立憲民主党・無所属

○湯原委員　飯島さんがおっしゃるように、喫緊の課題だというのは認めていらっしゃるんですね、皆さん方、サイバー攻撃を受けていらっしゃる。 　ところが、一方で、体制整備とか、あるいは通信の秘密との整合性、憲法論議も含めてこの辺のところ、有識者会議はできるだけ早くと言いながら全然明らかになってきていない、こういう状況であります。一方で、総務行政で、大臣は所信で、国民に一番身近なところと。今、皆さんがＩｏＴ機器を含めてインターネットを使っていらっしゃるわけでありますので、そこの一番コアな部分、一番大切な部分、通信の秘密の部分に絡む問題でありますので、やはり前広に、有識者会議を立ち上げて、こういう問題がありますということを国民の議論も併せてしていただくような体制を取らなきゃいけないんじゃないかなと私は申し上げておきたいと思います。 　なぜならば、昨年末に防衛三文書が出ました。それまで国会で、どう

○湯原委員　飯島さんがおっしゃったように、有識者会議を立ち上げてということは、その有識者会議を早く立ち上げないとそういう議論を公にできないわけですので、是非、これはもう時間もないので要望にさせていただきますけれども、可能な限り早く立ち上げて国民の議論を進めていただきたい、こういうことは申し上げておきたいと思います。 　時間がないので一つ飛ばして、通信傍受法の場合、通信傍受の手続がありますね。改正になりましたけれども、通信傍受のターゲットを決めて、裁判所の許可を得て通信を傍受する、こういうことであります。能動的サイバー防御では、ふだんから、多分、先ほどのＩｏＴ機器ではありませんが、パトロールをするわけでありますけれども、この手続については必要なのか、どういった手続があるのか。それとも、全く必要なくて一方的に能動的サイバー防御をしていくのか。この点について、どのようなお考えなのか。

○湯原委員　なかなか中身について教えていただけないんですけれども、論点はやはり明らかにしてもらわないと、国民の理解が得られないと思います。有識者会議も立ち上げない、中で今議論をしている最中です、しかし、こう決まりましたといって有識者会議もその方向で決まっていくということになると、なかなか論点について国民の皆さん方の理解が、逆に結果的に後々になって理解を得られないんじゃないか、こういうことを懸念するわけであります。 　この辺のところは、再三になりますけれども、有識者会議をできるだけ早く立ち上げていただいて、こういう論点がありますよねということを知らしめて、そして国民の議論を呼んで、その上で決定していく、こういうプロセスを踏んでいくべきじゃないかな、こういうふうに、改めて、同じようなお願いになりますけれども、申し上げておきたいと思います。 　一つ戻って、能動的サイバー防御と憲法の関連で、専

○湯原委員　飯島さんは専守防衛の範囲内だとおっしゃいますが、実際、ロシアがウクライナへ侵攻する場合でも、ミサイルをドンパチ撃つ前には情報戦と称してサイバー攻撃をするわけです。つまりは、戦争の中の一つの部分、一番、前段としてあるわけです、戦争のカテゴリーの中のですね。そういうことを考えると、やはり専守防衛との位置づけ、これも前広に議論をしていくべきというふうに思います。 　あと一言だけ要望として申し上げておきたいと思います。 　これから有識者会議等々で議論をするわけでありますけれども、能動的サイバー防御を行う、その事後ですね、ＩｏＴ機器はログを保存するとかいろいろありましたけれども、このチェック体制、特に国会で、何を能動的サイバー防御でやってきたのかということを国会に報告する義務を持たせる、このことは絶対必要だということで申し上げておきますので、要望とさせていただきます。 　以上で質問

○おおつき委員　立憲民主党・無所属のおおつき紅葉と申します。 　早速、質問に入らせていただきます。 　改めまして、先ほどから皆さんが議論されているＮＯＴＩＣＥの取組、重要かつ評価すべき取組であるとまず冒頭に申し上げさせていただきます。 　ただ、このＮＯＴＩＣＥと呼ばれる取組、先ほどもありましたが、お世辞にも国民に広く浸透されているとは言えない状況であります。 　例えば、この取組、広げようとどういうことをしているのかなと、私はインターネットで検索してみましたけれども、総務省が認定している第三者機関のＩＣＴ―ＩＳＡＣ、このＩＣＴ―ＩＳＡＣが作っているＹｏｕＴｕｂｅチャンネルがあるんですけれども、この再生回数、皆さん御存じでしょうか。四十二回とか六十五回とか、もうちょっと多いのもあるんですけれども、正直、関係者しかもしかしたら見ていないんじゃないかなというような数字でございます。もちろん

