サイバーセキュリティ:4月14日の内閣委員会ご報告、その3
第三回目となる、4月14日の内閣委員会におけるサイバーセキュリティ基本法改正案についての質問報告です(http://kokkai.ndl.go.jp/SENTAKU/sangiin/190/0058/19004140058010a.html)。
今回は、本改正においてNISCが監査を委託する先として、独立行政法人情報処理推進機構(IPA)のみが実質的に限定されている問題についてご報告いたします。改正案では、NISCが所掌する事務の内、独立行政法人や特殊法人、認可法人に対する監査業務を「IPAほかの独立法人」に委託することができるとされています。ところが、実際にはIPAへの委託のみが実質的に想定され、且つIPAの行い得る監査部分のみが監査のための基準として想定されているように思われるのです。
結論から申し上げれば、サイバー攻撃の深刻さに鑑み、幅広く取るべき想定をIPAが対応できる部分のみに狭め、その上でIPAのみが監査を行えば十分と主張できるようにしていることが疑われます。他に監査を委託し得るであろう機関である国立研究開発法人情報通信研究機構(NICT)については、同機構の改正法が今国会にかけられているのに、委託を受けられるような改正がなされておらず、委託先の対象から実質的に外されています。つまり、政府主導のマッチポンプで、それ以外の事態が発生する場合には「想定外」として処理されかねない法改正なのです。
まず小生より、法律内に例示されているIPA以外の想定される委託可能な法人組織はどこかと尋ねたところ、遠藤大臣は、「現時点ではIPAと同等の法人は存在しておらず、他の法人に委託することは考えておりません」と答弁しました。
これに対して小生より、「例えば、総務省所管のNICTなどは、空きパケットを利用してサイバー上の悪意ある活動をモニターするNICTER」を保有してネットワーク・トラフィックのモニターを行えるはずだが、これらのモニターはどうするのかと質しました。
すると、NISCが各府省等の情報システムのいわゆるインターネットの接続口にGSOCセンサーを設置して不正な通信等を監視をしているのと同様に、独立行政法人及び指定法人の情報システムのインターネット接続口に同様のセンサーを設置をし、IPAが不正な通信等を監視するとの回答がありました。事前の政府側の説明とは異なる答弁でしたが、いずれにせよ、独法のみならず行政機関や重要インフラ等を含めた我が国に対する攻撃をトラフィックとして把握し、その上で政府関係機関や独法を守るためには、go.jpドメイン以外をもモニターできる期間を絡める必要があるはずなのに、これでは対処に支障が出かねません。
そこで、「今後対象となり得る組織の中には、国立女性教育会館、宇宙航空研究開発機構、大学評価・学位授与機構、高齢・障害・求職者雇用支援機構などはgo.jp」以外のドメインであり、DoS攻撃の跳ね返りを検知できるNICTERの能力なしでは、早期に違法なトラフィックを検知できないのではないかと質しました。
これに対し政府側からは、「委員御指摘のように、NICTにおいてNICTERで得られた攻撃情報、その他脅威情報については、昨年の五月にNISCとNICTとの間でパートナーシップ協定を結んでおりまして、これに基づいて様々な情報共有を行っているところでございますので、引き続きNICTとの間でも連携を図ってまいりたいと考えております」との答弁がありました。要するに、NICTが最初に違法なトラフィックを検出する能力を持っているとしても、意地でもIPAにやらせたいというわけです。
さらに小生より、「監査ということは、最初に基準を決めます。そうすると、この基準をIPAができることのみに定めて、それで監査をさせるのであれば、これはマッチポンプと一緒になる。ところが、これまでの質問で明らかになった通り、すでに想定できる「想定外」の部分が存在する。IPAの長所は認めるが、政府が一元的にコントロールできる体制を敷きつつも、その下の機関には、様々な長所があるところを使っていくというのが理想であるはずだ」と意見を述べました。そのうえで「実質的にIPAにしか委託を今想定していませんとおっしゃいましたけれども、実はもう既に想定できる脅威ありますから、やはりその外、例えばNICTもそうかもしれない、あるいは、質問しませんがJPCERT/CCなんかもそうかもしれませんけど、様々な機関を使えるような法律にするべきではないか」と質しました。これに対して遠藤大臣は、引き続き検討していきたいと答弁しました。
