大澤淳
内閣委員会
大澤淳の発言 (内閣委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○大澤参考人 おはようございます。笹川平和財団の大澤と申します。
本日は、参考人として意見を表明する機会をいただきましたこと、心より感謝申し上げます。
私は、本日、両案につき、法案に賛成の立場から意見を述べさせていただきたいと思いますけれども、何よりもまず、サイバー安全保障の政策実務及び研究に携わる者といたしまして、民間にセキュリティークリアランス制度を導入するこの重要経済安全保障の保護及び活用に関する法律案の策定に際しまして、類いまれなるリーダーシップを発揮された高市早苗大臣及び政府・与党の関係者の皆様の御尽力に心より敬意と御礼を申し上げる次第でございます。
最初に、両案に賛成である結論の理由を簡潔に申し上げます。
第一は、安全保障環境の変化でございます。体制間競争の中で経済安全保障が重要になってきておりますので、民間も含めて情報の保全が求められる時代になっていると考えております。
第二に、私が専門としておりますサイバー安全保障の実務において、民間、特に重要インフラ事業者へのサイバー攻撃に関する機微情報の共有が死活的に重要になってきております。外国からの情報提供もありますので、情報共有のために情報を保全するということが必要になってきております。
第三に、個人的な過去の経歴の経験から、我が国の安全保障を確保する上で、機微な情報を扱う資格と情報の取扱いに関する教育を通じた取扱者の自覚というものが重要というふうに考えているからであります。
まず、第一の安全保障環境の変化でございますが、今、我々は、かつての二次大戦後の米ソの冷戦期のような、安全保障で厳しく対立し、スパイ映画ではありませんけれども、情報を守り、奪い合う、そういう厳しい体制間競争の時代に逆戻りしつつあるということであります。
これは、一九八九年以降の冷戦後の経済重視のグローバリゼーションの様相が大きく転換をしたということでありまして、米国では、二〇二一年に研究機関のアトランティック・カウンシルから発表されたザ・ロンガー・テレグラムというペーパーの中で、中国の長期戦略に対抗するという、米中体制間競争の時代に入ったという認識が共有をされております。
昨年五月の広島のG7サミットでも、経済的強靱性と経済的安全保障のコミュニケが採択をされております。その中では、経済的強靱性及び経済安全保障をグローバルに確保することは、経済的な脆弱性の武器化に対する最善の防御であるというふうに述べられております。この首脳宣言は、既に日本を含む西側社会が民間の経済をも巻き込む米中体制間競争のただ中にあるということを示しております。
参考資料にございますように、米国ではDIMEという概念が使われておりますけれども、外交、安全保障の確保に当たって、外交、情報、そして軍事、経済、この四つ全てを動員する競争が行われるわけでありますけれども、民間企業でも、安全保障において重要な意味を持つ情報の取扱いに慎重さが求められるということになります。今後の国際関係の時代の潮流を考えますと、民間をカバーするセキュリティークリアランスは時代の要請というふうに言えると思います。
第二は、サイバー安全保障の実務におけるサイバー脅威対策等に関して、基幹インフラ事業者との情報共有の重要性でございます。
サイバー空間は、近年、従来のサイバー犯罪とか情報窃取の段階から、重要インフラへの攻撃や情報戦と呼ばれるような国民の認知領域への攻撃など、安全保障領域としての対処が求められるような、国家が支援する主体によるサイバー攻撃が増大をしております。
その中でも、ここ一年の技術的な特徴といたしまして、参考資料の図に描いてありますように、国家に支援されたサイバー攻撃の手法が、従来の一本釣りの標的型攻撃から、一網打尽のネットワーク貫通型攻撃へと大きく変化をしております。この新しい攻撃技術は、組織のネットワークを防御しているネットワーク機器の脆弱性、いわば裏口に当たるようなところから攻撃者が侵入する手法でございまして、同じネットワーク防御機器を使用している企業、政府機関、これらが同時多発的に狙われるという攻撃を観測をしております。
