国会発言検索

○参考人（持永大君）　芝浦工業大学の持永です。どうぞよろしくお願いします。 　本日は貴重な機会をいただき、ありがとうございます。 　私は、サイバーセキュリティーの技術と戦略について研究をしています。技術に関しては、通信ネットワークのセキュリティーであったり、サイバー攻撃の手法などを研究しています。戦略に関しては、他国のサイバー戦略や関連する政策を分析しています。 　現在、私は大学に籍を置いて研究活動をしていますけれども、元々は実務家としてのキャリアの方が長くて、ＪＰＣＥＲＴコーディネーションセンターというところでサイバー攻撃の分析やインシデントの対応、調整、あとは国際連携に当たったほか、三菱総合研究所に行ってサイバーセキュリティーや外交・安全保障に関する政策立案のお手伝いをしてきました。 　本日、私は、能動的サイバー防御が日本が欧米主要国と同等以上の対処能力を備え、被害の顕在化を防…

○参考人（持永大君）　御質問ありがとうございます。 　個人を追跡できるのかというのは、まず選別後の情報なので、それはサイバー攻撃に関連している情報というふうに承知しておりますので、非常に難しいと。 　例えば、サイバー攻撃に関連しているＩＰアドレスを事前に特定して、それらのＩＰアドレスの通信を丸ごと取ってこようみたいな話を懸念されるかとは思うんですけれども、まずその段階であっても、もしそのＩＰアドレスを監視しようとした場合には、サイバー通信情報監理委員会の方でそれは不適切な運用であるというふうにはねられるはずなので、今回のその法案の中で言われているような方式を使って個人の方を追跡するのは非常に難しいと言えます。…

○参考人（持永大君）　欧米主要国と遜色のない対応かどうかということなんですけれども、これは、今の見ている法案の中でいうと、欧米がやっていることというのに遜色ないことができそうではあると、制度上は。 　それは、今まで政府の対処というのが、国内のかつ政府が管理しているコンピューターに対してのみ処置する、しかも被害が出た後に処置するということだったんですけれども、今回の法案では、政府が管理していない民間のコンピューターに対して被害が顕在化する前に対処できるという点で他国と遜色がないと言えます。 　ただ、他国が、先ほど言われていたみたいに対外秘ということはちょっと違って、例えばアメリカの場合だと、先ほど言及した二四年一月のボルト・タイフーンの例では、実際にどういう対処をしたのかであったりとか、捜査令状を公開したりとか、それはアメリカの制度上、令状を取ってからやるという制度を彼らはつくっているの…

○参考人（持永大君）　ありがとうございます。 　人材育成を結構やろうというのは実は日本政府の中でももう十年以上続けてきているところでありまして、例えば総務省の情報通信研究機構であったりとか様々なところで人材育成について話が出るんですけれども、やはり他国と比較して総額が小さいであったりとかインパクトが小さいというのが原因だと思います。例えば、今年度、科学技術振興機構、科研費と呼ばれる、研究費の中で呼ばれているものがあるんですけれども、それ、大学の中で、大学の研究者とかを対象にした研究分野で情報セキュリティーに関する研究は三十六件なんですね。非常に少ないんです。 　そういったことを考えても、やっぱり件数も少ないし、一つ一つの規模も小さいし、やっぱりそういったところが裾野の狭さみたいなものを生んでいて、であれば、やはりちょっと失敗を許容してばらまいて、もう少しいろんなことをやってみると、しば…

○参考人（持永大君）　御質問ありがとうございます。 　情報共有がうまく進まない原因としては、やはり、これは政府の報告書の中でも何度か言われているんですけれども、組織の縦割りというのが非常に問題だと。これは二〇一三年ぐらいからずっと言われていて、そういった政府の報告書で自身が言っているにもかかわらず、やはりその数字を見ても件数が少ないという状況を見れば、やはりそういった問題は解消していないと。やはり、この法案が出てきたのは、そういった状況を変えようということで、新たに内閣官房に組織をつくって、新たな組織の下でやっていこうということだと認識しています。 　根本的な原因がそこで新しい組織ができたからって解消されるのかというのは、本当にこの法律ができて運用されてみて、民間事業者からそういった組織がどう評価を受けるかというところで決まってくるのだと思います。…

