持永大
内閣委員会
持永大の発言 (内閣委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○参考人(持永大君) 芝浦工業大学の持永です。どうぞよろしくお願いします。
本日は貴重な機会をいただき、ありがとうございます。
私は、サイバーセキュリティーの技術と戦略について研究をしています。技術に関しては、通信ネットワークのセキュリティーであったり、サイバー攻撃の手法などを研究しています。戦略に関しては、他国のサイバー戦略や関連する政策を分析しています。
現在、私は大学に籍を置いて研究活動をしていますけれども、元々は実務家としてのキャリアの方が長くて、JPCERTコーディネーションセンターというところでサイバー攻撃の分析やインシデントの対応、調整、あとは国際連携に当たったほか、三菱総合研究所に行ってサイバーセキュリティーや外交・安全保障に関する政策立案のお手伝いをしてきました。
本日、私は、能動的サイバー防御が日本が欧米主要国と同等以上の対処能力を備え、被害の顕在化を防ぐために必要な能力であることを指摘いたします。その能力必要性の背景として、サイバー攻撃の洗練化に併せ、防御側の対処が多様化しつつも限界を迎えていることを指摘します。さらに、これらを踏まえ、課題として、官民国際連携の充実、体系的な対処と監査の円滑化及び科学技術・人材への投資を指摘します。
近年のサイバー攻撃は、攻撃手法の洗練化に加えて、規模の大きさやしつこさが特徴的です。これらの攻撃は、ある期間内に特定の組織や分野を標的とし、特定の手法やインフラを用いて繰り返し行われる攻撃活動です。専門家は、繰り返して行われる一連の攻撃活動を攻撃キャンペーンと呼んでいます。この攻撃キャンペーンはその期間が長く、潜在的な被害規模がとても大きいです。
二〇二四年一月にアメリカ政府が公表した中華人民共和国を背景とするボルト・タイフーンと呼ばれる組織による攻撃では、攻撃者は少なくとも五年間にわたって攻撃を継続しており、防御側が兆候をつかんで対処するまでに二年半を要しました。この攻撃への対処として、防御側は、通信情報を活用した調査や政府、民間による脆弱性対応の呼びかけ、あとは攻撃手法の公開といった様々な措置を行った上で、最後の手段として、我が国でいうアクセス・無害化の措置を行いました。
攻撃キャンペーンの洗練化や長期化に伴い、防御側は複数の手段を用いて対処を多様化しています。日本においても、例えば、セキュリティー製品の導入、規則の整備、教育といった各自や各社で行うような対応から、民間組織によるソフトウェア更新の呼びかけ、注意喚起、組織間での情報共有等があります。また、被害を受けている機器を運用している方に直接連絡をして被害の拡大を抑えようとしています。
一方で、政府や民間組織の間、専門組織からは、普及啓発、攻撃手法の公開、攻撃者を名指しして非難するパブリックアトリビューション又は経済制裁といった様々な手段を組み合わせて対処しています。
しかし、現状の対処にはコストと網羅性の限界があります。防御側は全方位の守りを固めることは高コストであり、網羅的かつ完璧な対策は難しいです。また、これらの限界の要因の一つは、悪用されているコンピューターの修復を管理者の自主的な行動に委ねている点にあります。この限界は、攻撃者が放置されているコンピューターを大規模な攻撃に悪用できる状況を生んでいます。
専門組織が呼びかけている内容には、例えば皆さんお持ちのスマートフォンのソフトを最新のものにしてくださいといったように、追加の費用が不要で手順も簡単なものもあります。しかし、サイバー攻撃に関する通知を受け取った組織がその機器をそもそも認識していなかった、又はサポート期限を過ぎた機器を使い続けた、又は追加のセキュリティー対策を取らなかったという現状が続いています。この状況が続けば、日本にあるコンピューターが攻撃者に悪用され、国内の基幹インフラ等がサイバー攻撃を受けるだけでなく、悪用されたコンピューターを経由して他国にもその被害を拡大させることにもなります。
