脅威情報の共有をめぐり激論？ 沖縄で初の国際会議：セキュリティ・アディッショナルタイム（4）（1/2 ページ）

2015年11月7日、8日の両日にわたって沖縄県名護市で開催された「Cyber3 Conference Okinawa 2015」には、複数の閣僚や企業トップが参加。「サイバーコネクション」「サイバーセキュリティ」「サイバークライム」という三つのトラックに分かれ、議論を交わした。

[高橋睦美，＠IT]

　セキュリティをテーマとしたカンファレンスとくれば、来場者はTシャツなどラフな格好のエンジニアばかり……というイメージが強い。しかし2015年11月7日、8日の両日にわたって沖縄県名護市で開催された「Cyber3 Conference Okinawa 2015」は様相が異なり、複数の閣僚や企業トップが参加してサイバーセキュリティ強化の重要性を再確認するイベントとなった。

　国内、海外を問わず、標的型攻撃の他、オンラインバンキングサービスを狙うマルウエアやWebサーバーの脆弱性を狙う攻撃、Webサイトのアクセスを困難にするDDoS攻撃など、多数の攻撃が横行している。しかも米中首脳会談で議題に上るなど、サイバーセキュリティは単なる技術的、経済的な問題にとどまらず、政治的課題にも位置付けられるようになってきた。

　同カンファレンスはこうした動きを背景に、国境という枠組みを超えてサイバーセキュリティの強化に向けた議論を交わすため、内閣府が主催し、世界経済フォーラムの協力を得て開催されたものだ。世界35カ国から約350人が参加し、「サイバーコネクション」「サイバーセキュリティ」「サイバークライム」という3つのトラックに分かれて議論を交わした。

　カンファレンス冒頭には、安倍晋三首相がビデオメッセージを通じて「サイバー空間における安全の確保は、日本の成長戦略にとって不可欠だ」と呼び掛けた。さらに、2016年に予定されている伊勢志摩サミット、そして2020年に控える東京オリンピックを見据え、サイバーセキュリティの強化に取り組んでいくとした。

　また内閣府特命担当大臣（沖縄及び北方対策、科学技術政策、クールジャパン戦略）の島尻安伊子氏は、2020年の実用化を目指す自動運転技術や沖縄に開設予定の新薬開発拠点「沖縄メディカル・イノベーション・センター」に触れ、「IoTやビッグデータの活用においては、セキュリティとプライバシーが非常に重要である」と述べた。

　印象的だったのは、国家公安委員会委員長の河野太郎氏のスピーチに「スピアフィッシングメール」や「ダークウェブ」といった言葉が登場したことだ。河野氏はまた、ちょうどこの時期に発生していた東京オリンピック・パラリンピック組織委員会のWebサイトに対するDDoS攻撃にも触れ、「この件に関する捜査を続けていく」と述べている。

総論賛成の「情報共有」、具体策は？

　Cyber3 Conference Okinawa 2015を通じてたびたび耳にした言葉が「情報共有」だ。内閣官房内閣サイバーセキュリティセンター（NISC）副センター長の谷脇康彦氏は、2015年1月に施行された「サイバーセキュリティ基本法」や2015年9月に閣議決定した「サイバーセキュリティ戦略」において、情報共有の促進が重要なキーワードになっているとし、「ソフトウエアの脆弱性情報をどう共有し、重要インフラ防護の取り組みをどう拡大するかが課題だ」と語った。また河野氏も「警察単体でサイバー犯罪に対抗していくことは困難であり、民や学との協業が不可欠だ」と述べている。

　その通り、おそらく総論として、脅威や攻撃、脆弱性に関する情報共有を推進することに誰も異論はないだろう。しかし、「どんなフレームワークで情報共有を行うのか」「そもそもどんな情報を共有すべきか」「政府が主導すべきか、それとも民間が進めるべきか」など、各論に分け入ると課題は山積みだ。初日のセッションでも、参加者から「インセンティブがなければ情報共有は進まないのではないか」「情報が国家機密に該当する場合、果たして共有可能なのか」「情報共有フレームワークの参加者のクリアランスはどうするのか」「行政機関の縦割りの壁を越えた情報共有は可能なのか」といったさまざまな問題提起があった。

