TOUCH THE SECURITY Powered by Security Service G

コラム

2018.09.04

“サイバー防衛隊”は日本の何を守るのか

2018年5日4日、米国のサイバー軍が独立した軍に格上げされた。

もともと、米サイバー軍が完全にオペレーションを行える組織に至ったのは2010年に遡る。

だがこれまでは、核兵器などを扱う米戦略軍の下に置かれていた。しかし、当時に比べて高まるサイバー脅威と、サイバー作戦の重要性によって、サイバー軍の体制が「不十分」であるとの指摘が上がるようになっていた。そこで2017年に就任したドナルド・トランプ大統領は、その状況を受けて、2017年8月にサイバー軍の格上げを発表。今回の格上げを受けて、サイバー軍は独立した統合軍のひとつとなったのである。

これにより、サイバー軍には国外での作戦などで、それまで以上の権限が与えられることになった。格上げされたサイバー軍の最初の司令官は日系人のポール・ナカソネ陸軍中将。人員は、2018年秋にはサイバー専門の軍人と文民合わせて6300人ほどの規模になる予定だ。

米国サイバー軍(USSYBERCOM)の司令官Paul M. Nakasone氏
By National Security Agency [Public domain], via Wikimedia Commons

世界最強のサイバー大国と言われる米国は、敵も多い。それゆえに、米国のサイバー予算も対策の規模もかなり大きい。ただ最近では、世界の大国はどこもこうしたサイバー戦略強化を行っており、今後もサイバー対策は各国でさらに強化される領域になるであろうと、知り合いの米国人サイバー専門家らは口を揃える。

こうした状況を見ると、翻って「日本はどうだろうか」と疑問になる向きも多いだろう。日本の場合、軍は存在しないので、自衛隊のサイバー部門と比較することになるのだが、自衛隊にはれっきとしたサイバー専門部隊が存在する。そう、知る人ぞ知る、いわゆる「サイバー防衛隊」である。

そこで、本稿は日本の防衛省・自衛隊が誇るサイバー防衛隊とはどんな組織なのか、関係者への取材などから探ってみたい。

サイバー防衛隊の役務

そもそもサイバー防衛隊とは、いったい何なのか。防衛省の公式サイトを参考にすると、こういうことになる。

防衛省・自衛隊は、「自らの情報システム・ネットワークに対するサイバー攻撃」に対処しており、そのために「指揮通信システム隊の隷下に共同の部隊としてサイバー防衛隊」が新編され、サイバー防衛隊が「情報通信ネットワークの監視及びサイバー攻撃への対処を24時間態勢で実施」しているという。

ちょっとわかりにくいかもしれないが、要するにサイバー防衛隊は、防衛省と自衛隊を守っているのである。「え!」と驚く人もいるかもしれないが、そう、サイバー防衛隊は私たち一般の日本人や企業、インフラ、あるいは政府機関を直接守っているわけではない。

もっとも、サイバー防衛隊が、外部からの日本への武力攻撃に対処する防衛省・自衛隊を守っていると考えれば、間接的には国民を守っていることにはなるのだが、私たちが受けるサイバー攻撃に手を下すことはないのだ。

ならば、具体的には何をしているのか。サイバー防衛隊がやっているのは、防衛省・自衛隊に対する年間100万件以上のサイバー攻撃から身を守ること。とにかく、サイバー攻撃をじっと待ち、来たら弾く。

専守防衛 ――憲法における自衛隊の位置付け

もともと専守防衛が定められている自衛隊は、基本的には何らかの攻撃が起きなければ、自衛権を行使して国外勢力には反撃できない。

しかしながら、サイバー空間では、多くの場合誰がサイバー攻撃をしてきたのかを確定するは難しいし、目星をつけるのにも時間がかかる。また国外からの攻撃に対し、自衛隊は日本の領域を超えて攻撃元を捜査することもできないため、とにかくサンドバッグ状態で攻撃を食い止めるしかないのである。

ただ自衛隊を責めることはできない。憲法問題など日本の置かれた状況を踏まえれば、仕方がないとも言えるからだ。

少ない人的リソースを質で補えるのか

では、この非常に間接的ながらに日本国民を守る、サイバー防衛隊の実力はどれほどのものか。

先ず人員は現在110人。この数は、冒頭に触れた米サイバー軍と比べると驚くほど少ないことがわかる。米国以外を見てみると、隣国である中国の部隊の規模は10万人ほどと言われ、北朝鮮であれば6000人のサイバー部隊を持つ。それぞれの国の目的や体制などが違うので単純比較はできないが、人員が圧倒的に少ないのは確かだ。

