6月24日の報道によれば、来年度、警察庁にサイバー攻撃に対応する「サイバー局」が誕生し、また捜査に当たる直轄のサイバー部隊も設置されるとのことである。こうして多方面にわたりサイバーセキュリティ関連の組織が充実してきたことはもちろん良いことだが、不安もある。
●攻撃対処の仕組みに欠陥
今回、警察のサイバーセキュリティ関連機構が改編され、組織も増えるということなのだが、そもそも、他省庁のそれも含めこれらの組織を国として有機的に連携させ統括するための仕組みについては大丈夫だろうか。一般的にはそれは内閣官房の一組織である内閣サイバーセキュリティセンター(NISC)の仕事ということになっているのだが、NISCは業務に制約も大きく、中央省庁等各組織に命令ができるような立場にない。
また、2014年にサイバーセキュリティ基本法が成立し、その19条(我が国の安全に重大な影響を及ぼすおそれのある事象への対応)には「役割分担の明確化を図るために必要な施策を講ずるものとする」とある。それから概ね8年、この間、法自体の見直しもあったが、果たして役割分担は明確化されたのだろうか。例えば、外国から正体不明のおそらくは政府機関(軍)とおぼしき組織が日本の重要インフラをサイバー攻撃してきた場合の役割分担はどうなっているのだろう。自衛隊の役割だろうか。しかし、現在の自衛隊には外国のサイバー攻撃から国民の生命財産を守るという任務はない。自衛隊のサイバー部隊は防衛省・自衛隊のシステムを守るのが仕事なのだ。
この点、米国ではどうだろうか。昔、私が自衛隊のサイバー戦部隊の隊長だった頃、米軍のサイバー部隊の将校に尋ねたことがある。「もし敵が米国に大規模なサイバー攻撃を仕掛けてきたら、どこの組織がどう対処するのか」。答えは「国土安全保障省が各省庁を束ねて一元的に対応する。その際、我々、軍もやるべきことを自らやる」であった。
すなわち日本には、米国と異なり、外国から大規模なサイバー攻撃を受けた際に、それに有効に対処する統一された強力な政府機関がなく、任務分担や政府組織同士の連携の実態も不明確なのである。
●人材育成へ教育者を増やせ
もう一つ。組織が増えているのに対し、そこに実際に配置される人材の供給は充分なのだろうか。官民で優秀な人材の取り合いが発生しているようでは困るのだが。
人材育成にあたり、「人材を育成する人材」を育てるべきだと思う。現在、優秀な方が確かにいて、あちこちでサイバー人材の育成を行っている。しかし、そこに教育に関する確立された方法論はあるのだろうか。おそらく、かなりの部分が属人的なものだ。サイバー人材不足が強調されてからだいぶ経つのだが、サイバー人材を組織的に育てるための教育者を増やすという観点が不足しているのかもしれない。
これらの問題を是正するために私たちはもっと知恵を出し、力を合わせていく必要があろう。(了)