　サイバークライムトラックの一つ、「情報と脅威インテリジェンス共有のための枠組み作り」では、さらに掘り下げた議論がなされた。

　このセッションの司会役、デイビッド・バーグ氏（プライスウォーターハウスクーパース プリンシパル兼グローバル・USサイバーセキュリティリーダー）は、米国における情報共有の枠組みを説明した。米国ではオバマ政権の元で、サイバーセキュリティに関する情報共有推進に取り組んでいる。2015年2月に署名された大統領令13691号では、産官学にまたがる情報共有・分析を目的とした「ISAO（Information Sharing and Analysis Orgnization）の創設が求められた。

　ただ、この動きが形になるまでは紆余曲折があったそうだ。米シマンテック グローバル・ガバメント・アフェア サイバーセキュリティ・ポリシー担当副社長のシェリ・マグワイア氏によると、「2000年代初めの頃は、情報共有は注目すらされなかった。当時は、ブランドや株価への影響を懸念したり、『捜査中なので情報開示できない』といった理由から、企業は情報共有に消極的だった。その上、情報を出しても当局からのフィードバックはなく、インセンティブも得られなかった」そうだ。まるで今の日本の状況にそっくりだ。

　しかし、サイバーセキュリティをめぐる状況が激変した今、「協力してサイバー犯罪に立ち向かおうという姿勢が生まれている」（マグワイア氏）。ISAOはその一つだが、それ以外に特定業種における情報共有を進める「ISAC（Information Sharing and Analysis Center）、あるいはセキュリティベンダーが取り組む脅威インテリジェンスサービスなど、さまざまな形で共有が進んでいるという。

　転機の一つには、米国で発生した同時多発テロの影響もあるようだ。元米国土安全保障省副長官のマイケル・ジャクソン氏は、「9.11から多くの教訓を得た。あのテロ事件の後、まずコミュニケーションを取り、対話を促進しなければならないというところから始めた。サイバーセキュリティも同じような状況にあるのではないか」と述べた。

　一方、日本の状況はどうだろうか。サイバーディフェンス研究所専務理事／上級分析官の名和利男氏は「日本では、現場の状況に適応した情報共有はまだ少ない」と言う。名和氏は数々のセキュリティインシデント対応に当たってきたが、「現場で検知するイベントの中には、多くの間違いや誤認識が含まれる。もし、他の組織や政府、コミュニティから関連する情報が得られれば、疑わしいイベントについての判断を迅速に、高い確度で下すことができるだろう。だが今はそれができるところが少なく、意思決定のところで非常に時間がかかっている」というのが現状だそうだ。つまり、せっかくアラートが上がってきても、マネジメント層の「よく分からないけれど何とかなるだろう、何とかしておいてくれ」という判断でストップしてしまう状況が少なくないという。

　目をグローバルな取り組みに転じると、インターポールやユーロポールのサイバー犯罪捜査体制に代表される通り、いくつかの国境をまたいだ連携体制が整い始めている。だが「法制度の違いや地政学的な差異に直面するという課題もある」と、元ノルウェー高等裁判所判事のステイン・ショルバーグ氏は述べた。同氏はさらに「深刻化するサイバー犯罪に立ち向かうには、国際標準や協力体制、整合性のある法律が必要だ。そのためにグローバルな枠組みとして、サイバー空間における『ジュネーブ条約』を提案している」と述べている。

　いずれにせよ、何らかの形で攻撃や脅威に関する情報共有体制が必要なことは間違いない。ただ、マグワイア氏は「情報共有に対する過度な期待があることを懸念している。情報共有は重要なツールの一つだが、万能薬ではない」と釘を刺した。

　ジャクソン氏は、情報共有の枠組みに中小企業をいかに巻き込んでいくかが課題だと考えているという。「大企業はこの問題に注目し、取り組み始めている。一方で中小企業はまだこの取り組みに関与していない」（同氏）。

　国家主体が関与するような機微な情報の取り扱いも、今後議論していく必要があるだろう。名和氏は「この問題に関しては多くの課題がある。ただ、やりようもいろいろあると考えている。例えば、情報共有というよりも、サイバー演習を通じた『経験の共有』によって、機微な情報に近いものの共有を図ることは可能ではないか」と述べている。