「能動的サイバー防御」ってそもそもなに?

海外では「アクティブ・サイバー・ディフェンス(頭文字からACDとも称される)」と呼ばれ、サイバー攻撃に対し能動的に、つまり自ら防ぎにいくというもの。

政府が提出した法案は(1)官民連携(新法)、(2)通信情報の利用(新法)、(3)アクセス・無害化措置(整備法)の大きく3つで構成されている

官民連携 〜情報共有の前にあった課題〜

法案では、電気や通信、航空事業者などの基幹インフラ事業者に対して、被害情報などの報告義務を課すとしている。どういった企業が、どういったサイバー攻撃を受けたのか、新たに設置する政府の協議会で情報共有を行うことで、政府から国民に情報を周知し、どういった備えをすればよいのか、官民で連携を強化したい考えだ。

これまでは、サイバー攻撃を受けた企業も大きな被害が発生しない限り、被害の実態を具体的に公表することは少なかった。その問題点について阿部さんはこう解説する。

阿部慎司氏(GMOサイバーセキュリティ byイエラエ株式会社執行役員 兼 ディフェンシブセキュリティ部部長)
「そもそも、どういう情報をどういう粒度で出すと役に立つというのがあまりクリアになっていないと思います。現状では企業からユーザー側に対しての報告という意味が強いのですが、これは同業者や他の企業に対する対策に役立つ情報ではありません。どういう手法でどういった攻撃があったのかということを共有する必要があると思います」

一方で、政府の有識者会議のメンバーの一人は、「こうした被害の詳細を公表することで、企業の株価や信頼性に影響があるだけでなく、自らのシステムの虚弱性を露呈してしまい、立て続けにサイバー攻撃を受けるデメリットもある」と話している。

通信情報の利用 〜政府がメールを監視?プライバシーは守られる?〜

この法案で最大の争点は、政府による通信情報の監視だ。

政府は「サイバー攻撃の実態を把握するため通信情報を利用し分析する」としているが、これはつまりメールやデータのやりとりを収集し、攻撃などに関するデータが含まれていないかをチェックすることだ。直接的な表現は避けているが、これは事実上の「監視」にあたると考えられる。

しかし憲法は「通信の秘密」を保障していて、メールや電話などは他人に勝手に見られたり聞かれたりしないよう守られている。政府は法案の作成に至るまで2年以上議論を重ねてきたが、「通信の秘密」との整合性が最も高いハードルだったという。

石破総理(3月18日 衆議院本会議の答弁)
「通信の秘密に対する制約や、公共の福祉の観点から必要やむを得ない限度にとどまるものとなるような制度といたしております」

法案では▼国内から国内への通信の監視は行わないとしている。これは、日本で起きたサイバー攻撃の99%が外国から発信されるものという理由だけでなく、プライバシーに配慮した面が大きい。

そのため監視する情報は▼国内から国外への通信、▼国外から国内への通信、▼日本を経由する外国同士の通信に限定されている。新設される政府から独立した機関による事前承認に加えて、国会への報告も法案には盛り込まれた。

さらに、メールなどの通信情報については、人を介在させず、機械的な方法で取得することとした。▼電子メールの本文や件名、▼添付ファイルの内容や名称、▼IP電話(メッセージアプリの電話機能など)の通話内容はコミュニケーションの本質的な内容に当たるとして、分析する情報から除外している。

選別前の情報を利用することは禁じられていて、不正な利用に対しては罰則も設けている。

しかし、課題は多い。分析される情報は、送信日時やメールアドレス、IPアドレス(やりとりに用いた端末の情報など)などに限ってはいるが、完全に個人を特定されないものとは言い切れない。海外の友人とメールのやりとりをすれば、意図せず監視の対象となってしまうかもしれないという懸念は当然だ。