{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
慶應義塾大学土屋教授と語る「サイバー空間における国家安全保障」
2021-08-02
サイバー空間は「陸・海・空・宇宙に次ぐ第五の戦場」と言われています。目に見えないサイバー空間には国境はないものと捉えられがちですが、そこでは国家間の熾烈な“競争”が行われていることを忘れてはなりません。今回は地政学的見地からサイバーセキュリティを研究されている慶應義塾大学の土屋大洋教授をお迎えし、サイバー空間における国家の安全保障についてお話を伺いました。
(本文敬称略)
対談者
慶應義塾大学 大学院政策・メディア研究科 教授
土屋 大洋氏
PwCコンサルティング合同会社 テクノロジーコンサルティング パートナー
丸山 満彦
(左から)丸山 満彦、土屋 大洋氏
選挙防衛にサイバー軍が出動する時代
丸山:
土屋さんは国際政治学者という立場から、サイバー空間が国際安全保障にどのようなインパクトを与えるかについて研究されています。近年は国家組織の関与が疑われるようなサイバー攻撃が急増していますが、現在、土屋さんが一番関心を寄せている国際的な動向は何でしょうか。
土屋:
サイバー攻撃に対する米国の対応は常に注目しています。「政治」と「サイバー」の観点から見て興味深いのは、大統領選挙です。2016年の大統領選挙では、米国と対立する他国からの干渉が指摘されました。2020年の選挙でも同様の干渉が懸念されていましたが、実際にはほとんどなかったと聞いています。
米国には16分野の重要インフラがあります。政府施設もそのひとつです。バラク・オバマ元大統領は、自身が退任する直前の2017年1月に、選挙を国土安全保障省が担当する政府施設のサブセクターと位置づけました。その目的は、米国連邦軍が選挙インフラを防衛できる体制とし、米国サイバー軍が選挙インフラに対する外部からの攻撃を阻止できるようにするためです。
2018年の中間選挙においては、多くの選挙干渉を米国サイバー軍が防衛したと報じられています。中間選挙を乗り切った後、米国サイバー軍司令官のポール・ナカソネ(Paul Nakasone)氏は、「2020年の大統領選挙防衛はサイバー軍にとって最も優先順位が高い任務である」と公言していました。
丸山:
日本と米国のサイバーセキュリティ対策には、選挙という側面から見ても、大きな違いを感じますね。直近では、米国の重要インフラがランサムウェア攻撃に遭った際に身代金として支払ったビットコインの大半を、米司法省が追跡して押収したと報じられました。報道によると、FBI(米国連邦捜査局)は支払ったビットコインの秘密鍵を入手し、差し押さえに成功したそうです。
土屋:
「FBIがビットコインの大半を押収した」との報道には驚きました。一連の事件で私が感心したのは、米国サイバー軍の迅速な関与です。彼らは、攻撃の事実が明らかになった瞬間に、「Persistent Engagement(必要な関与)」と彼らが呼ぶ対応をしています。この出来事は、米国がサイバー空間を「国家として守るべき重要領域」と位置づけていることを、改めて世界に印象付けるものでした。
慶應義塾大学 大学院政策・メディア研究科 教授 土屋 大洋氏
PwCコンサルティング合同会社 テクノロジーコンサルティング パートナー 丸山 満彦
物理的な視点からサイバー空間を考える
丸山:
次に「社会的な脅威の高まり」という観点から、地政学的リスクとサイバー脅威の関係性について伺います。土屋さんはご自身の著書である「サイバーグレートゲーム:政治・経済・技術とデータをめぐる地政学」の中で、サイバー空間における国際関係が、政治や経済、国家安全保障に与える影響について分析しています。
土屋:
「グレートゲーム」とは、19世紀後半から20世紀初頭に起こった、帝政ロシアと大英帝国による中央アジアにおける覇権争いを指します。当時ロシアは対外的に拡張し、日本やインドにも進出しようとしていました。
サイバー空間は地理とは関係ないボーダーレスな世界だと言われますが、私は「物理的な存在」だと捉えています。そこで、「サイバーグレートゲーム」では「なぜサイバー空間が物理的なのか」を詳説しています。
例えば企業のIT担当者ならば、自社のデータを格納しているサーバーやデータセンターがどこにあるかは把握していますよね。同様に「データを守る」という観点からすれば、それらをつないでいる海底ケーブルや陸上のネットワークがどの国の領土・領海を経由しているかも注意するべきなのです。
さらに言えば、サーバーやストレージだけでなく、データ転送に利用されるネットワークやその周辺機器が、どの国の、どのベンダー製品で、どの企業が設置に携わったのかまで知っておく必要があると考えています。
丸山:
ネットワークを流れるパケットを盗聴する「パケットスニファリング」は、サイバー攻撃の基本的な手口のようなものです。対策としては通信経路の暗号化が一般的ですが、“土管”であるネットワークやスイッチからも盗取される可能性があることを念頭におかないといけないのですね。
土屋:
米国が名指ししているサイバー攻撃発信国は、ユーラシア大陸の中央か、大陸の縁に位置しています。そうした国の動きを把握することは重要です。そして、サイバー空間で有事が発生した場合には、米国をはじめとする同盟国がサイバー攻撃発信国を包囲し、ネットワークを遮断するなど物理的な防衛策を講じる必要があると考えています。