国連の政府専門家会合の報告書は、国家がその国内で情報通信技術を悪用されている状況を許してはならないという国際的な規範を示しています。能動的サイバー防御は、この国際的な規範に応える一つの手段として位置付けることができます。そのため、サイバー攻撃の抑制に資する対処は、日本が国際社会において責任ある立場を維持するためにも重要な政策対応であると言えます。
よって、本法案の通信情報の活用はサイバー攻撃の兆候を捉えるのに有効であり、アクセス・無害化は、脆弱なコンピューターを攻撃者が悪用できないように政府が管理者に代わって対策することを可能とします。これによって、従来よりも高いセキュリティーを達成することが可能となり、攻撃キャンペーンを終了に追い込むことができます。
次に、課題として、官民国際連携の充実についてお話しします。
我が国のサイバー安全保障は、国家安全保障局や内閣官房の新組織を始め、官民の多岐にわたる関係主体によって確保されます。しかし、各省庁は対処手段についての共通理解を持っていない状況です。例えば、官民の誰が、いつ、どんな対処をするのかなどの共通認識を持っていません。今後は、共通認識を醸成した上で政府と民間組織の情報を統合し、官民の組織が同じ情報を見て連携し、各自が役割に応じて対応することが重要です。
また、政府の情報共有の在り方を再検討し、効果を高めるべきです。
現在、我が国では、官民それぞれが独自にインシデント情報を収集、共有しています。JPCERTコーディネーションセンターは、基幹インフラ事業者を含む約千二百六十の組織に対して毎日情報提供を行い、二〇二四年には四万六千件のインシデント報告を受け付けています。
一方、内閣サイバーセキュリティセンター、NISCで共有された情報は年間四百件程度です。この差は、JPCERTコーディネーションセンターが中立性と技術的専門性を併せ持つ独立組織として長年にわたり国内外の信頼を蓄積してきたことや支援を提供してきたことに起因すると考えられます。
そのため、今後は、政府が新たに独自の仕組みを構築するのではなく、既存の信頼ある情報流通チャネルを活用し、官民が相互にフィードバックし合える体制を整備することが重要です。加えて、民間事業者に政府へインシデント報告を義務付ける場合でも、それが一方通行とならないよう、政府側も迅速かつ有益な情報を継続的に還元すべきです。
国際連携について、サイバー攻撃への対処は国境をまたぐことが必要な場合が多く、諸外国との連携が欠かせません。そのため、国家安全保障会議は、国内の対処を開始する時点であっても、国際連携を前提とした対処方針を定める必要があります。
また、海外から支援を受け入れる態勢も必要です。なぜなら、海外から情報提供を受けて共同対処をするといったことが想定できるからです。そのため、積極的に同盟国、同志国と情報交換を行うだけではなく、運用面でも意思疎通を密にし、お互いの能力や組織文化に対する理解を深めることが重要です。
例えば、多国間で政治判断を含む実践的な演習を実施することも重要です。防衛省・自衛隊がまさに本日参加しているNATOサイバー防衛協力センターのロックド・シールズは、政府と民間だけではなく、米国、英国、オーストラリアなど諸外国と連携して演習に参加することでお互いの能力を確かめる機会となっています。この演習では、官民が連携して通信ネットワークを守るだけではなく、民間の送電網や水処理施設を共同で守ります。さらに、技術的な対処だけでなく、メディア対応や国際法に関連した分析を行うなど、領域横断的であることに加えて、全てを英語で行う演習です。
こういった演習は、領域横断的な対処能力に加えて、平素から日本が官民問わず諸外国と連携する能力を試す良い機会となります。今後、日本が主導して政治判断を含む演習をアジア太平洋地域で実施するなど、能力や判断プロセスを実践できる機会を増やしていくことが必要だと考えます。
次に、体系的な対処と監査の円滑化について申し上げます。
