年金やソニーピクチャーズの情報流出 日本のサイバーセキュリティは大丈夫? 慶応・土屋教授に聞いてみた
米国がいつまでも無制限に日本を守ってくれると思っていたら大間違い。米国家安全保障局(NSA)の情報収集の拠点になってきた青森県三沢基地からシギント部隊が撤収するか、規模を大幅に縮小する可能性があるという。米国も予算の制約からこれまでのようには大盤振る舞いできなくなっている。筆者は米当局者から撤収または縮小の話を聞かされた時、正直言って驚いた。
当たり前のことだが、日本の安全保障に一番大きな責任を負っているのは日本だ。いつまでも安全保障を米国任せにして、一国平和主義の幻想に浸っていて済む時代は終わったのだ。情報収集、すなわちインテリジェンスについても、これまで以上の役割が日本に求められている。1983年の大韓航空機撃墜事件で、撃墜の詳細が稚内の自衛隊基地にいたNSA分遣隊と三沢基地の象の檻で記録され、傍受記録が米国から発表された。
時代は無線からデジタルに変わった。NSAや英政府通信本部(GCHQ)の市民監視プログラムを暴露したスノーデン事件でもはっきりしたようにインテリジェンスの世界もデジタル化している。この世界の第一人者で、新著『サイバーセキュリティと国際政治』の中で恐ろしいまでのリアルを描き出した土屋大洋・慶応大学教授を直撃した。
――NSAのシギント網に組み込まれてきた青森県の三沢基地から米軍が撤退するか、大幅に縮小する方向で検討していると聞きました。どういう背景があるのでしょうか
「全体像として考えた場合、日米英の連携の中で、米英が日本をプッシュしてきています。日米協議や日英協議がサイバーセキュリティに関して行われています。米国の発想では昔ながらの地政学の話があって、ユーラシア大陸にある中国なり、ロシアなりを監視しておきたい。昔で言う封じ込めです。サイバースペースの中でも、その封じ込めを考えています」
「大西洋を挟んでヨーロッパ側から見たユーラシアの封じ込めというのは英国に任せているところがあります。欠けているのは太平洋を挟んで、東側から見た時のユーラシアの封じ込めです。そこを日本にやってもらいたいというのが今、米英に共通した了解になりつつあります」
「ファイブアイズと言って、エシュロン(米国を中心に構築された通信傍受システム)を引き継いだサイバー同盟があります。米英に加えてニュージーランド、オーストラリア、カナダの5カ国です。しかし、地理的な問題からすると日本にパートナーになってもらうのが重要だということです。三沢基地から米軍が手を引くというのはいろいろと財政上の問題があるのかもしれません」
「米軍としてはこれまでやってきたことの肩代わりを日本にやってもらいたい。日本側も防衛省の情報本部などでいろいろやってきたわけです。アナログの無線の世界からデジタルの方にも広げていくという方向でいろいろ日米協議をやっています。そういう話が背景にあると思います」
――情報収集に関して、日本は三沢基地という場所を提供していただけですか
「人員は提供していないと思います。これも憲法問題で、通信の秘密が憲法21条に入っています。日本は通信の秘密を尊重し、国内では通信傍受をやらないという立場です。もちろん自衛隊が傍受していた無線通信は外国の通信ですから、外国人の人権を日本国憲法で守る必要はないので、それは構わないでしょうという議論もありました。国際政治の世界では周辺国の動向の監視は不可欠です」
「無線の世界だと、無線を傍受することは違法でも何でもありません。ラジオを受信する、テレビを受信するのと同じで、無線を傍受するというのはそれほど問題がありませんでした。しかし、現在のサイバーセキュリティといった場合、ほとんどが有線のケーブルなので、それを傍受するというのは第三者が勝手にできるものではなく、事業者の協力が必要です」
「昔は米国のNSAも、英国のGCHQも、海底ケーブルを傍受していました。しかし、かつての同軸ケーブルから光ファイバーになってしまったら、もうできない。米国では、いろいろな法的枠組みを整え、例えば、米連邦捜査局(FBI)はナショナル・セキュリティ・レターという命令書を使って事業者に協力させるようになっています」
「ところが日本は法執行目的以外で通信を傍受するための法的な枠組みがありませんから、政府も通信事業者に言うことを聞かせられないし、まして米軍だろうが、米国政府だろうが、日本の通信事業者に協力しろとは言えなかった。日本側からも協力できませんという話でした」
――これから日本はやりますということになるのでしょうか
