国会発言検索

○大澤参考人　ありがとうございます。 　確かに先生がおっしゃるように、アメリカは自衛権の行使で出る、日本は警察権になるという、グレーゾーンのときにはかなり、そういう面では枠組みの違いは生じるんですけれども、ただ、行為主体を見ますと、アメリカもＦＢＩ、警察権を持っている司法省とサイバー軍が一緒に活動をしております。今回、やはりこの法案で初めて日本で警察と自衛隊が一緒にサイバー攻撃に対応するんだ、そこは自衛権か警察権かという差はありますけれども、ただ、アメリカもほかのヨーロッパ諸国も、警察と軍隊がやはり一緒にサイバー攻撃に対応しているというのはフランスでもありますので、今回この法案で初めて日本がそういう体制をつくれるようになるということになります。 　そこのグレーゾーンの事態の国際的な協力は、恐らく国際司法共助という形で、カウンターパートの警察組織と密接に連携をしてやっていくことになると思…

○大澤参考人　お答え申し上げます。 　今回、自衛隊法の改正の中で、三要件の中に国家公安委員会の同意又は要請ということが入っております。ただ、自衛隊が出動する場合、内閣総理大臣が意思決定をするということですし、特定事象を認定するということになりますので、政府として意思決定をした上で、そういったアクセス・無害化措置を行うということになります。 　その上で、別途、国家公安委員会、それから三条委員会である通信情報監理委員会も承認をというふうになりますと、サイバー攻撃はリアルタイムで進みますので、実際に、一番最短ですとやはり数時間単位で被害が出るような場合もございます。そういった際に、持ち回りであっても、承認を得て実際に活動するということになりますと、やはりタイムラグがどんどん生じますので、このデジタルのスピードの時代を考えますと、なかなか、毎回承認を取る、同意を取るというのは、シームレスでタイ…

○大澤参考人　ありがとうございます。情報戦への対応について御質問いただきました。 　情報戦は偽情報の拡散という形で行われますけれども、拡散主体が確実にいます。サイバー攻撃に対する能動的サイバー防御も、攻撃主体に注目をして追い込んでいくということをしております。情報戦も全く同じでございまして、攻撃主体を特定して、その攻撃主体に対して、その人がこういう悪い偽情報を流しているということを国民の前につまびらかにする、ないしは外国政府と一緒に国際的に非難をするという形での対処が考えられますので、今回の法案で技術的に痕跡が見つけられるようになりますと、同じような手法で情報戦の攻撃主体に対しても対応措置ができるというふうに考えております。…

○大澤参考人　無害化措置のエスカレーションの可能性について御質問いただきましたので、お答え申し上げます。 　米国での事例を考えますと、無害化措置をする場合に、非常に慎重に運用されているというふうに考えております。 　これは、エスカレーションが生じるというのは、相手側で誤認をしてエスカレーションをさせる、という要因が働かないようにすることが重要になりますので、そういった誤認を避けるために、米国では、例えば、コロニアル・パイプラインにおける攻撃者側のＰＣの無害化とか、あと、二〇一八年のロシアからの情報戦に対する、サンクトペテルブルクの、拡散している会社のネットワークの停止、こういったものをアクセス・無害化措置でやっておりますけれども、措置をした後に必ず、目的、それからどういう理由でということを、政府当局、ホワイトハウスから公表しております。これは、エスカレーションの誤認を防ぐために情報公開…

○大澤参考人　お答え申し上げます。 　緊急避難を、正当性、違法性阻却事由とした場合に、どちらかというと、私の見解では、それでは十分なのではないと。 　つまり、緊急避難というのは、不正急迫の侵害が行われている最中であればできるんですけれども、例えば、その準備段階においてできる、十分措置が打てるのかということを考えますと、サイバー攻撃というのは、実際、最後の段階では、例えば電力が止まったりとか交通機関が乱れたりということが起きますが、それに至るまで、相手のネットワークに入る準備期間というのは、数か月かけて入ってきます。 　ただ、その間は、不正急迫なことが起きているわけではなくて、単にネットワークの中に侵害をされているという状態になりますので、そういう場合において事前に止めなければいけないというときに、この緊急避難で違法性が阻却できるのかというのはなかなか難しいと思いますので、緊急避難以外…