参考資料の三枚目に、ネットワーク貫通型サイバー攻撃の昨年六月以降の日本における現状をお示ししておりますが、例えば、昨年七月に名古屋港のコンテナターミナルのシステム攻撃がされた手口は、上から二番目の米国製機器の脆弱性が悪用されております。このような点からも、港湾運送事業者が特定社会基盤に指定されますことは非常に重要なことというふうに考えております。
重要インフラ以外にも、JAXAなどの先端技術が狙われました攻撃、医療機関へのランサムウェアによる攻撃、政府機関の情報を狙った攻撃が、いずれもこのネットワーク貫通型攻撃で被害を受けておりまして、詳細は申し上げませんが、いずれも国家が支援する主体によるサイバー攻撃の可能性が高いというふうに判断をしております。
また、ここ一年、攻撃側の攻撃実施の自動化が進んでいるというふうに考えてございます。脆弱性の公表から具体的に攻撃者がこれを悪用するまでの時間が、最短で二十四時間という短い期間で攻撃をされるという事例も観測をされております。そのため、ネットワーク貫通型サイバー攻撃から重要インフラを守るためには、脆弱性公表の前に情報共有を行って、このような裏口を防ぐという措置をリアルタイムで取ってもらうことが不可欠になってきております。
現行の体制では、参考資料に書いてございますように、民間事業者との間でセキュリティークリアランス制度がございませんので、政府機関で脆弱性の届出を受けましても、公表直前までこの脆弱性情報を民間事業者と共有することができないということが起きております。
また、被害対処とか不正アクセス届けの情報から、特定国の攻撃グループの犯行と思われるサイバー攻撃キャンペーンが見えてくることがございます。半導体産業や航空産業など特定の企業が狙われている、こういった分析の結果、サイバー脅威情報として我々、技術者とか政府機関が把握しているもの、また、外国からインテリジェンス情報として提供されるサイバー脅威情報、こういったものが、現状ではクリアランスがないために、標的となり得る企業に対してサイバー脅威の情報を共有することができずに、サイバー攻撃を事前に防ぐことができない、こういったことが起きてございます。
このため、一日も早く、民間にセキュリティークリアランス制度が導入されまして、サイバー脅威、攻撃に関する情報がスムーズに共有されることが、我が国のサイバー安全保障を確保する上で欠かせないというふうに思っております。
最後に、第三として、個人的な経験からも、民間において安全保障に関係する情報を取り扱う上で、機微な情報を取り扱う資格の認定と、情報の取扱いに関する教育を通じた取扱者としての自覚、これが重要だというふうに考えております。
私自身、民間のシンクタンクに現在おりますけれども、何回か、非常勤の国家公務員ですとか任期付の国家公務員として政策策定の実務に携わった経験がございます。直近では、二〇一四年の四月から一六年の十二月末まで、国家安全保障局に初代の民間任用局員として転籍出向しておりました。その際、資格認定を受けて、情報保全の教育を受けております。
近年は、安全保障政策を議論する政府の意思決定の過程に民間人が参入する機会というものが非常に増えております。私も実際に政策策定の現場で、素性の怪しい民間の方が現場に紛れ込むという事例も目にしておりますので、民間人の政策形成への参加の際に、安全保障の議論に際しては、セキュリティークリアランスによる資格認定が不可欠であるというふうに考えております。
大学卒業後から現在まで安全保障の研究をしておりますけれども、残念ながら、我が国の教育課程では情報を取り扱うという教育はなされませんので、どういうふうにして機微な情報を扱うかということに関しては全く教えられる機会がないということでありますけれども、どのように具体的に機微情報を取り扱うのか、そしてどのように注意をするのか、こういった教育を通じて情報を取り扱う個々人の自覚というものを持ってもらうことが、安全保障上重要な情報を今後我が国の中で守るためには大切であるというふうに考えております。
そのような点からも、民間へのセキュリティークリアランス制度の拡大を通じまして、自覚を持った方が民間企業にも増えていく、それによって社会全体の情報セキュリティーの感度が上がっていくということが強靱な社会をつくる上で重要であるというふうに考えております。
ありがとうございました。(拍手)