さて、今回の法案改正と共に、IPA組織令は、監査の委託を受けられるように変更されています。ところが、IPA以外の委託先として想定し得るNICTについては、今国会にその組織令の改正が提出されているにもかかわらず、監査の委託を受けられるような変更が含まれていません。そこで小生は、「NICTの方も組織令変更するべきですよね。大臣、いかがですか」と問うたところ、大臣は「今回は提出しておりません」と、またしても回答にならない答弁でした。
そこで改めて、「べきですよねと聞いているんですけれども、組織令、NICT側も変えるべきですよね」と質したところ、遠藤大臣は、とうとう「必要だと考えております」と明確に述べ、大臣として政府側の不作為もしくは瑕疵を認めるに至ったのです。
これを受けて小生より、これは「政府にとって瑕疵ではないか」と質したところ、政府委員より、最初はIPA以外を想定していないので今回は改正を含めなかったとの答弁がありました。これでは納得できるはずもなく、さらに突っ込むと、改めてIPA以外の監査等の業務についての位置づけや性格の評価を行い、将来的にはそれ以外の委託先もあり得るとの答弁に変わってきたのです。この経緯については、以下に全文記しておきます。
○政府参考人(谷脇康彦君) お答え申し上げます。
今委員御指摘のNICT法の改正につきましては、サイバーセキュリティー関連の人材育成等の観点から法改正を行うものでございます。
現時点におきましては、サイバーセキュリティ戦略本部の事務の一部を委託する先につきましてはIPAのみを想定をしております。将来的にNICTがその対象になり得るというふうに判断できた場合には、NICT法の所要の法改正も検討の視野に入ってくるものと理解しております。
○大野元裕君 また話戻します。
先ほど申し上げた、IPAはそのとおり私はすばらしいと思っています。しかしながら、基準をIPAに合うように定めて監査させても仕方がないんです。想定はなるべく幅広く取ってやるのであれば、今回、しっかりと広げられるような可能性というのは置いておくべきだと。しかも、今回出ていなきゃいいんですよ。NICTの法律に関する改正が出ているんですから、そこは、しかも審議官、お立場は総務省じゃないですから、内閣官房としてお立ちになっていらっしゃいますから、そうだとすると、やはりこれは改正を、今国会出ているんですから、やるべきではなかったんですかと聞いているんです。
○政府参考人(谷脇康彦君) お答え申し上げます。
NICTは、いわゆる研究開発法人ということでございます。したがいまして、監査等の業務を今後NICTにも委託をするということであれば、この独立行政法人としての位置付け、性格というものも含めて改めて評価をしていく必要があるというふうに考えております。
ただ、今回、このサイバーセキュリティ基本法の改正法案におきまして、IPAはあくまで例示でございますので、将来的にはそれ以外の委託先はあり得るということを改めて申し上げさせていただきたいと思います。
○大野元裕君 これ法律ですから、悪意のある攻撃者はこれ見ていて、ああ、想定はそれなのかというふうに思う可能性すらありますよ。これで万が一ここに攻撃があったときには、責任そちらですよ。そこは是非しっかりと御認識をいただいた上で、法律立ては分かっています、今後そういったことができることも分かりました、是非早急に御対処をいただきたいし、そこは政治主導で大臣にもお願いをしたいと思っています。
質問時間も限られている上に、党として本法案には賛成を決めていることもあり、政府側の混乱にもかかわらず、今回はこの程度で議論を取りやめましたが、大臣すら認めたNICT法改正の必要性については、今後とも国会で取り上げると共に、最初から想定を狭めたうえで、監査の委託先を限定するという姑息な手法については改めさせる必要があると強く感じました。