○大澤参考人　国際法上の遵守ということになりますと、やはり実際にオペレーションをやっている人たちの意識の問題が非常に大きいだろうというふうに思っております。 　どうしても、国内でやっておりますので、国内法は肌感覚としてオペレーターが身につけていると思うんですが、やはり国際法上その行為は大丈夫かという感覚を教育を通じて養っていただく必要があるだろうと思います。 　思い返しますと、我が国で、ちょうど司馬遼太郎先生が「坂の上の雲」で東郷平八郎をずっと描いていますけれども、日清戦争のときに、彼はイギリスの商船を砲撃するんですが、これは国際法上にのっとって、中国の兵隊を乗せているから、国際法上この行為は大丈夫だという十分な知識を持って判断をしております。それは、戦前、二次大戦になる前までは、そういった国際法を運用者がきちっと守るという意識が、やはり軍隊にも浸透していたんだろうというふうに思います…

○大澤参考人　お答え申し上げます。 　諸外国ですと、こういった領域外の措置は自衛権の行使で行っております。ところが、我が国では自衛権の行使は非常にハードルが高い、平時にはなかなか実施をできないということで、平時から、いきなり有事になると自衛権の行使になる。ただ、諸外国においてはシームレスに斜めに上がっていきますので、そういった点で、今回の法案では警察権を用いて領域外での行動が想定をされているということになります。 　ただ、そうしますと、諸外国でやっている自衛権の行使と明らかに条件が異なりますので、そういった国内の法執行を外で行うということに関して、冒頭でも述べましたように、国際法上正当である、違法性が阻却できるということをきちっと理由づけた上で活動する必要が出てまいります。 　そういった点では、先ほど来議論をいただいております緊急避難ないしは対抗措置、こういったもので理屈づけをして域…

○大澤参考人　現時点では、具体的にどういう技術なのかというのは、公開情報でもありませんので推定になりますけれども、警察が国内のサイバー攻撃を扱う中で、自衛隊は外国からの、特に、ちょっと国名を申し上げるとあれですが、隣国の、想定される攻撃者の攻撃手法、こういったものを研究しながらということになりますので、そういった攻撃手法やマルウェア、こういったものの技術解析とか、逆に相手のネットワークに入るというふうになりますと、ウィンドウズベースではない、その国のＯＳとかソフトウェアで守られているということになりますので、当然、そこにアクセスをして無害化をするということになりますと、その国のスペックに合った、ＯＳに対してどうやって侵入するのかという、ふだん恐らく警察が実行しないようなアクセス・無害化措置やソフトウェアとかマルウェアを使うことになりますので、そういう点では、自衛隊が外国からの攻撃を想定して…

○大澤参考人　お答え申し上げます。 　まず、何を守るのかということでございますが、今、情報、デジタル社会になりまして、国民の社会活動、経済活動は全てＩＴネットワークに依拠しております。これが止まると、例えば電子決済ができなくて物が買えないとか電車に乗れないということがございますので、このＩＴネットワークに乗っかっている社会活動が止まらないようにというのが今回の法案の一番の大きな守るべき対象かなと思っております。 　それから、この法案でやり切れるのかというところでございますけれども、サイバー攻撃の歴史は盾と矛の進化の歴史でございまして、攻撃が常に進化してまいります。そのため、技術的な進化だけではなくて、守る側の体制、つまり法案とか政策とか戦略も、ほぼ毎年のように諸外国でもアップデートされておりますので、この法案で足りないところが出てくれば、やはり見直しを不断にしていくという形で、守れる領…

○大澤参考人　お答え申し上げます。 　今回、かなり早い段階から警察と自衛隊が共同してサイバー空間に出るということが法律上定められておりますので、マックス、グレーゾーンが上がっていくと、最後の段階ではもう既に自衛隊の部隊がかなり対処をしている、そういう状態で、仮にそこから武力攻撃事態ということになった場合にも、もう既に出動はしていますので、シームレスに、後は、自衛隊法上の武力攻撃事態、自衛権の出動というふうに切り替えるということで、かなりそこの点ではシームレスにできるかなと思います。 　ただ、政府の側は事態認定が必要になりますので、そこを迅速にやっていただいて、デジタル空間でもう出動しているのは出動していますので、あとは権限が少し変わるということになろうかと思います。…

