第10回全日本高校模擬国連大会基調講演

サイバー技術の発達によって変わる国際関係の枠組み

経済産業省サイバーセキュリティ・情報化審議官 伊東寛氏

私は、今は経済産業省の審議官ですが、かつては陸上自衛隊の自衛官でした。およそ27年の自衛隊勤務の最後の仕事は、陸上自衛隊が14年前に創設したサイバー戦部隊の初代の隊長でした。そこでの勤務を通して、サイバーセキュリティこそがこれからの日本の、そして世界の平和のために絶対に必要であると感じたのです。そこでサイバーセキュリティをライフワークにするために自衛隊を早期退職し、今から10年ほど前に民間のセキュリティ会社に移ってセキュリティの研究や、普及・啓発に努めてきました。

 

そして今年、日本政府はサイバーセキュリティをもっと強化しなければならない、ということで各中央省庁に審議官のポストを作りました。その時、経済産業省だけは、民間からそれなりの人を採ろうということで一般公募があったので、そこに応募して採用され、こうして皆さんの前にこうして立っているわけです。

 

サイバーセキュリティをライフワークとする、ということで、民間に行ってからも様々な角度から研究をしました。これまで日本人はある意味あまりにも平和ボケしていました。サイバーセキュリティの脅威は、実は2000年代の初め頃から世界中で起きていたのですが、日本では報道されていませんでした。

 

サイバーの問題に従来の国際法は通用しない?

 

皆さんは、今回の模擬国連で各国の大使になって、サイバーセキュリティの国際的なルール作りに取り組むわけですが、実はこのサイバーという領域は、現実の世界でもまだきちんとしたルールが決まっていないのです。

 

私はいくつかの勉強会をしていますが、その一つがサイバーと国際法に関するものです。

 

現在の国際関係は、歴史的に根底にある国際法、例えば国連憲章やハーグ陸戦協定(※1)など、たくさんの国際条約や国際慣習に拠って来ました。その枠組の中で世界が動いてきたところにサイバー空間が入って来たらどうなるのだろうか、という当然の疑問があるわけです。

 

※1  1899年にオランダ・ハーグで開かれた第1回万国平和会議において採択された「陸戦ノ法規慣例ニ関スル条約」並びに同附属書「陸戦ノ法規慣例ニ関スル規則」のこと。1907年第2回万国平和会議で改定され今日に至る。交戦者の定義や、宣戦布告、戦闘員・非戦闘員の定義、捕虜・傷病者の扱い、使用してはならない戦術、降服・休戦などが規定されている(Wikipediaより)。

 

 

例えば、戦争法規(戦争状態においても、あらゆる軍事組織が遵守するべき義務を明文化した国際法)というものがあります。武力紛争法などがそうです。私は自衛官だったので、サイバーの話があった時にすぐに思いついたのがこれでした。皆さんは「交戦資格」という言葉をご存知ですか。国際法上は、戦争するためには資格が必要なのです。

 

昔、「自衛隊は要らない」という人と議論をした時に、私が「そうですか。では、自衛隊が要らないとして、もし外国が攻めてきたらどうするのですか」と聞くと、相手は「攻めて来ないように話し合いをすればいい」とおっしゃいました。「もちろん、私もそれでいいと思います。それでも万万が一、攻めてきたらどうするのでしょうか」「攻めて来ないように話をしましょう」「そうでしょうね。でも、実際に来たらどうするんですか」というやりとりを10回くらい繰り返したら、最後は相手が折れて「それでもダメだったら、国民一人ひとりが武器を持って立ち上がって戦えばいいんですよ!」と言いました。しかし、これはアウトなのです。

 

現在の国際法では、戦争をする資格というのが決められています。簡単に言えば、「公然と武器を携行し、責任ある指揮官に率いられ、国際法を守り、それから制服を着ていることが必要」です。つまり、一般人のふりをして、後ろからだまし討ちをすることはダメという、明確な規定があるわけです。ですから、国民一人ひとりが武器を持って立ち上がってバンと撃ったら、それは戦争犯罪になってしまいますから、その人は捕まってそのまま射殺されても文句は言えないのです。自衛官は軍隊ではないのですが、国際的には軍隊と見なされているので、もし戦争になった場合に、自衛官を捕虜にすることができるわけです。そのようなものが、国際法で決められた戦争です。

 

ところが、サイバー攻撃で相手の国のシステムを落とした時に、「公然と武器を携行している」とか「制服を着用している」といった条件は全くナンセンスですよね。先ほどお話しした私の勉強会は、そこから始めました。

 