「その約束はしていないと思います。ただ、通信のモニタリングは、いずれ日本自身のサイバーセキュリティ対策としてやらなければいけないことです。2013年6月に出たサイバーセキュリティ戦略ではその点が言及されています。『通信の秘密』という言葉が2カ所に入り、検討を促すように求められています」
「憲法の21条、電気通信事業法の4条が検討の対象になりますが、憲法の精神を守りながら、法益のバランスを考え、何ができるかを考えることになるでしょう。2013年6月のサイバーセキュリティ戦略決定以来2年間、総務省を中心にいろいろな検討が行われてきました。それまで総務省や通信事業者は通信の秘密を堅実に守ってきました。それは戦争の反省に基づく、重要な姿勢だったと思います」
「その上で、今のサイバー攻撃対策を考えていく際に、変更の必要性はないかを考えなければなりません。日本年金機構のような事案があると何をしているのかという批判が出ますが、日本年金機構自体に不備があったとしても、周辺の通信事業者にログ(通信記録)が残っていたり、通信の監視ができていたりすれば、より良い、より早い対応ができたかもしれません」
「1999年に犯罪捜査のための通信傍受に関する法律が公布されました。それはインテリジェンス目的ではなくて、法執行目的です。例えば、ほぼ確実にこの人は麻薬取引に関わっているでしょうという時だけ使えるので、まだ年間20件ぐらいで、携帯電話だけが対象だと思います」
「データ通信を傍受することは、法執行目的でも日本ではほとんど行われていません。テロの未然防止目的でやることもありません。そこをどうするかというのが検討課題ですが、安全保障関連法案でこれだけもめている安倍政権でそれをやるとなったら、さらに騒ぎが大きくなりかねません。そこは今、手を出せないと日本政府は米国政府側に言っているのではないでしょうか」
――日本のサイバー防衛隊と米国のサイバー軍の合同訓練は行われていますか
「多国間で行っているサイバーストームという演習が一番有名です。米国防総省がやっていて、実質的にNSAが仕切っている演習に日本も参加するようになっています。たぶん2国間ベースでも何らかの協力を行っていると思います。ただ、規模も予算も能力もまったく違います。対等にはできません。NSA長官でサイバー軍司令官のマイク・ロジャースは4つ星の大将ですが、日本のサイバー防衛隊のトップはまだ一佐です。だから3〜4階級違うわけです。対等に話をすると言っても、トップ同士が対等に話をできる感じではありません」
「米軍はサイバー軍を来年までに6千人にすると言っています。日本のサイバー防衛隊は、公式な数字は出ていませんが、報道では90人です。陸海空それぞれの自衛隊にシステム防護や通信担当の人たちがいますから、合計すると数百人はいます。しかし、サイバーに特化した部隊はまだ90人です。日米合同で何かやりますというレベルではとてもありません」
――安全保障関連法案でこれだけ大騒ぎになってしまったので、サイバーセキュリティで日米連携と言ってもなかなか議論できないですね
「2〜3週間前にちょっとした事件がありました。集団的自衛権の検討のとき、安倍晋三首相がサイバーセキュリティについて言及したため、米国がサイバー攻撃受けた時に日本の自衛隊が出ていくのかと野党が質問しました。防衛省と外務省は、そういう可能性もあるという趣旨の回答をしました。しかし、回答を出した側と受け取る側に大きな誤解がありました」
「サイバー攻撃の定義についてタリン・マニュアル的な定義を防衛省は想定しています。タリン・マニュアルとは、北大西洋条約機構(NATO)の研究所が各国の専門家を集めて2013年にまとめた『サイバー戦に適用可能な国際法についてのタリン・マニュアル』のことです。そこでは、物理的な破壊があったり、人命の損失があったりする事態をサイバー攻撃と想定している。サイバー攻撃の定義が狭く、厳格なわけです」
「しかし、防衛省・外務省の回答書を読んだ人たちは、ソニーピクチャーズのような広義のサイバー攻撃を米国企業が受けたら自衛隊が出て行くと勘違いしてしまった。そうしたらそれが新聞に伝わって記事になり、テレビも騒ぎ出しました。しかし、文脈が全然違いますよということで収まりました。日本の受け止める人たちがまだ分かっていないところがあると思います」
――日本では安全保障やサイバーセキュリティについてパブリック・ディベートの場がありません
