2023/09/02
皆さんこんにちは。
衆議院議員(衆議院東京都第9区(東京都練馬区西部))選出、立憲民主党の山岸一生です。
目次
このようなニュースがあったことを皆さんはご存知でしょうか。
日本政府の「サイバーセキュリティ」を担うNISC(内閣サイバーセキュリティセンター)へのサイバー攻撃と情報流出が明らかになりました。
報道があったのがお盆直前の皆さんがお忙しいタイミングだったこともあり、あまり大きな話題、大きなニュースにならなかったように思います。
「日本政府のサイバーセキュリティを担う機関がサイバー攻撃を受けて、国民、市民の皆さんの個人情報が流出した、という大事件があったことをご存知の方は少ないのではないでしょうか。
しかし、私、山岸一生は、この事件は「日本政府のサイバーセキュリティにとって、ひいては国民、市民の皆さんの安全にとって深刻な事態」だと考えています。
それは「今回のサイバー攻撃が悪質であった」という意味だけではありません。
もっと大きな問題として「サイバー攻撃を受けた後のNISCの対応こそ深刻である」と言わざるを得ません。
いくつか、具体的な問題を指摘します。
まず、NISCの発表と同日の2023年8月4日に、気象庁も、電子メールシステムを介したサイバー攻撃と情報流出を発表しています。
同じ2023年8月4日に内閣サイバーセキュリティセンター(NISC)と気象庁がサイバー攻撃を受けて国民、市民の皆さんの個人情報が流出したことを公表している。
しかしこれは、NISCと気象庁が「同一のサイバー攻撃を受けた問題、事件」なのか、「全く別個のサイバー攻撃を受けた問題、事件が、たまたま同じ日に発表された」のか分かりません。
もちろん、日本政府の機関がサイバー攻撃を受けて国民、市民の皆さんの個人情報が流出するのは看過できない大事件です。
ではこれは「一つのサイバー攻撃が複数の政府の機関を狙った」ものなのか「複数のサイバー攻撃が別個に行われた」ものなのかどこを見ても判断することができません。
その後、山岸一生の衆議院議員としての関係諸機関への照会によって、NISCから「同じ原因によるものです」との回答を得ることができました。
ですが、このことは発表資料では公表されていません。
つまり、政府、NISC、気象庁の発表だけを見れば、国民、市民の皆さんは、以下の4パターンのうちの「何が起こったのか」判断できません。
まず一つ目は、「NISCと気象庁がまったく別々に攻撃され、異なる原因で個人情報が流出した。これについての発表が、たまたま同日だった」という場合です。
二つ目は、「NISCと気象庁が同じ脆弱性を突かれてサイバー攻撃を受けた。」という場合です。
言い換えれば「NISCと気象庁のサイバーセキュリティに共通する脆弱性があり、そこを攻撃されて国民、市民の皆さんの個人情報が流出した」という場合です。
三つ目は、「サイバー攻撃はNISCと気象庁だけに対して行われたものではなく、もっとたくさんの省庁、行政機関に対して行われたが、たまたまNISCと気象庁だけにセキュリティホールがあったためにこの2つの機関だけから国民、市民の皆さんの個人情報が流出した」という場合です。
四つ目は「サイバー攻撃はNISCと気象庁だけに対して行われたものではなく、もっとたくさんの省庁、行政機関に対して行われ、多数の省庁、行政機関から国民、市民の皆さんの個人情報が流出したが、それについてまだ発表されていない」という場合です。
この場合には、「とりあえずNISCと気象庁の個人情報の流出が分かったが、被害に遭ったことに気づいてさえいない省庁、行政機関が存在する」さらには「個人情報の流出があったことを秘匿している省庁、行政機関がある」ということが考えられます。
もしこのパターンだった場合には、国民、市民の皆さんの個人情報の流出という被害はさらに広がる可能性があると考えられます。
改めて指摘するまでもありませんが、上述の「一つ目」と「四つ目」とでは、危険度、被害の深刻性がが全く異なることは明らかです。
ですが、これらを、民間のサイバーセキュリティ―関係者を含めて、私たち国民、市民が判断・評価することができない発表になっているのです。
冒頭で述べたとおり、「サイバー攻撃を受けた後のNISCの対応こそ深刻である」と言わざるを得ません。
もう一点指摘します。
NISCは「攻撃を受けたのは電子メールシステムである」としていますが、どの会社の機器であるのかも公表していません。
このような指摘に対しては「セキュリティの不具合の詳細を発表したら、さらに被害が拡がることもわからないのか」というご批判を必ずいただきます。
もちろん「具体的なセキュリティホール」を公表すべきだとは考えません。
