参議院

お答え申し上げます。 　国立研究開発法人情報通信研究機構では、約三十万の未使用ＩＰアドレスを利用してインターネット上にセンサーを設置し、攻撃者が攻撃対象の探索などを行う通信を二十四時間、大規模に観測しているところです。 　当該センサーは、外部に対して何らサービスを提供していないため、本来であれば外部から通信パケットが送られてくることはないことから、攻撃者が攻撃対象の探索をする場合などに不特定多数のＩＰアドレスに対して無差別に送信される通信パケットなどを観測することができます。 　これらの観測を踏まえ、脆弱性探索行為などのサイバー空間における各種脅威の把握に努めております。

お答えいたします。 　警察庁では、インターネット上にセンサーを設置し、攻撃者が攻撃対象の探索等を行う通信を二十四時間体制で観測しているところでございます。 　当該センサーは、外部に対して何らサービスを提供していないため、本来であれば外部から通信パケットが送られてくることはないことから、攻撃者が攻撃対象を探索する場合等に不特定多数のＩＰアドレスに対して無差別に送信される通信パケットを観測することができるものでございます。 　これらの観測を踏まえ、脆弱性探索行為等のサイバー空間における各種脅威の把握に努めております。

今聞くと何か余り差がないような関係で、同じようなことやっているのかなというふうに思ったんですが。 　それぞれの観測により明らかとなった情報セキュリティー上の脅威や侵害の状態の状況、調査目的のスキャンパケットを除いたサイバー攻撃関連通信の特徴など、サイバー攻撃の脅威について、外外通信、外内通信、内外通信、内内通信ごとにどのような分析を行っているんでしょうか。新法案における通信情報の取得、分析との相違点は何でしょうか。

お答えいたします。 　例えば、本法律案に定める同意によらない通信情報の利用について、外外通信目的送信措置は、攻撃用のインフラを構成するボットやＣ２サーバーなどの設備、これらが主として国外に所在すると考えられますことから、国外の設備から国外の設備に送信される外外通信を分析することにより、国外のそうした攻撃インフラの実態を把握しようとするものでございます。 　また、特定外内通信目的送信措置は、外内通信の分析により例えば既に把握した国外の攻撃用インフラから国内への攻撃を捉えることを、特定内外通信目的送信措置は、例えばマルウェア等に感染した国内の設備から国外の設備に対し不正に情報を漏えいするなどの攻撃に関係する通信がなされていると疑われる場合に内外通信の分析によりその実態を把握するものでございます。 　内内通信につきましては、本法律案による分析の対象ではございません。

ちょっと、警察庁やＮＩＣＴがやっている部分についての違いというのはいまいち理解できないんですが。 　内内通信は行いませんと言っていますけれども、結局、内内通信だろうが外内通信だろうが外外通信だろうが全部つながっているわけだから、あえて内内通信だけを外すということについての疑義をずっと今まで指摘をしたわけですけれども、それがなかなか解消されるには至らないなというのが私の感想ですね。 　これ、横浜国立大学の吉岡教授という教授が参考人のときに、無害化を行うときに、どこまで処理をすると正規の機能を阻害せずに悪意のある部分だけを止めることができるのかどうかというと、それを完全に区別するのは難しい場合もありますと、正規の機能を阻害してしまうという可能性も秘めているもので、やはり慎重に判断し、手段の適切性もよく検討した上で実施する必要がありますというふうな指摘をされておりました。 　この無害化措置

