内閣委員会にてサイバー関連の質問をしました
27日、内閣委員会に移って初めての質問に立ちました。過去数年間に亘るコンピューターのセキュリティに係わるインシデント報告の件数が急増し、連日サイバーや情報漏洩に関する報道が新聞紙上を賑わしていることに鑑み、概要以下のような質問を行いました。なお、http://www.webtv.sangiin.go.jp/webtv/index.php で、インターネットでの内閣委員会の中継が行われています。
1. 三菱重工へのサイバー攻撃については、8月第2週とされる事件発生後、防衛省への報告(9月19日)、警視庁への被害届(9月30日)のいずれも遅かった。9月3日には2チャンネルで情報が流れ、社内では事態の重大さに気がついていた趣なのに、これでよかったのか。防衛省は特約事項に定める秘密事項は漏洩されていないと言うが、調査後の結果論で漏洩がなかっただけであり(現時点での情報)、本来は早急に報告がなされてしかるべきではなかったのか。政府として重要な契約を担う企業や防衛省として防衛関係の契約企業との間の取引については、より厳格且つ迅速性の伴うルールを定めるべきではないか。また、予防措置がしっかりしているとしても、絶対の防御は望めない中で、事態が発生した後の明確且つ詳細な対応規則も定めるべきである。
2. 警視庁の情報漏洩事件1年を経たが、未だに事態が解明されていない。サイバー事案の捜査を行う機関が、内部の事件を解明できないことは、国民の信頼に係わる。重要情報にアクセスできるものの人数が限定されていたにもかかわらず、ログさえきちんとしていないことはお粗末であり、根本的対処が必要。また、米国のサイバー戦略が指摘するとおり、内部に敵がいるとの前提で対処すべきで、セキュリティ・クリアランスの強化を求める。
3. 政府内のサイバー対策に関する連携および体制に不安がある。官民連携を代表する組織、専門的な組織間の連携と調整、対外的な窓口の一本化等について問題がある。また、政府内で調達するシステム、ハード、チップ、ツール等について統一基準がなく、極端な話かもしれないが、防御の壁を高くしても、それはすべて中国製といった状況すらあり得るのが現在の状況である。これらの現状を勘案し、情報セキュリティ政策会議が対処療法に終わることなく、戦略的かつ抜本的な見直しを行うよう、改めるべきではないか