○大澤参考人　ありがとうございます。お答え申し上げます。 　六条の立入りのところなんですけれども、今回、アクセス・無害化措置で忘れがちなのが、実はアクセスがすごく重要ということなんですね。アクセスをして、そこで、どういうマルウェアがあって、どういうふうに国家が指示をしているのかという証拠をちゃんとつかむ、それによって攻撃者を特定することが実は一連の措置の中で一番重要な部分になりますので、そういう点では、六条の立入りで、悪いことをしているじゃないかというのをちゃんと見極めるというのが非常に重要になると思います。 　その上で、無害化の措置は、先生おっしゃられますように、相手のコンピューターの機能を止めますので、これはある程度、武器の使用に近いような概念になるかというふうに思っております。…

○大澤参考人　お答え申し上げます。 　英米以外の主要国でも、フランスですとかオーストラリア、こういったところで、いわゆる我が国の能動的サイバー防御と同じような形の対応措置が取られております。ただ、明言するかどうかというのは各国によって違っておりまして、インテリジェンス活動の中でやっていくという国もございます。 　攻撃者に対するアクセス・無害化だけで十分なのかということなんですが、やはりサイバーの世界、全てに効く処方箋はありませんので、当然、攻撃された後の復旧、レジリエンスの能力も高めなければいけませんし、そもそも攻撃されないようにするという、守る側の能力も必要になります。 　ただ、我々今までやってこなかったのは、攻撃者に対して持続的に関与していくということは今まで政策上も対応策としてもやっておりませんでしたので、そこはきちっと今回の法案でできるようにする必要があるだろうというふうに思…

○大澤参考人　お答え申し上げます。 　まさに先生おっしゃられた、政府の情報分析能力、これは非常に重要だと思っておりまして、例えば、インターポールを通じて、ランサムウェアをやっているグループ、これは東欧で、ウクライナ等で差押えをしたケースがございます。これも、国際間の協力の中できちっと情報協力をして、サイバー攻撃の様態をお互い分かった上でそういう強制措置をしておりますので、今回、アクセス・無害化措置の際も、少なくとも、欧米の同志国とはきちっと情報交換をする、説明をするといったことが事前に重要だというふうに思っております。…

○大澤参考人　お答え申し上げます。 　リアルなお話だということでしたので、一つ事例を申し上げますと、攻撃者もちゃんと曜日を選んで攻撃してまいります。対応が難しい金曜日の夕方というのはやはり狙い目でして、そこでシステムを止めるとなかなか、対応する人間はもう休みに入っていたりしますので。そういう点では、システムが止まる攻撃は金曜日の夕方に発現することが多くて。幸い日本は、例えばヨーロッパとずれていますので、その後、土日に入ってからということになりますが、そういう点では、システムを復旧させるまでは仕事をしなければいけないので、現場のエンジニアの人は、土日だろうが深夜であろうが、直るまで現場でフィックスをして終了するという現状がございます。 　それから、処遇面でも、日本の場合、なかなか給与体系が、官庁も官僚の行政職の待遇になりますし、会社でも特別にサイバーの人材をというわけにいかないんですが、…

○大澤参考人　おはようございます。中曽根平和研の大澤と申します。 　本日は、参考人として意見を表明する機会をいただきましたこと、心より感謝申し上げます。 　本日は、両案につき、法案に賛成の立場から意見を述べさせていただきたいと思います。 　その前に、このサイバー安全保障の政策の実務及び研究に携わってきた者といたしまして、能動的サイバー防御を可能とするサイバー対処能力強化法案及び同整備法案の策定に際しまして、御担当の平大臣並びに与党・政府の関係者の皆様の御尽力に心より敬意と御礼を申し上げたいと思います。 　本日は、本法案につきまして、立法事実の観点から法案の必要性について三点お話を申し上げた上で、法案の課題について三点に絞って指摘をしたいと思います。 　最初に、法案の立法事実について、まず簡単に三点申し上げます。 　第一に、お手元の資料にございますように、サイバー攻撃情勢の急激な…

○大澤参考人　お答え申し上げます。 　武力の行使に相当するサイバー攻撃は、やはり物理的な破壊を伴うものというのが従来からの定義というふうに考えております。 　ただ、デジタルの時代になりまして、我々の過去の常識が定義として通用しないということがございます。例えば、情報戦、認知戦ですと、物理的な破壊はされていないんですけれども国民の意識が変えられてしまうということで、アメリカにおいては、大統領選挙に対する介入は、これは主権の侵害であるということで、ロシアのサンクトペテルブルクの実施主体に対して反撃が行われております。 　ですので、こういった物理的な破壊を伴わないものについてどういうふうに我々として認識するのかというのは、やはり定義を変えていかないと対応ができないということになりますので、今回の法案ではサイバー攻撃が対象になっていますけれども、じゃ、情報戦とか偽情報の流布というのはどういう…

