国会発言検索

○吉岡参考人　おはようございます。横浜国立大学の吉岡と申します。 　本日は、このような機会をお与えいただきまして、誠にありがとうございます。 　私は、二十年ほど、サイバーセキュリティーの研究をずっとやってまいりました。特に、サイバー攻撃を実際に観測して、いわゆるコンピューターウイルスと言われる、あと、マルウェアとも呼ばれますけれども、不正なプログラム、こういったものを集めて解析する、又は攻撃者の観測をする、こういうことを研究としてやってまいりました。 　その研究成果というのを、これまで四十九か国二百六十以上の研究組織に提供したりですとか、又は世界百三十の公的機関、また六千以上のネットワークオペレーターにこういった情報というのを提供するということを研究の中でやってまいりました。その経験を基に今日は意見を述べさせていただきます。 　まず最初にですけれども、インターネット上で観測される攻…

○吉岡参考人　ただいまの御質問に関しまして、考えを述べさせていただきます。 　先ほども言及いただいたとおり、国内の、中でのサイバー攻撃に関わる活動というのが少ない、パーセンテージで見ると少ないように見えるんですけれども、あるということ、これは事実であると思います。特に、そういった内内の情報を見ないということが例えば攻撃側に知れた場合には、そこを活用したような活動というものが生じる可能性はあると思います。 　これまでも、わざわざ、外国から行う攻撃が目立つので、一旦国内に侵入して、そこから攻撃を行うということを意識した攻撃というのは、実際存在しております。そういった意味でも、内内の情報というのも、技術的な側面、セキュリティーの観点では、実は重要な部分であるというふうに思っております。 　一方で、御懸念の部分というのは当然あると思いますので、慎重になるべきであるとは思いますけれども、サイバ…

○吉岡参考人　ただいまの御質問についてお答えさせていただきます。 　御指摘のとおり、通信の本質的な部分に関わる情報がサイバー攻撃の対策において役に立つかどうかという意味では、役に立つことがあることは確かであると思います。一方で、先ほどからも出ているとおり、非常にそれは機微な情報であったり、プライバシーに関わる情報として非常に重要なものでありますので、まずは、そこを見ずともできることは何があるのかというところをしっかり考えるべきかと思っております。 　私は、仮に機械的な情報だけであっても、それがない場合と比べると、相当できることは増えてくるであろうというふうに思っております。ですので、重要性という意味では、機械的情報以外の情報というのも、純粋にセキュリティー対策という意味では有効であるものの、一旦そこを除外して、機械的情報で何ができるかということをまず考えていく、それでもかなりの差が出て…

○吉岡参考人　お答えさせていただきます。 　おっしゃるとおり、セキュリティーの人材というのはいろいろな面で不足していると考えております。 　特に、私が大学におりまして感じるところとしては、やはり、大学の学生が、サイバーセキュリティーの研究に興味を持ってくれる学生は多くおります、一方で、就職して出ていくときに、それらの学んだ技術ですとか知識を産業で生かしていけるところに就職しているかというと、必ずしもそうではないということがございます。 　これは、やはり社会のニーズですとか、それに対する、そういった人材に対する価値ですとか評価というのがもしかするとまだ十分ではない、又は、そういった技術を持った人間が社会でどういうふうに活躍できるか、そういったビジョンというものがまだ十分に見えていないのかなというふうに思っております。 　そういった意味で、今後、そういった人材に対する評価をはっきりでき…

○吉岡参考人　お答えさせていただきます。 　今御指摘ありましたように、重要なシステムですとか、大企業ですとか国だけが攻撃対象になっているかというと、そうではないということが、いろいろな研究で、そのように認識しております。 　中小企業となりますと、やはり一番足りないところは、人的又は技術的な意味でもリソースが足りていないということです。やらなければいけないことは分かっていながらも、何から取り組んでいいのかということが十分に認識できていないですとか、危機感がまだ十分にないというところが、一つ大きいところかと思います。 　ですので、既に国の方でも、最低限中小企業で行うべき対策のチェックリストですとか、そういったものを用意いただいていると思います。さらに、それをうまく活用して、リストは準備しても、それが浸透していない、普及していなければその効果は求められませんので、そういった現状のサイバー攻…

