日本製サイバーセキュリティの実態はなんと天下りだった。「NICT法改正案」
こんにちは。地方自立ラボ(@LocaLabo)です。
当ブログでお伝えしたいことは、私たちの住んでいる国は、国家としてとらえることも大切なのですが、本来は私たちの住んでいる「この町」「この地域」の集まりである、ということがもっと大事だということです。私たちが幸せに暮らすために、国が住みよい土地になるためには、住民として住んでいる「地方」こそが住みよく、豊かな町であってほしい、そういう願いを持っています。
本日は、この度国会で審議されることになった「国立研究開発法人情報通信研究機構法の一部を改正する等の法律案」(NICT法改正案)について考えてみたいと思います(本稿で対象とするものは2023年第212臨時国会で法案が提出されたものです)。この記事では、時限法として成立した同法条文を継続させる意義に関して見解を述べるという点から私見を述べていきたいと思います。
はじめに
2016年10月、マルウェア「Mirai」は感染したWebカメラからTwitterやAmazonなどへのDDoS(多量のデータを送信してサーバーをダウンさせる)攻撃を仕掛けてきました。そのため各種サーバーがダウン、NETFLIX、PayPal のサービスが利用できなくなるなど、大きな被害が出ました。
しかも、このとき感染したIoT機器からさらに新たなIoTへ転移するというような感染が行われ、約50万台もの機器が同ウィルスに感染していたのでした。この被害のようなIoT機器でのセキュリティ問題に取り組んでいるのが国立研究開発法人情報通信研究機構サイバーセキュリティ研究所です。
国立研究開発法人情報通信研究機構(NICT:エヌアイシーティー)の業務について、簡単に説明します。令和5年度当初予算において総務省予算は約16兆円。その内、286億円がNICTに対して交付(国立研究開発法人情報通信研究機構運営費交付金)されることになっています。NICTは旧通信総合研究所を中心に現在の業務に改変されてきました。現在は電磁波研究所、ネットワーク研究所、サイバーセキュリティ研究所など6研究所を中心とした情報通信の最先端研究を行う事業となっています。
その中でも今回の改正に関わる部門はサイバーセキュリティ研究所の研究部門です。さらに、今回の改正法の主要部分は、不正アクセスに関する調査研究活動分野が時限措置であったものを終了し継続化することに係る条項です。主に同研究所が取り組んでいるのは、IoT機器に対する不正アクセスの状況調査です。
IoT、すなわちインターネット・オブ・シングスとは「インターネットに多様かつ多数の物が接続され、及びそれらの物から送信され、又はそれらの物に送信される大量の情報の円滑な流通が国民生活及び経済活動の基盤となる」ことを言います。(平成二年法律第三十五号特定通信・放送開発事業実施円滑化法 第五条)
まずこの業務に関する説明として、IoT機器へのサイバー犯罪についてのニュース記事と、具体的に同機構の行っている施策(NOTICE)についてのニュース記事を紹介します。少し長いですが、本文をお読みください。
IoT機器はすでに社会のあらゆる場所に設置されています。しかも使用される期間が長く、機器開発時に実施したセキュリティ対策が時間の経過とともに時代遅れになってしまう危険性があります。そのため、NICTが各機器にアクセスして(法令上認められた「特定アクセス」行為として)、その危険性を調査、さらに通知(NOTICEというシステムが稼働中)できることが、国立研究開発法人情報通信研究機構法(NICT法)において定められています。
最初の記事に取り上げられていた大規模なDDoS攻撃をしかけたマルウェア「Mirai」が感染するために行ったのはユーザー名とパスワードのチェックです。これは不正アクセスとされています。2番目の記事にはこれと同じ「特定アクセス」をNICTが行い、IoT機器の脆弱性調査を行うということが書かれています。発表当初はなぜ国がそのようなことをするのか?とさまざまなメディア、SNSなどで騒がれました。NOTICEの目的は製品の欠陥という概念をIoTに適用し、メーカーに責任を負わせるための調査であり、規制をつくるための下準備となっているようにも思えます。
今回の改正において、この時限措置が来年の「令和六年三月三十一日までの間(附則第八条(業務の特例))」とされていたものを削除し、特定アクセス行為に関する条項を十八条に独立させています。それとともに「業務の委託を受けた者に対する秘密保持義務の新設」と罰則規定の適用が大きな改正点と言えます。つまり、当初時限的に行われる施策であったものが、延長され、予算が継続するということですね。もしかしたら当初からこのような動きにする予定だったのではないかと勘繰りたくなります。はたまた、これを元にして更なる天下り先の創設でも考えているのでしょうか?