○大澤参考人　浅野先生、ありがとうございます。 　諸外国、特に米国においても、情報の作成者がクライテリアを指定していくというのは共通の文化だろうと思いますので、その点では、この日本の制度も同じような運用をされると思います。 　ただ、日本の省庁の場合、例えば国会答弁一つ取っても、関係するところは全部合い議をかけて調整をしますので、恐らく、クリアランス制度ができても、情報の指定というのは、関係する省庁に関しては全部相談をして調整をした上で情報の指定をしていくだろうというふうに、日本の官僚文化からするとそういうふうに考えておりますので、御懸念の、省庁別になってしまって、日本政府全体として統一が取れないということは発生しないだろうというふうに、官庁の文化を考えますとそういうふうに考えております。 　ありがとうございます。…

○大澤参考人　特定秘密の保護はかなり厳密に決められていますので、例えば金庫の中へしまわなきゃいけないとか、そういうものを含めて、情報の利用という点ではかなり制限があるというふうに思っております。 　サイバーの世界ですと、例えばデイリーにどういう脅威があるのかとか、それを、民間事業者、特に通信事業者とか電力とか、重要インフラ事業者との間でデイリーに情報を共有するというのがアメリカだとコンフィデンシャルレベルで扱われておりますので、そういった情報の利用を考えると、特定秘密保護法の中でやっていくというのはちょっと、情報の流通を妨げることになりますので、それよりは、より広範に共有できるような仕組みということで今回の法案は考えられているのではないかなというふうに思っております。 　ありがとうございます。…

○大澤参考人　ファイブアイズのプロジェクトに参画をすることになるかどうか、それは個別の案件だと思いますので、恐らく個々に判断を、相手の国がすることだろうと思いますけれども。 　そもそも、日本社会に対して情報を共有する、特に機微な情報を共有する、その取扱いが、ちゃんと教育をなされている人が取り扱う、そういう安心感が相手国に与えられる、それがベースになりますので、それに基づいて、じゃ、個々の案件、例えば、戦闘機の開発ですとか、よりサイバーの懸念国からの攻撃についての情報共有、それは個々の、ケース・バイ・ケースで、相手国が判断をすることだろうと思いますので、そこは一概には何とも申し上げられないと思います。…

○大澤参考人　大石先生、ありがとうございます。 　情報を守る文化、国がそれぞれ安全保障を担保するために、政府の中だけではなくて、当然、その安全保障に関わる民間事業者も機微な情報を扱いますので、その文化が全体としてその社会にあるかどうか、それが恐らくファイブアイズに入る最初の資格要件だろうというふうに思っております。 　そういった点では、今回、民間のセキュリティークリアランス制度が導入されますと、特にサイバーセキュリティー面ではサイバー攻撃の情報を、これは政府で保持していても十分に生かし切れないので、やはり民間の事業者を守るために共有をすることになります。ただ、そこに共有をする、ファイブアイズから情報が来て民間事業者に共有するといったときに、全く制度がない状態では、やはり情報の安全が担保できない。ファイブアイズの国からすると、情報を取り扱ったことのない、マイナーリーグの国なんじゃないかと…

○大澤参考人　ありがとうございます。 　資格を得るためのプロセスなんですけれども、まず、資格を申請者が自分で条項について記入をして提出をするということになりますので、その一部について、うその記述がないか、間違ったものがないか、又は隠されたものがないかというものを、恐らく内閣で内閣総理大臣が指定した者がチェックをしていくというプロセスになっていくだろうというふうに考えております。 　そういった点では、全ての人の全ての面をチェックするというよりは、重点的に怪しいところをチェックするということになると思うんですが、それでも民間の事業者の人間を全て審査をするということになりますと、やはり、審査をする内閣官房、若しくはその代行として警察庁ということもあり得ると思いますが、そこに負担がかかることは間違いないことでありますので、人員の増というものは体制面からは必要になるというふうに思っております。 …