「政府の中核の会議であるサイバーセキュリティ戦略本部に関わっている人たちは間違いなく分かっていると思います。有識者メンバーとして7人、民間から入っていますが、そこに法律の先生が3人もいます」
――米国のサイバー部隊が6千人に増員される中で、どうして三沢から撤退するのでしょうか
「とても大きな変化は無線から有線に変わっているということです。短波無線を飛ばす、マイクロウェーブで何かを飛ばすことは減ってきています。海上にいる船が無線を使うことはもちろんありますが、国際通信の95%は海底ケーブルを通っています。もう5%未満なので、無線通信を傍受していても大した情報は取れなくなっています」
「軍事情報で軍隊の部隊と部隊がやる通信を傍受するためには多少意味があると思いますが、現在のサイバーセキュリティの世界では従来のような無線通信の傍受は減っています。アンテナを張っている意味というのはそんなに大きくなくなっているのが現状です。携帯電話も全てが無線通信なのではなく、基幹網は有線の光ファイバーです。基地局のアンテナから利用者の端末の間が無線になっているだけです」
「特に日本は島国なので国際通信は99%海底ケーブルを通っています。日本で何か無線を三沢で取る意味は北朝鮮のような国がターゲットになります。あるいはロシアの極東の方で軍が使っている、海上の船が使っている、潜水艦が使っているということがあれば取るんですが、全体の通信の容量のほとんどが海底ケーブルになっています」
――集団的自衛権の限定的容認とかかわってくることはありますか
「極めて限定的なケースしかありません。例えば米国に対するサイバー攻撃が起きて、そのサイバー攻撃の結果、どこかのダムが破壊されるとか、飛行機が落ちるとか、そういうサイバー的な手法を使って何か物理的な大きな被害が出て、人命が損なわれる事態が起き、その結果、米国だけでなく日本にも何か危機が迫ることが明白になるというケースのことなので、ほとんどあり得ない」
「あり得るとしたら極めて限定的なケースですが、例えば、ハワイに太平洋軍司令部があって、太平洋軍司令部の通信機能がサイバー攻撃で失われる。そうすると在日米軍、在韓米軍に対する指揮命令系統が失われる可能性がある。そうした時に中国なり北朝鮮なり軍隊を動かそうとしているとか、ミサイルを発射しようとする動きを探知できたとき、日本は当然、何か手伝わないといけないということになる」
「日本の危機でもあるとなったらサイバーと関係なく有事なので、普通の集団的自衛権ないし個別的自衛権発動の事例になる。サイバーの世界、サイバースペースで情報を盗んでいるだけだったら、狭義のサイバー攻撃にはなりません。もしそうなってしまえば普通の自衛権の対象ですから、今まで整理されていることで良いと思います。サイバースペースの中だけで完結する武力攻撃に当たるサイバー攻撃と言うのは考えにくい」
――特に米国のネット企業の技術はすごく進んでいる。日本は民間の技術も低く、世間の関心もそれほど高くない。そういう国が米国や英国と対等にやっていけますか
「ユーザーレベルのアプリケーションサービスが少ないのはその通りですが、日本国内で物理的なインフラの回線を持っているのは日本の事業者ですから、そこはたとえばNSAでも違法に傍受するか、日本の事業者の協力を得るかしかない。違法に傍受するのはかなり難しい。物理的なアクセス網にタッチしない限り情報は取れなくなってきています」
「それこそNTTの局舎の中に入り込む、NTTが持っている巨大なパイプが道路の下にあるのですが、そういうところにアクセスしない限り情報を取れなくなってきている。そこまで大規模なオペレーションを米国が日本国内でやるとは考えにくい。日本側の法的な制度を整えて、日本の事業者が日本政府に協力する形で情報を取り、日本政府と米国政府との間で協力するのが一番スムーズで、確かな方法です」
「米国や英国の人と話していて、日本には憲法も法律もあって傍受は簡単ではないと言ったら、本当なのかと笑われました。米国や英国で日本と協力したいと思っている人たちは日本がそういう状況にあることをまず理解していません」
「日本も当然やっているはずだろう、中国の情報を取っているだろう、中国とつながっている海底ケーブルを見ているだろう、と思っています。そこがとても大きな認識の差で、日本がそういう法律になっていないと説明してもなかなか分かってもらえません」
――日本の通信事業者はNTT、KDDIなどですか
