●なぜラスベガスに? ブラックハットとデフコン
7月下旬の約一週間、東大大学院客員教授としての活動の一環で、酷暑の米ラスベガスに出張してきました。
サイバーセキュリティに関する世界大会出席のための出張であり、カジノやIRの研究ではありません。
確かに、その観光施設の規模は日本では考えられないスケールで、最近では日本でも国際会議やイベントを呼び込むMICE(meeting, incentive tour, convention/conference, exhibition/event)なども叫ばれていますが、これだけの人数を収容できる巨大施設を考えれば、とても太刀打ちできるものではなく、日本で話題になっているカジノ解禁など些細な話にも思えてしまいます。
それはともかく、今回の出張目的は、サイバーセキュリティの世界最大の年次コンファランスである「ブラックハット(Black Hat)」(7月26、27日)と、その後「デフコン(DEFCON)」(同28~30日)に参加することでした。
ブラックハットは、サイバー戦争やハッキング、乗っ取りやデータ破壊など、コンピューターのセキュリティへの脅威に対するさまざまな情報の交換の場所で、今年の参加人数は世界中からおよそ1万人程度だったようです。
<ブラックハットの会場、マンダレイベイホテル>
デフコンは、世界中のハッカーたちが集まり、様々な講演や、ハッカーコンテストなどのハッキング技能の競技、情報交換などを行う場で、今年の参加人数は世界中からおよそ4万人程度だったようです。
<デフコンの会場、シーザースバレス>
前者はいずれもラスベガスの中心部のホテルで、前者の会場だったMandalay Bay Resort & Casinoも、後者の会場だったCaesars Palaceも、それだけの人数が全体会議や多数の分科会、あるいはホテルの施設を行き来してもビクともしない、恐らく、日常とそう変化がないだろうホテル内の光景に、IRでも世界を代表するものとなると、さすがにそのスケールの巨大さはここまでになるのかと感じた次第です。
私は衆議院議員のときにサイバーセキュリティ基本法案の議員立法者の一人として立法に携わった経緯などのご縁から、2015年に東京大学大学院情報学環に設立されたセキュア情報化社会寄付講座(Sisoc)に所属する客員教授として研究活動を行っております。
2017年度からは、本講座で政策提言を担当する者として、私を長とする研究ユニットである「松田学サイバー部会」が設置、各分野で現場でセキュリティに取り組む方々をメンバーとしています。
今回は、当部会の副部会長であります宗岡徹・客員教授(関西大学大学院会計研究科教授)とともにラスベガスに参りました。その他、東大Sisocからは、満永拓邦・特任准教授のほか2名で、併せて5人が参加、日本人全体では、各種研究機関や企業等から50人程度が参加していたようです。
<日本人参加者との会食、1ドル札と比べて長さがわかるいジョッキ>
現地では私は、ほとんど全て宗岡先生と2人でコンビを組んでの行動でしたが、サイバーセキュリティに携わる者、一度はこの大会を実地で見ておかなければ語る資格なしとも言われます。宗岡先生は興銀出身の会計の第一人者、私も文科系で、そもそもITの技術者でも専門家でもなく、どのような珍道中になるか懸念されましたが、数日間、主として政策や社会との関係などを中心とする分科会を回り、それなりに得るところが多く、成果がありました。
<同行の宗岡徹先生>
●社会システムとして捉えるべきサイバーセキュリティ(ブラックハット報告)
まず、7月26日のブラックハットの初日、会場りレセプションで登録を済ませたあと、最初の全体会合の部屋に到達し、その後、分科会の場に行くだけでも、巨大施設の長い回廊をこれだけの人数が一挙に移動するから大変です。
<ブラックハット冒頭の全体会合、1万人が集結>
<参加者が一斉に分科会会場に>
前述のように、私も宗岡先生もITの技術的なことには詳しくない2人ですので、その面の話は消化不良でしたが、全体として共通していたのは、どの分野であれ、サイバーセキュリティには全体システムの発想で取り組むべしとの認識が強まってきているということです。
これは私がSisocに部会を設置するときに問題意識の中心に置いたテーマでしたが、世界最先端の知恵が到達しているところからも、その正しさが立証されたように思います。
