令和の安全保障 情報立国か? サイバー亡国か? データ漏洩が致命傷になる時代=山崎文明
インターネット、IoT(モノのインターネット)、人工知能(AI)といったITの中核技術、そして経済的な価値を生み出す「データ」そのものの管理は、令和時代に「情報立国」として確たる地位を築きたい日本にとって最重要課題と言える。
グーグルやアマゾンなど巨大IT企業を抱える米国が21世紀も世界経済の牽引(けんいん)役であり続けていることからも分かるように、価値ある情報を、より多く握る者が経済覇権を握ることになる。“データ主義”の時代、情報管理のあり方は国益を左右する死活問題である。だが、日本は欧米の先進国に比べて情報の安全保障に対する取り組みで大きく後れを取っている。
そうした懸念が平成の最後の年に表出した。ある商社系IT企業のA社で起きた、中国人労働者による情報漏洩(ろうえい)である。
現行法では裁けない
A社で今年、中国人労働者のXが退職間際に社内のパソコンから1.5ギガバイト(ギガは10億)ものデータを中国企業バイドゥ(百度)が運営するストレージ(データ保存)サービスに転送した事実が発覚した。送信されたデータを新聞の情報量に換算すると約5万ページ分ものデータが転送されたことになる。
転送した事実は同社が運営するネットワーク監視機能で直ちに検出されたものの、1.5ギガバイトのデータは送られてしまった後だった。同社はX本人を呼び出し、聞き取り調査を実施したものの、黙秘を貫かれた。その後、Xは退職届けを出し、現在は音信不通の状態だ。真相を知る機会は失われた。
A社では、顧客のネットワーク構成図やIPアドレス(コンピューターの通信識別番号)も普段から扱っており、それらの情報は機密情報に該当するものだ。しかも、頭が痛いのは、通信記録から大量のデータがバイドゥに送られたことをつかんだものの、どのようなデータが送られたのかについては、データが暗号化されていたために知るすべがないことだ。
通常、この手の情報漏洩が起きた場合は「不正競争防止法」を適用し、持ち出されたデータが営業秘密に該当することを証明する必要があるとされている。だが、今回はデータが暗号化されていたために立証できないのだ。現在の法律では犯人を裁くことはできないのである。
仮にA社が警察に被害届けを出したり、国際刑事警察機構(ICPO)を通じて捜査協力を相手国に求めたりしても、日本国内で刑事犯罪としての要件が満たせなければ、相手政府も協力できないとの立場を取ることは明らかだ。
A社は風評被害を恐れたからか、事件を公表していない。しかし、A社の事業内容を見ると、各種の公共団体のネットワーク構築を請け負うとともに、そのセキュリティー監視も手がけている。事態は極めて深刻である。
データが送られた先のバイドゥという会社は、「中国版グーグル」と呼ばれる検索サービス大手である。バイドゥは、「Simeji(シメジ)」と呼ばれる「着せ替えキーボード」のアプリケーションを提供している。着せ替えキーボードアプリとは、スマートフォンやパソコンで文字入力する際に日本語の「漢字仮名交じり文」にするソフト。
そのシメジは以前、「変換した文章が全て中国に送られている」と問題になったことがある。つまり、シメジが「情報を抜き取るためのサイバー攻撃のツール」だったのである。このシメジ問題によって新たな疑惑も生まれた。それは、検索エンジンの利用などで、一度でもバイドゥにアクセスしたパソコンは、情報を抜き出す不正プログラムが送り込まれ、それ自体がサイバー攻撃のマシンに変わってしまうというのである。
内部犯行に弱い日本
こうした手口は、ハッカーの世界では「グレートキャノン」と呼ばれる。世界初の「サイバー兵器」でもある。実際に米国のインターネットサービスがグレートキャノンの攻撃に遭い、機能不全に陥った。
A社の事件の教訓は、十分なセキュリティー対策を実施していると思っていても「内部犯行」には非常に脆弱(ぜいじゃく)だということだ。情報システムの従事者に関する法的な制約は今のところ何もない。従って、プログラマーやネットワークの構築・監視に従事する者が悪意を持てば、誰にも気づかれることなく情報を持ち出すことは容易である。
この問題で、今できる対策があるとすれば、従業員に対する「スクリーニング(人物審査)」の徹底だろう。スクリーニングとは採用に際して十分な身辺調査を行うことである。米国では「ウソ発見器」にかける企業もある。また、スクリーニングの専門会社も存在する。
日本では、採用面接の際に両親の職業を尋ねることもはばかられるが、少なくとも出身校の先生や前職の同僚や部下から話を聞くなど可能な限り過去にさかのぼって、労働者の経歴など「バックグラウンド情報」を収集することが肝心だ。特に、情報やデータの管理職に指名する人物に対しては、徹底したスクリーニングが欠かせない。
ただ、ここで問題を複雑にしているのが外国人労働者である。当然ながら、彼らは日本人よりもスクリーニングの難易度が高い。A社の場合は中国人だったが、今後、入管法改正で、さまざまな国から労働者の流入が見込まれる。
国益を守るためには、スクリーニングを合法的かつ効率的に行う仕組みを、早急に構築する必要がある。
たどり着くのは「情報立国」か、それとも「サイバー亡国」か──。令和の日本は岐路に立たされている。
(山崎文明・情報安全保障研究所首席研究員)
アップルに中国人スパイ 「国家情報法」の脅威
A社で起きた中国人従業員による情報漏洩事件は、2017年6月に中国で施行された「国家情報法」と関係している可能性が高い。
国家情報法は、全ての中国国民は国家のために情報収集を行うことを義務化し、その活動は秘密にしなければならないとする法律である。この中国人社員が国家の命を受けて日ごろから少しずつデータを小分けにして転送を繰り返していたとの疑惑も拭えない。
中国人従業員による内部犯行は米国でも起こっている。今年1月に米アップルの自動運転技術の企業機密を盗んだとして米連邦捜査局(FBI)がアップルに勤務していた中国人技術者を逮捕した。昨年6月にアップルに入社し、自動運転車のハードウエア開発チームに所属していたが、中国へ渡航予定の前日に逮捕されている。犯人が自動運転車開発に関する写真を撮影していることに気づいた同僚の通報で内部調査した結果、撮影データの他、図や2000以上のファイルを個人所有のパソコンにコピーしていたことが分かっている。
アップルでは、昨年7月にも自動運転車の機密情報を盗んだ疑いで別の中国人が起訴されている。従事者の国籍によって内部犯行のリスクが排除されるわけではないが、国家情報法が施行されている以上、中国人従業員を情報やデータの管理職に指名する場合はスクリーニングを徹底すべきとの声もある。
(山崎文明)