2019-06-13 第198回国会 参議院 外交防衛委員会 第17号
サイバーについては、民間の重要インフラ防護も喫緊の課題であり、大規模サイバー攻撃等における対応に際し、自衛隊に多くを期待する声も聞かれます。しかしながら、国の重要インフラを防護することは、現在の自衛隊の体力を超える可能性がある任務であります。国家としての対応が必要と考えます。 防衛省・自衛隊がサイバー分野でどのような任務や役割を担うのか、国家としてしっかりとした検討が必要だと考えます。
サイバーについては、民間の重要インフラ防護も喫緊の課題であり、大規模サイバー攻撃等における対応に際し、自衛隊に多くを期待する声も聞かれます。しかしながら、国の重要インフラを防護することは、現在の自衛隊の体力を超える可能性がある任務であります。国家としての対応が必要と考えます。 防衛省・自衛隊がサイバー分野でどのような任務や役割を担うのか、国家としてしっかりとした検討が必要だと考えます。
サイバーセキュリティ戦略本部の重要インフラ専門調査会、これは、重要インフラ防護に資するサイバーセキュリティーに係る事項について、すぐれた見識を有する方々に委員になっていただいております。この方々によりまして、重要インフラ防護に関する基本的な計画、指針等の作成、いわゆる政策の議論を行う組織でございます。
また、御指摘の重要インフラ防護につきましては、サイバーセキュリティ戦略本部において決定をされました重要インフラの情報セキュリティ対策に係る第四次行動計画によりまして、重要インフラ事業者や政府機関の取組が定められているところでございます。
サイバー分野における両国の最新の取組や戦略などを紹介しつつ、重要なインフラ防護でございますとか国連を含む国際場裏での議論における協力などについて意見交換を行ってきておるところでございます。
平成二十七年四月、新ガイドラインをつくりましたけれども、ここにおきましては、さらなる情報共有、あるいは重要インフラ防護についても具体的な協力分野として重視をされてございます。こうした方向性に基づきまして、日米間のサイバー防衛協力、一層加速をいたしてきております。
また、民間、特に重要インフラ防護の点につきましては、昨今のサイバー攻撃による急速な脅威の高まり等を踏まえまして、サイバーセキュリティ戦略本部におきまして、重要インフラの行動計画を改定したところでございます。これに基づきまして、安全かつ持続的なサービスの提供に努めるという機能保証の観点から、情報共有体制の強化、対処体制整備の推進等を重点項目とした諸施策を推進しているところでございます。
それがいわゆる重要インフラ防護と言われていて、言葉が時々出てくるものじゃないですか。 かれこれスタックスネットの話が出てから、もう十年以上経過をしているわけですよ。物理的に情報を盗むとかなんとかというだけであれば影響は及ぼさなかったけれども、あのスタックスネットがあらわれてから、物理的な被害が出るということまで状況は変わったわけですよ。
重要インフラ防護は、IT障害が国民生活や社会経済活動に重大な影響を及ぼさないようにする観点から、極めて重要でございます。サイバーセキュリティ基本法におきましても、国は必要な施策を講ずることとされております。
重要インフラ防護の更なる対策強化に向けまして、このロードマップに従い検討を進め、行動計画の見直しについて今年度末を目途に結論を得ることとしております。 こうした取組を通じまして、官民の連携を一層強化しながら、サイバーセキュリティー対策の強化に努めてまいりたいと考えております。
そして、新日米ガイドラインでは宇宙及びサイバー空間に関する協力を位置付け、防衛省も、在日米軍施設を支える重要インフラ防護のためにNICTの知見も排除しないと明言しているわけです。 こうして見てみると、日米軍事同盟の下、我が国のサイバーセキュリティ戦略が米国のサイバー戦略に組み込まれると。
この見直しを具体的に申し上げますと、経営層における取組の強化の推進等のサイバー攻撃に対する体制強化、そして情報共有範囲の拡大等重要インフラに係る防護範囲の見直し、さらに国際連携等多様な関係者間の連携強化、こうしたことを柱として重要インフラ防護のための更なる対策強化に向け本ロードマップに従い検討を進め、行動計画の見直しについて平成二十八年度末を目途に結論を得ることとしております。
