政府がメールを監視? 国民のプライバシーをどう守る「能動的サイバー防御」の説明責任
年間約6200億回。
【CGでみる】監視・分析する通信情報は? メールにおいて分析する情報の例
これは2023年に政府や国内の企業に対するサイバー攻撃に関連するアクセスの件数だ。10年間でほぼ10倍に増えているという。
こうしたサイバー攻撃に対処するため、政府は「能動的サイバー防御」の導入に向けた法案を国会に提出し、審議が本格化している。
サイバー攻撃による被害は深刻化しているが、日本のサイバーセキュリティは国内外からよく「マイナーリーグ」に例えられる。野球に当てはめれば“下位リーグ”と揶揄されているのだ。法案の作成に携わった政府関係者のひとりはため息をもらす。
「マイナーリーグならまだいい方だ。日本は野球をするためのバットもグローブも持っていない」(政府関係者)
2000社以上の企業からサイバーセキュリティの委託を受ける“ホワイトハッカー”阿部慎司さんは、こう指摘する。
阿部慎司氏(GMOサイバーセキュリティ byイエラエ株式会社執行役員 兼 ディフェンシブセキュリティ部部長)
「日本で現状認められているのは、守りたいものの前に何枚も壁を置いたり、壁を厚くすることを続けている感じです。根本的な『攻撃されないようにする』というところに作用しているかと言えば、そうではありません」
「日本の制度では相手が何をしてきても反撃は許されていないため、守ることしかできません。攻撃者側といたちごっこをするしかないのです。かなり厳しい“防戦一方”の戦いを強いられています」
阿部さんらの観測では、日本へのサイバー攻撃が相次いだ2024年末、多い時で1分間に600万回もの攻撃が確認されたという。
日本のセキュリティ能力は決して世界に劣らないとも言われるが、こうした“防戦一方”の状況が「マイナーリーグ」と揶揄される所以だ。
国民の暮らしをサイバー攻撃から守ると同時に、国民のプライバシーをどう守るかという2つの課題にどう向き合うかが問われている。
法案審議の最大のポイントは、サイバー攻撃に備えるための「政府による監視」と、憲法が保障する「通信の秘密」との極めて慎重なバランスだ。
「能動的サイバー防御」ってそもそもなに?
海外では「アクティブ・サイバー・ディフェンス(頭文字からACDとも称される)」と呼ばれ、サイバー攻撃に対し能動的に、つまり自ら防ぎにいくというもの。
政府が提出した法案は(1)官民連携(新法)、(2)通信情報の利用(新法)、(3)アクセス・無害化措置(整備法)の大きく3つで構成されている
官民連携 〜情報共有の前にあった課題〜
法案では、電気や通信、航空事業者などの基幹インフラ事業者に対して、被害情報などの報告義務を課すとしている。どういった企業が、どういったサイバー攻撃を受けたのか、新たに設置する政府の協議会で情報共有を行うことで、政府から国民に情報を周知し、どういった備えをすればよいのか、官民で連携を強化したい考えだ。
これまでは、サイバー攻撃を受けた企業も大きな被害が発生しない限り、被害の実態を具体的に公表することは少なかった。その問題点について阿部さんはこう解説する。
阿部慎司氏(GMOサイバーセキュリティ byイエラエ株式会社執行役員 兼 ディフェンシブセキュリティ部部長)
「そもそも、どういう情報をどういう粒度で出すと役に立つというのがあまりクリアになっていないと思います。現状では企業からユーザー側に対しての報告という意味が強いのですが、これは同業者や他の企業に対する対策に役立つ情報ではありません。どういう手法でどういった攻撃があったのかということを共有する必要があると思います」
一方で、政府の有識者会議のメンバーの一人は、「こうした被害の詳細を公表することで、企業の株価や信頼性に影響があるだけでなく、自らのシステムの虚弱性を露呈してしまい、立て続けにサイバー攻撃を受けるデメリットもある」と話している。
通信情報の利用 〜政府がメールを監視?プライバシーは守られる?〜
この法案で最大の争点は、政府による通信情報の監視だ。
政府は「サイバー攻撃の実態を把握するため通信情報を利用し分析する」としているが、これはつまりメールやデータのやりとりを収集し、攻撃などに関するデータが含まれていないかをチェックすることだ。直接的な表現は避けているが、これは事実上の「監視」にあたると考えられる。