○参考人（持永大君）　ありがとうございます。 　中小企業に関しては、長い間こちらも、私も実際に町工場の方に、最近パソコン使っていますかみたいな形で、ソフトウェア使っていますかみたいな感じで、うちはインターネットつながっていないから大丈夫だよみたいな、そういう感じで来るんですけど、実際にはインターネットにつながっていなくてもサイバー攻撃を受ける可能性はあって、そういったことというのは、重要インフラで例えばやられているような対策でも、やはりインターネットから切り離していればオーケーとかそういうものではないということが今の現状なんです。 　そういった認識をやはり中小企業の方に持っていただくというのが第一で、それがうまく機能するかというと、やはり中小企業の方にとってみれば、追加の作業を、セキュリティー対策取れよみたいな感じで、多分お金をあげてもどうやってお金使っていいか分からなくて、何というん…

○参考人（持永大君）　ありがとうございます。 　地方公共団体の方も、非常に先進的な取組をされている方がいる一方で、全然やっぱり人がいなくてできないという方もいらっしゃると。その中で、やっぱり困っているのは、昔からある情報システムをどうやってセキュリティー対策したらいいんだろうみたいなことを考えられる人がいないというところで、やはり国の方でシステムをまた、何というんですかね、一からつくるというのはちょっと言い過ぎなんですけれども、うまくセキュリティーが回るようなシステムとして、その地方公共団体にシステムを提供するということをした方がいいと思うんです。 　というのは、地方公共団体は、もうシステム更新のお金がなくて、古いシステムを使って、それがサイバー攻撃を受けてやられちゃうみたいな、そういうパターンもあるので、できれば国側としては、そのセキュリティー対策やれよと言うだけではなくて、実際にそ…

○参考人（持永大君）　ありがとうございます。 　私の意見として、日本がアメリカと同等の規模を持つべきかと言われれば、それは私は違うというのが意見です。というのは、アメリカとは、例えば、ＧＤＰの規模でいっても違うし、持っているもの、土地の広さであったりとか範囲も違う、見ている範囲も違うわけなので、全く同じものでは、レベルではないとはいえど、今の状況からすれば、少なくとももう少し拡大する必要があるだろうと。 　よく私がやるのは、その組織的な分析というときに、そのカウンターパートはどこの組織なんだろうというふうに見ていくんですけれども、今、例えば、内閣サイバーセキュリティセンターのカウンターパートであるような米国のサイバーセキュリティー・インフラストラクチャー・セキュリティー・エージェンシーというところは数千人規模でいると。中身を見てみると、機能的に見ると、ほぼほぼ同じ、重要インフラを守りま…

○参考人（持永大君）　ありがとうございます。 　まさにおっしゃるとおりで、誰からそういったスキルを学ぶのかというのが非常に重要だと思います。現状では、思い切ったことをやろうとすると不正アクセス禁止法に抵触するので、余り思い切ったことは誰もできないというのが日本の現状ではあります。ただ、そうではあっても、やはり守る側の立場の技術を高めようとするのは、非常に技術的なコミュニティーの方もいらっしゃいますし、政府の方でも幾つか取組をされているので、そういったところで技術を養成することはもちろん今可能ではあると思います。 　今回の例えばアクセス・無害化みたいなのに関わるような技術は誰から教えてもらったらいいですかといったところで、多分そういうことができるのは国内でも結構限られた人であるというふうには認識をしています。特に、私は、アクセス・無害化は、非常に技術的にどうその権利保護であったりとかそう…

○参考人（持永大君）　ありがとうございます。 　情報共有の阻害要因としてよく民間事業者の方から伺っていた話は、やはりその監督官庁に自分のところでサイバーセキュリティーインシデントが起きましたと報告するのをすごい嫌がるというのは、それは後で行政指導につながるかもしれないということもあるので、非常に慎重にならざるを得ないと。一方で、そのＪＰＣＥＲＴコーディネーションセンターに報告しても別にそういった罰則があるわけでもないしというところで、むしろどうやって対処すればいいかとすぐ教えてくれるというのでその件数になっているわけなんです。 　なので、もし今後、政府の方で情報を例えばインシデント報告しなさいよみたいな義務をつくるときには、あくまでその報告だけであって、そういった罰則につながるようなことではないので、むしろ報告することがインセンティブになるというような制度づくりが今後必要だと思います。…