「NTT、KDDI、それにソフトバンクも入れて主要なところは3社ありますが、海底ケーブルについてはNTTとKDDIが多く持っています。しかし、現在の海底ケーブルの多くは複数国の事業者によるコンソーシアムが保有していますし、つながっている相手側の外国が傍受することは止められません」
――それをすべて米国に吸い取られたら、大変な騒ぎになりますね
「日本国内の通信まで勝手に吸い取るということは考えにくいでしょう。日本版NSAや日本版GCHQがないわけです。つまり、米英の組織のカウンターパートになる組織が日本にはありません。やれと言われても、日本はできませんというのが正直なところです。立て付け上は防衛省の中にある情報本部です。情報本部は無線傍受をやってきたところです。米軍の三沢基地での活動に協力してきたのは情報本部です」
「情報本部は日本で一番秘密の組織の一つで、何をやっているのか教えてくれません。ある人に言わせると、かなりやっていますよといいますが、他の人に言わせると、全然ダメだということになります。法律上は有線の公衆網の傍受はできないはずですし、それに対応する組織もないはずです。米英に協力したいとしても、できていないだろうというのが私の見方です。今の安保法制を早く片付けて、こちらの検討に移ってもらいたのですが、現在の政治情勢ではすぐには無理だろうと思います」
――野党の反対はスゴイでしょうね
「釈迦に説法ですが、マスコミの皆さんも嫌がるでしょう。おそらく、取材源が政府に知られてしまうのは困るというキャンペーンを張るでしょう。いろんな記者さんと話すと、『原則論はわかりますが、実際のところは困りますね』という反応です。しかし、報道規制のための通信傍受は違法です」
――英国では実際にGCHQが記者を盗聴していますね
「日本ではメディアの皆さんが大反対キャンペーンを張ると思います。正当な理由もなくすべて聞かれてしまうの?という世界にしてはいけません」
――これまで米国が内緒でインテリジェンスについてもやってくれていたんでしょうか
「一方的にあげておいた方がいいなという情報は日本にくれていたと思いますが、日本がリアルタイムに米国の情報にアクセスできることはありませんでした。衛星情報とまったく同じ構図で、昔、日本は情報収集衛星を持っていませんでした。シャッター・コントロールといって、米国側が日本側に渡してもいいな、渡しておいた方がいいなという衛星写真だけをくれていたわけです。日本は今この写真がすぐに欲しいと言ってもくれないわけです」
(注)シャッター・コントロール 自国に不利になる恐れがある場合、地域を指定して撮影や衛星写真の販売を大統領令で禁止したり、米国の偵察衛星技術を利用している他国の衛星にあらかじめ特定地域の撮影を行なえないよう規制をかけること
「仕方がないから、米国の衛星よりも性能が落ちるのは分かっていながら自前の収集衛星を打ち上げました。解像度が落ちたとしても今欲しいという時に撮影できるように打ち上げたわけです。そこは賛否両論があって、米国に頼っていれば良い、自前で上げたって意味がないという人もいました」
「しかし、防衛省(当時は庁)は、他国がいつミサイルを準備しているのか見られるようにしたい。今、通信の世界にインテリジェンスが移ってきて、米国にくださいと言っても、気が向いたときだけくれるという状況では困ります。本当は自前でとれるようになった方が良いと思います」
――米国ではサイバー上のインテリジェンスと従来の犯罪捜査とどう違いますか
「米国は、法執行(犯罪捜査)とインテリジェンス活動の間に一所懸命、壁をつくろうとしていました。法執行のFBIがやることと、インテリジェンスのNSAがやることは違う。FBIの業務には、法執行とインテリジェンスの両方が入っていますが、壁で仕切られていました。そのため、9・11の時に情報共有ができず、テロを防ぐことができませんでした」
「壁をとれと9・11報告書は指摘したわけです。そこを少しだけ下げようかと言ってはいたのですが、NSAの内部告発者エドワード・スノーデンやトーマス・ドレイクはやってはいけないと告発したわけです。そこをやると、なし崩しの監視国家になってしまう。犯罪捜査のために通信傍受を使うのは手続きを取らない限り違法だというのが米国の仕切りです」
「最初の情報源がインテリジェンスだった場合は、その情報を犯罪捜査のために使ってはいけないことになっています。インテリジェンスでつかんだ情報を犯罪捜査で使うとなると、制限がなくなります。国際サッカー連盟(FIFA)の汚職のような話をNSAが気づいても、それを捜査当局に渡してはいけません。知っていたとしても、筋が違うというのが普通の理解です」
(おわり)