とりわけ、IoTやスマートグリッドなどがそうです。複雑系になればなるほど、個別パートごとの対応ではセキュリティは捉えきれず、対策は構築できません。例えば、ベンダーや顧客…など、全ての主体を包摂した統一的なシステムとしての対応が求められています。
私が参加した各分科会でどんな議論が行われていたか、かいつまんで紹介しますと…、
〇法執行の視点からハッキングなどの犯罪に対する米国FBIの捜査状況が詳しく紹介、各方面との緊密な連携関係を築き、相当程度、警察当局による摘発の取組みが進んでいます。ただ、逮捕などの強制執行は、あくまで現場でPC等を捜査している現行犯でなければ逮捕できないようです。なぜなら、なりすましの違法行為である可能性があり、本人とは限らないからです。動画で家宅捜査、銃口を向けての犯人逮捕の現況などが報告されました。
〇米国では学校教育ではIT教育は盛んですが、サイバーセキュリティ教育はほとんどなされていないようです。小学校の段階から、技術的観点よりも少し広い観点からの教育が必要だとの報告がありました。確かに、本当に必要な教育は何かを考えると、プログラミング教育よりも、サイバーのモラルなのかもしれません。
〇「ゼロデイ(英 Zero day)」という言葉があります。これは、サイバー攻撃に対する脆弱性を解消する手段がない状態で脅威にさらされる状況を意味します。脆弱性が発見されて修正プログラムが提供される日(One day)より前に、その脆弱性を攻略する攻撃は、ゼロデイ攻撃と呼ばれています。米国では政府各機関の脆弱性が指摘された場合、3ヶ月以内に改善措置をしなければならないことになっていますが、それを公表すべきかどうかが一つの論点になっていました。公表には色々な問題があることが様々な視点から論ぜられていました。
〇現在、世界的な歴史的傾向として、国際社会を動かす層が多層化し、脅威の形態もそれらの間で輻輳し、複雑化しています。かつては国家が国家の脅威でしたが、今や非政府組織どうしが脅威であり、非政府組織が政府とっての脅威になっています。セキュリティを高めるための国際間の政府間連携は現実には難しく、その要諦は、エストニアの経験(世界最初に大規模なサイバー攻撃を受けた国)でもそうでしたが、各国政府と民間との連携強化にあるようです。
〇その他、サイバー空間どうしの協力関係によってサイバーセキュリティの付加価値が高まり、投資価値が発生するといった報告や、セキュリティ関連商品が色々な勧誘方法でプロモーションされてきても、その真贋を見抜くのは容易ではないといった報告等々、各分科会で多岐にわたって行われていたプレゼンテーションは挙げだしたらキリがない詳細なもので、その一つ一つが世界各国の専門家の注目を集めていました。この場でプレゼンできるというのはステータスのようです。
●最大の防御は攻撃された経験と攻撃能力(ハッカーを褒め称える場、デフコン報告)
7月28日からのデフコン(DEFCON)には、毎年、世界中からハッカーたちが集まりますが、日本の常識を超えた集まりなので、ぜひ、この場は見ておくべきだと強く勧められたものです。というのは、本来は犯罪であるハッキング能力を競い合い、能力の高いハッカーたちが賞賛され、顕彰される場でもあるからです。
一般に、一つの社会システムま強靭性を測るメルクマールとして重要なのは、層の厚さと裾野の広がりであり、試行錯誤の積み重ねだと言われます。デフコンは、そのことを痛感させてくれる場でした。
自動車が置かれたコーナーでは、乗用車をピッキングする技術が競われていました。
選挙での投票の集計結果を変えてしまうハッキング技術も紹介されていました。紙での投票でも、電子記録として集計されてしまうと、そこから何が起こるかわかりません。将来導入が検討されているネット投票も、その前に万全なセキュリティ対策が必要です。
各国を代表してハッカーのグループどうしがコンピューターへの攻撃を競い合うコンテストも開かれていました。今年は台湾勢が優勢だったようです。日本の代表も参加していました。
<攻撃能力コンテストの部屋>
驚いたのは、デフコンでのプレゼンテーションで、米国の当局経験者と思しき人物が、政府機関に対するハッカー攻撃を推奨する発言をしていたことです。日本ではありえないことでしょう。
政府機関側が予め認識することなく、実際の攻撃が行われれば行われるほど、政府のセキュリティ能力が練磨されるという主張は、確かに合理的です。
