[市場動向]

急がれるサイバー分野の国家安全保障の確立、専門家グループが提言

「サイバーセキュリティにおけるナショナルセキュリティ」検討分科会より

2018年6月22日(金)田口 潤(IT Leaders編集部)

米国と中国の間のサイバーセキュリティに関する軋轢、欧州が2018年5月に施行したGDPR(一般データ保護規則)、相次ぐ仮想通貨(暗号通貨)の流出……。サイバーセキュリティの領域で起きている事象は決して他人事ではないし、もはや必要に応じて対処すればいい話でもない。ナショナルセキュリティ(国家安全保障)という視点で今すぐに必要な施策を講じるべきだ――。こんな問題意識のもと、専門家や実務家で構成するグループが提言をまとめた。

※編集部より:本分科会を主催したGLOCOMは2018年7月25日、分科会の議論をまとめたレポートの公開を開始した。PDF版を無料でダウンロードできる。(GLOCOM六本木会議 「ナショナルセキュリティにおけるサイバーセキュリティの検討分科会 2017年度報告書」


 まず、次の指摘を読んで欲しい。

①海外(米国や韓国など)では、ほぼすべてのサイバーセキュリティ製品を自国で調達できる。日本では米国、イスラエル、韓国などの製品を調達しており、国産製品はゼロに近い。
②日本の省庁や自治体の一部には「WTO政府調達に対する誤解(後述)」があり、セキュリティが重視されるシステムでも(価格を最重視して)海外製品を多く調達している。
③サイバーセキュリティのリスクは個人情報漏洩だけではない。知的財産に関わる情報漏洩も大きい。
④欧米諸国はサイバーセキュリティを国家の安全保障の一環と捉え、対応が不十分な重要インフラ企業に高額の罰金を科すなどセキュリティ対策を高める努力をしている。日本では個々の企業努力に委ねられている。

 抽象的で分かりにくい面があるので具体例を挙げよう。2018年4月、米連邦通信委員会は米国の通信会社に対し、「安全保障上の懸念」がある企業からの機器調達を禁止する方針を打ち出した。中国の華為技術(ファーウェイ)や中興通訊(ZTE)を想定したと見られる。同じ4月には米商務省が対イラン制裁違反などを理由に、ZTEに対して米国企業との取引を禁止する制裁措置をとった。ZTEはチップセットやAndroid OSを調達できず、したがって端末の販売もできなくなった。ただし6月初めには米商務省はZTEとの間で罰金10億ドルなどで合意し、制裁は解除している。

 一方、同年5月には米国防総省が世界各地にある米軍基地内において、ファーウェイとZTE両社の端末販売を禁止した。報道によると、両社の端末を使う米軍兵士の位置情報が補足されたり、端末に仕掛けられたバックドアを通じて情報が漏洩することを懸念したとされる。これらのエピソードは上記の②や④に関係するものだ。米国政府/機関が海外の通信機器に対して安全保障上のリスクが存在すると認識していることを示している。

 ③に相当するエピソードとしてはサイバーセキュリティではないが、新日鉄住金が有する高級鋼板の製造技術が韓国ポスコへ、さらに中国の鉄鋼メーカーへと流出した事件が分かりやすい。2015年にポスコから新日鉄住金に300億円を支払うことで和解した。だが機密が保持されている前提で新日鉄住金が得られたはずの収益は桁違いに大きいとされる。知財に関わる情報漏洩は当該企業はもちろん、その企業が立地する国にとっても甚大な被害をもたらす。

 記憶に新しいのが、2018年1月に起きた580億円相当の仮想通貨「NEM」の流出事件だろう。流出元であるコインチェックによる損害補填(460億円相当)、マネックス証券によるコインチェックの買収を経て、犯人特定に至らないまま終結した。しかし失われた580億円、損害補填の480億円の大半は日本国民の資産であり、流出先は(不明だが)海外の可能性が高い。日本の富が海外流出した可能性があるわけで国益という観点からはマイナスであり、損害補填があったからと言って終わらせていいのか、疑問は残る。

 以上をまとめるキーワードが「サイバー領域におけるナショナルセキュリティ(国家安全保障)」である。このほど、専門家や実務者で構成する「サイバーセキュリティにおけるナショナルセキュリティの検討分科会」(運営事務局は国際大学GLOCOMのGLOCOM六本木会議)が、同名の報告書をまとめた。「日々進化するサイバー犯罪や攻撃から、国民の生命や財産をどう守るか。諸外国に比べ遅れをとる日本のナショナルセキュリティ(国家安全保障)を確立しなければならない」――こんな問題意識を持つ同分科会による提言の骨子を次に紹介する。

図1:サイバーセキュリティにおけるナショナルセキュリティの検討分科会の問題意識
拡大画像表示

セキュリティ認証制度改革など5項目を提言

 提言の骨子は合計5項目から成る。

1. WTO政府調達協定【第3条適用除外】の周知
2. 日本版「Hack the Pentagon」の実施
3. 認証制度改革~信頼確立制度について~
4. 機器等の検証システムの確立
5. 事故調査委員会の設置
である。

 順に説明しよう。まず1.のWTO(世界貿易機関)政府調達協定は、政府機関や自治体、独立行政法人が一定金額を超える機器や物品、システム開発や工事などを調達する場合に、一般競争入札を実施することを定めたものである。入札では評価点(技術点)と価格点を評価し、最優位の入札者が落札する。評価点に比べて価格点は格段に理解しやすく、結局、価格が決め手になるケースが多い。

 分科会報告は「日本ではこれがサイバーセキュリティに関わる機器やシステムにも適用されていること」が問題だと指摘する。現実にあるかどうかはともかく、情報の奪取を目的にする応札者なら当然、価格を安くして落札するはず。入札時にその目的がなくても、例えばオンラインでのソフトウェア更新時にバックドアが組み込まれる恐れもある。

関連キーワード

サイバー攻撃

関連記事

Special

-PR-

急がれるサイバー分野の国家安全保障の確立、専門家グループが提言米国と中国の間のサイバーセキュリティに関する軋轢、欧州が2018年5月に施行したGDPR(一般データ保護規則)、相次ぐ仮想通貨(暗号通貨)の流出……。サイバーセキュリティの領域で起きている事象は決して他人事ではないし、もはや必要に応じて対処すればいい話でもない。ナショナルセキュリティ(国家安全保障)という視点で今すぐに必要な施策を講じるべきだ――。こんな問題意識のもと、専門家や実務家で構成するグループが提言をまとめた。

PAGE TOP