○吉岡参考人　お答えさせていただきます。 　まず、対象となる、何を守るのかという点でございますけれども、やはり国民の生活ですとか生命に関わるということで、重要インフラに関わるサイバー攻撃を未然に防ぐ、又は、起きてしまった場合にもそれを軽減するということが一つ重要な目標だと認識しております。 　それで、それがやり切れるのかということなんですけれども、サイバー攻撃というのが、非常に多様である上に、実態がかなり分からないところも多いものでありますので、それで完全に防ぎ切ると言い切ることは常にできないものであるとは思います。しかし、これまでの状況に比べまして、この法案に基づいて実施する対応というのは、かなりその効果というのは上がることは十分期待できると思いますので、そういった意味での期待はできるものだと認識しております。 　以上です。…

○吉岡参考人　お答えいたします。 　まさに今おっしゃっていただいたとおりで、サイバーセキュリティーと申しますけれども、今は、物のインターネットと言われるＩｏＴですとか、又はサイバーフィジカルシステムというように、サイバーの世界だけで全ては閉じないという状況に確実になっていると思います。サイバーの世界で起きた問題というのが我々の身の回りに直接的に降りかかってくる場合もございます。例えば、自動車も今ネットワークにつながっておりますし、身の回りの、自宅のネットワークというのもインターネットにつながるという時代になっておりますので、先生がおっしゃるとおりに、サイバーの世界だけで閉じられない、そこまで含めての防御を考えるべきであるということは間違いないと思います。 　以上です。…

○吉岡参考人　お答えいたします。 　量子コンピューターというものが、実現が近づくということで、今までの社会のベースになっていた暗号等の技術というものが、それに耐えられるようなものが必要になってくるというふうに認識しております。 　その中で、技術というのは急に変わるものではなくて、現在のものと耐量子の技術を持った次世代の暗号等の技術やセキュリティーの技術というのが急に社会に入ってくることにはなりませんので、いかにそれをシームレスに現行のものからうまく移行していくかということが一つ重要になってくると思っておりまして、それに対する、ベースの研究開発に加えて、そういった移行にうまく適用できるような制度ですとか考え方というのが大事になってくると思っております。…

○吉岡参考人　お答えさせていただきます。 　私たちは大学で、こういったＩｏＴマルウェア等々の観測、分析というのをずっと行っておりますが、まず、先ほど冒頭の陳述でも申し上げたんですけれども、サイバー攻撃の攻撃を行う仕組み、インフラというのが非常に多層化、多様化しているということがございまして、なかなか大学の研究の中では、その入口のところまでしか見えないということがございます。 　なぜかと申しますと、攻撃を行う側は攻撃インフラを多段に持っていますので、その先にあるものを見ようと思うと、実はそこにアクセスをしてみないとその先がどうなっているかは見えないということがございますので、私たちだけでは、こういったインフラの無効化ですとかテイクダウンと言われるような対策というのは、実はできないということになっています。 　ですので、我々として、取りあえず、今行っていることとしては、情報収集を行うとい…

○吉岡参考人　お答えさせていただきます。 　今、私たちの方でサイバー攻撃を観測してマルウェアを解析するのに、大体、収集してから解析を行うのに十五分ですとか二十分で解析はスタートいたします。そうすると、攻撃側のインフラの情報というのが見つかって、初期的な情報というのが得られます。 　ただ、そこから、攻撃側の命令が届いたり、その観測というのは継続的に行っておりまして、その中で、異常が発生するですとかそういったものはかなり、実際のところはケース・バイ・ケースになっておりまして、ある時点で攻撃が非常に増えるということを検知する場合もありますし。 　ということで、済みません、なかなか一言でお答えは難しいんですけれども、というような状況の中で異常というのを見つけていって対処する必要があるというものになっていると思います。 　一言でお答えできないところです。済みません。…

