(写真)質問する田村智子議員=4日、参院内閣委
改定サイバーセキュリティー基本法が5日の参院本会議で成立しました。日本共産党、希望の会(自由・社民)、沖縄の風は反対。
日本共産党の田村智子議員は4日の参院内閣委員会で、昨年、150カ国の数十万台のコンピューターがウイルス感染し、英の国民保健サービス(NHS)の病院が機能停止に陥るなど世界的猛威を振るった「ワナクライ事件」に言及。米国家安全保障局(NSA)が発見したマイクロソフト社製基本ソフト(OS)の「ウィンドウズ」の弱点をサイバー兵器開発に利用するため同社に情報を提供しなかったのが一因で、NSAから盗み出された同兵器が改造され犯罪に使われたというのが定説だと指摘し、政府の認識をただしました。
山内智生内閣審議官は「報道は承知しているが、真偽について答える立場にない」と答弁。田村氏は、OSの弱点を活用するため公開しない場合もあるとの米方針の見直しを求めるべきだとしつつ、日本も新防衛大綱で同様のサイバー反撃能力保有を検討していると指摘。石川武防衛政策局次長は「具体的方向性は決まっていない」と述べました。
田村氏は、政府による民間へのサイバー攻撃の禁止、ソフトの弱点情報の提供義務づけなど国際的枠組みづくりの重要性を主張しました。
2018年12月14日(金)しんぶん赤旗より
【2018年12月4日 参議院内閣委員会議事録】
○田村智子君 日本共産党の田村智子です。
この法案は、官房長官を本部長とするサイバーセキュリティ戦略本部の下にサイバーセキュリティ協議会をつくるというもので、国の機関、地方公共団体、民間企業、教育研究機関などにサイバーセキュリティーに関する情報の提供が義務付けられます。では、提供される情報はどのように共有されるのか。
政府は、サイバー戦略二〇一八で、サイバー攻撃の脅威に対して事前に積極的な防御策を講じる積極的サイバー防御の推進を掲げ、これに基づく二〇一八年計画では、脆弱性関連情報をより確実に利用者に提供するとして具体的な施策を挙げています。
脆弱性というのは、コンピュータープログラムの弱点、付け入る隙のようなもので、不正アクセスの突破口になり得るわけです。これ、決して珍しいことではなくて、やはりどこかにソフトというのは弱点があって、ですから、私たちのアイフォンやスマートフォンにはアップデート情報というのは必ず入ってくるわけですね。常に起こり得ることなんです。
この脆弱性情報は公表すれば逆に不正アクセスの呼び水にもなりかねないので、公表するかどうかというのには様々な検討が必要となると思います。しかし、対策は直ちに取ることが必要です。
政府は、知り得た脆弱性情報を、そのソフトを作成、提供した者に直ちに提供するという立場であるのかどうか、確認いたします。
○政府参考人(山内智生君) お答え申し上げます。
今回の協議会におきまして、脆弱性を含めてサイバー攻撃による被害の拡大を防止するために共有が必要な情報に関しましては、基本的に速やかに共有する必要があると考えております。
どのような情報をどのように共有をするかということに関しましては、委員御指摘のようなこともございます。個別の状況、それから事案によっても判断されるものと考えておりますが、いずれにせよ、迅速な共有に努めてまいりたいと存じます。
○田村智子君 じゃ、少し具体にお聞きしたいんです。
昨年、世界的に猛威を振るったサイバー攻撃にランサムウエア、ワナクライ事件があります。本法案の説明でも参考資料とされている事件です。マイクロソフトのウィンドウズの脆弱性をついた不正アクセスによってコンピューターを動かせなくするソフトが送り付けられ、解除してほしければ身の代金を支払えと要求するサイバー犯罪でした。ウィンドウズのネットワークを通じて百五十か国、数十万台のコンピューターが攻撃を受け、イギリスでは病院が機能停止状態に陥るなど深刻な影響が広がりました。日本でも、日立などの大手企業、また少なくない地方公共団体での被害が確認されています。
政府の側から法案の参考資料としてこのワナクライ事件が配られましたので、このワナクライ事件の要因などをどのように分析されているのか、お答えください。
○政府参考人(山内智生君) 委員御指摘のワナクライについてでございますが、これは、おっしゃるとおり、まずマイクロソフトのウィンドウズの脆弱性をついたものであったというふうに認識をしてございます。