今日ここに集まった皆さんが、サイバーセキュリティについて議論するために勉強した時に『タリン・マニュアル』(※2)というものを読まれたかもしれません。タリン・マニュアルというのは、世界中のサイバーや法律に関する有識者が2013年にエストニアのタリンに集まって、国際条約とサイバーの関連について議論したことをまとめた文書で、これが現段階での唯一の国際的なマニュアルになります。これには、「誰が考えても過去の戦争法規等に照らしてOKであるものについては大丈夫です」と書かれています。これは当たり前です。問題は、さきほどお話ししたような、過去の戦争法規の規定に収まらないような例ですね。そして、こういった条件については、だいたい「…というわけで議論が分かれた」と書かれています。

 

つまり、世界最高の法律学者や技術の専門家が集まって国際会議をして何年間もかけてやっとできた300ページにおよぶマニュアルでさえ、今のところサイバーと国際関係に関するきちんとした結論は出ていないのです。

 

※2 「タリン・マニュアル」参考資料 

「ブリーフィングメモ サイバー・セキュリティとタリン・マニュアル」

 防衛研究ニュース 2013年10月号

http://www.nids.mod.go.jp/publication/briefing/pdf/2013/briefing_180.pdf

 

 

ですから、皆さんが模擬国連という形でサイバーの勉強し、そして各国を代表した立場で議論を闘わせて、何らかの合意を得るということは本当に素晴らしいことであると思います。むしろ、頭の柔らかい高校生の方が、頭の固いおじさんたちよりも斬新でナイスなアイデアを考えてくれるのではないかと期待しています。

 

情報技術次第で、これまでとは異なる「国力」の尺度が生まれる

 

国際間でサイバー問題を考える時、今まで以上に各国の特性が影響します。しかも、これまでのように核兵器を持っている五大国が圧倒的な力を持っていて、自分の意見をぐいぐい言える世界ではなくなるかもしれません。逆に、これまで小国と見られていた国にも国際社会での発言権が出る可能性があります。

 

つまり、サイバー技術はこれまでの国力とは違う尺度で力を見ることができるかもしれないということです。貧乏な国でも、すごく頭のいい子達を教育して、コンピュータで素晴らしいプログラムを作れば、大国と伍して闘えるかもしれないのです。

 

実は、サイバー技術というのは極めて不安定で信頼できないものです。その上に高度に発達した社会が乗っている、というのが現状ですが、北朝鮮の国中のシステムがダウンしても、たぶんあの国の人達は全然困らないでしょう。でも、これが日本やアメリカだったら、システムが落ちれば大きな損害が発生してしまいます。人も死ぬでしょうね。というわけで、実はサイバー技術の時代は世界の大きな力関係が変わるかもしれない。それぞれの国の特性、技術が上か下か、国としての法律はどうなっているのか、兼ね合わせると、サイバー技術が凄いと言われているアメリカや中国、ロシアやイスラエルだけが圧倒的に発言権があるわけでは決してなくて、小さい国の人たちもいろいろな議論をするネタを持っているということです。

 

先ほどタリン・マニュアルで出てきたエストニアも同様です。ソ連崩壊後、親ソ連派の大物たちがパージされた後、若い人達が国のリーダーになった時、資源もないバルト海の小国が自立していくためにはどうしたらよいか、と考えてIT立国を打ち出したのです。

 

エストニアは、すでに10年以上前にマイナンバーカードを導入しています。現在日本で使われているものより、ずっと使い勝手のよいものです。さらに、2007年には3週間にわたってDos攻撃を受けて、国のシステムがまったく使えなくなる、という大変な目に遭っています。しかし、彼らはそこから立ち直り、さらに強固なシステムを作り上げました。タリン・マニュアルの会議も、政府がお金を出して世界最高レベルの技術者や法律学者を招聘したものです。今では、サイバーセキュリティのメッカはエストニアのタリンだ、ということになっています。

 

5行でわかる「脆弱性とは何か」

 

サイバー技術というのはコンピュータとインターネットの総称ですが、実はこれにはいろいろな問題点があります。

 

例えばこちらを見てください。プログラミングをやっていない方でも意味はわかりますね。割り算のプログラムを簡単に書いたものです。コンピュータのプログラムとして実用上は全く問題ないのですが、実はダメなプログラムなのです。どこがダメなのか、わかりますか。

 

これはBに0を入れると割った値が∞(無限大)になってしまいます。無限大はコンピュータで使えませんので、メモリーがあふれてしまう。では、このプログラムを作ったプログラマーはアホだったのか、というと、そういうわけではない。「実用上問題がない」というのは、そういう意味なのです。ふだん私達が割り算をする時、「割る0」という問題は絶対に発生しません。だから、これを作ったプログラマーは、テストデータを持ってきて、テストをしてみて問題がないかどうかの確認はしているかもしれませんが、そのテストデータの中に「B=0」というのは思いつかないはずなのです。なぜなら、実用上そのニーズがないのですから。しかし、もしも悪い人が意図的に「0」を入れたらシステムは落ちてしまう。これがサイバー攻撃の一番簡単な説明なのです。

