国家機密管理に「国産クラウド」使うリスク 狙われる数百万人の個人情報=山崎文明
日本政府は官公庁や自治体の機関が取り扱う重要性の高いデータについて、クラウド(インターネット上のサーバー)を使って管理する場合、国が「お墨付き」を与えた企業のクラウドサービスを使用するよう仕組み作りを進めている。
具体的には、経済産業省・総務省・内閣府が「政府情報システムのためのセキュリティー評価制度(ISMAP)」が音頭を取って評価制度を導入、クラウド業者の選定を進めている。
このクラウドについて、国家機密に関わるデータについては国内のITベンダーのサービスを利用すべきだという意見は根強い。クラウドのデータセンターが日本国外にあった場合、常に漏洩・消失のリスクにさらされ続けるからだ。そうした中、読売新聞は「国家機密の管理は国産クラウドで 技術開発を後押し、23年度の運用目指す」(2022年2月7日付朝刊の見出し)。
同紙によれば、政府が扱う情報の3段階の機密性区分のうち、防衛省や外交交渉の資料を含む最高レベルの「機密性3情報」や漏えいすると国民の権利を侵害する恐れがある「機密性2情報」の一部が対象となる見通しだという。NTTデータや富士通、NECほか新興企業の参画も見込んでいるようだ。3月末までに必要とする要件や基準を定め、3月にも公募を始めるという。
この方針で進めるとすれば、政府のシステム開発に対する認識は「甘い」だろう。「国産クラウドにすれば国家機密が守れる」は情報セキュリティーの世界では安全を担保する理由にならないのだ。
米国の「身元調査」制度
システムの開発には様々なセキュリティーリスクがある。その一つが「システム開発の多重下請け」問題だ。日本におけるシステム開発の現場は、下請け、孫請け、ひ孫受け、さらに何重にも連なる下請け構造で成り立っている。国内で足りずに「オフショア」と呼ばれる海外でのシステム開発に丸投げされているのが現状だ。
これが、日本「国産」という言葉だけで安心していけない理由である。実態は海外製なのだ。
オフショアの場合、システムの構造が外国企業に露見したり、開発を依頼したプログラムに不正なロジックが組み込まれたりする、といったリスクは不可避だ。システムの構造の露見は、ハッキングを可能とするし、不正なロジックの組み込みは、ハッキング以前にデータの流出につながる。
仮に下請け企業や孫請企業がオフショア企業に開発を委託しても、発注元である政府は気づかないだろう。18年に年金受給者のデータ入力が中国の業者に委託され、500万人分ものマイナンバーが中国へ流出した例がある。
また、開発コストの削減や工期の短縮を目指してプログラムを共有する「オープンソース」と呼ばれる手法も採用されるはずだが、この分野では中国の影響が大きくなっている。オープンソースに含まれる数々の脆弱性(ハッキングに利用されるプログラムの誤謬)に対する法的責任の所在やオープンソースのコンポーネント(構成単位のプログラム)の管理が十分でなければ、ソフトウェアに危険性の高い脆弱性を埋め込んでしまいかねない。オープンソースは、こうした脆弱性や意図された不正ロジックを回避する仕組みもまだ十分に整っていないのが現状だ。
日本の機密情報を入手しようと躍起になっている海外の諜報機関にとっては、日本政府システムの開発が改めて行われるこの機会を絶好の機会と捉えているはずだ。
この問題の一つの解は「セキュリティークリアランス」、いわゆる「身元調査」の徹底だろう。システムの開発や運用の信頼性の根本は「人」である。信頼にたる人物に開発や運用を委ねることがセキュリティーの基本だ。そのためにはそれら業務に携わる人物の身元調査が必要だ。
米国では政府が定めた身元調査の仕組みが整っているなど、海外の先進各国では常識だ。ところが日本は、採用にあたって出身地や出身校すら聞くことがはばかられる風潮がある。
米国ではセキュリティークリアランスは従来、人事管理局(OPM)がその役割を担っていたが、トランプ政権の政府再編計画の一環として20年10月1日に国防総省(DOD)に移管されている。セキュリティークリアランスの実作業は「NBIB(ナショナル・バックグラウンド・インベスティゲーションズ・ビュロー)」という組織が行っており、NBIBのシステム自体は、以前から国防総省が運用していた。
政府の仕事を請け負う場合、対象者にセキュリティークリアランスを申請するよう政府から指示が出る。申請者はウェブから「SF85(スタンダードフォーム85)」や「SF86」と呼ばれる質問票に必要事項を記入し、申請する。NBIBは必要に応じて申請者との面談やバックグラウンド調査として親戚や友人、近隣、過去の勤め先などに聞き取りを行う。
「スタンダードフォーム」には個人情報、パスポート情報、国籍、学歴、職歴、軍歴、交友関係、婚姻関係、親族、外国人との接触、海外活動、渡航歴、メンタルヘルス、犯罪歴、薬物使用歴、アルコール摂取、過去のセキュリティークリアランス調査記録、財務記録、民事訴訟歴、非合法組織との関係、不正アクセス歴――などの記載が求められる。これらの情報は、日本では個人情報保護法で定める「機微な情報」に当たり、日本人は開示することに抵抗感がある場合が多い。
セキュリティークリアランスは、取り扱う情報によって数週間から数カ月かかる。また、最高機密(トップ・シークレット)を扱うには、5年ごとに再調査が求められるなど細かく決められている。費用は、日本円で約8000円から約70万円まで調査レベルによって10段階に分かれている。
政府の仕事をする全業者に
日本政府に必要なことは、セキュリティークリアランス制度を至急、検討することだろう。
日本にも米国のセキュリティークリアランス制度に倣って、14年に閣議決定された「特定秘密の指定およびその解除並びに適性評価の実施に関し統一的な運用を図るための基準」があるが、これはあくまでも特定秘密を扱うものに限定されており、米国政府のように政府の仕事を請け負う全ての業者に適用されるものではない。
米国では毎年60万人以上がセキュリティークリアランスを受けており、「トップシークレット」情報を扱う者も20万人を超えている。システムの開発や運用を考えた場合、日本もある程度の人数をこなせるだけのセキュリティークリアランス制度の導入が必要とされるはずだ。政府が最初に取り組むべきは、機微な個人情報を扱える最高度のセキュリティーを備えたセキュリティークリアランス制度のシステム化である。政府は、合理的で信頼にたるセキュリティークリアランス制度の導入を早急に議論すべきだ。
山崎 文明
(情報安全保障研究所首席研究員)