適切なタイミングでサイバー攻撃対処をするために、体系的な対処と監査の円滑化が必要です。政府が実施する注意喚起やアクセス・無害化を含む措置の実施は、慎重な検討が必要な一方で、対処の有効性を高めるようなタイミングで実施することが重要です。これまで政府が行ってきた一部の対処は、タイミングを外しており有効でないものがありました。そのため、体系的な対処として、通信情報の活用によるサイバー攻撃の兆候の認知から、対処の目標や計画の策定、措置の実施判断、効果測定、実施後の評価といった手順を確立することが必要です。
体系的な対処の確立においては、監査を円滑化する工夫も必要です。例えば、各手順において検討、承認に係る過程をシステム化して、迅速かつ確実な措置を目指すべきです。その際、各手順の根拠や責任者を記録に残すなどして、政府が各段階における説明責任を果たせるようなものとするとよいと思います。
最後に、科学技術・人材への投資について申し上げます。
我が国のサイバー人材の不足を解消するのは、科学技術・人材への投資です。政府による周知のおかげで既に多くの行政官や技術者がサイバーセキュリティーの社会的な意義ややりがいを認知しています。そのため、意義、やりがいを訴える段階から、資金を投じて基盤を強化する段階へ移行する必要があります。
我が国の国内総生産は世界第四位の規模であり、経済基盤や安全保障の確保という観点から見れば、我が国のサイバーセキュリティー予算は少ないです。令和六年度の政府のサイバーセキュリティー予算は二千百二十八億円でした。今後、政府や民間企業に高度な人材を供給できるよう、大学等での教育を始めとする科学技術への投資の絶対額を増やし、政府による予算配分の方法を変えることが必要です。
科学技術への投資と予算配分について言えば、研究テーマや配分機関の重複を許し、多数の研究者に研究費を配る方式を採用すべきです。サイバーセキュリティーは領域横断的な分野であり、従来の資源、予算を特定の分野やプロジェクトに投入する選択と集中の方針を転換するときです。高い能力を目指すならば、広い裾野が必要な分野です。現状では、軟弱な地盤の上に高層ビルを建てようとしている状況と言えます。
また、サイバーセキュリティーによる不備による経済的損失よりも、研究の重複や失敗を許容した場合の損失の方が少ないと考えます。最近の事例では、大学がランサムウェアによる被害を受けたことや証券会社のセキュリティーの不備が九百億円規模の不正取引につながったことがあります。
そして、人材への投資について、決め手となる給与水準が低いことが課題です。これは、人材への投資として早急に対処しなければいけません。
現在、エンジニアをしている方が教育機関や行政機関などの公の仕事に興味があったとしても、給与の低さから敬遠されています。行政官について言えば、能動的サイバー防御には技術、法律、国際関係など幅広い知見に基づく慎重な意思決定が必要であることを踏まえ、これに関わる領域横断的な能力を有する行政官が必要です。そういった能力を有する方の給与を引き上げるべきだと言えます。その責任や専門知識を踏まえれば、これは民間並みではなく、民間以上の水準で確保する必要があります。
民間から人材を登用する場合、政府は、彼らがこれまでに獲得してきた経験、資格及び能力に費やしたリソースに見合う給与を用意して迎え入れるべきです。特にサイバーセキュリティーは、情報通信技術や国際法など、様々な分野と隣接、重複しており、必然的に人材の獲得競争率が上昇します。また、国におけるサイバーセキュリティーは、その性質上、誰にでも仕事を任せられるものではなく、例えば海外の人材を無条件で採用をするのが難しい状況を考えれば、こちらも民間以上の水準を確保する必要があります。
最後に、これらの人材が政府内でサイバー分野を中心としてキャリアを積み重ねることができるようにする必要があります。現在、各省庁では、サイバー分野を中心とするキャリアパスが限られているため、幹部職員であってもサイバー分野に関する知見に濃淡があります。そのため、サイバー分野を中心としつつ、領域横断的な専門的知見を有する行政官、技官を養成することを念頭に、職員の異動時にサイバー分野に関連する異動先に配置するなど、サイバー畑を歩めるようなキャリアパスが必要です。