実は、この脆弱性に関しましては、同年の三月にウィンドウズに関しましてアップデート、修正のプログラムが出されておりました。この修正プログラムを適切に適用していればこのワナクライには感染をしていなかったと、これ事後に分かったことでございますが、ということが分かってございます。
もう一つ、コンピューターの中でインターネットにつなぐ際、接続をする際の設定が適切であったかといった問題がございますが、いずれにせよ感染をいたしました端末、コンピューターに関しましてはこの修正のプログラムを適切に適用していなかったと、それからコンピューターにおいてインターネットに接続する設定が適切でなかったということが影響したというふうに認識をしてございます。
○田村智子君 政府が正式に述べたのは、官房長官が記者会見の中で北朝鮮が関わっているということをお述べになって、今のようなことは報道でされていることの範囲で私も読みましたけれども、私も北朝鮮を犯人とするものかどうかということについては否定も肯定もするつもりはありません。
今のお話、説明の中で言われていないことがあるんです。私もワナクライ事件については、政府が参考資料で持ってきましたので、一連の報道、解説文書などをいろいろ読みました。その中で、国際的にも注目されているのは、米国国家安全保障局、NSAが、ウィンドウズの欠陥、脆弱性を発見しながらマイクロソフト社に連絡せず、むしろ敵に対してサイバー戦略で優位に立つために、その脆弱性を利用した兵器、ツールを開発した、このツールが何者かによって盗み出され、犯人がこれに手を加えたことによって身の代金型のサイバー攻撃に利用された、これ一連の報道でずっと書かれているわけですね。
米国NSAが脆弱性情報を隠し、ひそかにサイバー攻撃用のツールを開発した、それがワナクライ事件の原因だという指摘について、政府はどういう見解をお持ちですか。
○政府参考人(山内智生君) NSAがこの脆弱性の情報をあらかじめ発見をしていて、それを発表しなかったということが原因だという指摘があると、そういう報道があるということは承知をしております。
ただ、私どもとしても、その真偽について、これがどうかということについてお答えする立場にはございません。残念ながら、そこについては分からないということでございます。
○田村智子君 最初に御答弁された中身も報道で分かっていることですからね。今私が言ったようなことも、報道で分かっていることとして御答弁いただいてもいい内容だと思うんですよ。
アメリカはこうした報道を事実上認めています。ワナクライが北朝鮮によるものだと断定した昨年十二月の会見で、NSAを担当する大統領補佐官トム・ボサート氏は、記者からの厳しい質問を受けて、我々が安全保障上の目的でツールを開発し、脆弱性を利用するのは、悪意ある行為の証拠をつかむためだと弁明しています。さらに、ソフトの欠陥を見付けたら、大半、九〇%は会社に修正するように連絡するが、一〇%程度は国家安全保障の利益のために見付けた脆弱性を利用すると述べているわけです。脆弱性を利用するというのは、アメリカが敵にサイバー攻撃を仕掛けるということになるわけですね。
ワナクライ事件は、もちろん身の代金要求のサイバー攻撃を仕掛けた者が犯人であって、その犯罪が許されるものではありません。しかし、ウィンドウズの脆弱性を発見しながら、このことをマイクロソフト社に伝えることなく秘匿し、自らのサイバー戦争に活用していたNSAに責任の一端があるということは明らかだと思いますが、大臣の見解をお聞きします。
○国務大臣(櫻田義孝君) ワナクライ事案については、アメリカNSAが発見していた脆弱性情報が原因となったとの指摘があることについては承知をしておりますが、その真偽についてはお答えする立場にないと考えております。
○田村智子君 先ほどと同じ答弁なんですね。
これ、マイクロソフトのブラッド・スミス社長は、ワナクライが攻撃で使った手口はNSAから盗み出されたものと断言しています。そして、政府の諜報機関からの流出は従来にはなかったパターンであり、一たびそれが悪用されると、トマホークミサイルが盗まれた場合と同様に広範な被害につながると厳しく批判しています。また、政府には脆弱性の秘匿や悪用が一般市民に与える影響について考慮してもらわなければならない、こうも指摘しているわけですね。