秘密保持に関する改正点は第2項の部分の追加です。ここは特に何も言うことはないので、こちらで簡単に紹介します。
(秘密保持義務)
第十二条 機構の役員若しくは職員又はこれらの職にあった者は、その職務上知ることができた秘密を漏らし、又は盗用してはならない。
2 前項の規定は、第十八条第六項第一号の規定により委託を受けて行う同条第一項第二号に掲げる業務に従事する者又は従事していついて準用する。
主な改正点
さて、NICTの行っている「NOTICE」についてですが、世界的にはどのような位置づけになっているでしょうか。当業務に関する研究会「サイバーセキュリティタスクフォース」(第43回)において、「現在ネットワーク上で動作している脆弱な IoT機器を特定していく試みは、世界でもそれほどない非常に特異な試み」(p.8)とされており、研究者などの間ではわが国独自の取組として評価されているようです。この議事録ではシンガポールなどはこの取組に関心を寄せているとも報告されています。
〇サイバーセキュリティタスクフォース(第43回)議事要旨 令和5年4月28日
https://www.soumu.go.jp/main_content/000889724.pdf
では、今回の改正点について具体的にみていきましょう。
マルウェア「Mirai」がIoT機器をのっとることができたのは、簡単に推測可能なユーザー名とパスワードを使ってログインできる機器を探し感染する、という単純な方法でした。NICTはこの方法を用いて IoT機器のセキュリティ状況を調査することが同法上、業務の特例として認められています。今回の改正では、この「特定アクセス」行為でセキュリティ対策の調査を行う業務を時限的なものから恒常的なものへと変更しています。具体的には、下記の引用の通り、附則第八条で「業務の特例」として規定していた「特定アクセス行為」を第十八条に独立させています。
第十八条 機構は、第十四条第一項第七号ロに掲げる業務を行う場合において、その一部として次に掲げる業務を行おうとするときは、総務大臣の認可を受けなければならない。
一 特定アクセス行為を行うこと。
二 通信履歴等の電磁的記録を作成すること。
三 特定アクセス行為に係る電気通信の送信先の電気通信設備が次のイ又はロに掲げる者の電気通信設備であるときは、当該イ又はロに定める者に対し、通信履歴等の電磁的記録を証拠として当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信先又は送信元とする送信型対電気通信設備サイバー攻撃のおそれへの対処を求める通知を行うこと。
イ 電気通信事業者 当該電気通信事業者
ロ 電気通信事業
2 機構は、前項の認可を受けようとするときは、総務省令で定めるところにより、同項各号に掲げる業務(以下この条において「特定アクセス行為等」という。)の実施に関する計画(以下この条において「特定アクセス行為等実施計画」という。)を作成し、総務大臣に提出しなければならない。
3 特定アクセス行為等実施計画には、次に掲げる事項を記載しなければならない。
一 特定アクセス行為等の実施期間
二 特定アクセス行為等の実施体制(第一項第二号に掲げる業務の全部又は一部を他の者に委託する場合にあっては、委託先の選定に係る基準及び手続を含む。)
三 特定アクセス行為に用いる設備
四 特定アクセス行為に用いる識別符号
五 特定アクセス行為により取得した情報の適正な取扱いを確保するための措置(第一項第二号に掲げる業務の全部又は一部を他の者に委託する場合にあっては、委託先における当該情報の適正な取扱いを確保するための措置を含む。)
六 その他総務省令で定める事項
現在の規定ではNOTICEというプロジェクトにより、月々報告書が作成され、同プロジェクトホームページ上で閲覧できるようになっています。しかし、この報告書の作成は不毛ではないでしょうか。オンラインで即時的に参照可能な形にすれば、より有効なデータベースとなると思われます。
今後のNOTICEのあり方について、研究会では次のような意見が出ています。
現在のNOTICEの課題として、注意喚起のためにどういう観測ができるかが前提になっていた。今回の分科会での検討を踏まえて、まず国内にどういった脅威があるのかをしっかり観測をすることが重要であろうということ、そして、その観測で明らかになった脅威を踏まえどういった対処を行うかということの、2つの機能をしっかり切り離して、今後NOTICEを運営すべきではないかと考えている。
ここを読んで少し違和感がありました。なぜかというと、このプロジェクト自体は2019年から始まっているのです。もうすでに4年目の運用になるわけです。見たところ、基礎的技術としては有用だと思いますが、突き詰めていっても過去のデータを積み上げるだけになり、新たな技術開発のスピードの方が速いのではないかと感じます。民間でも十分できることです。実際、NICTのさまざまな施策は民業圧迫が多いのです。そう考えると、この業務は早々に同機構からはずすして民間に委ねた方がいいものです。