本日は、参考人として意見を表明する機会をいただきましたこと、心より感謝申し上げます。
私は、本日、両案につき、法案に賛成の立場から意見を述べさせていただきたいと思いますけれども、何よりもまず、サイバー安全保障の政策実務及び研究に携わる者といたしまして、民間にセキュリティークリアランス制度を導入するこの重要経済安全保障の保護及び活用に関する法律案の策定に際しまして、類いまれなるリーダーシップを発揮された高市早苗大臣及び政府・与党の関係者の皆様の御尽力に心より敬意と御礼を申し上げる次第でございます。
最初に、両案に賛成である結論の理由を簡潔に申し上げます。
第一は、安全保障環境の変化でございます。体制間競争の中で経済安全保障が重要になってきておりますので、民間も含めて情報の保全が求められる時代になっていると考えております。
第二に、私が専門としておりますサイバー安全保障の実務において、民間、特に重要インフラ事業者へのサイバー攻撃に関する機微情報の共有が死活的に重要になってきております。外国からの情報提供もありますので、情報共有のために情報を保全するということが必要になってきております。
第三に、個人的な過去の経歴の経験から、我が国の安全保障を確保する上で、機微な情報を扱う資格と情報の取扱いに関する教育を通じた取扱者の自覚というものが重要というふうに考えているからであります。
まず、第一の安全保障環境の変化でございますが、今、我々は、かつての二次大戦後の米ソの冷戦期のような、安全保障で厳しく対立し、スパイ映画ではありませんけれども、情報を守り、奪い合う、そういう厳しい体制間競争の時代に逆戻りしつつあるということであります。
これは、一九八九年以降の冷戦後の経済重視のグローバリゼーションの様相が大きく転換をしたということでありまして、米国では、二〇二一年に研究機関のアトランティック・カウンシルから発表されたザ・ロンガー・テレグラムというペーパーの中で、中国の長期戦略に対抗するという、米中体制間競争の時代に入ったという認識が共有をされております。
昨年五月の広島のG7サミットでも、経済的強靱性と経済的安全保障のコミュニケが採択をされております。その中では、経済的強靱性及び経済安全保障をグローバルに確保することは、経済的な脆弱性の武器化に対する最善の防御であるというふうに述べられております。この首脳宣言は、既に日本を含む西側社会が民間の経済をも巻き込む米中体制間競争のただ中にあるということを示しております。
参考資料にございますように、米国ではDIMEという概念が使われておりますけれども、外交、安全保障の確保に当たって、外交、情報、そして軍事、経済、この四つ全てを動員する競争が行われるわけでありますけれども、民間企業でも、安全保障において重要な意味を持つ情報の取扱いに慎重さが求められるということになります。今後の国際関係の時代の潮流を考えますと、民間をカバーするセキュリティークリアランスは時代の要請というふうに言えると思います。
第二は、サイバー安全保障の実務におけるサイバー脅威対策等に関して、基幹インフラ事業者との情報共有の重要性でございます。
サイバー空間は、近年、従来のサイバー犯罪とか情報窃取の段階から、重要インフラへの攻撃や情報戦と呼ばれるような国民の認知領域への攻撃など、安全保障領域としての対処が求められるような、国家が支援する主体によるサイバー攻撃が増大をしております。
その中でも、ここ一年の技術的な特徴といたしまして、参考資料の図に描いてありますように、国家に支援されたサイバー攻撃の手法が、従来の一本釣りの標的型攻撃から、一網打尽のネットワーク貫通型攻撃へと大きく変化をしております。この新しい攻撃技術は、組織のネットワークを防御しているネットワーク機器の脆弱性、いわば裏口に当たるようなところから攻撃者が侵入する手法でございまして、同じネットワーク防御機器を使用している企業、政府機関、これらが同時多発的に狙われるという攻撃を観測をしております。
参考資料の三枚目に、ネットワーク貫通型サイバー攻撃の昨年六月以降の日本における現状をお示ししておりますが、例えば、昨年七月に名古屋港のコンテナターミナルのシステム攻撃がされた手口は、上から二番目の米国製機器の脆弱性が悪用されております。このような点からも、港湾運送事業者が特定社会基盤に指定されますことは非常に重要なことというふうに考えております。