サイバー防衛隊における業務の様子
出典:平成28年度版防衛白書より

もちろんこれらのデータに関しても、実は人海戦術の数だけ勝負で、肝心の質が伴っていないのではないか、との指摘の声もある。だがそんなことはない。例えば、中国のサイバー部隊の実力はかなり高いと、イギリス系専門家から最近話を聞いたばかりである。

では数が著しく少ない日本はどうか。ある防衛省の職員はこう話す。

「特に防衛には蓄積があります。防衛省にはオープンにしているシステムと、そうではない内部のシステムがあります。防衛省の内部システムは、防御はいまのところ破られた事例はない。多層で防御しており、鉄壁の防御を構築していると言えます。ちなみに、日本で行われている『サイバー(318)の日』にちなんだ、中央省庁対抗のサイバー攻撃対処競技会の2018年大会では、これまで強かった警察庁の牙城を崩して防衛省が優勝しています」と述べる。数は少なくても実力はある、というわけだ。

とはいえ、その実力のある人たちが数多くいれば、それに越したことはない。実は防衛省自身は現状に危機感を持っていると、既出の職員は言う。事実、防衛省は、現在の110人から150人体制にすべく既に動いているが、150人でも十分ではないというのが大方の見方だ。

また、年々サイバー攻撃は巧妙化しており、手の込んだ攻撃の規模が大きくなれば、さらにどれだけの人員が必要になるかもわからない。しかも現在までに、どれほどの主体や勢力が、本気で日本の防衛システムをサイバー攻撃で破壊しようとしたり、情報を盗もうとしたのだろうか。まだ本物の攻撃が来ていない可能性も十分にあり、自衛隊が国家に対する深刻な攻撃に直面したことがないとも考えられる。

2017年、メディアで防衛省がサイバー防衛隊の人員を1000人規模にすると報じられた。事実なら、良いニュースである。

民間企業だけではない、セキュリティ人材確保という問題

そして防衛省にはこんな問題にも直面している。人材の確保が非常に難しいのである。なぜなら、高給取りが多いサイバーセキュリティ専門家の世界で、防衛省を志望する人材はそう多くはないのだ。

そもそも1000人という数が十分かどうかという議論もあるようだが、これから防衛だけでなく、反撃に向けた対応も必要になるかもしれないし、敵を見定めるための積極的な防衛が求められるかもしれない。そう考えれば、人は多いほうがいい。もちろん、優秀な人たちが。

ただ、サイバー防衛隊の創設が議論され始めた頃のことを覚えている筆者からすると、150人ですら、やっとここまで来たのかという感慨深いものがある。

陸海空がそれぞれ行っているサイバーセキュリティ対策を取りまとめる役割として、自衛隊が「サイバー空間防衛隊」という組織を設立すると発表したのは2011年。しかしその後も「サイバー空間防衛隊」はなかなか正式に発足せず、2年が経過した2013年になって、防衛省は「サイバー防衛隊(仮称)の円滑な新編のため、統合幕僚監部指揮通信システム部にサイバー防衛隊(仮称)準備室を新設します」と発表した。そしてその翌年、2014年にやっとサイバー防衛隊ができたのだった。

日本のサイバー対策と言えば、以前の記事でも述べた内閣サイバーセキュリティセンター(NISC)と、このサイバー防衛隊が海外でも知られている。しかしこの両者はまだ十分には連携がうまくできていない。既に述べた通り、サイバー防衛隊は基本的に防衛省と自衛隊を守るものであり、「日本のサイバー政策の司令塔的存在」であるNISCと協力しながら、国家への脅威に直接対峙することはない。日本では各省庁がそれぞれ独自のサイバー対策を行なっており、NISCがそれを取りまとめているが、NISCからすると、防衛省もそれらの省庁のひとつに過ぎないという解釈にもなる。

これからは、国境なきサイバー空間で起きる紛争や攻撃に対して、もう少し踏み込んだ連携を模索すべきではないだろうか。

記事一覧に戻る