日本のサイバー防衛がグローバルスタンダードになるためのヒント

2017年12月14日 07時00分更新

文● 細谷元（Livit ）　●編集　村野晃一

　サイバー防衛の世界的権威であるヤーン・プリッサル氏（エストニア）とグローバルスタートアップ、プラネットウェイ代表の平尾憲映氏によるサイバーセキュリティー対談。

　第1回は「日本という土壌のなかで、サイバーセキュリティーをどう考えるべきか」をテーマに議論し、プリッサル氏からサイバー防衛システム構築においては社会・文化的な文脈を知ることが最も重要であるというアドバイスを得た。

　第2回は、2007年に起きたエストニアへのサイバー攻撃を踏まえ「日本がグローバルレベルのサイバー防衛システムを構築するために今何が必要なのか」を議論する。

Speaker：
プラネットウェイ代表取締役CEO
平尾憲映

1983年生まれ。エンタメ、半導体、IoT分野で3度の起業と1度の会社清算を経験する。学生時代、米国にて宇宙工学、有機化学、マーケティングと多岐にわたる領域を学び、学生ベンチャーとしてハリウッド映画および家庭用ゲーム機向けコンテンツ制作会社の創業に従事。在学時に共同執筆したマーケィングペーパーを国際学会で発表。会社員時代には情報通信、ハードウェアなどの業界で数々の事業開発やデータ解析事業などに従事。

プラネットウェイアドバイザリーボードメンバー
ヤーン・プリッサル

サイバー犯罪者や高度なサイバー攻撃に対応してきた15年以上の実務経験から、重要インフラや情報資産の防衛の分野の世界的権威。また、同氏は、エストニア共和国のサイバーディフェンスユニットの副司令官。以前は、エストニア最大の銀行でITリスクマネージメントのリーダーを務め、2007年にエストニアに向けて実行されたサイバー攻撃への対応において、重要な役割を果たした。また、新興テクノロジー企業数社でCTO(最高技術責任者)およびエンジニアを歴任。タリン工科大学とフランスのトゥールーズにあるポール・サバティエ大学で修士号を取得、公認情報システム監査人(CISA)の資格を所持。2014年にはエストニア共和国大統領からホワイトスター勲章を受章。現在Priisalu氏は、「NATO Cooperative Cyber Defense Centre of Excellence」で、技術演習を企画した先導者のひとり。彼は自身のエージェンシーからボランティアやセキュリティエクスパートの集結を支援し、数年来ホワイトチームを指揮。

2007年の教訓、サイバー空間での争いは現実空間に出現する

平尾　まず2007年に起きたエストニアへのサイバー攻撃に関して、当時エストニア側のサイバー防衛でサイバーディフェンスユニット副司令官として、中心的な役割を担っていたヤーンさんに、サイバー攻撃を受けてからエストニア国内外でどのようなことが起こったのかについて聞きたいと思います。

プリッサル　 2007年当時、エストニアがサイバー攻撃のターゲットになったのは明らかでした。攻撃を受けた理由の1つに、電子政府という攻撃対象ができたことがあげられるでしょう。

　このサイバー攻撃をきっかけとして、エストニアだけでなく、周辺国含め国際的な議論が拡大したことを覚えています。それまで、これほど大規模なサイバー攻撃はなく、そのような攻撃を想定した対応についても議論されることはなかったのですが、この攻撃がきっかけとなり各国が議論するようになりました。

　ちなみに、日本のマイナンバー制度もここから始まったといえるでしょう。というのも、当時エストニアへのサイバー攻撃について取材していた日本のジャーナリストが書いた記事によって国民のデジタルIDという考えが日本でも議論されるようになったからです。

平尾　それは知らなかったですね。驚きました。

　エストニアの事件をきっかけとしたサイバー防衛議論が広がったのは、核の議論とも似ていますね。日本に核爆弾が落とされるまで、誰も核開発や核拡散を止めようとしなかった。第二次世界大戦で日本に核爆弾が落とされ、やっと国際的に核攻撃・拡散について議論されるようになった。

プリッサル　そうですね。状況は非常に似ていると思います。

　2007年にエストニアで起こった事件は翌年2008年にも続き、それはジョージアに飛び火していくことになります。サイバー空間での争いが現実空間に影響するということを、多くのひとびとが目の当たりにしたはずです。ジョージアでサイバーオペレーションと軍のオペレーションがシンクロしたことにも見てとることができます。