○大澤参考人　河西先生、ありがとうございます。 　やはり、中小企業のことを考えますと、こういった世の中ですので、できるだけ安く調達したい、入札も競争入札であるということが政府の予算を使うときに求められるわけでありますけれども、安全保障に関わる政府調達等においては、情報管理のコストもきちっと乗せていただいて調達を考えていただく、さらに、大企業と下請の間の関係も、こういった情報調達のコスト、情報の保全をするコストをきちっと契約の金額の中へ乗せていく、そういったことを政府の側から御指導いただくということが重要でないかというふうに思っております。 　ありがとうございます。…

○大澤参考人　堀場先生、ありがとうございます。 　医療機関の指定なんですが、一つ、視点として、技術的な視点があると思っております。 　各医療機関で同じような電子カルテシステムを使っておりますと、当然、サイバー攻撃の入口の脆弱性が同じになりますので、多様化をしていれば代替性が利くんですが、同じシステムを使うようになる、ないしは共通の、厚労省等の連携システムを使うということであれば、これは攻撃を受けると一網打尽で医療機関が、電子カルテが止まってしまうということになりますので、技術の進歩、技術の導入を見た上で、必要性があれば医療機関も指定をした方がいいというふうに考えております。 　ありがとうございます。…

○大澤参考人　堀場先生、ありがとうございます。 　私が、例えば欧米諸国のカウンターパートとこのクリアランスを持っているか持っていないかという話をした感じからしますと、やはり日本の制度と同じような教育ですとか情報のクライテリアを持っていますし、相手も、クリアランスを持っているよねということが確認できると、情報の会話の中身の濃さというのは一段上がりますので、そういった経験からしても、現在の特定秘密保護法もそうですし、今回の民間へのセキュリティークリアランスの拡大も国際基準にのっとっているというふうに考えております。…

○大澤参考人　太先生、ありがとうございます。 　特に、このセキュリティークリアランス制度が導入されますと、サイバー面に関しては、今後、第六世代というか、次期支援戦闘機の共同開発とか装備品の共同開発がなされると思いますけれども、こういった当該国、連携国から、日本の防衛産業のサイバーセキュリティーを守るために攻撃情報を共有したいという意見を寄せられております。 　ただ、彼らが気にしておりますのは、情報を渡したときに有効に活用されるのか、また、情報がちゃんと保全されるのかというところを気にしておりますので、そういう点では、諸外国ときちっと同等の制度をつくって、情報交換、脅威情報の交換がシームレスに行われるようになるということが期待をされるというふうに考えております。 　ありがとうございます。…

○大澤参考人　中山先生、ありがとうございます。 　まず、基幹事業者の指定の拡大についてでございますが、これは多分、その基幹事業者がサプライチェーンでボトルネックになるか、そして代替性があるかどうかという視点から考える必要があろうかと思います。医療機関ですと代替性が利きますので、一つの医療機関がサイバー攻撃を受けてもその周辺の機関がカバーをするということが可能になりますので、仮に、その地域でもうそこしかない、それが潰れると代替性がないということであれば、指定の拡大というものは検討していく必要があるだろうというふうに思います。 　それから、シギントの必要性でございますけれども、我が国は、恐らく諸外国の中で唯一、インターネットでシギントの収集ができない国だというふうに考えております。これは、現在、サイバー安全保障法制を政府の方で検討されておりますけれども、サイバー攻撃に関する情報、特に攻撃者…

○大澤参考人　おはようございます。笹川平和財団の大澤と申します。 　本日は、参考人として意見を表明する機会をいただきましたこと、心より感謝申し上げます。 　私は、本日、両案につき、法案に賛成の立場から意見を述べさせていただきたいと思いますけれども、何よりもまず、サイバー安全保障の政策実務及び研究に携わる者といたしまして、民間にセキュリティークリアランス制度を導入するこの重要経済安全保障の保護及び活用に関する法律案の策定に際しまして、類いまれなるリーダーシップを発揮された高市早苗大臣及び政府・与党の関係者の皆様の御尽力に心より敬意と御礼を申し上げる次第でございます。 　最初に、両案に賛成である結論の理由を簡潔に申し上げます。 　第一は、安全保障環境の変化でございます。体制間競争の中で経済安全保障が重要になってきておりますので、民間も含めて情報の保全が求められる時代になっていると考えて…