○参考人（持永大君）　ありがとうございます。 　中小企業対策は、先ほどもちょっと申し上げたんですけれども、非常に発注元と発注を受ける側としての関係性は非常に強くて、発注元から追加でセキュリティー対策をしてくださいねといったときに、やはりその追加料金なしでセキュリティー対策してくださいということが多いと。というのは、元々のその下見積りの段階で得られるのは成果品に対してのみ見積りをしているので、そういった追加対策をすることの費用が含まれていないということで、発注元に対して例えばセキュリティー対策の費用を上乗せするような制度をつくったりとか、そういったことを契約条項に盛り込むようにしたりとかというのが、国が直接支援、お金をあげて支援するよりもずっと効果的であると。というのは、委託元から、委託元の管理責任としてその下請の人が例えば責任を負うようなことにもなりかねないので、できるだけその対策を求め…

○参考人（持永大君）　ありがとうございます。 　現状で例えばどういうことが起きているかというと、内閣官房が例えばサイバー攻撃を認知した後に、被害を防止するための情報提供をしましょうみたいなことがあったときには、その被害を受けていそうな分野の所管官庁と調整をしたりとか、あとは被害の攻撃元である国との関係を調べるために外務省と連絡をしたりとか、で、実際にそのパブリックアトリビューションと呼ばれる他国を非難するようなものを出そうとした場合には更に調整が要って、時間だけが過ぎていって、結局有効な対処が打てないということがあるので、その強力な総合調整というのがどう機能するかは、今言ったような情報提供と、相手側に何かを働きかけていって、それでアクセス・無害化するというのが一つのプロセスとして成り立っていくために強力な総合調整が必要なんだと私は思っています。 　なので、実際に今ハードルとなっていると…

○参考人（持永大君）　どうしたらいいかというところだと、やっぱりプロセスを確立するってところにあるんですよね。 　私が思うには、一番最初に認知をしたときに、情報提供するまでに例えば三週間以内とか二週間以内みたいな時間を区切って、次のプロセスに移るまでに一か月とか、最終的なアクセス・無害化までは三か月みたいな形で時間間隔を、最初にある程度政府として取るべき対処のプロセスのパターンというのが決まっていて、それをこなしていくみたいな、そういうプロセスづくりというのがその総合調整だったりとかに共通認識を得るために重要だと思っています。…

○参考人（持永大君）　ありようというところは、ここはまだ、通信情報の活用からアクセス・無害化に至るまでのプロセスというのを、例えば他国の事例を参考にして、その措置を国内で実施するにはどうしたらいいかみたいなケーススタディーをするというのがまず第一歩で、その後にありようが多分決められるのではないかなと思います。…

○参考人（持永大君）　ありがとうございます。 　現状でも、サイバーセキュリティ協議会というような内閣官房のところでやっているものがあるんですけれども、そこのものと似たような形態になるんじゃないかなと。変わるのが、やはり政府側からの情報提供が増えるんじゃないかなというのがあります。 　先ほど言われたみたいに、非常にたくさんの方が現状のサイバーセキュリティ協議会もいらっしゃって、そういった中で、どういうふうにやったら、その一堂に会するの難しいのでということを考えれば、それはやっぱりオンラインで会議をやるというのが一つの方向性としてあるでしょうし、それで、必ずしも同時に時間をそこで共有する必要も私はないと思うんです。 　というのは、例えば金融業界であったりとか電気事業者の方であったりとか、そういった業界の方ってそれぞれ持っている興味が違うんだけれども、そこから情報を得ておきたいというふうに…

