cyber attack

アメリカと日本のサイバーセキュリティの置かれている制度・環境の違いを自覚する

投稿日: カテゴリー: セキュリティ
Pocket

立ち位置さえ自覚できれば確実に日本をよくできる。むしろ現在は日本がピンチゆえチャンスです

セキュリティの業界にいると「敵を知り己を知れば百戦してあやうからず」の引用をよく目にします。しかし、敵を知ろうとする努力と同じだけ、今、自分が日本が置かれたセキュリティに関する状況を理解しようと努力していると自信を持って言い切れる人はどれほどいるでしょうか。敵を知るだけでは片手落ちなのです。
他国や個人は自国や自分と同じように言動するだろうという思い込み(ミラーイメージング)で判断ミスを招くことも珍しくありません。実際インテリジェンス形成プロセスにも情報のバイアス除くため今自分が置かれている状況への分析が必ず入っています。

実際今から述べる日本の現状は目を閉じたくなる残念な状況が多いのですがまず自覚しなければ現実に根ざした対策を打つことはできないでしょう。
情報戦(認知戦)が破られれば益々経済戦は不利になり、エコノミック・ステーツクラフトなどの経済的な攻撃が効果的に働き、軍事を使うまでもなく日本を意のままに操ることができてしまいます。戦争の目的はその共同体の人間を意のままに操れる状況を作ることです。ただの武力的な破壊は国力の無駄遣いにしかなりません。

先日「日本へのサイバー攻撃の検出数が3年連続で世界1位」(ESET)とやられたい放題であることが発表されました。
なぜ、ここまでやられたい放題なのか今の状況を自覚すれば、無用な期待で梯子を外される無駄がなくなり、何に注力すべきかがクリアになり逆に日本がピンチ故に自分の仕事の意義や意味に自覚し、生き甲斐ある日々を送ることができるチャンスと感じれるはずです。
そんなメンタルモデルで以下読み進めていきましょう。

発電所も含めたインフラも日本政府が護ることはしない

CISAは重要インフラ情報法他政令等に則り、民間部門から任意の情報提供を確実にする制度を確保した上で、その情報システムを直接に監視し、連邦政府各機関や民間組織と協調・協力してサイバー攻撃から非政府民間部門の重要インフラを防護しています
コロニアルパイプライン事件のようにカバーしきれなかった分野へも積極的に介入し法的拘束力のある指令の発出しています。この件であれば2021年5 月28 日に、民間のパイプライン事業者に対して、サイバーインシデント等に関して法的拘束力を持つ指令「パイプライン事業者のサイバーセキュリティの向上」(Dep’tof Homeland Sec., Enhancing Pipeline Cybersecurity, Security Directive Pipeline2021-01 (May 28,2021))を発出しています。先日のYahoo!の問題もありましたが、指導レベルでは一定上の規模で外国資本の入っているIT企業ではサイバーセキュリティに向き合ったり、事実上のスパイ企業としての働きを止めるようなことはしません。明確な罰則がある法的拘束力のある枠組みを求める活動が必要です。

自衛隊サイバー防衛隊は防衛省・自衛隊の情報通信システムのみを防護

日本のNISTや自衛隊が民間の重要インフラの防護することを担っていると期待したいところですが、結論から言うと守ってません。
安全保障面における日本のサイバーセキュリティ戦略・体制の歪さは、タリンマニュアルにも記載のある国際法上には記載がある懲罰的抑止へも憲法第9条が阻害要因になっています。自衛隊法改正を含む平和安全法制下の厳しい制約条件と手続きの下、自衛権を前提にした武力行使を行うこととなっているが、そもそも、
サイバー分野における自衛権はそうした条件・手続きを満たすことができないことから、発動できないままとなります。