 

言い換えれば、サイバー攻撃というのは想定外の油断を突く、ということです。思いついていない入力をすると落ちてしまう。これが「脆弱性」です。

 

たった5行のプログラムでもこのような見落としがあります。皆さんが使っているパソコンのOSは約5000万行あります。5000万行もあったら、必ずどこかに見落としがある、と思わなければなりません。

 

それなら、徹底的に見直しをしたものを販売するべきだ、と思う人があるかもしれません。確かに、自動車や食品などなら、現在市場に出回っているものは安心・安全であるのが当たり前になっていますが、ソフトウエアについては実はそういう文化ができていないのです。ソフトウエアというのは、後からパッチで簡単に直すことができてしまいます。ですから、とりあえず市場に出してしまって、後にパッチを飛ばしたり、バージョンを少し上げて直したりということで対応している。それはいいことでもあったのですが、今問題なのは、そういう不完全な製品を出してしまうと、いわゆるハッカーのような悪い人がそこを突いて攻撃してくるわけです。ですから、パソコンというものは、自動車とか食品等とは違って安心できないものだということをまず根本的に知っていなければいけないのです。

 

インターネットは「極めて不確か・かつ脆弱な基盤」であることを知ろう

インターネットにも、致命的な弱点があります。簡単に言えば、インターネットというものは善い人が作ったので、インターネットの中に悪者がいる、という想定がありません。しかし、ちょっと勉強すると、インターネットは問題点だらけなのです。そのため、悪い人はやりたい放題です。だから、世界中でサイバー犯罪は後を絶ちません。そして、インターネット技術を使って世界が動いているということは、国際関係もこの脆弱で不確かなものの上に乗っているということになるのです。

 

例えて言えばこういう感じです。これはクラシックカーですが、この当時の世界には、エアバッグはないし、保険制度もない。信号も交通警官もない。ドライブレコーダーはもちろんないですね。現代は、今言ったようなモノはすべて装備され、より安心・安全な社会に変わりました。しかし、インターネットの世界は、自動車発明当時の状況と同じなのです。

 

先ほど述べたように、インターネットやコンピュータというのは極めて不確かなものなのです。その上に経済が成り立っているということが問題であり、世界中の国がそれを使うことでいろいろな争いが水面下で起こっているのです。

 

2013年に発覚したスノーデン事件(※3)を覚えていますか。これはアメリカ政府によるインターネットの監視の実態が明るみに出た事件でした。アメリカはインターネットを最初に作ったので、世界のインターネットのほとんどを牛耳っています。今は少しずつ移譲しているのですが、それでも実体的にはアメリカが多くを握っています。スノーデンが暴露したある資料によれば、インターネットの8割はアメリカを通ると言われています。

 

※3 スノーデン事件: 2013年6月6日、米英の有力紙が、米国の国家安全保障局(NSA)が、米アップルや米グーグル、米フェイスブック、米マイクロソフトなど大手IT企業が提供するネットサービスのサーバーに直接アクセスして、ユーザーのデータを収集する『PRISM』という取り組みを行っていると相次ぎ報じ、米政府のネット・電話の極秘監視・情報収集プログラムであるの存在がはじめて明るみに出た。米中央情報局(CIA)元職員のエドワード・スノーデン氏が告発(Wikipediaより)。

 

 

それには次のような事情があります。インターネットは世界をつないでいますが、必ずしもまっすぐつながっているわけではありません。距離の近さではなく、なるべく太いケーブルを伝わっていく、という仕組みなのです。例えて言えば、東京から大阪にメールを出すなら、普通に考えたら東海道線沿いのケーブルで行きそうなものですが、実際には東京から千葉へ行って、千葉から巨大な海底ケーブルでアメリカに行って、再びアメリカから戻って三重県に上がって、そこから大阪に行く、ということになるかもしれないのです。

 

さらに皆さんが使っているソフトウエアはだいたいメイドインアメリカです。そうするとサーバーがアメリカにあるので、アメリカはその気になれば読み放題なのです。国際会議でアメリカの代表者は、「インターネットは自由なものだからこのままがいい。余計な規制をしてはいけない、保護貿易はいけません」と言うわけですが、裏にはそういった事情があるのです。本音は違うのですね。国ごとにそういった背景が結構あるので、各国が発表している資料やデータだけではわからない部分が大きいのです。

  

これからのサイバーセキュリティの国際的なルール作りに向けて

 

これからのインターネットの問題点をまとめます。1つ目は、技術の進歩は国によってまちまちですが、必ずしも進んでいる国だけが有利とは限りません。依存してしまっている国は不利になるかもしれませんが、技術が低くても国の力を与えればパワーが出るかもしれない、ということで、技術というのが一つの大きな問題です。

 

そしてインターネット自体が非常に弱いものなので、問題はたくさんある、ということです。

 