○参考人（持永大君）　ありがとうございます。 　民間から情報を得るということに関しては、ほかの国では、ある程度その様式を決めて、これぐらいのこういう内容を報告してくださいという一定程度の様式が決まっているんですね。 　日本においても、実は日本はかなり情報共有、民と民の間の情報共有とか民から官への情報共有は、ほかの国からもそんなすごいことよくできるねと言われるぐらいに非常に先進的だというふうに言われています。そういったことを、例えば先ほどあった例でいえば、金融とかそういった業界の場合だと、金融の場合は、同じようなコンピューターシステムを使っていたりとか同じような要件で組み上げているので、ほかの企業で受けた攻撃がうちにも来るかもしれないというインセンティブが、そういうところに情報提供すると自分たちも予想できる、対応ができるというところのインセンティブがあるので情報提供をするということがある…

○参考人（持永大君）　ありがとうございます。 　私も、その人の処遇は特別だとして、特別なので、上げるべきだと思います。というのは、その監理委員会に入る方は、罰則が何か情報漏えいがあったりとか悪用した場合にはあるわけで、しかも二十四時間三百六十五日待機しなきゃいけないという状況を考えれば、今、周りの人から見てみると、更なる重い責任をむしろ負うことになって、かなり職責も能力も必要であるということを考えれば、プラス十万円とかではなく、給料三倍ぐらいが必要だと私は思います。…

○参考人（持永大君）　民間から出向するとき、すごいサラリー出してくれよというのは、私、そこら辺は、民間よりもいい金額でというところにしかならなくて、というのは、民間でもやっぱり市場原理が働いていて、青天井でお金払えるわけでもないですし、ただ、今回のその監理委員会とかそういう仕事は、どちらかというと、もうやりがいを皆さん分かったので、さらに、職責であったりとか社会的な責任を負ってくださいという部分なので、それに合うような形の処遇なんだろうというふうに私は想定しています。…

○参考人（持永大君）　御質問ありがとうございます。 　日本は今のところ欧米と外から見た制度上はほぼ同等のことができるような仕組みになったという点においては、優れているとは言わないまでも同じことができるようになりつつあるというのが私の感覚です。 　やはりこれ、ほかの今の現状の法律、法案において優劣、ほかの国と優劣があるかというと、先ほど言ったように枠組み上は優劣は付け難いんですけれども、やはり運用が始まってから日本がどれだけその運用を効率化して適切に対処できるかであったりとか、その対処した後に透明性が確保されているのか、あとは、その対処自身も常に技術的に革新的なものを採用しているのかどうかというのが課題なんだろうなと、もし優劣を付けるとすれば。 　というのは、サイバー攻撃のやり方というのは、本当に一年たつとがらりと変わったりとか、使っている製品によって非常に全然違うので、そういった相手…

○参考人（持永大君）　ありがとうございます。 　私は、内内を対象外とした理由についてはちょっとよく分からないなというのが正直なところで、そこは対策として必要なんじゃないかと言われればそれはそうかもしれないけれども、技術的にもハードルが低かったんではないかなというのがあると思います、外側からの通信であれば。 　なので、例えば、その外から、外外みたいなものはどこから来てどこから出ていくというのは非常に分かりやすいですし、外向けであれば、ある程度ＩＰアドレスとかで絞り込みができるので、技術的なハードルが低かったのではないかなというふうに想像します。…

○参考人（持永大君）　日本国内にいる人が絡むのであれば、外内か内外のどちらかだと思います。外国の人がまた第三国に対して通信するのが外外だと承知しています。…

○参考人（持永大君）　今のは多分、内外と外内の二つだと思います。…

○参考人（持永大君）　内内で想像できるのは、例えば、結構、東京都で閉じるみたいな通信のパターンですね。例えば、この国会から通信をしたときに、ある程度行く、それで東京都内のどこかの通信サーバーに行く場合というのは内内に相当するのだと思うんですけれども、そのときには内外も外内も絡まないので内内だというふうに言えます。…

○参考人（持永大君）　必ずしも外は絡まなくてももちろん攻撃はできますし、中で閉じる攻撃ももちろんあります。…

○参考人（持永大君）　見付けるのはまず簡単かどうかというのは、非常に私もよく分からないというのが正直なところで、攻撃の種類によって、例えば大量の通信を仕掛けるような場合、国内国内で、そういった場合は見付けることができる可能性が高いとは思いますけれども、そうでないような、現状で、例えば言われたような不正アクセス禁止法に違反するような行為であったりとか、そういったものが国内内で起これば、それは検知できる場合はあります。…