今日のオリジナル番組


詳細を確認
予防医療は人生のリターンを高めるのか?
本日配信
215Picks
Pick に失敗しました

人気 Picker
米国やオーストラリア、イギリス等の政策決定者や識者と議論すると「本音では日本とより広範な情報共有を進めて行きたい」と言われることが少なくない。IoT時代が進展することで日本しか持たないサイバーインシデント情報や、米中競争の激化により日本が周辺国家に関して持つインテリジェンスの情報価値が増大しているからだ。

このような背景から「ファイブアイズ」と呼ばれる米英豪加星の5ヶ国が加盟国である機密情報共有ネットワークの第六カ国目として日本も入るべきではないか、との提案もチラホラ聞かれるようになってきた。経済と安全保障が従来に比べてより緊密に絡む時代において、この情報共有ネットワークから日本が得られるであろうサイバーセキュリティや地政学的リスクに関する情報は日本にとって非常に有益だ。

しかし、この議論は最終的には同じ結論に至ってしまう。それは、「日本は政府・民間レベル共に機密情報の扱いに関する『人材』・『制度』・『文化』の全てが成熟していないため、日本を『ファイブアイズ』の一員とするには時期尚早だ」と言うものだ。

今回の最新鋭ミサイルに関する情報漏洩は、残念ながら「日本の機密情報保護の成熟度」に対する各国の懐疑的な評価が正しいことを示してしまっている。日本がすべきは、この漏洩を新たなる教訓の一つとして粛々と再発防止を進めて行き、各国の信頼を得ていくことだろう。
①企業側の情報管理の甘さ、②民間のネットワークのセキュリティーの質の両方に課題があることが露呈した事件。本来であれば紙で保存すべきものをネットワークにアップロードしたという、初歩的なミスは問題外。

井形先生が書かれているよう、ファイブアイズに加わるレベルに達していないことが明らかになったことはもちろん、今後装備品の他国との共同開発の可能性にも影響が出てきそうな、非常に残念な事件。
以下に関しては防衛省側に落ち度があります
当時の契約条項にはいわゆる情報セキュリティ特約が付与されていましたが、その内容はあいまいで、明確な技術的基準にまで踏み込んだものではなかったので簡単に過失責任を問うことはできません。

「ただ、「防衛業務の遂行に支障を与える恐れがある」とした「注意情報」に該当。防衛装備庁は三菱電機にも情報保全の徹底を誓約させていた。」

ただし、大きな問題なのは、米国との関係です。
彼らが漏洩させた情報は米国におけるControlled Unclassified Information(CUI)に該当する可能性が高い
そうなってくると米国は、米国の国家安全保障に重要な役割を果たす情報(CUI)が漏洩したと判断するでしょう
この時に、当時有効な何らかの契約関係にあったとすれば、すでに米国側で何らかの協議がなされているはずです。
制裁であり今後の発注にかかわることです
特にDFARS 252.204-7012もしくはFAR 52.204-21などを契約条項として含むものが存在した場合にはCUIの保護はNIST SP800-171に基づいていなければなりませんが、同社が発表した声明には「NIST CSFに準拠していた」ということでした
ある記者が「171かCSFかどっちだ」と聞いたところ最初は171と答えていたところを撤回したと聞いています(真偽は保証できかねますが)
もし仮に当時SP800-171に準拠しない形でこのインシデントが起きていたとするならば過失責任が確定します
また、前述した日本の防衛省、正確には防衛装備庁の情報セキュリティ特約改定の動きがコロナで遅れているとはいえ1年2年くらいのスパンで、我が国の基準も実質SP800-171の基準まで来ます
さらに言うとDIBが主導するCMMCのレベル3以降はすべてSP800-171の基準がないと入札に参加できません
このようなことは随分と昔から日本政府と対話してきましたし、うちの研究所からも幾度となく警告してきたにもかかわらず滑稽でなりません
同社を含め日本の防衛産業の一部は大急ぎで大枚をはたいてNIST対応をすることになるでしょう
さらにCMMCは全産業展開の方向性で動いています
別産業も対岸の火事ではないことを認識する必要があります。
日本の民間企業を、サイバー攻撃からどう守るか。課題は多いと思います。

日本最強のサイバー集団は、自衛隊の「サイバー防衛隊」です。しかし、その役割は防衛省と自衛隊を守ることで、ほかの政府機関や民間企業を守っているわけではありません。また人数は、2018年時点で約110人。将来的に1000人規模にしていく計画がありますが、現時点での存在感は限定的です。

一方、アメリカは2018年にサイバー軍を10番目の統合軍に格上げしています。人数は6000人程度。2019年には11番目の統合軍として「宇宙軍」も組織されており、新しい領域に備えた動きが活発です。

中国ではサイバー軍「61398部隊」の存在が知られています。2014年にはアメリカ司法省が、米国の原発や鉄鋼、太陽電池関連の企業から情報を盗んだとして、所属する将校5人の氏名を特定し、刑事訴追しています。サイバー空間での米中対立は深刻です。