こうしたことを主張すると、「それはソ連封じ込めのような冷戦時の発想だ」と言われてしまいます。しかし、サイバー空間でも地理的な要素は大きく関係します。そして、「どの国と、どのような同盟関係を締結するか」も、サイバーセキュリティを考えるうえで非常に重要な要素になるのです。
丸山:
2021年6月に英国で開かれたG7サミット(主要7カ国首脳会議)の開幕前日、英国と米国の両首脳は会談に臨み、「新大西洋憲章」に合意しました。新憲章は8項目で構成されていますが、そのうちの1項目には、サイバー脅威に対して米英の同盟国が結束し、対峙していく姿勢を明記しています。
また、最近ではUKUSA協定締結組織(通称「Five Eyes」。米国、英国、カナダ、オーストラリア、ニュージーランドの諜報機関が情報共有の協定を締結)や、日米豪印戦略対話(通称「Quad」)といった国際的な枠組みも注目されています。
土屋:
私はサイバーセキュリティ対策として、「JAIBU(日本、オーストラリア、インド、英国、米国)」という枠組みを提唱しています。サイバー攻撃発信国を効率的に監視し、有事には迅速に対応できるからです。
ユーラシア大陸から延びる海底ケーブルは、太平洋を横断して米国ともつながっています。日本とその同盟国にとってはユーラシア大陸から延びている海底ケーブルをいかに監視できるのかが戦略的な要素となります。そうした観点では、日本はとても重要な拠点であると言えます。
丸山:
そう考えると、「デジタルに国境はない」というのは幻想ですね。企業は、物理的な地図とは異なる“国境”を想定して境界線を引き、サイバー空間の世界地図を作成する必要がありますね。
国家・業界・組織の枠を超え、安全なサイバー空間の実現を
丸山:
今後、国の安全保障を脅かすようなサイバー攻撃は、どのようなものがあると想定していますか。
土屋:
これからの時代に考えなければならないのが、「私たちの頭の中」です。思考や知識、常識といったものがサイバー攻撃の影響を受けていないか、気をつける必要があります。
丸山:
それはフェイクニュースや世論の誘導、フィルターバブルのようなことでしょうか。
土屋:
はい。2020年の米国大統領選挙では、さまざまな陰謀論がサイバー空間に溢れました。それらの主張は部外者から見ると荒唐無稽ですが、陰謀論に傾倒してしまっている人は「信じてない人たちが間違いだ」と妄信してしまっていたのです。
陰謀論を唱える団体は、サイバー上で信奉者を増やすケースが少なくなく、また誰が首謀者なのかもはっきりしていないケースがほとんどです。これはある意味選挙干渉と同じ構図だと思います。つまり、誰が流しているのかわからないフェイクニュースや、実体のないコミュニティ内の議論を見続けるうちに、人々は洗脳された状態になってしまうのです。
少し前は「日本は言葉の壁があるから外国で作られたフェイクニュースの影響は少ない」と言われていましたが、今は翻訳技術の性能が良くなっていますし、ネイティブスピーカーが協力している場合もあります。ですから、「言葉の壁が守ってくれる」という考えは通用しなくなります。
丸山:
極端に言うと、自分が目にするものを全て疑わなければならなくなります。そのような事態を招くサイバー攻撃に対し、どのような対策を講じていくのかは、国家レベルで取り組まなければならない課題でしょう。
実際、世界中のCEOはサイバー攻撃をビジネス成長の脅威と捉えており、その傾向は年々強くなっています。2021年1月から2月にかけてPwCが実施した「第24回世界CEO意識調査」によると、北米や西欧のCEOは、自社の成長見通しに対する脅威のトップに「サイバー攻撃」を挙げています。
また、PwCが2020年に日本で行った同様の調査では「サイバー攻撃」を脅威に挙げたCEOは全体の26%でしたが、2021年には48%に急伸しています。この背景にはサイバー攻撃が高度化していること、そして、サイバー犯罪者が国をまたいだチームワークで攻撃を仕掛けてくることが挙げられます。
例えば、フィッシングをトリガーに金銭を詐取する攻撃でも、偽メールの文面を考える人、偽サイトをデザインする人、ターゲットを決める人、マルウェアを仕込む人、と分業されています。そしてだまし取った金銭を山分けするのです。攻撃者はすでに「金儲けのエコシステム」を確立しており、“ビジネス”として効率的に運用しています。これでは一国の警察や捜査機関が取り締まることは困難です。
土屋:
私は国境を越えた捜査機関の連携が必要だと考えています。国際刑事警察機構(インターポール)には190を超える国が加盟しており、目的意識が明確なプラクティカルな組織であるため、迅速な対応が可能です。これが各国の警察組織や外交機関であれば、それぞれの「国益」や「政治的配慮」が加味されて連携が難しくなり、迅速に対応できないと思います。
丸山:
IT業界でも一致団結して対抗していく動きがありますね。例えば、IT企業やセキュリティ企業が参加するサイバーセキュリティテック協定(Cybersecurity Tech Accord)は、サイバー空間での侵害行為や攻撃から、一般市民や組織を守ることを目的に設立されました。この協定は、具体的な活動内容として、協定加盟社同士の相互協力を明確にうたっています。
さらに、サイバーセキュリティテック協定では、セキュリティ対策強化を目的としたユーザー、顧客、開発者に対する支援も活動内容に入れています。今後はこうした共助の姿勢が重要になることは間違いありません。PwCとしても、サイバー空間の安全を守り抜く活動に、組織の枠を超えて取り組んでいきたいと考えています。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