具体的には、経営層における取組の強化の推進などのサイバー攻撃に対する体制の強化、情報共有範囲の拡大など重要インフラに係る防護範囲の見直し、国際連携等多様な関係者間の連携強化、こういった点を柱といたしまして、重要インフラ防護の更なる対策の強化に向けましてこのロードマップに従い検討を進め、行動計画の見直しについては平成二十八年度、今年度末を目途に結論を得ることとしております。
加えて、委員御指摘のとおり、二〇二〇年の東京オリンピック・パラリンピック競技大会の開催を四年後に控えているということを考えますと、こうした重要インフラ防護の必要性は一層高まっているというふうに認識をしております。
具体的には、重要インフラ防護のための対策といたしまして、必要な情報セキュリティー対策を盛り込んだ安全基準の整備、浸透、官民の情報共有体制の強化、IT障害発生時における対応能力向上のための分野合同での演習などの諸施策を推進しているところでございます。
このため、同盟国であります米国との日米サイバー対話を初め、英国等との二国間での取り組みや国際会議への参画等を通じまして、情報の共有や重要インフラ防護等に関する国際的な連携を進めているところでございます。
官民連携による重要インフラ防護対策や情報セキュリティーに精通した人材の育成などの施策を進めているところでございますが、今、吉川委員御指摘のとおり、企業が安全にビジネス展開できる基盤を整備するためにも、情報セキュリティー政策をしっかりと進めていく所存でございます。
サイバーテロ等からのインフラ防護についての御質問をいただきました。 情報通信技術の発達した現代社会は常にサイバーテロの脅威にさらされており、サイバーテロ対策は、国家の安全保障、危機管理にもかかわる問題であると認識をいたしております。政府においては、情報通信、金融、電力、ガス、航空、鉄道等の重要インフラについて、情報セキュリティー確保に係る安全基準等を策定するなどの対策を実施しております。
海外の同様な重要インフラ防護機関というのをちょっと調べてみますと、アメリカはIAIP、国土安全保障省、イギリスは国家インフラストラクチャー安全調整局、NISCC、ドイツは内務省連邦情報技術安全局、BSI、フランスは国土保安局、DST等々、相当な取組でやっておられると。
三つの目標と四つの機能というようなことをやっておりますが、目標自体は、一つはテロ攻撃を防ぐ、二番目は米国内の脆弱性を軽減する、第三番目は、テロ攻撃が起きた場合にそれを復旧するという形の目標はいいと思いますが、それぞれなすべきこと、国境・交通の保全、緊急事態への対応、化学・生物・核兵器に対する対応、情報分析・インフラ防護となっているんですけれども、これは非常に過剰、センシティブでありまして、あらゆる基本的人権
例えば、アメリカ合衆国の国家情報インフラ防護法、この第千三十条にこの不正アクセスが規定をされておりますけれども、これは大変長い文章になっておりますが、要約をいたしますと、コンピューターにアクセスし、かつ情報を取得し、伝達し、転送し、保持し、こういうようにありますように、アクセス行為そのものではなくて、情報を取得して初めて刑罰の対象になるということになっております。
なお、先ほどの中で、アメリカの刑法、一九九六年の国家情報インフラ防護法の千三十条の三におきまして、故意に、合衆国の部局もしくは機関のコンピューターで公共の用に供していないものにアクセスする権限がないにもかかわらず、当該コンピューターで専ら合衆国政府の利用に供されているものにアクセスした者、この者が処罰の対象となっているということでございます。
○細川委員 今のアメリカの国家情報インフラ防護法の千三十条の解釈が、私と今の説明とではちょっと違うようでありまして、国家情報インフラ防護法の千三十条では、不正アクセスをし、かつ情報を取得し、かつというのが入っております。だからインフラの不正アクセスそのものだけでというのではないというふうに、私の方は解釈をして申し上げたところでございます。
ただ、ネット技術者というか、これは非常に実社会においても引く手あまたでございまして、FBIのアメリカ連邦捜査局の国家インフラ防護センターにおいても、いわゆる専門知識を身につけさせると民間企業に高給で引き抜かれてしまう、そういう事案もあるようでございます。また逆に、元ハッカーがハッカー防護措置を講ずる会社をつくるとか、技術を持っているだけでいろんな立場になり得る。