井上孝司の Defense Column
〜 続・サイバーテロを甘く見るな
霞ヶ関を騒がせた Web 書き替え事件も、ようやく収束したようだが、それに対する警察の対応にはあきれ返ってしまった。なんでも、国内のプロバイダの業界団体に対し、「虚偽のデータによる入会を阻止するため、確認を徹底するように」と求めたのだそうだ。
はっきりいってしまうが、まるでサイバーテロというものが分かっていない。インターネットは世界各国のコンピュータと接続されているのだから、なにも、日本国内の Web サイトの攪乱が日本国内からだけ行われるとは限らない。日本語がわかる人間なんて世界中にいるし、まして中国語や英語に至っては説明の必要もないだろう。
にもかかわらず、「日本国内の」プロバイダに対策を求めているところが間抜けである。なるほど、実社会での殺人事件などなら、日本国内で起きた事件の犯人は日本国内から発生する可能性が高いが、サイバーテロの場合は、犯人は世界のどこにいてもおかしくない。成田空港で出国する人間を見張っていれば犯人が捕まるとかいうのとは違うのだ。
極端なことをいえば、とにかくインターネットにさえ接続できれば、地球の反対側にある南米のどこかから、霞ヶ関のコンピュータをクラッキングすることだってできるのだ。そのことを分かっているのかいないのか、日本国内のプロバイダにだけ対策を求めても、実効性はゼロだろう。
確かに、現在のプロバイダ各社のオンライン サインアップのシステムには問題があり、虚偽のデータで登録しようと思えばできてしまうので、これはこれで、今後のデジタル社会の運営を考えると、対策が必要だ。 いっそ、申し込みの際の身元確認をきちんとやった上で、出自を証明する「デジタルID」をすべてのインターネットのユーザーに持たせ、それを使って電子商取引などに関する認証を行うということも検討してみてよいのではないか。
正直な話、デジタル ID というのは、そこら辺の文房具屋でも簡単に手に入る「印鑑」なんぞよりも、はるかにセキュリティ レベルの高い本人確認の手段ではないかと思う。「国民総背番号制」ならぬ「国民総デジタル ID 制」でも検討してみてはどうだろう?
おっと、話が脱線した。本題に戻ろう。
先週の拙稿でも書いたように、サイバーテロの特徴は、わざわざ現地に行かなくても済むという点にある。自宅にいながらにして、攻撃を仕掛けることができるのだ。実に経済的な戦争である。
だから、防禦する側としては、常に最新のセキュリティ対策を適用し、もし侵入されても直ちに遮断して元のコンテンツを復旧する。そして、どこから侵入されたかを調べて手を打つ。そういう対策を、確実に、かつ迅速に講じなければならない。にもかかわらず、霞ヶ関の対応はあまりにも遅いし、ずれている。審議会などノソノソ開いている場合ではない。
だいたい、Web サーバにアップロードしたコンテンツのバックアップぐらいなかったのか。すべからくデータのバックアップを作るのは、コンピュータを利用する上での基本である。こんな調子では、Web サーバどころか、ファイアウォールの向こう側にある (はずの) コンピュータのセキュリティ対策に関しても、同様に不信感を持たざるを得ない。そして、そのような頼りないセキュリティ対策でガードされたコンピュータを使って、住民基本台帳法案を実現しようというのだから困った話だ。
国防、あるいは政治・経済運営にかかわる情報が盗まれるのも重大な被害だが、そもそも「コンピュータが侵入された」というだけでも、日本政府にとっては重大な政治的ダメージである。日本政府のコンピュータ システムに対する信頼が損なわれれば、ひいては、日本の危機管理体制、いや、日本という国自体に対する信頼の問題にもなる。
今、必要とされているのは、「うちだけは大丈夫だと思ったのに…」という根拠のない安心感ではない。最新の情報に基づいて、「やれるもんならやってみろ」と言い切れるぐらいの強固に防禦されたシステムを再構築して見せることだ。そして、それを誰も破れないということになれば、また、評価も違ったことになるだろう。
ところで。ひょっとして、さまざまな局面における国家の危機管理についても、同じ論法で「日本だけはそんなこと起こりっこないさ」という根拠のない安心感に基づいて運営されていないかと、不安になってきた。もしそんな調子だと、「金のドラ息子」あたりに足元をすくわれるだろう。そうなってから慌てても遅いのだ。地震などの災害についても同様である。あちこちに電話ばかりかけてる場合ではないですぞ、小渕総理。
と書いていたら、科学技術庁の外郭団体が相次いで、侵入される前に Web をクローズしてしまったそうだ。戦わずして白旗を掲げるとは、防禦体制に自信がないといわれても仕方なかろう。情けないことだ。