年金情報流出とサイバーセキュリティ戦略

年金機構の情報流出は「広義のサイバー攻撃」

2015年5月、日本年金機構から125万件の年金受給者・加入者の個人情報が流出し、大きな問題になった。いわゆるサイバー攻撃によるものとされている。「狭義のサイバー攻撃」とは人命への危害や物理的な破壊を伴うものとされているので、情報が盗まれるだけであれば該当しないが、これは「広義のサイバー攻撃」といえるだろう。

年金番号、氏名、住所、電話番号という4情報が盗まれただけでは、直接的な被害は生まれにくい。クレジットカード番号など他の番号と組み合わせられれば情報を金銭に換えられる可能性が出てくるが、攻撃者の本当の狙いはそこにはなかったのではないか。

本当の狙いは日本年金機構のシステムへの侵入そのものであり、その内部情報を活用しながら別の政府機関などへ芋づる式に侵入することだったのではないか。中央省庁のサイバーセキュリティはすでにかなり堅固になりつつあり、簡単に侵入できなくなりつつある。そこで狙われているのが、周辺にある政府関係機関やシンクタンク、政府と取引関係にある民間企業、大学などである。年金情報が盗まれたというインパクトの大きさからそちらばかりに注目が集まっていたが、このサイバー作戦の全体像は、より広く、深いものだった可能性がある。

広範に展開するサイバー攻撃

同時期に露見した米国の場合はいっそう深刻だった。米政府の人事管理局から2210万件の情報が盗まれていたことが分かった。米国には500万人以上のセキュリティ・クリアランス（機密アクセス権）を持つ人がいるが、その人たちの個人情報が含まれていた。

セキュリティ・クリアランスを得るには、家族構成、生まれてから住んだことのある全ての住所、その際の電話番号、これまで訪れたことのある全ての外国の都市、友人関係、借金の有無、疾病の有無、同性愛者かどうか、浮気の有無など、人に知られたくないプライバシー情報が数多く含まれている。浮気をしているかどうかが問題なのではなく、うそをつく人間かどうかを判断するために、広範な調査が行われる。

こうした情報は各種の脅迫に悪用される恐れがあるだろう。金銭目的ばかりではなく、政治的な目的でも使われ得る。例えば、アジア出身の米国人のセキュリティ・クリアランス保持者が米国政府で働いており、その親が母国にまだ住んでいることが分かれば、スパイ行為を強要されるということも起きかねない。

サイバーセキュリティ戦略の特徴は「共有」と「連携」

日本のサイバーセキュリティ対策はどうなっているのだろうか。

2014年11月にサイバーセキュリティ基本法が国会で成立したことを受け、5月25日にサイバーセキュリティ戦略本部が新たなサイバーセキュリティ戦略の案を発表した。ところが、直後に日本年金機構の問題が出てきたため、サイバーセキュリティ戦略本部長である内閣官房長官が戦略案の見直しを指示した。作り直した戦略案は、8月20日にようやくサイバーセキュリティ戦略本部で決定された。まもなく閣議決定される見通しである。閣議決定は法律ではないが、法律に準じる法的拘束力を持つことになり、政府の高い意思を示すとともに、各省庁・政府機関がこれから行うサイバーセキュリティ対策の軸になる。

公表された戦略案を読むと、40ページの文書の中に「共有」という言葉が51回（見出しを含む）、「連携」という言葉が80回（目次・見出しを含む）も出てくる。2013年6月に決定された前回のサイバーセキュリティ戦略では43ページの文書の中で「共有」が48回、「連携」が62回（サイバーセキュリティ基本法の見出しを含む）だから、特に「連携」が増えていることが分かる。いずれにせよ、インシデント情報などの共有と組織間の連携が日本のサイバーセキュリティ戦略の特徴といって良いだろう。

新サイバーセキュリティ戦略の注目点

その上で、注目すべき点としては、第一に、政府機関情報セキュリティ横断監視・即応調整チーム（GSOC）の機能強化だろう。GSOCは内閣サイバーセキュリティセンター（NISC）の中に設けられており、これまでは中央省庁のシステムとネットワークの監視が主たる役割だった。日本年金機構に対するサイバー攻撃の際もGSOCがいち早く気付き、日本年金機構に連絡したが、迅速な対応はとられなかった。そこで、独立行政法人と特殊法人（日本年金機構も特殊法人）の一部にもGSOCの監視範囲を拡大・徹底していくことになった。司令塔としての役割を全うすべく、予算・人員の面でもNISCとGSOCは強化されるだろう。

第二に、事後的な対応だけではなく、予防的な措置にも力を入れていくとしている点に注目すべきである。「小規模な障害情報や予兆情報はサイバー攻撃の脅威に対抗する上で有効であるとの認識の下、関係者の共通理解として情報収集を行っている」、あるいは「政府機関全体としての情報共有及び政府機関内外における連携に関する体制の強化を行う」とされている。サイバー攻撃を受けた後の迅速な対処や復旧が重要なことはいうまでもないが、他国や他所で起きたサイバー攻撃の情報を共有しながらネットワークやシステムを監視すれば、事前に防ぐことも可能になるだろう。

国際社会での日本の貢献

第三に、「サイバー空間における秩序維持を国家が全て代替することは不可能、かつ、不適切である」と述べられている点である。現在のサイバーセキュリティをめぐる国際交渉では、中国やロシアが、サイバー空間での不法行為に国家が責任を持って管理すべきだと主張している。それに対して日本や米国、欧州諸国は、表現の自由や情報流通の自由を確保すべきとして対立している。政府がサイバーセキュリティの全てに責任を持つということになれば中露のような監視社会につながりかねない。日本はそうしないということを明言している。この点は、「専制的な体制による情報の独占、統制、検閲、窃取、破壊及びテロリスト等の非国家主体によるサイバー空間の悪用等に強く反対し、国際協調主義に基づく『積極的平和主義』をもって国際社会の平和と安定を実現することにより、国際的な秩序の維持に積極的に貢献しながら、我が国の安全保障を確保していく」という記述でも確認されている。

「完璧」はない

サイバーセキュリティ対策は、高くて厚い壁を作り、その中に閉じこもることでは達成されない。ネットワーク社会は開放的で自由な情報のやりとりによって真価を発揮する。「完璧」の「璧」の語源は中国語で傷のない玉のことだというが、あえて壁（かべ）に例えれば、完全にサイバー攻撃を避けられる壁は作れないと想定すべきである。小さな穴を開けられれば敵は侵入し、制圧し、盗み出してしまう。