弱い防衛力　警察庁「サイバー隊」創設も法整備なしに攻撃は防げない＝山崎文明

　警察庁は6月24日、重大サイバー事件に対抗するためサイバー局を創設するとともに関東管区警察局に200人程度のサイバー直轄隊を発足させる方針を発表した。サイバー局は2022年4月、直轄隊は22年度内の運用を目指すという。

　国境を越えるサイバー犯罪に対して、従来の都道府県警では十分に対応できなかったが、今後、警察庁が捜査主体になることで国際的にもカウンターパートがはっきりし、国際合同捜査への参加機会が増え、情報交換もしやすくなるなど国際的な意義は大きい。

　特筆すべきは、サイバー直轄隊が都道府県警と同様に家宅捜査や押収、容疑者の逮捕、書類送検が行える点だ。国が直接捜査を行うのは皇宮警察本部を除き1954年の警察庁発足以来、初めて。これには、「戦前の国家警察制度を思い出させる」との意見もあるが、熾烈(しれつ)化するサイバー攻撃を食い止めるには思い切った対策が必要なことも確かだ。

　ただ、残念なことに世界レベルでみた日本のサイバー能力はまだまだ低い。英国の民間シンクタンク、国際戦略研究所（IISS）が6月28日に発表した報告書「サイバー能力と国力」は、それぞれの国のサイバー能力を比較し、三つの評価グループに格付けたが、日本は一番格付けが低いグループに入れられている。

　IISSは、各国のサイバー能力を「サイバーに関する潜在能力」「サイバーセキュリティーと回復力」「サイバー攻撃能力」など7項目について分析している。

　最も高い評価を得たのは米国で1番手のグループ（Tier1）に格付けされている。2番手のグループ（Tier2）に格付けされたのはオーストラリア、カナダ、中国、フランス、イスラエル、ロシア、イギリスの7カ国。3番手のグループ（Tier3）に格付けされたのがインド、インドネシア、イラン、日本、マレーシア、北朝鮮、ベトナムである。

　報告書によれば、日本のサイバー防衛力は、潜在力はあるものの、多くの企業が防衛力を強化するためのコストを負担することを望んでいないために、「特に強力ではない」と分析している。

　報告書は、「フォーチュン500」（米『フォーチュン』誌が年1回発行するトップ企業ランキング）に数えられるハイテク企業51社のうち、16社を擁する米国に次いで、日本は10社と2位に付けていることや、産業ロボティクスに卓越した企業が多いと指摘している。

　また、NTTをはじめ日本のインターネットサービスプロバイダーは海底ケーブルの敷設も含め「土着系企業」が支配していると指摘。その一方で世代間のデジタルデバイド（デジタル能力の格差）に懸念を示している。その一例として、18年10月にサイバーセキュリティ戦略副本部長に就任した桜田義孝五輪相が「自分でパソコンを打ったことはない」と発言したことも挙げていた。つまり、日本は“高い潜在能力を生かし切れていない”ということだ。

国際化する犯罪

　東大阪医療センターが感染したコンピューターウイルスは「レビル（REvil）」といい、18年、19年に公表されたフォーティネット社の「フォーティゲート」というサーバーに採用されている基幹ソフト「フォーティOS」の脆弱(ぜいじゃく)性に感染するタイプだ。

　フォーティゲートは、ファイアウオールやVPN、アンチウイルスなどセキュリティーに関する機能を一つにまとめた「統合型脅威管理サーバー」と呼ばれ、日本でも広く普及している。

　ただ、フォーティネット社の英語版のホームページや日本語版のどれを探しても、自社製品の脆弱性に関するニュースは容易に発見することはできない。あるのは一般的な新たな脅威やサイバー攻撃の話で、肝心の自社の製品がその原因の一端となっているのを隠しているような印象を受けた。

　セキュリティー製品を提供する会社には、ホームページのトップに自社製品の脆弱性に関する情報を載せるよう義務付ける法律を設けるなどの施策も必要だ。

　レビルはロシアが発祥とされている。「ゴールドサウスフィールド」というランサムウエアを製造するグループによって、闇市場で販売されているもので、誰でも簡単に入手することができる。すでに多くの米国の医療機関なども被害に遭っていることから、今年3月にも米サイバーセキュリティー・インフラストラクチャーセキュリティー庁（CISA）と米連邦捜査局（FBI）は、共同で注意喚起を行っている。

　日本政府がこの時期に米国と歩調を合わせ、キャンペーンを実施するなどの注意喚起を行っていれば今回のサイバー攻撃が防げたかもしれない。サイバー能力を高めるためには情報共有が大事だといわれて久しいが、今回のケースもまさに国際的な情報共有の大切さを示したものといえる。東大阪医療センターに届いた脅迫文も英文で書かれており、サイバー犯罪には国境がないことを改めて認識させられる。

憲法21条の「縛り」

　警視庁のサイバー直轄隊はこうした事件の解決に効果を発揮すると期待されるが、日本のサイバー防衛力を底上げするには、まだ弱い。筆者は「法改正」なしに根本的な対策は打てないと考える。

　IISSの報告書の「サイバーインテリジェンス能力」の項でも、日本の諜報(ちょうほう)機関が小規模なものであることや同様の規模の他国組織と比べても資金が不足していること、それらは日本国憲法21条で厳しく制限されていること、特に「通信の秘密」がサイバーインテリジェンス能力を高める際の足かせになっていることを指摘している。

　憲法21条は「1　集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。2　検閲は、これをしてはならない。通信の秘密は、これを侵してはならない」である。

　また、憲法9条はあらゆる種類の軍事力を行使する権利を否定しているため、自衛隊のサイバー攻撃能力に関しては控えめだとしている。サイバー能力を高めるためには、攻撃元を突き止め、相手国の責任を明確に示す必要がある。そのためには、中継サーバーの通信記録（ログ）を解析する必要があるが、憲法21条の通信の秘密が障害となっている。また、懲罰的な反撃を行うにしろ、憲法9条により武力行使が認められないなどの制約がある。

　憲法9条や憲法21条が日本のサイバー能力向上の妨げになっている限り、日本が一番手のグループに格付けされる日は、まだ遠い先の話である。

（山崎文明・情報安全保障研究所首席研究員）