以上です。
本日は貴重な機会をいただき、ありがとうございます。
私は、サイバーセキュリティーの技術と戦略について研究をしています。技術に関しては、通信ネットワークのセキュリティーであったり、サイバー攻撃の手法などを研究しています。戦略に関しては、他国のサイバー戦略や関連する政策を分析しています。
現在、私は大学に籍を置いて研究活動をしていますけれども、元々は実務家としてのキャリアの方が長くて、JPCERTコーディネーションセンターというところでサイバー攻撃の分析やインシデントの対応、調整、あとは国際連携に当たったほか、三菱総合研究所に行ってサイバーセキュリティーや外交・安全保障に関する政策立案のお手伝いをしてきました。
本日、私は、能動的サイバー防御が日本が欧米主要国と同等以上の対処能力を備え、被害の顕在化を防ぐために必要な能力であることを指摘いたします。その能力必要性の背景として、サイバー攻撃の洗練化に併せ、防御側の対処が多様化しつつも限界を迎えていることを指摘します。さらに、これらを踏まえ、課題として、官民国際連携の充実、体系的な対処と監査の円滑化及び科学技術・人材への投資を指摘します。
近年のサイバー攻撃は、攻撃手法の洗練化に加えて、規模の大きさやしつこさが特徴的です。これらの攻撃は、ある期間内に特定の組織や分野を標的とし、特定の手法やインフラを用いて繰り返し行われる攻撃活動です。専門家は、繰り返して行われる一連の攻撃活動を攻撃キャンペーンと呼んでいます。この攻撃キャンペーンはその期間が長く、潜在的な被害規模がとても大きいです。
二〇二四年一月にアメリカ政府が公表した中華人民共和国を背景とするボルト・タイフーンと呼ばれる組織による攻撃では、攻撃者は少なくとも五年間にわたって攻撃を継続しており、防御側が兆候をつかんで対処するまでに二年半を要しました。この攻撃への対処として、防御側は、通信情報を活用した調査や政府、民間による脆弱性対応の呼びかけ、あとは攻撃手法の公開といった様々な措置を行った上で、最後の手段として、我が国でいうアクセス・無害化の措置を行いました。
攻撃キャンペーンの洗練化や長期化に伴い、防御側は複数の手段を用いて対処を多様化しています。日本においても、例えば、セキュリティー製品の導入、規則の整備、教育といった各自や各社で行うような対応から、民間組織によるソフトウェア更新の呼びかけ、注意喚起、組織間での情報共有等があります。また、被害を受けている機器を運用している方に直接連絡をして被害の拡大を抑えようとしています。
一方で、政府や民間組織の間、専門組織からは、普及啓発、攻撃手法の公開、攻撃者を名指しして非難するパブリックアトリビューション又は経済制裁といった様々な手段を組み合わせて対処しています。
しかし、現状の対処にはコストと網羅性の限界があります。防御側は全方位の守りを固めることは高コストであり、網羅的かつ完璧な対策は難しいです。また、これらの限界の要因の一つは、悪用されているコンピューターの修復を管理者の自主的な行動に委ねている点にあります。この限界は、攻撃者が放置されているコンピューターを大規模な攻撃に悪用できる状況を生んでいます。
専門組織が呼びかけている内容には、例えば皆さんお持ちのスマートフォンのソフトを最新のものにしてくださいといったように、追加の費用が不要で手順も簡単なものもあります。しかし、サイバー攻撃に関する通知を受け取った組織がその機器をそもそも認識していなかった、又はサポート期限を過ぎた機器を使い続けた、又は追加のセキュリティー対策を取らなかったという現状が続いています。この状況が続けば、日本にあるコンピューターが攻撃者に悪用され、国内の基幹インフラ等がサイバー攻撃を受けるだけでなく、悪用されたコンピューターを経由して他国にもその被害を拡大させることにもなります。
国連の政府専門家会合の報告書は、国家がその国内で情報通信技術を悪用されている状況を許してはならないという国際的な規範を示しています。能動的サイバー防御は、この国際的な規範に応える一つの手段として位置付けることができます。そのため、サイバー攻撃の抑制に資する対処は、日本が国際社会において責任ある立場を維持するためにも重要な政策対応であると言えます。