その他の改正点
その他の改正点として、当機構の信用基金の清算というものがあります。
これは、すでに決定されていたことで、特定通信・放送開発事業実施円滑化法の廃止と関連があるものです。調査では具体的にどの程度の業務残があるのかわかりませんでしたが、2007年の資料で次のようなものがありましたので、ご紹介します。
ケーブルテレビ事業者の施設のデジタル化や、民間放送事業者による地上デジタル放送実施のための中継局整備に必要な資金の貸付に係る利子補給のニーズが高いことから、継続して実施する必要。
▼ 利子補給先の取扱い
以上のニーズを踏まえ、他の民間金融機関とのイコールフッティングを図った上で、株式会社日本政策投資銀行を活用する方向で検討。
(※ ケーブルテレビ事業者の約5割が累積損失を抱えていることに加え、ローカル民放112社のうち27社が赤字であり、デジタル化に向けての設備投資は重い負担。)
第41回 行政減量・効率化有識者会議
https://www.gyoukaku.go.jp/genryoukourituka/dai41/shiryou.html
情報通信研究機構 ヒアリング説明資料 平成19年10月31日
https://www.gyoukaku.go.jp/genryoukourituka/dai41/shiryou2.pdf
NICT法改正に反対する理由
今回の改正理由として「サイバーセキュリティ対策を十分に講じていない電気通信設備の管理者等に対して助言等を行うための規定を整備するとともに、サイバー攻撃手法の変化に応じた特定アクセス行為等の機動的な実施を可能とするための規定を整備」すると書かれています。ですがはっきり言ってしまえば、この施策はすでに5年間運用されておりすでに企業に周知されていると考えられます。これ以上行政側が助言などをする必要があるのでしょうか?
現在内閣府に「内閣サイバーセキュリティセンター(NISC)」が置かれています。サイバーセキュリティ基本法とともに各省庁との連携が図られています。また、NISCでは『サイバーセキュリティ関連法令Q&Aハンドブック』を発行して関連法令について紹介しています。この冊子には148に及ぶ各省庁、団体の法・省令、通達、ガイドライン、ハンドブックなどが列挙されています。2×3=6と同じです。横に省庁の軸をとり、縦の軸を政策と考えると、無限に縦も横も増えていくのです。まるで曼荼羅です。幾何級数的に規制の数が増えていく悪夢しか考えられません。これらの規制があるために民間の自由な研究開発活動が阻害されていると言ってもいいでしょう。
これらの多くは情報通信関連の規制です。規制の曼荼羅です。そしてすべての事業に予算が付き、各省庁において同じような事業が行われているという典型ではないでしょうか。DX花盛りの現在の霞が関の様子を鑑みるに「サイバー」だとか「セキュリティ」だとか書いておけば、予算がつくからでしょうか。この法律に関する国会の質疑を遡って確認しましたが、IT技術に追いついてこれない老害議員の質問はなんとも無理解の体を曝け出しています。
NICTの研究の一環として、さまざまなIT企業が連携して研究、調査などを行っています。しかし、結果として、多くの企業、人が国や自治体の役人にすべてを預けてしまい、無駄な予算が一向に減らず、逆に増税されることによって自分たちの収入を減らしていくことにつながっています。
そんな折、総務省がNICT法を改正する本当の理由がわかってきました。なんと天下り先確保のための法改正だったのです。内閣府 総務省の掲げるICTサイバーセキュリティ総合対策2023において「統合分析対策センター」(仮称)の設立の動きがあると言うのです。
つまり、NICT のこの施策を元に新組織を作るということですね。しかも官民一体と書いてあります。完全に天下り組織でしょう! 現在の我が国の施策はこのように民業圧迫を超えて、官民一体で国民の税金を貪るシロアリの軍隊として拡大する一方です。
IoTボットネットの全体像の可視化につなげていくための観測網である「統合分析対策センター(仮称)」を立ち上げる。
※「 ICTサイバーセキュリティ総合対策2023」(総務省2023年8月) p.86
2023年12月時点で総務省に確認したところ、同センターはプロジェクトチーム的な扱いなので天下り先にはならないという回答がありました。しかし今後業界関係者を巻き込んでいく以上、動向を注視していく必要があるでしょう。(2023年12月補足)
この改正はIoT機器の脆弱性を補っていくための施策としての位置付けではなく、新組織を立ち上げるための法的根拠を確実なものにし、逆に既得権益への利益誘導を増やし不要な業務を永続的に続けさせる動機づけとなるものであり、国民視点では絶対に改正してはいけないと考えます。
私たちは常にこの視点で官公庁の施策を監視し続けないと、ふと気づいたら天下りまみれ公金チューチュー国家JAPANで重税に喘ぐ奴隷になってしまうのです。
ですから、
税金下げろ、規制をなくせ!