二〇一七年十一月十五日、アメリカ政府は、大きな批判を受けて、政府が発見した脆弱性を公開するか否かを判断する考え方と対応、これポリシー・アンド・プロセスというふうに言われていますけれども、これを明らかにしました。これ、以前から持っていたんですけれども、情報公開請求受けてもこれ見せてこなかった、一部しか示してこなかった。これをワナクライの事件を受けて大変な批判を受けたところで明らかにしたわけですね。
その中で、政府が機密扱いとする脆弱性があるということが述べられています。まだ知られていないセキュリティー欠陥で、欠陥を補うプログラム、セキュリティーパッチが出ていない場合に非開示の判断が下されることがある、政府機関はこうした脆弱性を発見することが多く、自らのハッキングのために用いることもあると説明をしているわけです。政府がこういう方針を持っているということの文書がもう明らかになっているんです。
日本は、アメリカとサイバー戦略において密接に連携するとしていますけれども、アメリカのこのような方針を承知しておられるのでしょうか。
○政府参考人(山内智生君) 今委員御指摘のありました発見した脆弱性情報の取扱いを定める手続、恐らくバルネラビリティー・エクイティー・プロセスというものかと思います。このような手続を設けているということについては承知をしております。
○田村智子君 これ、大臣にもお聞きしなければならないんですね。だから、アメリカの場合は、脆弱性情報、重大な情報をつかんでも、それを隠して、自ら兵器開発、サイバー戦略上の兵器ですね、ツール、それの開発にも利用する、こういう方針を明らかにしているわけですね。
日本政府のサイバー戦略は、このアメリカとの協力を柱に据えています。サイバー戦略に基づく計画であるサイバーセキュリティ二〇一八には、知見の共有、政策調整として、内閣官房、外務省及び関係府省庁において、日米サイバー対話等の枠組みを通じ、幅広い分野における日米協力について議論し、両国間の政策面での協議や体制及び能力の強化、インシデント情報の交換等を推進し、同盟国である米国とのサイバー空間に関する幅広い連携を強化するとあるわけです。
本法案では、サイバーセキュリティー情報を協議会で共有するとしていますけれども、そこで集めた情報というのは、当然サイバー戦略のこの方針に従えば、アメリカ側にも連携として提供することもあり得るというふうに思われるわけですね。そうすると、アメリカは脆弱性情報の秘匿があり得るという方針です。そうすると、そのアメリカとの同盟関係、あるいはアメリカの判断、こういうものに配慮をして民間との情報共有が有効に機能しない、こういうことが起こり得るのではないのか、私は懸念するんですけれども、大臣、いかがでしょうか。
○国務大臣(櫻田義孝君) 協議会は、官民の多様な主体がお互いに情報を提供し合い、また、必要に応じて海外の行政機関とも連携しつつ、民間等を含め国内全体としてサイバー攻撃による被害の拡大を防ぐことを目的としております。
サイバー攻撃による被害の拡大のおそれが生じているのにもかかわらず、アメリカとの関係に配慮し、共有に支障を生じさせるような情報の取扱いは基本的に想定しておりません。
○田村智子君 アメリカとの連携はもう大前提になっているわけですね。その上で、協議会つくるんですよ。
それで、大臣、もう一言お聞きしたいんですけど、日本の中ではそういう脆弱性情報などを共有していくんだと、サイバー攻撃に対応していくんだと言うけれども、だったら、アメリカに対して、重大情報であっても秘匿があり得ると、これではワナクライ事件のようなことがまた起こり得るんじゃないのかと、この方針について何らか日本としての意見を伝える、懸念を伝える、そういうこと必要だと思いますが、いかがですか。
○国務大臣(櫻田義孝君) アメリカの国内政策については発言する立場にありませんが、脆弱性情報の取扱いについては国際的には様々な議論がなされておりますので、こうした議論に積極的に参画してまいる所存でございます。
○田村智子君 これ、実は、アメリカに意見しないだけではなくて、日本もまたアメリカのようにサイバー兵器開発のために脆弱性情報を隠すという方針を取ろうとしているのではないだろうかと、こういう危惧が今私の下に、私の中で広がっているんですよ。
今月策定される防衛計画の大綱について、先週末、各メディアが一斉に骨格に示されたサイバー戦略について報道いたしました。自衛隊によるサイバー反撃能力の保有に加え、電磁波を使った敵部隊への妨害能力の強化が明記されるというものです。日本も脆弱性を利用したサイバー反撃について準備を進めるということなんでしょうか。