重要インフラ以外にも、JAXAなどの先端技術が狙われました攻撃、医療機関へのランサムウェアによる攻撃、政府機関の情報を狙った攻撃が、いずれもこのネットワーク貫通型攻撃で被害を受けておりまして、詳細は申し上げませんが、いずれも国家が支援する主体によるサイバー攻撃の可能性が高いというふうに判断をしております。
また、ここ一年、攻撃側の攻撃実施の自動化が進んでいるというふうに考えてございます。脆弱性の公表から具体的に攻撃者がこれを悪用するまでの時間が、最短で二十四時間という短い期間で攻撃をされるという事例も観測をされております。そのため、ネットワーク貫通型サイバー攻撃から重要インフラを守るためには、脆弱性公表の前に情報共有を行って、このような裏口を防ぐという措置をリアルタイムで取ってもらうことが不可欠になってきております。
現行の体制では、参考資料に書いてございますように、民間事業者との間でセキュリティークリアランス制度がございませんので、政府機関で脆弱性の届出を受けましても、公表直前までこの脆弱性情報を民間事業者と共有することができないということが起きております。
また、被害対処とか不正アクセス届けの情報から、特定国の攻撃グループの犯行と思われるサイバー攻撃キャンペーンが見えてくることがございます。半導体産業や航空産業など特定の企業が狙われている、こういった分析の結果、サイバー脅威情報として我々、技術者とか政府機関が把握しているもの、また、外国からインテリジェンス情報として提供されるサイバー脅威情報、こういったものが、現状ではクリアランスがないために、標的となり得る企業に対してサイバー脅威の情報を共有することができずに、サイバー攻撃を事前に防ぐことができない、こういったことが起きてございます。
このため、一日も早く、民間にセキュリティークリアランス制度が導入されまして、サイバー脅威、攻撃に関する情報がスムーズに共有されることが、我が国のサイバー安全保障を確保する上で欠かせないというふうに思っております。
最後に、第三として、個人的な経験からも、民間において安全保障に関係する情報を取り扱う上で、機微な情報を取り扱う資格の認定と、情報の取扱いに関する教育を通じた取扱者としての自覚、これが重要だというふうに考えております。
私自身、民間のシンクタンクに現在おりますけれども、何回か、非常勤の国家公務員ですとか任期付の国家公務員として政策策定の実務に携わった経験がございます。直近では、二〇一四年の四月から一六年の十二月末まで、国家安全保障局に初代の民間任用局員として転籍出向しておりました。その際、資格認定を受けて、情報保全の教育を受けております。
近年は、安全保障政策を議論する政府の意思決定の過程に民間人が参入する機会というものが非常に増えております。私も実際に政策策定の現場で、素性の怪しい民間の方が現場に紛れ込むという事例も目にしておりますので、民間人の政策形成への参加の際に、安全保障の議論に際しては、セキュリティークリアランスによる資格認定が不可欠であるというふうに考えております。
大学卒業後から現在まで安全保障の研究をしておりますけれども、残念ながら、我が国の教育課程では情報を取り扱うという教育はなされませんので、どういうふうにして機微な情報を扱うかということに関しては全く教えられる機会がないということでありますけれども、どのように具体的に機微情報を取り扱うのか、そしてどのように注意をするのか、こういった教育を通じて情報を取り扱う個々人の自覚というものを持ってもらうことが、安全保障上重要な情報を今後我が国の中で守るためには大切であるというふうに考えております。
そのような点からも、民間へのセキュリティークリアランス制度の拡大を通じまして、自覚を持った方が民間企業にも増えていく、それによって社会全体の情報セキュリティーの感度が上がっていくということが強靱な社会をつくる上で重要であるというふうに考えております。
ありがとうございました。(拍手)
発言情報
speech_id: 121304889X00620240328_008
発言者: 大澤淳
speaker_id: 34160
日付: 2024-03-28
院: 衆議院
会議名: 内閣委員会