1月26日、「サイバーセキュリティとインテリジェンス」と題して当社主幹研究員の原田泉が講演を行った。以下は講演内容の抄録。

1．はじめに

 本日はサイバーセキュリティとインテリジェンスに関する解説と、サイバーインテリジェンスに対して我々がどのような対策を取ればよいか、私見を述べさせていただく。

 インテリジェンスとはどういうものか。今日では広義の意味で、むしろ知識を創造する、ビジネスインテリジェンス、インテリジェンス・サイクルに近い意味合いでよく使われている。指導者があるテーマについてインテリジェンス部門に質問すると、同部門は情報を集めて、分析し、答え(知識)を作成し報告する。そしてそれに関し指導者が更なる質問をし、同部門は更に情報を収集し、分析し答えを報告する。これがインテリジェンス・サイクルである。しかしここでは国家によるインテリジェンス活動である諜報活動、情報収集活動に重点を置いてお話しする。

 諜報活動の手法、特に情報収集にはいろいろな種類がある。オシント（OSINT: Open source intelligence）は公開情報を対象とするものであり、インテリジェンスの80-90%は公開情報を集めてそれを知識にするといわれている。ヒューミント（HUMINT: Human intelligence）は人間対象の情報収集活動である。シギント（SIGINT: Signals intelligence）はいわゆる電子情報が対象である。サイバーと関連し、本日のテーマの中心である。通信傍受というと以前は無線傍受であったが、今はインターネット上の電子化された情報の収集が多くを占めている。シギントには通信傍受のほかに、盗聴、暗号解読なども含まれる。

2. サイバーインテリジェンス

 サイバー攻撃には、国家による攻撃と民間による攻撃がある。以前はサイバー攻撃といえばハッカーによる愉快犯的な攻撃が中心だったが、現在ではそれ以外の犯罪行為など様々な攻撃が存在する。

 民間ではハクティビズムと言ってサイバー上での政治的行動・政治的主張を行うものもあり、アノニマスやウィキリークスが有名である。

 国家による攻撃では、スタクスネットという、米国とイスラエルのモサドが共同開発したとさわれているコンピュータワームがある。イランの核燃料施設を攻撃し、ウラン濃縮遠心分離機の回転数を操作して破壊した。サイバー攻撃は従来、DDos攻撃のように影響の範囲がネットの世界だけであったが、スタクスネットで現実世界の物理的な破壊も可能になった。これを受けて日本でも経済産業省は国内制御機器メーカーを集めて、IoT時代に先駆けて事前にサイバー攻撃を防ぐ対策を進めている。

 また、最近ではインターネットが社会に及ぼす影響が顕著に出現している。たとえば標的型攻撃メールは特定の企業や個人の知的財産などを狙うもので、ソーシャルエンジニアリングという、人の心理的な隙をついて不正を行う。知り合いや上司からの本物のメールとほとんど区別がつかないくらい精巧な偽メールを出し、添付ファイルを開くと感染が広がり、情報が詐取されるのである。

 一方、2013年にスノーデン事件が発覚して、サイバーインテリジェンスの世界が大きく変わった。世界中が衝撃を受け、米国への信頼が崩壊したのである。

 その中心であった米国国家安全保障局（NSA）は、以前はエシュロン（Echelon）と呼ばれ、いわゆる無線の通信傍受を行っていた。通信傍受を行っていたのがアングロサクソンの5か国（米国、英国、カナダ、オーストラリア、ニュージーランド）、通称ファイブアイズであり、傍受した情報を共有していた。日米貿易摩擦の際の日本側政府情報も詐取されていたといわれる。Financial Timesに掲載された米国と主要国との関係によると、ファイブアイズは情報共有して互いに監視はしない。同盟国でも監視するのがフランス、ドイツ、日本、韓国。情報収集するのは中国、ロシア、イランとなっている。

 そして、インターネット時代になり、そこでも世界的盗聴が明らかになったのである。

 インターネットは、もともとは米国がソ連から核攻撃を受けた際、軍の通信網が１箇所に集中していると、そこが攻撃されたら通信全部使えなくなってしまうため、分散的なネットワークを開発したのである。そして冷戦構造崩壊後、軍事的意味が薄れたことにより民間利用が許され、1990年代の後半に急速に普及したのであった。インターネットでは、世界に全部で13のサーバがルートサーバとしてDNS（Domain Name System）に登録されており、そのうち10台が米国、2台が欧州、1台が日本にある。その結果、今日でも実質的にはインターネットを流れる情報の8割以上は米国を通るといわれており、その情報はNSAが監視し続けているのである。

 PRISMの存在は2013年にスノーデン事件によって発覚した。世界中でビジネスを行っているマイクロソフト、グーグル、ヤフー、アップルなどの主要米国IT企業が、そのユーザー同士のやり取りすべてをNSAに筒抜けにしていたのである。米国の国民の抗議により、オバマ大統領は自国民に対しても盗聴はやらないと宣言した。しかし、他国民に対してはやらないとは言ってはいない。ファイブアイズによって、英国のGCHQは米国民の情報を盗り、英国の国民の情報を米国が盗ってお互い交換しているとの説もある。