しかし、NISCや気象庁、また他の政府機関と取引のある事業者にも、同様の電子メールシステムを導入している企業は多くあるはずです。
適切な情報開示により、被害の拡大を防ぐこともできたはずです。
しかし、NISCはそのような情報開示をしませんでした。
さらに言えば、衆議院議員として、私、山岸一生が照会するまでNISCは情報を公開していません。
NISCは「問題のあったシステムの利用者に個別に働きかけを行っている」と回答してくださいましたが、「それがどの程度徹底されているのか」「それが有効な対応なのか」を、私たち国民、市民には検証のしようがありません。
繰り返しますが「具体的なセキュリティホール」を公表すべきだとは考えません。
しかし適切な情報公開により、情報セキュリティの専門家、専門会社の皆さんの力を借りて、セキュリティホールを「潰す」ことはできたはずです。
私、山岸一生は、今回のNISCの情報開示は「国民との信頼とコミュニケーション」という点、さらには「被害拡大の抑止」という点からも、問題があったと考えています。
確かに、サイバーセキュリティの性質上、高い秘匿性が必要であることは言うまでもありません。
しかし、高い情報の秘匿性を許容するのと裏表の関係で、万が一、何かトラブルがあった時には、技術的、具体的な内容はさておき、「トラブルがあった」こと自体は積極的に国民、市民と情報を共有し、被害のさらなる拡大を防ぐ責任も政府にはあるのではないでしょうか。
しかも今回の事件の主役であるNISCは政府全体の「サイバーセキュリティの司令塔」として、より重い、重要な責任を負っています。
私、山岸一生は以下のような発表を速やかに行うべきだったと考えています。
「全省庁への調査の結果、同様にセキュリティリスクのあるシステムを使用している省庁はいくつある。このシステムを使用している省庁について全て入念に調査をしたところ、気象庁で同様のサイバー攻撃を受けたことが判明したので、セキュリティホールを無くすために迅速に対応した。他の省庁については被害が無いことを確認したが、同様にセキュリティホールを無くすために迅速に対応した。」
このような発表を行ってこそ、NISCが「縦割り」ではなくきちんと「政府全体のサイバーセキュリティの司令塔機能」を果たしていると、内外に示すことができたのではないでしょうか。
逆に今回のような「ほとんどの方が知らない」「知っても詳細な内容がわからない」という公表姿勢では、仮にNISC自身は足元で対処していたとしても、政府全体でどうなっているのか、我が国のサイバーセキュリティーコミュニティー全体として取り組めているのか、といったところに疑問符を残す結果となったのではないでしょうか。
前述の通り「サイバーセキュリティに欠陥があったことは公表せずに、あくまでも秘匿すべきだ」というご意見の方もいらっしゃると思います。
しかし今回のような「中途半端で意味の乏しい発表」をするくらいならば「サイバーセキュリティに欠陥があったが、速やかに対処し、全体の被害はこれだけである。」と発表することで国民、市民の皆さんの「安心と信頼」を得られたのではないでしょうか。
私、山岸一生は、衆議院、国会での質問で、マイナンバーカード、マイナ保険証、国家公務員の皆さんのマイナンバーカード使用をめぐる危険性を取り上げてきました。
(23分からの1分30秒の、河野太郎大臣との質疑はぜひご覧いただければ幸いです。)
「政府のオンライン化」が進み、政府が扱う国民の情報が増えれば増えるほど、それらにどのように「国民主権」と「民主的統制」を及ぼしていくかが、重要な課題になっています。
私、山岸一生は、今後も、マイナンバーカード、マイナ保険証、国家公務員の皆さんのマイナンバーカード使用をはじめ、「サイバーセキュリティ特有の秘匿性」と「国民とのコミュニケーション、情報公開」についてチェックし、改善を求めていきたいと思います。
9月になりました。
9月と言っても東京ではまだ真夏日が続いています(天気予報によると来週は少し暑さもやわらぐようですが)。
早いもので今年も2/3が終わり、残り4ヶ月。
思えば、私、山岸一生が、初めて衆議院議員総選挙に東京9区(当時と区割りは変わっていますが、選挙区の名前は同じです)立候補し、初当選して、皆さんから衆議院に議席をお預かりしてまもなく2年、4年間の任期の半ばになろうとしています。
月日が経つのは早いものですが、今年の残り1/3、4ヶ月、そして衆議院議員としての残り2年2ヶ月の任期を国民、市民の皆さんのために、衆議院議員としての議員活動をさらに充実させていきます。
それでは、数日前にX(旧Twitter)の画面に風船を飛ばしていた、立憲民主党の衆議院議員(東京9区・東京都練馬区西部選出)「揺蕩う」山岸一生でした。