○国務大臣(櫻田義孝君) 防衛計画の大要の見直しについては、検討がなされているということについては承知しておりますが、所掌外に関することなので、お答えは差し控えさせていただきます。
○田村智子君 それでは、今日、防衛省、是非来たいというふうに言っていただきましたのでお聞きしますが、サイバー反撃についての準備をこれから進めていくということになるんですか。
○政府参考人(石川武君) お答え申し上げます。
あらゆる事態におきまして国民の命と平和な暮らしを守り抜くためには、陸海空という従来の領域にとどまらず、宇宙、サイバー、電磁波といった新たな領域を横断的に活用した防衛力の構築が不可欠でございます。
防衛計画の大綱の見直しにつきましては検討中でございまして、御指摘の反撃能力も含めて現時点でその具体的な方向性についてお答えできる段階にはございませんが、我が国として武力の行使の三要件を満たす場合には、憲法上、自衛の措置としての武力の行使が許され、法理上はこのような武力の行使の一環としていわゆるサイバー攻撃という手段を用いることは否定されないと考えております。
いずれにしましても、見直しに当たりましては、サイバーを含む新たな領域の活用が極めて重要となっていることを踏まえて検討していく必要があると考えております。
○田村智子君 この報道を見てみますと、DDoS、これ不正アクセスによって大量のデータを敵のサーバーに送信することで機能不全に陥らせるという攻撃なんですけれども、これが想定されていると。すさまじい量のデータを送るには膨大な数のコンピューターをウイルス感染させて攻撃させるということが必要になってくるわけですね。
そうすると、これはアメリカがやっているのと同じように、脆弱性情報をつかみ、その情報を共有せず秘匿し、そこに付け入るソフトを開発する、そういう方針だと言わなければなりません。これ大変重大だと思います。
こういう事態、ワナクライの事件なども受けて、改めてマイクロソフトは、ワナクライ事件が起きる前からなんですけれども、デジタル・ジュネーブ条約ということを提唱しているわけです。これは、政府機関、国家機関による民間部門へのサイバー攻撃の禁止などを盛り込む条約なんですけれども、脆弱性情報を国家機関は悪用せず、直ちにベンダー、つまりソフトの開発者に提供することなどを盛り込んだものなんです。これ、サイバー攻撃に対処していくということは、これはもう一つの国だけの問題ではありません。先ほどのワナクライの事件が百五十か国に広がったというように、最も国際的につながっているのがこのサイバー空間ですから。
そうすると、各国がこのサイバー攻撃に対処していく上でどういう基本的なスタンスを取るのかと、国際的な言わば土台というものをつくっていくことは、私、非常に大切だというふうに思うんですね。こうしたデジタル・ジュネーブ条約などの提案について、櫻田大臣の見解をお伺いいたします。
○国務大臣(櫻田義孝君) サイバー分野の国際法や規範をめぐっては、国際的に様々な議論がなされておりますので、こうした議論に積極的に参画してまいる所存でございます。
○田村智子君 今日は大変答弁が端的でございまして、用意していた質問は大体やり尽くしたんですけれども。答えられない質問ばかりだったということが多かったというふうに思うんですけれども。
ただ、私やっぱり一連の御答弁を聞いていて、これでは国民がサイバー攻撃から本当に守られるということになるのだろうかという危惧を抱かざるを得ないわけですね。やっぱりサイバー攻撃は基本的に悪であって、その悪質なサイバー攻撃を許さないということであるならば、国家がサイバー攻撃を認めるというようなことを、やっぱりそういう立場に立っていていいんだろうかということが問われているというふうに思うわけです。
是非、これから協議会をつくったときにはその方針を、その具体的な運用については法案作ってから、法が成立してからいろいろ協議をされるということですけれども、まさに国民が、市民生活がサイバー攻撃から守られるという中身にならなければ駄目であって、サイバー攻撃のためのツールを入手するためのもの、そういうような政府が悪用するようなことはあってはならない、このことを肝に据えていただきまして、櫻田大臣にも御努力をいただきたいと思います。
質問を終わります。