お答えを申し上げます。 　　　〔委員長退席、理事磯崎仁彦君着席〕 　今回のアクセス・無害化措置は、武力攻撃事態に至らない状況の下における対処を念頭に、公共の秩序の維持の観点から警察権の範囲内で危害の発生の防止という目的を達成するための必要最小限の措置として実施するものであります。 　その実施に当たっては、アクセス・無害化の措置の内容を含め、権限行使の適正性を確保するため、警察庁長官や防衛大臣の指揮を受けなければならないこととしているほか、原則としてサイバー通信情報監理委員会による事前承認、また、例外的な事後通知の場合についても、サイバー通信情報監理委員会が、実施されたアクセス・無害化措置について適切に行われたかどうかを確認し、必要な勧告を行うということとされております。 　加えて、アクセス・無害化措置については情報技術やサイバーセキュリティーに関する高度な専門的知識、能力が必要であ

いろんな技術的にも難しい部分もたくさんあるという中で、午前中の質問にもありましたけど、そういう情報を取り扱っていく中で、漏えいやデータの破損など、こういったことが起こり得る部分というのは、これは否定できないと思うんですね。 　前回も指摘をさせてもらいましたけれども、午前中、医療に例えられて、手術しているときに違うところを傷つけてしまったと、当然それは賠償を負わなきゃいけない、そういったこと。当然、これも情報を取り扱う中で、ここを無害化しようと思ったらちょっと違うところに触っちゃったと。私、失敗しないのでみたいな、そんなことで、確実に、そういったことが起こり得るのかと、一〇〇％、ほかにそういう被害を与えることがないのかと。 　もしそういったことが起こった場合は、当然、これ損害賠償とか、そういうことが起こってくると思うんですけど、そういうのは想定しているんでしょうか。

お答えを申し上げます。 　アクセス・無害化措置については、サイバー攻撃により重大な危害が発生するおそれのある場合等において、攻撃に使用されるサーバー等に対してネットワークを介して危害防止のために必要な措置をとるものでございます。 　　　〔理事磯崎仁彦君退席、委員長着席〕 　こうした措置は、公共の秩序の維持の観点から、比例原則に基づき、危害の発生の防止という目的を達成するために必要最小限度において実施されるものであり、措置の対象となるサーバー等に物理的被害や機能喪失等、その本来の機能に大きな影響が生じることは想定されておりません。 　また、警察及び自衛隊がアクセス・無害化措置を実施するに当たっては、サイバー攻撃に利用されているサーバー等であると認めた理由、サイバー攻撃による危害の防止という目的を達成するためにとり得る措置の内容等をサイバー通信情報監理委員会に示し、委員会はその承認の求

いやいや、それは当然ですよね。だから、本当に、それだけ慎重にやったとしてもそういうことは起こり得る。逆に、またそういうことを誘うような、そうやってあえてこういうふうに見せておいて、で、実は大事なものを壊させて、そして国を陥れようとするような、そういうことも想定されるわけですよ。 　だから、あらゆることを考えておかなくちゃいけないわけですから、そういった意味においても、きちんと、想定していないということがあり得ない、そういうことは全て想定しているというぐらいのことをやって法案は準備していますよというのが私からすれば当然のことで、答弁の中に想定していないなんということが出てくること自体、この法案は底がざるだと言わざるを得ない一つの理由になるんですよ。 　全てを想定して、それに対して、今我々が想定でき得る範囲の中で一生懸命やってこういう法案を作っていますと言うならまだしも、いや、想定していま

お答えを申し上げます。 　アクセス・無害化措置は、先ほども御説明させていただきましたとおり、比例原則に基づき、重大サイバー攻撃による危害の防止のために必要最小限度の措置として行うものであります。 　措置の対象となるサーバー等に物理的被害や機能喪失等、その本来の機能に大きな影響を生じさせることは想定しておりません。 　こうしたことから、アクセス・無害化措置は、そもそも武力の行使と評価されるものではございません。 　また、自衛隊による通信防護措置は、武力攻撃に至らない状況下における措置であるところ、認められている権限はあくまで警察官職務執行法第六条の二のみでございまして、平素から警察に与えられているものと同等でございます。また、自衛隊は警察と共同で対処をするということになり、措置による影響も、警察が実施する措置によるものと同等であるというものがございます。 　また、これに加えまして、