに国境がある」なんて言おうものなら失笑される、というムードでした。国境のない空間で戦争が行われる、というのは、そもそも語義矛盾ではないかと。確かにその時代にも、自衛隊や警察のごく一部を中心に、インターネット上での軍事活動やスパイ活動の危険性を指摘していた人はいました。後に師事することになる慶應義塾大学の土屋大洋(もとひろ)先生も、2001 年のアメリカ同時多発テロを契機に早くからそのことを指摘していた 1 人でしたが、私自身は陰謀論のように捉えていました。2000年代後半に、北朝鮮の工作員が中国のあるホテルに集まってスパイ行為をしている、という話を耳にしたことがありましたが、現実味を持って捉えることはできませんでした。