攻撃というのは通常、予想もされない新しいパターンでなされるからこそ攻撃になるのであり、これは、かつて私が衆議院議員として視察で訪れた際に、エストニアの当局者が奇しくも述べていた「最大のサイバー攻撃防御策はサイバー攻撃を受けた経験である」ということとも符合します。
悪意を持ったハッカーではない限り、ハッカー攻撃は一国のセキュリティ能力を高めるという発想は、今後の日本の対策を考える上でも大きな柱になるべきものでしょう。
裾野の広いハッカー層を育成することは、日本の一部で進められている「草の根サイバーセキュリティ」運動とも連動します。
デフコンは世界中のハッカーにとって誇りの殿堂のような場であり、各国の国内法上は犯罪である様々なハッキング行為の能力を競い合い、それが顕彰されることで、意欲のあるハッカー人材が育っていくことになります。
違法行為もこの場では許されるとしてコンテストや発表の機会を与えるのは米国ならではの発想なのでしょうが、日本にも、例えば「特区」のような形で、ハッカーという存在が社会的に誇りある存在であることを明確にしていくデフコンのような場を創ることを考えてもよいかもしれません。
ただ、ホワイトハッカー能力の向上の前提は、ITのモラル教育です。これを公教育としていくことも当然、考えていくべきでしょう。
もう一つ、今回の出張で考えさせられたのは、日本は憲法上、専守防衛の観点からサイバー攻撃ができないのかという論点です。この点が未だ曖昧で、これを法的に明確にすることの必要性が改めて認識されました。
ミサイル防衛にしても何にしても、攻撃に対する最大の防御は反撃です。日本の企業を狙っても、日本からは反撃してこないと認識されることが日本のリスクを高めることになります。これが本邦居住者からの攻撃であった場合、たとえそれが攻撃に対する反撃であっても、サイバー攻撃それ自体は国内法上、違法です。
それは米国など他国も同じです。ただ、日本と異なるのは、政府が反撃できることだということです。
そもそも「専守防衛」で禁じられているのは「武力の行使」であり、サイバー攻撃は「武力の行使」に当たるのかどうかについての国際的な定説はないとされます。ただ、たとえ武力の行使であっても、現行日本国憲法が禁じているのは国家意思の発動としての武力行使であって、日本企業が攻撃を受けた際に報復的に日本の民間企業がサイバー攻撃を行ったとしても、武力行使の主体は政府ではないので違憲ではないといえなくもありません。
ただし、その場合であっても、どの範囲までなら「正当防衛」等の理屈で違法性が阻却されることになるのかなども議論することが必要になるでしょう。場合によっては新規立法も視野に入れながら、民間企業がひるんでいる状況を打破するために、曖昧になっている部分を明確化することが、日本のサイバーセキュリティにおける一つの課題だと思われます。
●その後…、
さて、ラスベガスでは、上記の時間の合間に、ショーを見たほか、近くのフーバーダムを見学するツァーに参加し、同ダム建設でできた巨大な人造湖でのクルージングも楽しみました。暑い日々の中のひと時の休息でした。
東大Sisoc「松田学サイバー部会」では、「社会システムの視点から捉えたサイバーセキュリティ」を研究、議論しています。ややもすれば技術面での個別対策に偏りがちな日本のサイバーセキュリティを真に実効あらしめるためには、技術面を超えた多角的観点からの対策が不可欠だとされています。
そこで、サイバーセキュリティを国家を支えるさまざまな基盤的「社会システム」の一つとして捉え、総合的な見地から、これを「設計」することを基本的考え方とする研究を始めることといたしました。
そのため、日本の各界で問題点を熟知している現場の方々をメンバーとして立ち上げたのが、この部会です。そこでは、政府や自治体、企業などの組織や国民生活を支えるインフラなど、各般の社会システムに開いている穴を見極め、真に有効な対策のあり方について、法的、制度的、行政的、あるいは企業経営や人材の育成・活用、さらには社会的側面やコミュニティーづくりなどの視点も含めて、総合的な観点からの議論を進めています。
本研究を社会的にインパクトのある政策提言へとつなげ、日本の各界にサイバーセキュリティの俯瞰図を提示し、人々の意識改革と総合的な政策の実行を促すことができればと考えています。
その上で、今回のラスベガス出張は色々なヒントを与えてくれました。今後、部会での政策提言に反映させていきたいと思います。