抑止のための情報機能を高める

「技術安全保障体制の構築を」はサイバーセキュリティ―について多くの紙幅を割いていますね。

玉井:非常に重要な分野だからです。サイバー攻撃に対する抑止と対処の両方を提言しました。抑止策の一つは、サイバー攻撃があった場合に、同盟国と協力して実行者を特定することです。特定し公表することで攻撃者はひるみ、次の攻撃を躊躇するようになるでしょう。今は各国がそれぞれ実施していますが、同盟国と協力することで、対象とするサイバー攻撃の範囲を広げることができるし、特定の精度を高めることができます。

「日本への攻撃の予知等のためにもサイバーインテリジェンスを実施できるようにする」とあります。サイバーインテリジェンスとは何ですか。

玉井:これも抑止の一環です。たとえば、鉄道について、座席指定システムは外部に開かれています。これと列車運行システムがきちんと分断されており、座席指定システムに対するサイバー攻撃が列車運行システムに影響を及ぼさないかを検証する。仮に影響を及ぼす可能性があるなら、その“穴”をつぶす、といった作業を想定しています。

 JR東日本ならば、こうした作業を自力でできるでしょう。しかし、原子力発電所問題で疲弊した電力会社だと、どうでしょう。水道は市区町村が運営しています。政府のサポートがないと、予算面でも人材面でも難しいのではないでしょうか。

「脅威インテリジェンス」機能を持つ専門の情報機関を国に設置するとも提言しています。こちらは何をする機関ですか。

玉井:どのような脅威が存在しているかを調査し、認識する機能です。日本国としてのこの機能が、残念ながらまだたいへんに弱い。日本でどの機関にこの機能をもたせるかについてのこだわりはありません。適切な能力を持つ機関が担当すればよいと考えます。米国では主としてFBI(米連邦捜査局)が担当しています。

自衛隊に日本の防衛を担わせる

玉井:対処は、自衛隊のサイバー防衛隊が、日本全体のサイバー防衛をできるように体制を整えることです。現在は自衛隊自身のサイバー防衛しか対処することができません。

サイバー攻撃を武力攻撃事態に認定できるようにするのですか。

玉井:そうではありません。災害派遣と同様の位置づけでサイバー防衛を追加することを想定しています。サイバー攻撃は、武力攻撃ではありません。しかし、それがもたらす被害は、時に、武力攻撃を上回ることがあり得ます。たとえば特定地域の発電所とガス供給と鉄道網が同時に停止すれば、大きな被害が生じるでしょう。

 しかし、その対応は電力会社、ガス会社、鉄道会社などの民間企業に任されている。それでよいのでしょうか。被害が生じた後の災害については、自衛隊が災害派遣で民生に協力するわけです。未然に国として対応できる体制を整えるのが趣旨です。

 映画「シン・ゴジラ」が公開されたときに、「自衛隊に防衛出動を命じることができるのか」という議論がありました。ゴジラは自然現象であって「外部からの武力攻撃」ではないからです。法を整備しておかないと、サイバー攻撃も、法的に対処しようのないゴジラと同様のものになってしまいかねません。

「サイバー防衛」は、具体的には何をするのですか。

玉井:はい。まずは、先ほどお話しした、攻撃を仕掛けた者の特定。攻撃の遮断。そして次なる攻撃をされないよう対策を講じる。

「次なる攻撃をされないよう策を講じる」の中には、攻撃者のサイトに何かしらの作用を及ぼすことも含みますか。攻撃を加えるとか。「元を絶たなければ攻撃は終わらない」といわれています。

玉井:そう取ると、敵基地攻撃能力の問題と同じように聞こえるかもしれません。しかし、サイバー防衛においては、相手方の施設を物理的に破壊する必要はありません。相手方を特定することはそれ自体が牽制になるし、他の手段、たとえば経済制裁も可能になります。我々の研究会でも、具体策については意見が分かれました。国家技術安全保障会議が設置されたら、そちらで議論していただきたいテーマです。