そして、最初にお話しした法律上の問題です。現在、世界を律するインターネットと安全保障に関する条約はまだできていません。あるとすれば、サイバー犯罪に関するプダペスト条約(※4)くらいで、戦争に関するものはまだありません。その間隙をぬった事態も、すでに起きています。

 

※4 欧州評議会が2001年に発案した、サイバー犯罪に関する対応を取り決める国際条約。外国から不正なアクセスなどが行われた場合に、加盟国の間で協力してコンピューター記録の保存や提供が行えるよう各国で法律を整備することなどを目的とする。(Wikipediaより)

 

 

実例を挙げると、2008年にロシアとジョージアの間で戦争が起きました。その時、撃ち合いをしている後ろでロシア人がインターネットにページを立てて「我々ロシアはジョージアと戦争をしている。君たちが我々の国を愛しているのなら一緒に戦おうではないか。ついては何時何分に敵国ジョージアのこのアドレスをみんなで攻撃しましょう」とやったわけです。これも立派な攻撃ですが、参加しているのは軍人ではありません。つまり民間人が勝手に戦争に参加できてしまう、という時代になってきている。でも、それを統制する法律はまだないのです。皆さんはどのようにしたらよいと考えるでしょうか。

 

今お話ししたように、まだまだこれから考えなければならない問題がたくさんあります。この模擬国連の場で、皆さんの議論を通して有意義な結論が出てくることを期待しています。

 

 

※第10回全日本高校模擬国連大会基調講演およびインタビューより構成

 

 

 

「情報セキュリティ」をどのように指導するか

 

基調講演の後、伊東様に高校の教科「情報」で「情報セキュリティ」を指導する際のヒントとなるお話をうかがいました。

 

まずはリテラシーを教えること

 

情報セキュリティについて必ず教えておかなければならないのは、リテラシーの問題です。まず、皆さんが使っているコンピュータのプログラムには必ず見落としがあることを伝えてください。

 

先ほどの基調講演で「5行のプログラムにも脆弱性がある」とお話ししましたが、ふだん私達が使っている普通のパソコンのOSは5000万行あります。5000万行もあったら、必ずどこかに予想外の見落としがあるはずです。プログラムにはそういう根本的な問題点があるということをまず知らなければなりません。

 

また、インターネットは善い人が作ったために「悪者がいる」という想定がありません。ですから、私達は「インターネットは非常に安全ではない」ということを知って使わなければいけないのです。

 

水道栓をひねって出てくる水に毒が入っているとは誰も思わないで平気で飲んでいますが、実は、インターネットやパソコンは水道栓からきれいな水が出てくるようなものとは違うのだということを、まず認識する必要があります。

 

ここまでがまずは基本中の基本です。次に、具体的なお話をしましょう。

 

皆さんが使っているコンピュータとかスマートフォン、さらに今後はIoTといってインターネットにつながるものがいろいろ増えてくるわけですが、それらは皆不完全なものなのだ、と認識したうえで具体的に対策を採らなければなりません。

 

例えば、パソコンにはアンチウイルスソフトを入れるとはどういうことか。私はこのように説明しています。

 

絶対に風邪をひかない方法というものはありませんが、風邪が流行っているときにわざわざ人混みに行きませんよね。これと同様に、危ないところに近づかないことはできます。

 

インターネットの世界には、面白そうな罠がたくさんあります。ちょっとしたキーワードで検索すれば、露骨な映像がいくらでもタダで手に入ります。では、なぜそういうものがタダで手に入るのか、ということを考えると、世の中に本当にタダのものはないのですから、何か罠が仕掛けてあるということを知っておかなければなりません。

 

うかつに人混みに行って風邪をもらってくるように、そういうところは人を引きつけて集めるとともに、何か仕掛けがあるのです。それがいわゆる「水飲み場型攻撃」で、そういうところにアクセスすると、こちらのコンピュータにマルウエア(※)を送り込んで乗っ取ってしまう、という仕組みがあるのです。そういう危険性があるのだということを教えておくべきでしょう。

 

※不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称。コンピュータウィルス、ワームなど。

 

先ほどのたとえ話の続きで、風邪が流行っているときはみんなマスクをしてうがいをします。それと同じように、パソコンを使うときにはアンチウイルスソフトを入れるということを当たり前にしなければならない。そして、もし頭が痛くて咳が出たら医者に行くのと同様に、パソコンなどを使っている時に、どうも様子がおかしいだと思ったら、よく知っている人に早めに相談してみるということが大事だよ、というリテラシーを教えるということですね。技術的なことを教えるのは、それをきちんと身に付けた後でよいと思います。

 

 

 

◇全日本高校模擬国連大会 

 ホームページはこちら    

 第10回全日本高校模擬国連大会議題解説書

 「国際安全保障の文脈における情報及び電気通信分野の進歩」はこちら