ラックホールディングス社の伊東寛・サイバーセキュリティ研究所所長は2月10日、国会基本問題研究所で「サイバー防衛」について語り、同研究所の企画委員と意見交換した。伊東所長は、2007年に自衛隊を一等陸佐で退職するまで、部隊指揮官や幕僚等を歴任、陸上自衛隊初のサイバー戦部隊であるシステム防護隊の初代隊長を務めた。伊東所長の主な発言要旨は次の通り。
すでに始まっているサイバー戦
戦争を行う力を大きく捉えると三種類ある。直接的な軍事力とそれを支える経済力、情報力である。しかし、戦争の歴史をこの3つの力から改めて見てみると、第二次大戦までは主に軍事力がそのまま主たる力として振るわれた戦いだったが、冷戦時代は経済力を使った「見えない戦争」の時代であったと言えるのではないだろうか。だとすると、21世紀は情報力の戦いの時代である。ここでは、政治、経済、外交、軍事等の、あらゆる分野で、サイバー技術つまりコンピューターとネットワークに関連する技術を使った「見えない戦争」が戦われるのだ。つまり、すでにサイバー戦争は始まっている。
見えない敵
サイバー戦、或いは「見えない戦争」の特徴は、第一に敵がよくわからないということである。通常の戦争ではミサイルが発射されれば発射地点が分かるが、サイバー戦では技術的に成りすましが簡単にできるため真の敵が分かりにくい。
第二の特徴は、民間人が自分の意思で勝手に戦争に参加できることだ。ロシアとグルジアが戦争状態に入った際(2008年)、軍隊同士が闘っている裏で、双方の国の一般のハッカーが互いを攻撃しあっていた。このことは、戦略理論がこれから変わる可能性を示唆している。核戦略時代の理論では核の保有が通常戦争の抑止力にもなり得たが、サイバー戦略時代では逆になるだろう。つまり、対峙する軍隊同士には戦闘開始に関して抑制がかかっていたとしても、後にいる民間人ハッカーには同じような形では抑止力が働かない。攻撃しても自分が犯人とわかる可能性が低く、その身が安全だからだ。
現在では、サイバー技術の進歩に伴い前線後方からサイバー攻撃をしかけ相手側に物理的な被害を与えられる時代になって来ている。そうなると21世紀は危ない方向に向かう可能性がある。軍隊に抑制が利いていても民間人が勝手に戦争に参加し敵に被害を与える事で、熱い戦争の引き金を引く可能性があるのだ。
核兵器の開発には多額の費用がかかるが、サイバー兵器は逆で、貧乏でも図抜けた天才ハッカーが一人いれば10人、20人の普通のオペレーターを容易に出し抜いてしまえ、そのコストは限りなく低い。それこそ北朝鮮のような国が非常に有利になる。21世紀は、戦略理論や国際間のパワーバランスが変わる時代になるかもしれない。
ゴーストネット
2009年にチベット亡命政府のダライラマ法王事務所で情報漏れが発覚した。調査の結果分かったのはパソコンが特別なマルウエアに感染していたということである。このマルウェアは持ち主の分からないうちにコンピューターのマイクロフォンをスイッチオンにして勝手にインターネットに接続し、事務所内の音声を誰かに送っていた。このマルウェアはアジアなど103カ国の主に政府、外交機関のパソコンに感染していた。103カ国の言語が分かるのは個人ハッカーでは無理である。明らかに国家レベルでの行為であり、中国の組織的サイバースパイ事件と言われている。
この件に関連して、今、さらに危ないのは携帯のスマートフォンだ。スマートフォンはコンピューターと同じなので、感染したスマートフォンは持ち主が気づかぬうちに電話機能が働き、会議の内容などが筒抜けになってしまうということが考えられる。安心のためには電源を切っておくか会議室に持ち込まないようにしなければならない。
中国の網軍、40万人か
中国は90年代にすでにハッカー戦争について対応を初めており、人民解放軍のサイバー戦部隊、民兵、民間人のハッカーや政治的なサイバー上の色々な政府機関等、今では合わせて40万人ほどの規模になっているという観測もある。
そのほかの国の状況だが、ロシアも同様にサイバー戦の準備を進めているし、北朝鮮は攻撃を受けても失うものがないので、サイバー戦争で最も有利な国である。
英国にはサイバー担当大臣がいるし、イスラエルは世界で最も高いレベルの体制を作っている。アメリカはインターネットを開始した国だけに、サイバー戦争には最も力をいれている。大統領府には大統領直轄の調整官がいる。
日本のサイバー体制
日本もサイバーに対して取り組み始めたのはそれほど最近というわけでも無かったのだが、あまり有効な対策/成果等が無いまま、昨年の三菱重工業事件が大きく報道されることとなった。これを受けて各省庁は情報共有の仕組みを立ち上げた。しかし、総務省、経産省、警察、内閣府、防衛省とそれぞれが立ち上げ、ばらばらである。ここに有機的な対処組織があるかというとかなり疑問と言わざるを得ない。さらには、法律上の問題、つまり国内法などほとんど整備されていない状況にある。これは国際法もまだ整備されていないから仕方がない部分もあるものの、出遅れている感は否めない。
特に自衛隊法についてだが、検討すべきことは多い。そもそも普通の国の軍隊を律する法では軍は基本的に何をやってもいいけれど、これこれはやってはいけないという法体系になっている。日本の警察、自衛隊は逆で、法に明記されているやってもいいこと以外はやってはいけない。
例えば、日本が外国からサイバー攻撃を受けた場合、自衛隊のサイバー部隊がこれに対応するには、まず命令が必要である。それは防衛出動になる。出動するには武力事態として認定されなければいけない。しかし、残念ながら現在の国の認識では、サイバー攻撃は武力事態ではない。従って、今の陸上自衛隊のサイバー戦部隊の役目は陸自のシステムを守ることにしかない。そのため、予算、装備、人員等は最小限のものだ。急に要請がきても、今の部隊規模では日本を守るのはとうてい無理である。
なお、外国での議論であるが、例え手段がサイバーであっても物理的被害が発生するのであれば、それは武力攻撃としてみなして良いのではないか、という方向に傾きつつある。国内でこういう問題を議論している学者が一体何人いるだろうか。
そして、このような議論を進めると、専守防衛という戦後日本の国防の基本精神の問題に関わってくる。ただ、サイバー戦では専守防衛だけでは勝てないどころか負けてしまう。何故なら、攻撃側が圧倒的に有利で、防衛側は一回やられてしまうと、回復できないところまでシステムが落ちてしまうからだ。一方、攻撃側はなんら損害を受けず(ここが物理的な普通の攻撃と違うところだ)新たな攻撃を続行できる。
今、戦後の国防思想、ある意味歪んだ思想を覆す時が来ているのだと思う。