今回は、本改正においてNISCが監査を委託する先として、独立行政法人情報処理推進機構(IPA)のみが実質的に限定されている問題についてご報告いたします。改正案では、NISCが所掌する事務の内、独立行政法人や特殊法人、認可法人に対する監査業務を「IPAほかの独立法人」に委託することができるとされています。ところが、実際にはIPAへの委託のみが実質的に想定され、且つIPAの行い得る監査部分のみが監査のための基準として想定されているように思われるのです。
結論から申し上げれば、サイバー攻撃の深刻さに鑑み、幅広く取るべき想定をIPAが対応できる部分のみに狭め、その上でIPAのみが監査を行えば十分と主張できるようにしていることが疑われます。他に監査を委託し得るであろう機関である国立研究開発法人情報通信研究機構(NICT)については、同機構の改正法が今国会にかけられているのに、委託を受けられるような改正がなされておらず、委託先の対象から実質的に外されています。つまり、政府主導のマッチポンプで、それ以外の事態が発生する場合には「想定外」として処理されかねない法改正なのです。
まず小生より、法律内に例示されているIPA以外の想定される委託可能な法人組織はどこかと尋ねたところ、遠藤大臣は、「現時点ではIPAと同等の法人は存在しておらず、他の法人に委託することは考えておりません」と答弁しました。
これに対して小生より、「例えば、総務省所管のNICTなどは、空きパケットを利用してサイバー上の悪意ある活動をモニターするNICTER」を保有してネットワーク・トラフィックのモニターを行えるはずだが、これらのモニターはどうするのかと質しました。
すると、NISCが各府省等の情報システムのいわゆるインターネットの接続口にGSOCセンサーを設置して不正な通信等を監視をしているのと同様に、独立行政法人及び指定法人の情報システムのインターネット接続口に同様のセンサーを設置をし、IPAが不正な通信等を監視するとの回答がありました。事前の政府側の説明とは異なる答弁でしたが、いずれにせよ、独法のみならず行政機関や重要インフラ等を含めた我が国に対する攻撃をトラフィックとして把握し、その上で政府関係機関や独法を守るためには、go.jpドメイン以外をもモニターできる期間を絡める必要があるはずなのに、これでは対処に支障が出かねません。
そこで、「今後対象となり得る組織の中には、国立女性教育会館、宇宙航空研究開発機構、大学評価・学位授与機構、高齢・障害・求職者雇用支援機構などはgo.jp」以外のドメインであり、DoS攻撃の跳ね返りを検知できるNICTERの能力なしでは、早期に違法なトラフィックを検知できないのではないかと質しました。
これに対し政府側からは、「委員御指摘のように、NICTにおいてNICTERで得られた攻撃情報、その他脅威情報については、昨年の五月にNISCとNICTとの間でパートナーシップ協定を結んでおりまして、これに基づいて様々な情報共有を行っているところでございますので、引き続きNICTとの間でも連携を図ってまいりたいと考えております」との答弁がありました。要するに、NICTが最初に違法なトラフィックを検出する能力を持っているとしても、意地でもIPAにやらせたいというわけです。
さらに小生より、「監査ということは、最初に基準を決めます。そうすると、この基準をIPAができることのみに定めて、それで監査をさせるのであれば、これはマッチポンプと一緒になる。ところが、これまでの質問で明らかになった通り、すでに想定できる「想定外」の部分が存在する。IPAの長所は認めるが、政府が一元的にコントロールできる体制を敷きつつも、その下の機関には、様々な長所があるところを使っていくというのが理想であるはずだ」と意見を述べました。そのうえで「実質的にIPAにしか委託を今想定していませんとおっしゃいましたけれども、実はもう既に想定できる脅威ありますから、やはりその外、例えばNICTもそうかもしれない、あるいは、質問しませんがJPCERT/CCなんかもそうかもしれませんけど、様々な機関を使えるような法律にするべきではないか」と質しました。これに対して遠藤大臣は、引き続き検討していきたいと答弁しました。
