セミナー情報「能動的サイバー防御」に見る監視とプライバシーのジレンマ
2025年2月、日本政府は「能動的サイバー防御」を導入するための法案を閣議決定しました。日本だけでなく、欧米を中心に同様の対策が進められていますが、なぜこのような対策が必要なのか、そしてどのような課題があるのかについて解説します。
対策が求められる背景
一般的な組織におけるサイバー攻撃への対策は、特定の相手からの攻撃を防ぐものではありません。世界中のどこから攻撃されるかわからないため、ソフトウェアのアップデートや不要なポートを閉じるといった方法によって脆弱性を減らし、攻撃を受けるリスクを低減する対策を実施しています。
そして、特定の相手から攻撃を受けていることがわかると、その相手のIPアドレスを指定してブロックするなど、アクセスを遮断する方法が使われます。このような対策を実施した組織は攻撃による被害を軽減できますが、他の組織には攻撃が続きます。
このように、攻撃者側が圧倒的に優位な立場にあるため、自組織だけは攻撃による被害を軽減できたとしても、標的を他の組織に変えて攻撃が続けられる可能性があり、社会全体としては十分な対策であるとはいえません。結局、対策が「いたちごっこ」になってしまうのです。
そこで、「被害が発生する前の段階で、攻撃元と思われる相手を特定し、それを排除する措置を講ずる」ことが考えられます。具体的には、その攻撃元を特定・監視するだけでなく、攻撃元のネットワークやシステムに侵入して攻撃を遮断する、といった方法が挙げられます。これが「能動的サイバー防御」です。
つまり、ある組織が攻撃を受けたときや攻撃の兆候があると判断されたとき、その情報を共有して攻撃元を排除できれば、社会全体として安全性が高まることが想像できます。
実施される内容
上記のような能動的サイバー防御を実現するには、大きく分けて3つの準備が必要です。まずは「情報を共有する体制を作ること」、そして「通信内容を監視すること」、さらに「攻撃元を無害化すること」です。
それぞれ、これまでは法律的な面などの問題で実現できなかったことであり、どのような課題があるのかについてもう少し詳しく見ていきます。
情報を共有する体制を作る
これまでも脆弱性を見つけた場合などには、脆弱性情報を適切に取り扱うためにIPA(独立行政法人情報処理推進機構)やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)などに報告する「情報セキュリティ早期警戒パートナーシップガイドライン」がありました。
また、コンピュータウイルスや不正アクセスによる被害が発生した場合には、IPAに届け出ることについて協力を呼びかけていましたし、個人情報の漏洩が発生した場合には、個人情報保護委員会への報告が求められていました。
しかし、これらはあくまでも一方向の報告です。能動的サイバー防御を実現するには、政府機関、重要インフラ事業者、製品ベンダーも含めて、双方向で連携しなければなりません。そして、利用者にとっても必要な情報を得られることが求められます。
ただし、政府が保有する安全保障上重要な情報などが双方向で自由に使われることも問題です。従来は特定秘密保護法により、「セキュリティ・クリアランス制度」が定められていました。そして、2024年の国会で「重要経済安保情報保護法」が成立し、このセキュリティ・クリアランス制度の活用も含め、今回の法案では「官民連携の強化」が謳われています。
通信内容を監視する
組織が攻撃を受けたときだけでなく、サイバー攻撃による被害を未然に防ぐためには、攻撃の前段階で通信を監視する必要があります。これは、正常時から通信内容を誰かが監視し、捜査をすることを意味します。
しかし、一般的な企業の通信を傍受されると企業秘密などが漏洩することになりますし、個人のプライバシーの面を考えても、通信内容を監視することには問題があります。日本国憲法でも第21条2項で「検閲は、これをしてはならない」と定められており、通信内容を検閲することは禁止されています。
また、電気通信事業法においても、「通信の秘密」を保護する規定があり、通信内容は厳格に保護されています。
このため、犯罪に関する捜査とはいえ、通信の秘密を考慮した制度設計が求められています。国民の理解を得るためにも、通信内容を監視するのであれば透明性を確保し、報告書の公表などが必要だとされています。
攻撃元を無害化する
これまでの対策を考えると、自組織を守ることのみが認められていました。相手を攻撃してしまうと、逆に不正アクセス禁止法などで罰せられる可能性があります。
しかし、能動的サイバー防御では、被害を未然に防ぐため、攻撃元のサーバーやネットワークに対する侵入なども想定されています。つまり、緊急性がある場合には、そのような権限を政府機関や特定の事業者が持つことになります。
さらに、国境を超えて攻撃された場合には、不正アクセス禁止法のような国内の法律だけでなく、国際法との関係もあります。
通信の秘密やプライバシーへの懸念
このような対策が求められる背景や実施される内容を理解できたところで、私たち一般の利用者や企業の情報システム担当者として気になるのは、2つ目の「通信内容を監視する」ことでしょう。
すでに私たちがネットショッピングやSNSを利用するときには、広告を表示するなどの目的で多くの情報が収集されています。また、スマートフォンの位置情報(GPS)、公共交通機関の利用履歴、ウェアラブル端末の身体データなどを組み合わせるとさまざまな情報を収集できます。
このように、デジタル技術を通じてさまざまな情報を収集し、分析できることから、現代は「監視社会」と呼ばれています。
インターネットを使わなくても、すでに街の中には防犯カメラが多数設置されており、犯罪などが発生した場合には後から調べられるようになってきました。私たちも「監視されている」という意識はほとんどなく、犯罪の防止に役立つのであれば納得しているものです。
しかし、広告の表示などに使われる情報と、今回の「通信情報の利用」については次元が違う内容であり、友人関係や取引関係にあるやり取りが対象になることについてはプライバシーなどの面で大きな問題があるといえます。
日本弁護士連合会も、「通信情報の利用及びアクセス・無害化措置については、国会における慎重な審議が必要である」との声明を出しています。
まとめ
日本政府が進める「能動的サイバー防御」に関する法整備とその実施内容、そしてその背景にある課題について解説しました。
サイバー攻撃のリスクが一方向的な防御だけで完結しない現状を踏まえ、攻撃前に情報共有体制を構築し、通信内容の監視と攻撃元の無害化を通じて社会全体の安全性向上を狙う一方で、通信の秘密やプライバシーという基本的な権利とのバランスが求められていることがわかります。
今後、どのような議論が実施されるのかわかりませんが、個人としても組織の担当者としても推移を見守っていきたいものです。
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。