日本に近しい脅威は北朝鮮でしょう。大規模なサイバー軍が「外貨稼ぎ」をしているとみられています。2017年には米上院で、セキュリティ会社が「北朝鮮に拠点を持つグループがバングラデシュ中央銀行から8100万ドル(約92億円)を奪った」との認識を示しました。銀行強盗もサイバー攻撃の時代なのです。
https://www.nikkei.com/article/DGXLASGM11H73_R10C17A5FF2000/

自衛隊は「専守防衛」です。攻撃を受けて、はじめて行動を起こすことができます。ただし、サイバー攻撃ではどこまでが「攻撃」なのかはっきりしません。またど、こから攻撃を受けているかをたどるには、外国のサーバーに侵入していかなければいけませんが、それが「攻撃」になってしまう恐れがあります。自衛隊が頼れないとすれば、あとは警察ですが、民間ではなく国が相手では太刀打ちできません。

組織と法制度。その両面で手当てが必要な分野だと思います。
在宅勤務に伴いリスクは増えていますが、リスク分散、モラルリスクの排除、適切なアンダーライティング(引受審査)が難しく、保険化して財務リスクをヘッジする事も現状困難です。欧米企業では企業内再保険会社「キャプティブ」を活用して、効率的な自家保有を模索する企業が増えているとのことです。
高速滑空ミサイルが狙われたというのは想定内ではあるが、こうした情報が開示されているというところはちょっと驚き。記事の中ではマルチドメインの話が出ているが、この三菱電機の案件はいわゆるサイバーエスピオナージ(サイバースパイ)の問題。
朝日新聞須藤編集員の記事。
ここ一、二カ月に須藤編集委員はどんどん関連の記事を出している。
三菱電機の社員名を伏せ、防衛庁から特別の情報提供があった。アメリカその他の国の情報も盛沢山。取材力、分析力の凄腕を誇示した。
ちょうど日本では宇宙軍の設立のタイミングもあり、その必要性をあわせて力強く訴えている。
ほんとうはロシアがネットでの諜報活動なども触れたほうがいいだろうが、そうすると、中国批判の焦点をぼかす。あえてほとんどロシアについては触れないようにしている。
北朝鮮はたいしたITの力はないだろうが、悪用の面では世界その他の国に負けてはいない。それもすぐ触れる必要はないと思われる。
アメリカは日本で公然と諜報活動をして企業だけでなく、政治、経済全般に対して収集し、コントロールしている。しかし、アメリカは基本的に善であり、中国は悪であると須藤編集委員の記事から読めるのではないか。
下記リンクにもありますが、この件、かなり手が込んでいたことが分かっています。防衛情報が狙いだったのかどうかは分かりませんが、広く共有して警戒すべき事案だと思います。

「今後の開発過程でミサイルの性能が変わりうることなどから、特定秘密保護法で指定する「特定秘密」などの対象ではない。ただ、「防衛業務の遂行に支障を与える恐れがある」とした「注意情報」に該当。防衛装備庁は三菱電機にも情報保全の徹底を誓約させていた」

https://digital.asahi.com/articles/ASN517HP7N4XULZU012.html

追記)
私はこの取材の経緯を知りません。そのうえで。この件に限らず「●●もやっているのに取り上げない」と言われることが結構あるのですが、私の経験では、それはそうした噂があっても確認できないからです。情けないことですが、いい線まで行ったけど記事にできなかったことは何度もあります。他社がそろって書いているのに、私だけ書けない「特オチ」という経験もあります。ですが、私が大した話をつかんだことがないからかもしれませんが、確認できた情報を「握りつぶされた」という経験はありません。少なくとも私の場合は。

推測でしかありませんが、経験上、これほどの話のウラを取って書くのは、かなり大変です。アメリカもやってる、ロシアも、北朝鮮もやってる、とホイホイ書けるような話ではないだろうと思います。

ただし、記者は自身の問題意識をもとに取材をするので、その視角は限定される可能性があります。私自身の中にも、アメリカ=善というより、アメリカ=味方、といった考え方はあるかも、と思いました。自らのバイアスは、気づきにくい。だから記事にするまでには、様々な議論をした方がいい。時間とコストの制約の中ではありますが、意識しておきたいところです。
一連のサイバー攻撃について、被害の甚大さはどのぐらいかを専門家に聞いたことがあります。答えは「どのぐらいかがわからないことがより深刻な事態」でした。その専門家は例え話として「家の中に誰かが入ったことはわかる。いろんな引き出しを触っていることもわかる。でも、何も見て、何の写真を撮っていたかはわからない状態」と説明してくれました。そして「だから、流出は確認されていない、というのは詭弁です」と批判していました。日本はこの領域で本当に遅れています。有能はホワイトハッカーをもっともっと育てないと。
>特定の装備に関する情報流出の疑いが発覚するのは異例

内部に共犯者がいるのではないかと思ってしまいますね~。
ピンポイントで攻撃できると言うことは・・・。
FA、公共、重電、交通、自動車機器、宇宙、通信、半導体、空調機器等、幅広い分野で展開。選択と集中を徹底し、既存の主力事業であった携帯電話端末、半導体のDRAMとシステムLSI、パソコン、洗濯機から撤退。ビルシステム事業では国内トップ、新興国へも進出中。宇宙分野にも積極的。
時価総額
5.22 兆円

業績