 PRISMは、インターネットに流れるコンテンツや電話の会話を傍受し盗聴する。同盟国に対しても、日本を含む38の大使館・代表部の通信を傍受している。メルケル首相が怒ったが、ドイツの諜報機関もNSAと情報共有しないと国際テロ対策はやっていけない現実がある。諜報機関同士は仲間のような関係がある。2014年1月にパリで編集者が襲われ、28人が犠牲になった。この事件を境にフランスでは非常事態宣言がなされ、令状がなくても通信傍受、家宅捜査ができるようになった。ところがその年の11月にパリで同時多発テロが起きて再び犠牲者が出た。フランスはこれに衝撃を受け、米国のNSAや英国のGCHQに情報の収集、分析で協力を要請せざるを得ないことになったといわれている。

 暗号についても、NSAが暗号の国際標準を操作していたといわれており、NSAに解読できない暗号は普及し得なかった。しかし、スノーデン事件以降、そのような事はなくなったといわれている。日本は暗号の開発を国家的に更に進め、活用することで国益を守るべきである。たとえ解読されてもそれが何十日もかけて解くのであれば一定の意味があるともいえる。NSAが解読能力を持ってしてもすぐに解けないレベルの暗号を利活用すべきである。

3. ビッグデータ時代のインテリジェンス

 ビッグデータの時代になり、国家のインテリジェンスはネット上の様々な情報を集めることが仕事の大きな部分を占めるようになってきた。つまり国のインテリジェンス能力は、巨大なデータを収集、貯蔵、保存、管理、分析する力で決まるのである。ビジネスも同様で、できるだけデータを集めてそれを解析し、アルゴリズムを作ってサービスに結び付けることで、ビジネスになるのである。

 NSAはユタ州のブラフデールという小さな町に巨大なデータセンターを建設した(下の写真)。その規模はワシントンDCの米国議会の5倍の大きさといわれている。そしてその容量は50億テラバイトと言われ、世界中で電子化されネットにつながっているデータのほとんどすべてが集められていると言っても過言ではない。さらにメリーランド州にも新しいデータセンターを建設している。

 他方、サイバー人材の育成の問題もある。世界中どこでも、ITの一流技術者やハッカーのトップガンのような人たちは変わり者が多い。政府機関や企業においてそういう人物を如何にリクルートし、管理するかは大きな問題となっている。米国や韓国ではハッカー大会などでリクルートしそれ相応の賃金を払うのである。

 英国のGCHQに人材をどう確保するか聞いた。給料は民間の方が3倍くらい高いけど、民間は防御が中心で面白くない。GCHQに来ると攻撃も含めいろいろなことができるので面白くやりがいがあるから人が集まるという。

4. おわりに

 このようにサイバーインテリジェンスが進展していく中で、国や企業はどのような対策を取ればいいのか。ひとつは多層防御である。また、攻撃されたらすぐにネットワークから分離することも重要である。サイバーセキュリティは、情報セキュリティと言われていた時代には、担当者は防ぐことだけに意識が向いていた。しかし、標的型メールのようにもはや防ぐことが難しくなった今は、入ってきたと分かった時点で遮断するような措置を取ることが重要になっている。

 また、IoT時代ではセキュリティバイデザイン、つまりシステムの企画・設計段階からセキュリティの確保を盛り込むことが大事である。自動車や家電はこれまでサイバーセキュリティを考慮することはなかった。従ってこれらがネットにつながれば攻撃されるのは当然である。すべてセキュリティ機能をつけることは大変である。スマートシティ、工場、制御機器も同様である。最初からセキュリティを考慮しなければならない。

 さらに、最近では人工知能の活用がある。標的型メールは届いて初めて認識され、分析してワクチンを作った。それを深層学習（ディープラーニング）によって、今までのパターンを解析し、未知の攻撃を予測して防ぐのである。シリコンバレーや中国でもこの研究が盛んに行われている。

 最後に、我が国が今後どういうことをやるべきか、お話したい。まず、国としてはサイバーセキュリティの普及啓発活動、研究開発、特にAI、暗号などに積極的に取組むことが必要である。また、人権問題をよく考慮したうえで重要インフラにおける信頼性確認制度の確立が必要となる。機微な情報や重要な知的財産についてはそのデータベースを国内に設置すべきである。さらに、権力の暴走をチェックする機関を確立させた上で法の執行機関による通信傍受も検討すべきである。通信傍受に関しては、行政傍受は認められていないが、司法傍受がこれまでも麻薬取引、殺人などで認められている。政府調達の機械機器におけるバックドアもよく検査しなければならない。

 一方、サイバー戦における日米同盟やサイバー犯罪に対する国際協力も重要である。加えて、将来的にはサイバー国境のようなものを作る必要があろう。日本は海外との情報流通の99%を海底ケーブルによって行っている。海底ケーブルの出入り口が全国に16カ所あるが、そこに人工知能によるファイヤーウォールのようなものを作り、海外からの不正アクセスを防ぐと同時に国際テロ等の海外犯罪情報の通信傍受を行う必要がある。トランプ政権によって日本の防衛をどうなるか議論があるが、コストの点からいえばこのような情報網の整備は極めてリーズナブルといえる。

 いずれにせよ、今後日本国民の生命と財産を守っていくには、サイバーセキュリティに対して国家規模で人材と資金を投下していくことが必要不可欠かと思われる。