○吉岡参考人　ありがとうございます。 　おっしゃるとおりで、私が主に専門として特に扱っているＩｏＴ機器の場合、国内の製品だけでなくて海外で作られたものが国内の中でも非常に多く使われていたり、それが攻撃に悪用されているという現状がございます。 　様々な対策をするときに、海外製品のものに対して何ができるかということは、確かに限られている面もあると思います。一方で、そういった、乗っ取った機器を制御する攻撃が、先ほどから申し上げているインフラというもの、そちらの方に対して仮に対処ができるとすると、間接的にそういった海外製品についても攻撃を抑止することにつながるということもございますので、やはり総合的に対策をしていくということが一定の効果をもたらすということは期待できると思っております。…

○吉岡参考人　ありがとうございます。 　ここは非常に難しい問題だと思っておりまして、今、無害化を、実際に具体的にはどういうアクションを取るのかというところまでは、まだ明確には議論されていないという状況だと認識しておりますので、あくまで私が考えている中での話ということになってきますけれども。 　おっしゃるとおり、無害化の処理というのは非常に慎重にやらなければいけないものだと思っております。例えば、ある機器ですとかシステムにアクセスをして、その中で、サイバー攻撃に関わる、例えばマルウェアですとか、それに関わるプログラム、プロセスというのを停止するですとか、又は攻撃者がそこにアクセスできないようにするといったようなことが一般的には考えられると思うんですけれども、そのときに、そのマルウェアが何かということ、どのプロセスかということを特定して、ピンポイントでそこを停止するということがうまくできれ…

○吉岡参考人　お答えさせていただきます。 　まさに御指摘があったとおり、中小企業のセキュリティー対策ということで、人も金も足りない、時間も足りない、仕組みもないということで、難しい状況だというふうに理解しております。 　サイバー攻撃の話になりますと、非常に高度な攻撃ということがいろいろ取り沙汰されるわけですけれども、私、見ておりますと、攻撃の多くは、非常に基本的な対策を実は怠っていたことが原因だということもまだまだ非常に多いと思っております。そこに対して全てすごくコストがかかるかというと、そういうわけでもなくて、基本的な、例えばパスワードを変えているかですとか、更新をしっかりしているか、当たり前のように言われていることなんですけれども、それすら実はできていなかったということが多々あるというふうに認識しております。 　最近ですと、ＶＰＮの、リモートアクセスで使うための機器が、いまだに更…

○吉岡参考人　御質問についてお答えいたします。 　私、比較的、技術の専門家でございまして、企業の経営ですとか、それに対してサイバーセキュリティーのコストがという面で、もしかすると知見が不十分かもしれないんですけれども、分かる範囲でお答えさせていただきます。 　おっしゃるとおりで、人をそこに充てる、また技術的な対策をするということで、例えば百万、二百万という数字が出ていましたけれども、必要なコストがかかるということは確かであると思います。 　一方で、先ほど別の質疑の中でもあったんですけれども、お金だけかければできるかということではなくて、実は、押さえるべきところを押さえるということをうまくやりますと、必ずしもコストをかけなくてもできることもまだまだあるというのが私は個人的に思っているところでありまして、どちらかというと、意識ですかね、企業側の意識の方がまだ十分ではないのではないかという…

○吉岡参考人　お答えいたします。 　この点につきましては、私も十分に知見を持っていないところもございます。能動的なサイバー防御の実態というのは、なかなか私たち学術研究者にも知れるところでない部分もございますのでお答えが難しいところもありますけれども、一般論と状況から申しますと、アメリカ、イギリスのみにこういった活動が行われているかと申しますと、はっきりと分からないところもあるんですけれども、基本、こういったサイバー防御に対する重要性とそれに対する対応は各国とも重要視しているということは間違いないかなという印象を持っております。 　済みません。以上です。…