よって、本法案の通信情報の活用はサイバー攻撃の兆候を捉えるのに有効であり、アクセス・無害化は、脆弱なコンピューターを攻撃者が悪用できないように政府が管理者に代わって対策することを可能とします。これによって、従来よりも高いセキュリティーを達成することが可能となり、攻撃キャンペーンを終了に追い込むことができます。
次に、課題として、官民国際連携の充実についてお話しします。
我が国のサイバー安全保障は、国家安全保障局や内閣官房の新組織を始め、官民の多岐にわたる関係主体によって確保されます。しかし、各省庁は対処手段についての共通理解を持っていない状況です。例えば、官民の誰が、いつ、どんな対処をするのかなどの共通認識を持っていません。今後は、共通認識を醸成した上で政府と民間組織の情報を統合し、官民の組織が同じ情報を見て連携し、各自が役割に応じて対応することが重要です。
また、政府の情報共有の在り方を再検討し、効果を高めるべきです。
現在、我が国では、官民それぞれが独自にインシデント情報を収集、共有しています。JPCERTコーディネーションセンターは、基幹インフラ事業者を含む約千二百六十の組織に対して毎日情報提供を行い、二〇二四年には四万六千件のインシデント報告を受け付けています。
一方、内閣サイバーセキュリティセンター、NISCで共有された情報は年間四百件程度です。この差は、JPCERTコーディネーションセンターが中立性と技術的専門性を併せ持つ独立組織として長年にわたり国内外の信頼を蓄積してきたことや支援を提供してきたことに起因すると考えられます。
そのため、今後は、政府が新たに独自の仕組みを構築するのではなく、既存の信頼ある情報流通チャネルを活用し、官民が相互にフィードバックし合える体制を整備することが重要です。加えて、民間事業者に政府へインシデント報告を義務付ける場合でも、それが一方通行とならないよう、政府側も迅速かつ有益な情報を継続的に還元すべきです。
国際連携について、サイバー攻撃への対処は国境をまたぐことが必要な場合が多く、諸外国との連携が欠かせません。そのため、国家安全保障会議は、国内の対処を開始する時点であっても、国際連携を前提とした対処方針を定める必要があります。
また、海外から支援を受け入れる態勢も必要です。なぜなら、海外から情報提供を受けて共同対処をするといったことが想定できるからです。そのため、積極的に同盟国、同志国と情報交換を行うだけではなく、運用面でも意思疎通を密にし、お互いの能力や組織文化に対する理解を深めることが重要です。
例えば、多国間で政治判断を含む実践的な演習を実施することも重要です。防衛省・自衛隊がまさに本日参加しているNATOサイバー防衛協力センターのロックド・シールズは、政府と民間だけではなく、米国、英国、オーストラリアなど諸外国と連携して演習に参加することでお互いの能力を確かめる機会となっています。この演習では、官民が連携して通信ネットワークを守るだけではなく、民間の送電網や水処理施設を共同で守ります。さらに、技術的な対処だけでなく、メディア対応や国際法に関連した分析を行うなど、領域横断的であることに加えて、全てを英語で行う演習です。
こういった演習は、領域横断的な対処能力に加えて、平素から日本が官民問わず諸外国と連携する能力を試す良い機会となります。今後、日本が主導して政治判断を含む演習をアジア太平洋地域で実施するなど、能力や判断プロセスを実践できる機会を増やしていくことが必要だと考えます。
次に、体系的な対処と監査の円滑化について申し上げます。
適切なタイミングでサイバー攻撃対処をするために、体系的な対処と監査の円滑化が必要です。政府が実施する注意喚起やアクセス・無害化を含む措置の実施は、慎重な検討が必要な一方で、対処の有効性を高めるようなタイミングで実施することが重要です。これまで政府が行ってきた一部の対処は、タイミングを外しており有効でないものがありました。そのため、体系的な対処として、通信情報の活用によるサイバー攻撃の兆候の認知から、対処の目標や計画の策定、措置の実施判断、効果測定、実施後の評価といった手順を確立することが必要です。
