『超入門 デジタルセキュリティ (講談社+α新書)』2022/1/21
中谷 昇 (著)
米中デジタル戦争下の経済安全保障の戦略とは……デジタルをめぐる国際的な経済活動・競争の中で、日本はどう戦っていくべきなのかを語っている本です。
「まえがき」には、次のように書いてありました。
「本書では、インターポールのサイバー総局で総局長を務めた私が、生活に密接につながるデジタル社会の実態と、国際情勢の中でのデータをめぐる主導権争い、そして日本がどうこの時代を生き抜いていくべきなのかについて、「超入門」的予備知識として、知ってもらうべくまとめた。」
この本は、「パスワードには記号を入れて12文字以上使え」というような細かいセキュリティの指南書ではありません。個人に役に立つセキュリティ技術を教えてくれるというよりは、中谷さんがインターポールでの経験を通して、国としての日本のデジタルセキュリティ全体に関して、特に安全保障的な観点から広く考察している本です。
個人的にIT技術としてのデジタルセキュリティの本は多数読んだことがありましたが、このような国家的安全保障的な観点からのデジタルセキュリティの本を読んだことがなかったので、とても参考になりました。そのごく一部を以下に紹介させていただきます。
「第一章 デジタルセキュリティ 何が問題なのか」からは……
「日本ではデジタル庁が二〇二一年九月にスタートした。
デジタル庁は、各地に暮らす日本人の情報を管理してきた自治体のデータの形式を共通化・標準化して活用できるようにする。そこでデータを保存しておくサーバーが必要になるのだが、デジタル庁は二〇二一年十月二六日、米アマゾン・ウェブ・サービス「Amazon Web Service(AWS)」と、米グーグルの「Google Cloud Platform(GCP)」を採択すると発表した。」
「(経済安全保障上の問題)データは「二一世紀の石油」と言われるように、データが“戦略物資”になったデジタル社会においては、ユーザー情報をユーザーがいる国に保管するのは、経済安全保障の観点からも重要なことだ。(中略)
これはデータをどこに保管し、どこからアクセスするかという問題でもある。たとえば日本人のデータが保管されている国は、二〇一一年にAPECが合意したデータの扱いをきちんと管理できているCBPR(Cross Border Privacy Rules=越境プライバシールールシステム)認証の枠組みに入っていれば、外形標準ではひとまず合格と言えるだろう。」
「行政のデジタル化の進展に伴い、新たに使用する情報通信機器やソフトウェアなどがどんどん導入されることになる。これが新たな脆弱性になる。
そこで重要になるのは、「デジタルトランスフォーメーション」と「サイバーセキュリティ」の同時推進である。この点は、二一年九月に発表された政府の「サイバーセキュリティ戦略」では、「DX wit Cybersecurity」と謳っているので、これをいかに実践するかがポイントとなるだろう。」
*
そして「第二章 世界のデジタルデータ勢力図と日本」からは……
「米政府などによって「要注意」と見なされた人物は、情報収集・分析の対象になる。そうすることで当該人物が国の安全保障に有害なのか無害なのかを判定する。情報機関から見れば、そういう人物の中に「使える人物」がいないかを判断することもある。」
「アメリカのやり方で興味深いと思ったのは、ターゲットの人物が特定の民間企業の作った製品を購入するためのオーダーを傍受することによって、宅配で配送される途中にその製品を押収し、開封して製品を取り出し、そこにマルウェアなどを埋め込んで、また元通りに梱包して相手に配送するということをやっていた。(中略)
中国の場合、配送過程ではなく、製造過程でバックドアが埋め込まれるという大きな違いがあるようだ。」
「国際機関を自国の味方につけることの効果は非常に大きい。
効果の一つは、国にとっての権威付けだ。国際機関がサポートしてくれるというのは、国際的な交渉などにおいても有効である。
また、国としては表立って言いにくいことを、国際機関を通じて主張することもできる。当事者の二国間で言い合うと、角が立つこともあるし、下手をしたら国際摩擦に発展することだってあるが、国際機関をクッションにすることで、新たなルールを提案するなどして、他の国を巻き込んで問題を解決していくこともできる。」
