参議院内閣委員会にて参考人意見陳述

2025年5月8日の参議院内閣委員会にて、重要電子計算機に対する不正な行為による被害の防止に関する法律案及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案について、意見を述べました。

• 参議院公報
• 動画。

要旨は次の通りです。

参議院内閣委員会　参考人の意見

芝浦工業大学　准教授　持永　大

要旨

能動的サイバー防御は、日本が欧米主要国と同等以上の対処能力を備え、被害の顕在化を防ぐために必要な能力である。能力必要性の背景として、サイバー攻撃の洗練化により、防御側の対処が限界に達していることを指摘する。これらを踏まえ、課題として官民・国際連携の充実、体系的な対処と監査の円滑化、及び科学技術・人材への投資を指摘する。

1. サイバー攻撃の洗練化と防御の限界

• 近年のサイバー攻撃は、攻撃手法の洗練化に加えて、規模の大きさやしつこさが特徴である。これらの攻撃は、ある期間内に特定の組織・分野を標的とし、特定の手法・インフラを用いて繰り返し行われる攻撃活動である。専門家は繰り返して行われる一連の活動を攻撃キャンペーンと呼んでいる。
• 攻撃キャンペーンは、その期間が長く、潜在的な被害規模が大きい。2024年1月に米国政府が対処した中華人民共和国を背景とするボルト・タイフーンと呼ばれる組織による攻撃は、少なくとも5年間にわたって続いた。一方、防御側は、兆候をつかんで対処するまでに2年半を費やした。攻撃キャンペーンの洗練化・長期化に伴い、防御側は複数の手段を用いて対処を多様化している。
• しかし、現状の対処にはコストと網羅性の限界がある。防御側が全方位の守りを固めることは高コストであり、網羅的かつ完璧な対策は難しい。また、これらの限界の要因の一つは、悪用されているコンピュータの修復を、管理者の自主的な行動に委ねている点にある。この限界は、攻撃者が脆弱な状態で放置されているコンピュータを大規模な攻撃に悪用できる状況を生んでいる。
• この状況が続けば、日本にあるコンピュータが攻撃者に悪用され、国内の重要インフラ等がサイバー攻撃をうけるだけなく、悪用されたコンピュータを経由して他の国にもその被害を拡大させることにもなる。
• 国連政府専門家会合報告書は、「国家がその国内で情報通信技術が悪用されている状況を許してはならない」という国際的な規範を示した。能動的サイバー防御は、この規範に応える手段の一つといえる。
• アクセス・無害化は、他の対処と組み合わせて実施する最後の手段として位置付けられる措置であり、必要性・正当性のある場合に実施されるべきである。
• 本法案の通信情報の活用は、サイバー攻撃の兆候をとらえるのに有効であり、アクセス・無害化は、脆弱なコンピュータを、攻撃者が悪用できないように政府が管理者に代わって対策することを可能とする。これによって、攻撃キャンペーンを終了に追い込むことが期待できる。

2. 課題

2.1. 官民・国際連携の充実

• 各省庁は、対処手段についての共通理解を持っていない。今後は、共通認識を醸成した上で政府と民間組織の情報を統合し、官民の組織が同じ情報を見て連携し、各自が役割に応じて対応することが重要である。
• 政府による情報共有の在り方を再検討し、効果を高めるべきである。今後は、政府が新たに独自の仕組みを構築するのではなく、JPCERT/CC等の既存の信頼ある情報流通チャネルを活用し、官民が相互にフィードバックし合える体制を整備することが重要である。
• 国家安全保障会議は、国内の対処を開始する時点であっても、国際連携を前提とした対処方針を定めるべきである。サイバー攻撃への対処は、国境を跨ぐことが必要な場合が多い。
• 諸外国への支援や、支援を受け入れる態勢も必要である。積極的に同盟国・同志国と情報交換を行うだけでなく、運用面でも意思疎通を密にし、お互いの能力や組織文化に対する理解を深めることが重要である。
• 多国間での実践的演習を通じて、平時から連携を深めることで、危機発生時の円滑な協調体制を確保することが不可欠である。

2.2. 体系的な対処と監査の円滑化

• 適切なタイミングでサイバー攻撃対処をするために、体系的な対処と監査の円滑化が必要である。政府が実施する注意喚起やアクセス・無害化を含む措置の実施は、慎重な検討が必要な一方で、対処の有効性を高めるようなタイミングで実施することが重要である。これまで政府が行ってきた一部の対処は、タイミングを外しており有効でないものがあった。そのため、体系的な対処として、通信情報の活用によるサイバー攻撃の兆候の認知から、対処の目標や計画の策定、措置の実施判断、効果測定、実施後の評価といった手順を確立することが必要である。
• 体系的な対処の確立において、監査を円滑化する工夫も必要である。例えば、各手順において検討・承認にかかる過程をシステム化して、迅速かつ確実な措置を目指すべきである。その際、各手順の根拠や責任者を記録に残すなどして、政府が各段階における説明責任を果たせるようなものとすると良い。

2.3. 科学技術・人材への投資

• 我が国のサイバー人材の不足を解消するのは、科学技術・人材への投資である。意義・やりがいを訴える段階から、資金を投じて基盤を強化する段階へ移行する必要がある。
• 政府や民間企業に高度な人材を供給できるよう、大学等での教育をはじめとする科学技術への投資の絶対額を増やすことが必要である。また、予算配分の方法として、研究テーマや配分機関の重複を許し、多数の研究者に研究費を配る方式を採用すべきである。
• 人材への投資について、給与水準が低いことが課題である。政府は、技術・法律・国際関係などの幅広い知見に基づく慎重な意思決定が必要であることをふまえ、領域横断的な能力を有する行政官・技官の給与を引き上げるべきである。民間から人材を登用する場合、政府は彼らがこれまでに獲得してきた能力、経験、及び資格に費やしたリソースに見合う給与を用意して迎え入れるべきである。
• これらの人材が政府内でサイバー分野を中心としてキャリアを積み重ねることができるようにする必要がある。サイバー分野を中心としつつ領域横断的な専門知見を有する行政官・技官を養成することを念頭に、職員の異動時にサイバー分野に関連する異動先に配置するなど、サイバー畑を歩めるようなキャリアパスが必要である。

以上