サイバー対処能力強化法の有識者会議が着地しそうな件で|山本一郎(やまもといちろう)
お疲れ様でございます。
「所見を述べよ」というのでそれっぽいことを以前書いて送りましたが、思った以上に盛り込んでいただき(私というより、おそらく私と似たようなことを仰った有識者も複数おられたからなのでしょうが)、お座敷の出口としては順調に話が進んでいるのではないかと思いました。
あらましで申しますならば、ようやく重い腰を上げた政府は今年2025年、重要インフラを狙ったサイバー攻撃への対策として「重要電子計算機に対する不正な行為による被害の防止に関する法律(サイバー対処能力強化法)」を制定するにあたり、これに基づき官民連携の基本方針案を公表しました。
「まあこんなもんじゃね」と評価する声も多く、私もまあいいんじゃねと思っておりますが、現業のセキュリティ界隈、特に野良で情報を提供するホワイトハッカー視点では、運用面でいくつかの懸念が指摘できます。本稿ではその問題点と改善策を書きたいぞと思いますが、そもそもそれは具体的に何やねんというところもあるので、そこは阿吽の呼吸で飲み込んでください。本件は所属する情報法制研究所やハッキングコミュニティ等を代表して公式で偉そうに述べるものではなく、あくまで個人の意見であることをご承知おきください。
情報提供の「適切なタイミング」への戸惑い
一番気になるのは本件方針案では政府が情報を「(民間に対して)適切なタイミングで提供する」とされていますが、この「適切なタイミング」は曖昧です。まあ、然るべき人が判断するんでしょうが、いつ報告すべきか基準が示されないと現場は迷い、対応遅延や過剰報告を招きかねません。タイミング基準の不明確さは、迅速な情報共有という目的の実現を妨げる要因となります。
例えば、管理できてないVPNは使わせるrなとか、新しいマルウェアが出てきて大変なことになってきたよとか、ゼロデイ関係とか、VPNはちゃんと管理しろとか、あのサービスは情報が漏洩されたままになってるから利用は控えろやとか、安全な通信と思っていたものが実は違っててここから情報が漏れているばかりか入られて大変なことになるぞとか、野生のVPNを中国やスペインとかから繋ぐなバカタレとか、そういうのって「政府が」「民間に」公式な情報提供をする適切なタイミングって何やねんとなるわけです。
また、どこぞのビール会社やアスクルでもそうでしたが、入られる手口情報ってのはそれなりに攻撃側も時間を掛けてやってくるわけで、ピンポイントで狙われると回避することは原則として極めて困難です。そうした場合、ここでいう「適切なタイミング」って何やねんってのはありますし、実質的なところと、組織的なところとで立場は変わります。すなわち、組織的には「政府がこう言っているから対策を打つので予算頂戴よ」とか「政府がこういっていたのに入られて大変なことになったけど対応の相談をしていたのに予算も人員も期間もつかず入られたのはボクのせいじゃありません」などの技術者側の保身の材料で使われることもままありで、それはそれで大事なことなのでいいと思うんです。
ただ、実質的な対策ということで言えば、後述もしますが「政府が把握して公知するころにはすべてが遅い」というのもあります。別にサイバー統括室が仕事をサボっているわけではないのに意味がないことになる可能性もあるわけですから微妙なところです。
協議会の構造的課題と情報の一方向性
んでまあ、偉そうに書くつもりもないのですけれども、協議会では政府から参加企業への情報提供が中心で、民間から政府への情報の流れが不充分です。というより、政府にそんな情報が本当にあるんですかという話で、サイバーセキュリティに関する情報の大半は民間にあり、下手をするとベンダーよりも個社情シスのほうが攻性情報を把握していることが山ほどあります。
たとえば脆弱性情報の共有についても政府がどこから情報を得るか不明確で、情報取得・共有プロセスの不透明さが指摘されています。というより、こちらも守秘義務がいろいろある中で、これはさすがに国家マターだろと思ったものは適切なルートを通じて話をぶん投げ、対処を求めることもまたあるわけですけれども、これらの超絶重要な情報のイレギュラーな伝達は、もっぱら民間から政府に対して行われるものであると同時に、活動はもっぱら片務的です。別に偉そうなことを言うつもりもないのですが、この社会にとって必要なことだから、いろいろみんなで楽しく監視したり、各社からの攻撃困りごとを互助会のように対策したりしているうちに、これは官憲に知ってもらって対策戴かないと駄目だ、というコアなところだけ情報が持ち上がっていく仕組みになっているのです。
端的に言えば、新しいマルウェアのタイプが出現したとかいう情報はどうでもいいわけではないですがそれ単体が直接何かの脅威になるわけではありません。例えば、田舎の老夫婦が日々観ている旧式Android搭載テレビやケーブルテレビのSTVが乗っ取られているけどそこに不審なデータがやり取りされているものの実害がない、というのは「いま被害がないからインシデントではない」のではなく「何かあったときにその旧式機器が発動させられ、踏み台として攻撃に使われる可能性が高い」のでモニタリング対象となります。しかしながら、政府組織、サイバー統括室はそういった数十万、数百万もあるかもしれない問題のある機器を時間かけてサーベランスする、なんてことは予算も人員もいろんな制約があるからできません。これらの監視はもっぱら民間の物好きが手掛けているものですから、むしろ、政府は民間から情報については教えてもらい、情報を集約するべき立場であることを忘れているように思います。
残念ながら、この一方向な枠組みでは民間が持つ最新の知見が十分に活かされず、官民連携による迅速対応という狙いがそ損なわれる恐れがあります。もちろん、これは旧NISCや警察庁サイバー警察局のような組織がだめだからできないのではなく、そういう仕組みになっていないから情報が当局になかなか上がらない、ということに尽きるんじゃないでしょうか。
民間が抱える制度上のリスクと政府の能力差
そのうええ、情報提供者(ホワイトハッカーや被害企業)の立場では、自社の機密情報がどう扱われるか不透明なままでは安心して提供できません。これを実現するにあたっては、民間側のクソ度胸が必要で、要するに「個人のリスクで知り得たことを機密情報の根幹に触れないように、しかし問題意識やその所在については分かる人が見れば分かるレベルでブチ上げたり、何かあったら腹を切る前提で命がけで政府の偉い人にぶん投げたりする」しか解決しません。
提供後の情報の利用目的や機密保持のルールが明確でないことは、善意の専門家を萎縮させる要因となりえます。さらに政府側の分析処理能力にも限界があり、人員不足による対応遅延が懸念されます。繰り返しになりますが、日本の政府組織はそういう仕組みになっていないのです。良いか悪いかは別として、実際に、米国では重要インフラ以外の多くの攻撃対応を民間専門チームが担っていると指摘されていますが、そのような情報を悪用しない信頼のおける野良の民間によるコミュニティによる対応が事実上サイバーセキュリティの根幹をなしていることを忘れちゃいけんと思うのです。そして、当然危機に直面したり、物事をサーベランスしている民間のほうが情報が早いわけですから、最新の脅威情報や脆弱性発見では民間に優位性があるのが実情です。