　そして、2010年、11年にも同様のことが起こりました。当時、チュニジアから来た学生がいたのですが、そのとき彼は、チュニジアで起きていることは、2007年にエストニアで起きたことと同じだと言うのです。つまり、サイバー空間が現実空間に影響するということなのですが、実際その1カ月後に「アラブの春」が始まったのです。

　サイバー空間で起こることがトリガーとなって、現実空間に影響をもたらすようになっていること。紛争のきっかけは、サイバー空間で起こるということ。これを理解することが重要です。

日本のサイバー防衛能力強化へのヒント

平尾　エストニアで「サイバー防衛協力センター」が2008年に設置されましたが、これはやはり2007年の事件がきっかけとなったのでしょうか。

プリッサル　実は、センター開設に関して2003年には議論され始めていたんですよ。そして2005年に公式にプロジェクトを開始しました。2008年はNATOが認定した年となります。もちろん2007年の出来事は、センター開設へのモチベーションを高めることになりましたが。

　NATOは、そのオペレーションに関わるトレーニングや研究のためのセンターを複数開設していますが、サイバー防衛協力センターはその中でも世界最大規模のものとなります。

平尾　現在、日本でもサイバー防衛能力の強化やサイバー防衛部隊を整備・強化すべきと専門家からの声があがっています。特に北朝鮮問題の深刻化や東京オリンピックが近づくにつれて、一層こうした取り組みを進めるべきといわれています。もちろん整備されている部分もあるのですが、グローバルスタンダードで見ると、十分ではないのが現状です。この点で、日本がエストニアやサイバー防衛協力センターから協力を得られると、サイバー防衛能力の強化につながるのではないかと思います。

プリッサル　 NATOにおける合意があれば日本も参加することができるでしょう。

　しかし、サイバー防衛は社会的プロセスを防衛することであるといったように、問題が発生する国・地域でサイバー防衛システムを構築すべきなのです。サイバー防衛には法律が絡んでくるので、国や地域という考えは非常に重要です。

　日本には「サイバーセキュリティー基本法」という法律があり、国や地方自治体の責務が言及されています。法律自体は良いものであると思います。あとは、実行するときにどうするのかということです。

　重要なのは、サイバー防衛は既存の防衛とは少し違うので、軍や自衛隊だけでは実施できないということを念頭に置くことです。

平尾　なるほど。つまり、国、自衛隊、民間企業などさまざまなプレーヤーの連携が必要になるということですね。

プリッサル　その通り。その中でも非営利プレーヤーの重要性を忘れてはいけません。なぜなら、サイバー防衛では、非営利プレーヤーが、営利プレーヤーとのバランスを取る役割を担ってくれるからです。

　ちなみに日本では、サイバー防衛部隊の整備・強化について現在どのような温度感で議論が進められているのでしょうか。

平尾　サイバー防衛部隊の整備・強化を必要と考える声は少なくないです。ただ、考えるだけで、なかなか積極的に実行するひとや部隊が出てこないのが現状です。机の上で考えるものの、失敗を恐れて実験ができない。

　ぼく自身はサイバー防衛に関わるテスト環境が整えば、実行するひとが出てくるのではないかと考えています。日本がサイバー攻撃されている場面をシミュレーションし、そこでさまざまな実験を行い、政府に防衛システムが機能することを示せると思うのです。また、優れた人材を育成する教育プログラムの確立も重要だと考えます。あくまで、グローバルスタンダードのレベルで。

　エストニアでは、そのようなテスト環境を整備するなどしているのでしょうか。

プリッサル　エストニアとNATOは、サイバー防衛トレーニング用の仮想環境「サイバーレンジ」を構築し、サイバー防衛能力の強化に役立てています。

　一方で、日本は技術的に非常に優れていて、他の国にはない強みを持っています。その強みを生かせば、サイバー防衛分野でも何かユニークで強力なソリューションを生み出せるはずです。

　日本はまだエストニアが受けたほどの大規模なサイバー攻撃を受けてはいないが、同じレベルの攻撃がいつ起こっても不思議ではない状況である。エストニアの教訓を踏まえ、日本がどこまでサイバー防衛能力を高めていけるのか。専門家だけでなく、国民1人1人が意識を高めていくことも重要といえるのではないだろうか。次回は、ブロックチェーンや人工知能など、サイバーセキュリティー分野における先端テクノロジーの活用と可能性について、そしてその先にある資本主義の未来についての議論をお伝えしたい。

構成・文：細谷元（ Livit ）

(提供：プラネットウェイ)

■関連サイト