KDDI事故で懸念される日本のサイバー防衛

おおかたの日本国民は意識すらしていないかも知れないが、86時間にわたって回線が不通となったKDDIの事故は、日本国を屈服させるのに軍事力を行使するまでもない現実を白日のもとにさらした。

結論から言えば、今回のKDDIの事故はサイバー攻撃を疑い、国を挙げて対処する必要があった。

サイバー攻撃というと、日本ではサイバー空間で完結するものと思い込まれているが、攻撃する立場に立つとそうではないことがわかる。サイバー面から侵入できなければ、中継基地や専用回線など物理的（フィジカル）な側面を狙い、侵入や機能麻痺を試みる。そしてサイバーとフィジカルの両面にわたるソーシャルエンジニアリングにより、あたかも特殊詐欺のような手口で管理者パスワードをだまし取られると、攻撃側は検知されることなくコンピュータ・ネットワークに侵入し、支配することが可能となる。

このサイバー攻撃の対象となるのは重要インフラである。重要インフラとは、米国の定義で言えば電力、電話など18分野、日本でも10分野に代表され、国家社会の中枢神経や動脈にあたる。だから、電力、通信の個別の企業がサイバー攻撃でダウンしても、リアルタイムで他の企業がバックアップできるように国家レベルで設計されていなければならない。

同時に、この重要インフラは相互に依存している。攻撃する側は最も手薄な分野から入り込み、最終的には最も守りの堅い電力、通信を麻痺させようとする。コンピュータネットワークを伝い、攻撃者は瞬時に最終目標を攻略するだろう。そうなれば、消防、警察、救急はもとより、医療機関や軍事基地でさえ機能不全になる。だからこそ、米国では重要インフラ分野が政府と協力し、国家社会の機能が維持されるよう懸命の取り組みが行われている。

誠に心許ないことに、日本には官民を挙げて重要インフラを防護するという発想が存在していない。

そういう日本の立ち後れに対して、私は2003年の段階で警鐘を鳴らした。住基ネット（住民基本台帳ネットワークシステム）の本格稼働に先立ち、総務省の依頼で米国と日本のネットワーク・セキュリティの格差を調査したところ、20年遅れという現実を突きつけられたからだ。

提出した報告書の冒頭で、私は次の4点を提言した。

（1）国家的イニシアチブの中核として、IT版『危機管理庁』を設立すべきである。

（2）重要インフラのセクターごとにISAC（情報共有・分析センター　アイザック）を設置すべきである。

（3）サイバー攻撃で国家が機能麻痺に陥らぬようIT版『政府存続計画』を立案し、法制化すべきである。

（4）侵入テストなどについては、テロリストや犯罪者の立場で実戦さながらに実施できるよう、法律を整備すべきである。

当時、日本政府の取り組みは米政府と比べて圧倒的に手薄なことは明らかで、日本の担当組織は『内閣官房情報セキュリティ対策推進室』に2002年4月に設置された『緊急対応支援チーム』（NIRT､ナート）の9人だけという、実にお寒い状態だった。当時、米国では国土安全保障省に新設されたIAIP（情報分析・インフラ防護部局）を中心に1000人規模で取り組んでいた。

報告書を提出後、私は麻生太郎総務大臣､中川昭一経済産業大臣、谷垣禎一財務大臣らに直談判し、2004年4月、内閣情報セキュリティセンター（NISC､ニスク）が40人規模で設置された。しかし、総務省とならぶ所管官庁の経済産業省にしても、商務情報政策局、資源エネルギー庁、原子力安全・保安院が縦割り状態で、組織横断的な情報共有もなかった。なかでも原子力安全・保安院は、危機管理の角度からの取り組みが手薄で、この問題は2011年3月11日の福島第1原発事故にもつながっていった。

しかも、縦割りを引きずっているNISCは期待した機能を発揮したとは言えず、2015年に内閣サイバーセキュリティセンター（名前は同じNISC）が設置されるまで、形だけの存在と悪口を言われる状態が続いた。

中心となるべき政府がこの状態だから、重要インフラ産業の取り組みも遅れ、その多くは形式的な取り組みに終始した。

米国ではISAC（情報共有分析センター）が18分野に設置され、政府との協力だけでなく、重要インフラ産業同士の協力によってセキュリティの水準を高めているのに対して、日本には2002年に発足したテレコム（通信）ISACしかなかった。2009年、ようやく10分野が協力する形のセプターカウンシルが生まれるが、それが機能しているとはいいがたい状態が続いている。

重要インフラ産業のセキュリティは､私が関わったところでは通信の中心に位置するNTTだけが合格点で、ほかは電力にしても形式的な対策しか行われていなかった。日本のセキュリティ会社の侵入テストに合格したものが、米国の専門家によっていとも簡単に侵入される状態だった。

その通信分野も、今回のKDDIの事故で明らかだったように重要インフラ分野の機能をダウンさせないようにするための国家的な取り組みは不在だった。これを見れば、国家としての脆弱性をさらけ出した今回のKDDIの事故に対して、政府と経済団体が何をすべきかは明らかだ。防衛費増額の一角に、防衛力維持の基盤としての重要インフラ防護を位置づけ、一気に課題の解決を図るのも一案だろう。