持永大

芝浦工業大学の持永です。どうぞよろしくお願いします。 　本日は貴重な機会をいただき、ありがとうございます。 　私は、サイバーセキュリティーの技術と戦略について研究をしています。技術に関しては、通信ネットワークのセキュリティーであったり、サイバー攻撃の手法などを研究しています。戦略に関しては、他国のサイバー戦略や関連する政策を分析しています。 　現在、私は大学に籍を置いて研究活動をしていますけれども、元々は実務家としてのキャリアの方が長くて、ＪＰＣＥＲＴコーディネーションセンターというところでサイバー攻撃の分析やインシデントの対応、調整、あとは国際連携に当たったほか、三菱総合研究所に行ってサイバーセキュリティーや外交・安全保障に関する政策立案のお手伝いをしてきました。 　本日、私は、能動的サイバー防御が日本が欧米主要国と同等以上の対処能力を備え、被害の顕在化を防ぐために必要な能力であ

御質問ありがとうございます。 　個人を追跡できるのかというのは、まず選別後の情報なので、それはサイバー攻撃に関連している情報というふうに承知しておりますので、非常に難しいと。 　例えば、サイバー攻撃に関連しているＩＰアドレスを事前に特定して、それらのＩＰアドレスの通信を丸ごと取ってこようみたいな話を懸念されるかとは思うんですけれども、まずその段階であっても、もしそのＩＰアドレスを監視しようとした場合には、サイバー通信情報監理委員会の方でそれは不適切な運用であるというふうにはねられるはずなので、今回のその法案の中で言われているような方式を使って個人の方を追跡するのは非常に難しいと言えます。

欧米主要国と遜色のない対応かどうかということなんですけれども、これは、今の見ている法案の中でいうと、欧米がやっていることというのに遜色ないことができそうではあると、制度上は。 　それは、今まで政府の対処というのが、国内のかつ政府が管理しているコンピューターに対してのみ処置する、しかも被害が出た後に処置するということだったんですけれども、今回の法案では、政府が管理していない民間のコンピューターに対して被害が顕在化する前に対処できるという点で他国と遜色がないと言えます。 　ただ、他国が、先ほど言われていたみたいに対外秘ということはちょっと違って、例えばアメリカの場合だと、先ほど言及した二四年一月のボルト・タイフーンの例では、実際にどういう対処をしたのかであったりとか、捜査令状を公開したりとか、それはアメリカの制度上、令状を取ってからやるという制度を彼らはつくっているのでそうなっているわけな

ありがとうございます。 　人材育成を結構やろうというのは実は日本政府の中でももう十年以上続けてきているところでありまして、例えば総務省の情報通信研究機構であったりとか様々なところで人材育成について話が出るんですけれども、やはり他国と比較して総額が小さいであったりとかインパクトが小さいというのが原因だと思います。例えば、今年度、科学技術振興機構、科研費と呼ばれる、研究費の中で呼ばれているものがあるんですけれども、それ、大学の中で、大学の研究者とかを対象にした研究分野で情報セキュリティーに関する研究は三十六件なんですね。非常に少ないんです。 　そういったことを考えても、やっぱり件数も少ないし、一つ一つの規模も小さいし、やっぱりそういったところが裾野の狭さみたいなものを生んでいて、であれば、やはりちょっと失敗を許容してばらまいて、もう少しいろんなことをやってみると、しばらくしたら、関係ないこ

御質問ありがとうございます。 　情報共有がうまく進まない原因としては、やはり、これは政府の報告書の中でも何度か言われているんですけれども、組織の縦割りというのが非常に問題だと。これは二〇一三年ぐらいからずっと言われていて、そういった政府の報告書で自身が言っているにもかかわらず、やはりその数字を見ても件数が少ないという状況を見れば、やはりそういった問題は解消していないと。やはり、この法案が出てきたのは、そういった状況を変えようということで、新たに内閣官房に組織をつくって、新たな組織の下でやっていこうということだと認識しています。 　根本的な原因がそこで新しい組織ができたからって解消されるのかというのは、本当にこの法律ができて運用されてみて、民間事業者からそういった組織がどう評価を受けるかというところで決まってくるのだと思います。