*
「第三章 日本に迫るサイバー危機 デジタルセキュリティの現在地」からは……
「自衛隊のデジタルセキュリティを担うのは、サイバー防衛隊。彼らは法律上、自衛隊・防衛省を海外のサイバー攻撃から守ることを任務にしており、個別のサイバー攻撃から国民を直接的に守ることは想定していない。しかし、自衛隊の本質的な役割は、自衛隊・防衛省を守ることではなく広く日本国民や日本のインフラを守ることであり、それは専守防衛の理念下で十分可能なはずだ。最終的には反撃能力や抑制的な攻撃能力を持つべきだと筆者個人としては考えている。だがそれよりもいまは、サイバー空間で悪意のある「パケット(データ)」のミサイルが日本をめがけて毎秒ビシビシと飛んできている現状に対処するために、まずは日本のサイバー防衛システムの構築を進めていかなければならない。」
「自衛隊が任務として、重要インフラがサイバー攻撃で攻められないよう情報収集や分析、評価、そして必要に応じて事案対応を行う必要があると考えている。自衛隊が直接的に重要インフラ事業者などとも情報共有をしなければならない。」
「日本の同盟国であるアメリカでは、米軍はNSA(国家安全保障局)の監視活動や、重要インフラ事業者からもデータや情報を集めて分析して、国外からのサイバー攻撃に備えているのである。
そこは軍が出てこなければいけない話なのだ。」
*
「第四章 私と「デジタルセキュリティ」」からは……
「(前略)基本的に国家が主体となっている場合は、刑事司法の協力機関であるインターポールでは行為自体が犯罪であっても扱わない。
こうした事件は、「外交」か「インテリジェンス」の方面で解決してもらうしかない、ということになる。刑事司法では国を犯人として捕まえるわけにはいかないからだ。」
そして「第五章 ハイテクニカル・デジタルデータ覇権」からは……
「国家安全保障上必要がある場合は、他国に対して情報収集活動を行うことは、主権国家として当然のことである。もちろん世界的な人権団体などがそうした行為を問題視すべく注視しており、それはチェック機能として必要なことではあるが、ただそれが国家に対する抑止になっているとはいいがたい現実が続いてきた。
現代のデジタルデータについても、「安全保障のため」という名目の下で、相当な量のデータが通信傍受の対象となっているのが実態である。
そもそも、国際的には他国に対するスパイ行為を禁止する条約は存在しない。」
「絶対に必要なのは、機微なデータを保管している機器やソフトが、安全でなければいけない、ということだ。
だからこそ、同盟国家間をつなぐネットワークでは、価格ではなく、安全保障上、信頼できないものは排除しましょう、ということなのだ。そうした意識を、日本でも徹底して国内で共有できるようになれば理想的だろう。」
*
経済安保の情報保全には、次のような三つのポイントがあるそうです。
1)資本
2)技術の提供
3)人
……資本は「株主になって内部情報にアクセスし必要な情報を収集」するのに必要で、技術の提供は「ハードまたはソフトでバックドアを埋め込む」、人は「セキュリティクリアランス制度で管理」などのことが書いてあって……この三つは、とても「現実的で合理的なポイント」だったんですね!
日本の社会全体のデジタルセキュリティについて論じている『超入門 デジタルセキュリティ』です。特に「サイバー防衛」は、今後の日本社会にとって、とても重要なのではないかと思います。本書では、「そこは軍が出てこなければいけない話」として自衛隊の役割に期待しているようですが、自衛隊は予算の縛りが大きいので、「サイバー防衛」は別機関で行うほうが機動的・効率的に動けるのではないかと思います。重要なインフラなどの防衛は死活問題なので、国家の安全保障の重点項目に入れるべきだと強く感じました。
この他にも参考になる情報がたくさんあっただけでなく、いろいろ考えさせられた本でした(もちろんインターポールの話もあります)。みなさんも、ぜひ読んでみてください。お勧めです☆
* * *
なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>