体系的な対処の確立においては、監査を円滑化する工夫も必要です。例えば、各手順において検討、承認に係る過程をシステム化して、迅速かつ確実な措置を目指すべきです。その際、各手順の根拠や責任者を記録に残すなどして、政府が各段階における説明責任を果たせるようなものとするとよいと思います。
最後に、科学技術・人材への投資について申し上げます。
我が国のサイバー人材の不足を解消するのは、科学技術・人材への投資です。政府による周知のおかげで既に多くの行政官や技術者がサイバーセキュリティーの社会的な意義ややりがいを認知しています。そのため、意義、やりがいを訴える段階から、資金を投じて基盤を強化する段階へ移行する必要があります。
我が国の国内総生産は世界第四位の規模であり、経済基盤や安全保障の確保という観点から見れば、我が国のサイバーセキュリティー予算は少ないです。令和六年度の政府のサイバーセキュリティー予算は二千百二十八億円でした。今後、政府や民間企業に高度な人材を供給できるよう、大学等での教育を始めとする科学技術への投資の絶対額を増やし、政府による予算配分の方法を変えることが必要です。
科学技術への投資と予算配分について言えば、研究テーマや配分機関の重複を許し、多数の研究者に研究費を配る方式を採用すべきです。サイバーセキュリティーは領域横断的な分野であり、従来の資源、予算を特定の分野やプロジェクトに投入する選択と集中の方針を転換するときです。高い能力を目指すならば、広い裾野が必要な分野です。現状では、軟弱な地盤の上に高層ビルを建てようとしている状況と言えます。
また、サイバーセキュリティーによる不備による経済的損失よりも、研究の重複や失敗を許容した場合の損失の方が少ないと考えます。最近の事例では、大学がランサムウェアによる被害を受けたことや証券会社のセキュリティーの不備が九百億円規模の不正取引につながったことがあります。
そして、人材への投資について、決め手となる給与水準が低いことが課題です。これは、人材への投資として早急に対処しなければいけません。
現在、エンジニアをしている方が教育機関や行政機関などの公の仕事に興味があったとしても、給与の低さから敬遠されています。行政官について言えば、能動的サイバー防御には技術、法律、国際関係など幅広い知見に基づく慎重な意思決定が必要であることを踏まえ、これに関わる領域横断的な能力を有する行政官が必要です。そういった能力を有する方の給与を引き上げるべきだと言えます。その責任や専門知識を踏まえれば、これは民間並みではなく、民間以上の水準で確保する必要があります。
民間から人材を登用する場合、政府は、彼らがこれまでに獲得してきた経験、資格及び能力に費やしたリソースに見合う給与を用意して迎え入れるべきです。特にサイバーセキュリティーは、情報通信技術や国際法など、様々な分野と隣接、重複しており、必然的に人材の獲得競争率が上昇します。また、国におけるサイバーセキュリティーは、その性質上、誰にでも仕事を任せられるものではなく、例えば海外の人材を無条件で採用をするのが難しい状況を考えれば、こちらも民間以上の水準を確保する必要があります。
最後に、これらの人材が政府内でサイバー分野を中心としてキャリアを積み重ねることができるようにする必要があります。現在、各省庁では、サイバー分野を中心とするキャリアパスが限られているため、幹部職員であってもサイバー分野に関する知見に濃淡があります。そのため、サイバー分野を中心としつつ、領域横断的な専門的知見を有する行政官、技官を養成することを念頭に、職員の異動時にサイバー分野に関連する異動先に配置するなど、サイバー畑を歩めるようなキャリアパスが必要です。
以上です。
発言情報
speech_id: 121714889X01220250508_009
発言者: 持永大
speaker_id: 31680
日付: 2025-05-08
院: 参議院
会議名: 内閣委員会