重要インフラを含め民間部門のサイバーセキュリティに関しては、NISC は任意の情報の収集・分析・共有で連携、協力、援助するのみです。
つまり、NISC は連絡・調整機関に過ぎないということです。
ではその連絡される情報に関してですが他国から十分な共有は為されません。同盟国からもスパイだらけで、機密情報がすぐ漏洩する日本には重要な情報は渡されません。軍事演習場所がもれ活動家が先回りしていた、共産党が日本の機密情報を盗取したと言ってもまともな調査すらできないなど枚挙にいとまがありあせん。重要な情報共有の枠組みに参加したいところですが、スパイ防止法が成立できていない、セキュリティクリアランスなど制度的要件を満たさないため、ファイブアイズに加盟する要件を満たすことすらかないません。スパイ防止法すら成立できないのはなぜでしょうか。

「スパイ防止法」は、国連憲章第51条で認められた独立国の固有の権利

ドイツは占領下でも情報機関の設立を認めればソ連の情報を渡すと交渉しインテリジェンス機関を死守しました。

日本には敗戦利得者が戦後の利権を占めているためスパイ防止法が議論されればクリアランス制度や安全保障の議論などに広がり他国の例などを参照されるだけで炙り出される人間が多数います。スパイ防止法で捕まると恐れている訳ではなく、今後の活動や立場が危うくなることを恐れ声をあげているのです。

愛国心とは決して外国のスパイにならないという心得として重要です。愛国心を国粋主義と非難するのは敗戦利得者と日本に謀略をっかける集団のプロパガンダです。日本が取り戻すべきは自国視点で物事を考えることと考えます

日本の攻撃方法を世界が知っていても日本はその情報にアクセスすることができない

NVDではゼロデイ情報に限り、セキュリティクリアランスの保持者でないとアクセスできません。つまり日本は制度がないためアクセスできません。(裏技でゲットしているグローバル企業は存在しますが・・)

さらに情報収集しようにも諜報機関とそれを可能にするための法制が存在しないため、情報収集やそれに伴う諜報活動ができず、ハッキング手法を利用した積極的なサイバー情報収集活動は許されていないのが現状です。
アメリカではさらに「外国諜報活動偵察法(Foreign Intelligence Surveillance Act:FISA)」により、米国内だと判事から令状がないと差し押さえられないようなデータや事業所へのアクセスもアメリカの電話会社は政府の諜報機関に自主的に提供させることができます。PRISMとは別でTrusted Partners Programと言います。インターネット通信事業者にはNASAが巨額の予算を投じて開発した各事業者に「Einstein 3」をインストールさせ護る気がないとメールの中身が丸見えになる仕様となっています。また脆弱性情報は米国政府に先に知らされているため、まだ世界に知らされていない脆弱性をついて、米国の企業の製品を使用する外国の企業にハッキングを行うことが可能であることになります。

システム開発後のペネトレーションテストの支援を受けられる

アメリカではサービスリリース時にFBI、CIAなど政府機関のペネトレーションテストの支援を受けられます。さらに、DHSのソフトウェア・アシュアランス・プログラムという、産官連携を基礎として、DHS の出資による会議とワークショップを通じて、ソフトウェアの開発者・設計者がソフトウェアの品質55や信頼性を向上させるための実践的なガイダンスを提供しています。

税収はこのように使って貰いたいところですね。CyBOKなどを翻訳して頑張るなど日本ではかなり自腹コストがかかります。

日本のセキュリティ資格制度の問題

私はCEH(Certified Ethical Hacker)を取得継続していますが、日本の国家資格である情報処理安全確保支援士は辞める人が私の周りでも後を断ちません。
罰ゲームとも呼ばれる以下のような義務と費用に対してメリットが現状ほとんどないため益々人材不足を助長しています。
情報処理安全確保支援士に登録し義務違反を犯してしまった場合に、罰金刑・懲役刑を受ける可能性があります。
罰金刑も前科になります。交通違反の反則金とは全く性質が異なります。
受講義務となっている講習受講費用は3年間で最低140,000円です。
用意された研修を受けるだけなので生涯有効なため、活動実績の照明もなく国際的には信用度はありません。

政府のスタンス、法制度、支援制度、資格制度の問題点を見てきました。まずは差異を自覚することがこの記事の目的です。

次回は歴史を振り返りつつ、どうすればこの現状に対抗できるかのお話に入っていきたいと思います。

以上です