ありがとうございます。 　中小企業に関しては、長い間こちらも、私も実際に町工場の方に、最近パソコン使っていますかみたいな形で、ソフトウェア使っていますかみたいな感じで、うちはインターネットつながっていないから大丈夫だよみたいな、そういう感じで来るんですけど、実際にはインターネットにつながっていなくてもサイバー攻撃を受ける可能性はあって、そういったことというのは、重要インフラで例えばやられているような対策でも、やはりインターネットから切り離していればオーケーとかそういうものではないということが今の現状なんです。 　そういった認識をやはり中小企業の方に持っていただくというのが第一で、それがうまく機能するかというと、やはり中小企業の方にとってみれば、追加の作業を、セキュリティー対策取れよみたいな感じで、多分お金をあげてもどうやってお金使っていいか分からなくて、何というんですか、自分たちが関係

ありがとうございます。 　地方公共団体の方も、非常に先進的な取組をされている方がいる一方で、全然やっぱり人がいなくてできないという方もいらっしゃると。その中で、やっぱり困っているのは、昔からある情報システムをどうやってセキュリティー対策したらいいんだろうみたいなことを考えられる人がいないというところで、やはり国の方でシステムをまた、何というんですかね、一からつくるというのはちょっと言い過ぎなんですけれども、うまくセキュリティーが回るようなシステムとして、その地方公共団体にシステムを提供するということをした方がいいと思うんです。 　というのは、地方公共団体は、もうシステム更新のお金がなくて、古いシステムを使って、それがサイバー攻撃を受けてやられちゃうみたいな、そういうパターンもあるので、できれば国側としては、そのセキュリティー対策やれよと言うだけではなくて、実際にそのシステムを国側でも提

ありがとうございます。 　私の意見として、日本がアメリカと同等の規模を持つべきかと言われれば、それは私は違うというのが意見です。というのは、アメリカとは、例えば、ＧＤＰの規模でいっても違うし、持っているもの、土地の広さであったりとか範囲も違う、見ている範囲も違うわけなので、全く同じものでは、レベルではないとはいえど、今の状況からすれば、少なくとももう少し拡大する必要があるだろうと。 　よく私がやるのは、その組織的な分析というときに、そのカウンターパートはどこの組織なんだろうというふうに見ていくんですけれども、今、例えば、内閣サイバーセキュリティセンターのカウンターパートであるような米国のサイバーセキュリティー・インフラストラクチャー・セキュリティー・エージェンシーというところは数千人規模でいると。中身を見てみると、機能的に見ると、ほぼほぼ同じ、重要インフラを守りましょうであったりとか、

ありがとうございます。 　まさにおっしゃるとおりで、誰からそういったスキルを学ぶのかというのが非常に重要だと思います。現状では、思い切ったことをやろうとすると不正アクセス禁止法に抵触するので、余り思い切ったことは誰もできないというのが日本の現状ではあります。ただ、そうではあっても、やはり守る側の立場の技術を高めようとするのは、非常に技術的なコミュニティーの方もいらっしゃいますし、政府の方でも幾つか取組をされているので、そういったところで技術を養成することはもちろん今可能ではあると思います。 　今回の例えばアクセス・無害化みたいなのに関わるような技術は誰から教えてもらったらいいですかといったところで、多分そういうことができるのは国内でも結構限られた人であるというふうには認識をしています。特に、私は、アクセス・無害化は、非常に技術的にどうその権利保護であったりとかそういったことを認識しなが

ありがとうございます。 　情報共有の阻害要因としてよく民間事業者の方から伺っていた話は、やはりその監督官庁に自分のところでサイバーセキュリティーインシデントが起きましたと報告するのをすごい嫌がるというのは、それは後で行政指導につながるかもしれないということもあるので、非常に慎重にならざるを得ないと。一方で、そのＪＰＣＥＲＴコーディネーションセンターに報告しても別にそういった罰則があるわけでもないしというところで、むしろどうやって対処すればいいかとすぐ教えてくれるというのでその件数になっているわけなんです。 　なので、もし今後、政府の方で情報を例えばインシデント報告しなさいよみたいな義務をつくるときには、あくまでその報告だけであって、そういった罰則につながるようなことではないので、むしろ報告することがインセンティブになるというような制度づくりが今後必要だと思います。