○おおつき委員　ありがとうございます。まさに高い評価を受けている取組、是非、先進的な例として進めていただきたいと思っております。 　ＮＯＴＩＣＥの対象機器についてなんですけれども、これまで、ＩＤ、パスワードに脆弱性を有するネットワーク機器のみでしたが、先ほど御説明があったと思います、現在総務省などにおいて、ネットワークに接続されている機器のファームウェアという、機器に内蔵されたソフトウェアに問題が存在するもの、また、既にサイバー攻撃へ悪用できる状態となった機器など、つまり、ほかのネットワーク機器に対してサイバー攻撃に加担させることができる状態となったものが想定されると伺っております。 　そして、これまで、ＮＯＴＩＣＥの取組によって通知、注意喚起を行った先は、一般家庭から法人まで様々あったかと思います。しかし、これまで開催された総務省の情報通信ネットワークにおけるサイバーセキュリティ対策

○おおつき委員　まさに、それらを総括すると、今までの総務省やＮＩＣＴ等が呼びかけの対象としてきた基礎知識のない管理者ではなく、本当にアプローチすべき相手というのは、情報システムを管理する事業者、いわゆるシステムインテグレーターとかＳＩｅｒとか言われる方々などの、ある程度サイバーセキュリティーに対する知見を持った者でありまして、総務省等が行ってきたアプローチはやはり見直していく必要があると私は考えます。 　更に伺います。 　システムインテグレーター等の知見のある者によって意図的に生じる脆弱性のある機器を今後どのように削減していく予定でしょうか。又は、サイバーセキュリティー対策を軽視する事業者に対する実効性のある支援だとか対応策だとか、是非伺いたいと思います。

○おおつき委員　まさにその通知の仕方について、これから伺いたいと思います。 　ＮＯＴＩＣＥのウェブサイトで公表されている今年八月度の実施状況によりますと、この取組による注意喚起が五千五十五件実施されました。ただ、そのうち三千四百六件は今年の七月に検知したものであったと伺っております。すなわち、約三分の二は前の月の通知からの繰越しであって十分な対処がされておらず、脆弱性のある機器がネットワークに接続されたままの状態、すなわち脆弱性のある状態が放置されてしまっているとも受け取れると思います。 　そこで、まず伺います。現在、ネットワークに接続する機器の脆弱性に対する注意喚起の通知方法はメールや郵送と伺っているんですけれども、その通知方法についてお伺いします。

○おおつき委員　メールや郵送で本当に十分なのかどうか、やはりこの改正案を受けて見直すべき点があるんじゃないかなと思っております。 　先ほどのＩＣＴ―ＩＳＡＣの資料によりますと、注意喚起に基づく対処が進まない背景というのが、法人において問題のある機器の管理者等が特定できない場合や、業務の都合で意図的に外部から管理できるようにしているだとか、様々な要因があるようなんですけれども、メールや郵送ではやはり詐欺かなと思われるときがあるんじゃないかなと思うんですよね、それだけだと。いずれにしても、ＩＤやパスワード等に脆弱性があることでどういった問題が起こっているのか、あるいは将来どういった問題が起こり得るのか、その点がなかなか理解されていない表れなのではないかなと思っております。 　そこで、これまでの電子メールや郵送による注意喚起だけでは対処が十分に進んでいない理由を調査するとともに、電話や個別訪

○おおつき委員　まさに意識を上げていく、これが必要になってくると思います。是非、新たな取組、通知の仕方についても十分に検討していただきたいと思っております。 　次に、サイバー攻撃の対処協会への委託についてお伺いします。 　サイバー攻撃でＩｏＴ機器等が悪用されることがないように管理者等へ通知や注意喚起をする業務というのは、現在、認定送信型対電気通信設備サイバー攻撃対処協会という協会に委託することができるんですけれども、この協会に所属しているのが、今、先ほどから申し上げているＩＣＴ―ＩＳＡＣだけが認定されているという状況です。 　そこで、現状、このサイバー攻撃対処協会がＩＣＴ―ＩＳＡＣのみである理由は何でしょうか。また、新たにＩＣＴ―ＩＳＡＣ以外の団体から認可申請があった場合は電気通信事業法第百十六条の二に規定する条件を満たす限り総務大臣は認定するとの理解でよろしいでしょうか。答弁をお願