しかし憲法は「通信の秘密」を保障していて、メールや電話などは他人に勝手に見られたり聞かれたりしないよう守られている。政府は法案の作成に至るまで2年以上議論を重ねてきたが、「通信の秘密」との整合性が最も高いハードルだったという。
石破総理(3月18日 衆議院本会議の答弁)
「通信の秘密に対する制約や、公共の福祉の観点から必要やむを得ない限度にとどまるものとなるような制度といたしております」
法案では▼国内から国内への通信の監視は行わないとしている。これは、日本で起きたサイバー攻撃の99%が外国から発信されるものという理由だけでなく、プライバシーに配慮した面が大きい。
そのため監視する情報は▼国内から国外への通信、▼国外から国内への通信、▼日本を経由する外国同士の通信に限定されている。新設される政府から独立した機関による事前承認に加えて、国会への報告も法案には盛り込まれた。
さらに、メールなどの通信情報については、人を介在させず、機械的な方法で取得することとした。▼電子メールの本文や件名、▼添付ファイルの内容や名称、▼IP電話(メッセージアプリの電話機能など)の通話内容はコミュニケーションの本質的な内容に当たるとして、分析する情報から除外している。
選別前の情報を利用することは禁じられていて、不正な利用に対しては罰則も設けている。
しかし、課題は多い。分析される情報は、送信日時やメールアドレス、IPアドレス(やりとりに用いた端末の情報など)などに限ってはいるが、完全に個人を特定されないものとは言い切れない。海外の友人とメールのやりとりをすれば、意図せず監視の対象となってしまうかもしれないという懸念は当然だ。
アクセス・無害化措置 〜新たな“火種”を防げるか〜
官民連携や通信情報の利用によって得た情報を元に、政府はサイバー攻撃による重大な被害を防ぐため、警察や自衛隊が攻撃元のサーバーにアクセスをして攻撃そのものを行えないようにすることが可能になる。
これまでの日本の法律、例えば不正アクセス禁止法などでは、相手が攻撃者だとしてもこうした無害化措置は認められていなかった。「能動的サイバー攻撃」が導入されれば、攻撃側のサーバーにアクセスすることを可能にして、攻撃を受ける前に攻撃そのものを止めてしまうことができる。
ここにもいくつか懸念がある。
例えば、警察による無害化措置は「放置すれば人の生命、身体又は財産に対する重大な危害が発生する恐れがあるため緊急の必要があるとき」としている。自衛隊による無害化措置については「本邦外にあるものによる特に高度に組織的かつ計画的と認められるものが行われた場合」としている。
いずれも、具体的な状況は示されておらず、説明不足との指摘がある。国会でも野党側から、繰り返し問われている。
また「攻撃を未然に防ぐ」として、攻撃が行われる前に、日本側が攻撃元に対しアクセスするケースも予想される。国会では、海外に対する先制攻撃にあたるのではないか、といった懸念もあがった。
そして筆者が最も懸念を覚えるのは、攻撃の意思を持たない対象に誤って無害化を行ってしまった場合の対応だ。この点について石破総理はこう答弁している。
石破総理(3月18日 衆議院本会議の答弁)
「サイバー攻撃による被害の防止という目的を達成するために取りうる措置の内容等をサイバー通信情報管理委員会(独立機関)に示し、委員会は、その承認の求めが改正後の警察官職務執行法等の規定に照らし、適切かどうかを判断することとなります。政府といたしましては、万が一にでも誤った相手方に対してアクセス無害化措置が行われることのないよう、適切に制度を運用してまいります」
そもそも誤った攻撃は行わないことが最も重要だが、もしそれが起きた場合の責任や説明が十分とは言い難い。
政府が「能動的サイバー攻撃」の早期導入を目指す理由には、海外に比べて態勢の遅れもある。
防衛省幹部は「サイバー攻撃の情報共有や連携をある国に依頼したときに『お前らに教えても何もできないだろ』と断られたことが何度かある」と話す。
重大な危機を未然に防ぐことと、プライバシー保護をどう両立していくのか。政府には、より具体的な説明を続けることが求められる。
TBS報道局 政治部・防衛省担当 渡部将伍