浜田参議院議員に質問してほしい!
減税と規制緩和に賛成で、国会でも政府に鋭い質問をしてくださる政治家女子48党の浜田議員に、ぜひとも国会で質問して欲しいな〜と思うことを番外編として掲載しています。(^_^)
【質問1】
国立研究開発法人情報通信研究機構の信用基金業務について質問します。
同機構の改正前の業務として「特定通信・放送開発事業実施円滑化法」により民間通信、放送会社に対する債務の保証、資金の出資業務等があり、平成28年以降新規案件の採択を行っていないと承知しております。
〇平成21年総務省「地上デジタル放送への円滑な移行のための環境整備・支援」
https://www.soumu.go.jp/main_content/000054995.pdf
元来、当該業務については平成23年の完全地デジ移行へ向けての難視聴地域対策だったと伺っております。この事業を利用した民間事業者について、現在の経営状況を調査し、適切な投資効果が得られたかという検証を行いましたでしょうか。また、その検証が行われた場合、その資料が開示されていますでしょうか。
【質問2】
NOTICEのデータの有効性について質問します。
そもそもNICT(エヌアイシーティー)は「民間に期待できないハイリスクな研究によるイノベーション創出※」を主眼として発足した組織と認識している。NOTICEという取り組み自体は他国にない独創的な取組であると言われているようであるが、技術的には基本的な要素をもつ手法であると考える。また、その調査公表結果を見ても、調査結果を単独のPDFファイルとして公表しているに過ぎない。いわば過去データの積み上げです。
NICTの業務としてはより高度な研究に注力していくべきではないかと考えるが、総務大臣のお考えをお聞かせいただきたい。
※行政減量・効率化有識者会議ヒアリング説明資料 p.2
【質問3】
今後の情報通信技術開発における法人税の減税と規制の撤廃について質問します。
現在、NICTにおいて脆弱性管理スキャナプラットフォーム「NIRVANA改弐(ニルバーナ・カイニ)」、ウィルス攻撃・感染情報を全国自治体に提供している「DAEDALUS(ダイダロス)」などが開発されています。また「CURE(キュア)」(インシデント管理統合プラットフォーム)などへ発展を遂げ、サイバーセキュリティ分野の技術はすさまじい速さで進展しています。これらの技術にはNOTICEによる成果も組み込まれているという理解でよろしいのでしょうか。
〇参考資料:サイバーセキュリティ研究の最前線2022
そこで内閣総理大臣に質問いたします。わが国の情報通信技術は世界に遅れることのない集積を持っています。またASEANを始めとするアジア各国も日本によるリーダーシップに期待するところがあるとも言われております。さらにアジア地域のエンジニアには我が国の研究者よりも優秀な方がいるというような声を聴くこともあります。わが国の企業やアジアのIT企業が安心して国内に拠点を構えることができるような法人税減税や、大胆に規制を撤廃して民間企業が自由に研究活動を行えるような施策についてご検討されていることがあれば、お聞かせ願えますでしょうか。
最後までお読みくださり、どうもありがとうございます。 頂いたサポートは地方自立ラボの活動費としてありがたく使わせていただきます。