さて、今回の法案改正と共に、IPA組織令は、監査の委託を受けられるように変更されています。ところが、IPA以外の委託先として想定し得るNICTについては、今国会にその組織令の改正が提出されているにもかかわらず、監査の委託を受けられるような変更が含まれていません。そこで小生は、「NICTの方も組織令変更するべきですよね。大臣、いかがですか」と問うたところ、大臣は「今回は提出しておりません」と、またしても回答にならない答弁でした。
そこで改めて、「べきですよねと聞いているんですけれども、組織令、NICT側も変えるべきですよね」と質したところ、遠藤大臣は、とうとう「必要だと考えております」と明確に述べ、大臣として政府側の不作為もしくは瑕疵を認めるに至ったのです。
これを受けて小生より、これは「政府にとって瑕疵ではないか」と質したところ、政府委員より、最初はIPA以外を想定していないので今回は改正を含めなかったとの答弁がありました。これでは納得できるはずもなく、さらに突っ込むと、改めてIPA以外の監査等の業務についての位置づけや性格の評価を行い、将来的にはそれ以外の委託先もあり得るとの答弁に変わってきたのです。この経緯については、以下に全文記しておきます。
○政府参考人(谷脇康彦君) お答え申し上げます。
今委員御指摘のNICT法の改正につきましては、サイバーセキュリティー関連の人材育成等の観点から法改正を行うものでございます。
現時点におきましては、サイバーセキュリティ戦略本部の事務の一部を委託する先につきましてはIPAのみを想定をしております。将来的にNICTがその対象になり得るというふうに判断できた場合には、NICT法の所要の法改正も検討の視野に入ってくるものと理解しております。
○大野元裕君 また話戻します。
先ほど申し上げた、IPAはそのとおり私はすばらしいと思っています。しかしながら、基準をIPAに合うように定めて監査させても仕方がないんです。想定はなるべく幅広く取ってやるのであれば、今回、しっかりと広げられるような可能性というのは置いておくべきだと。しかも、今回出ていなきゃいいんですよ。NICTの法律に関する改正が出ているんですから、そこは、しかも審議官、お立場は総務省じゃないですから、内閣官房としてお立ちになっていらっしゃいますから、そうだとすると、やはりこれは改正を、今国会出ているんですから、やるべきではなかったんですかと聞いているんです。
○政府参考人(谷脇康彦君) お答え申し上げます。
NICTは、いわゆる研究開発法人ということでございます。したがいまして、監査等の業務を今後NICTにも委託をするということであれば、この独立行政法人としての位置付け、性格というものも含めて改めて評価をしていく必要があるというふうに考えております。
ただ、今回、このサイバーセキュリティ基本法の改正法案におきまして、IPAはあくまで例示でございますので、将来的にはそれ以外の委託先はあり得るということを改めて申し上げさせていただきたいと思います。
○大野元裕君 これ法律ですから、悪意のある攻撃者はこれ見ていて、ああ、想定はそれなのかというふうに思う可能性すらありますよ。これで万が一ここに攻撃があったときには、責任そちらですよ。そこは是非しっかりと御認識をいただいた上で、法律立ては分かっています、今後そういったことができることも分かりました、是非早急に御対処をいただきたいし、そこは政治主導で大臣にもお願いをしたいと思っています。
質問時間も限られている上に、党として本法案には賛成を決めていることもあり、政府側の混乱にもかかわらず、今回はこの程度で議論を取りやめましたが、大臣すら認めたNICT法改正の必要性については、今後とも国会で取り上げると共に、最初から想定を狭めたうえで、監査の委託先を限定するという姑息な手法については改めさせる必要があると強く感じました。