KNOWLEDGE - COLUMN ナレッジ - コラム

実は脆弱?日本のサイバー能力と置かれたポジションを認識する

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス

フェロー 関原 弘樹 顔写真2_1187x1313

とうとう一年延期された東京オリンピックが開幕する2021年7月がやってきました。
本稿執筆時点では、もはや「実施するのか?しないのか?」ではなく「観客は入場させるのか?入場させるとしたら何割なのか?」ということが最大の関心事になってきています

その過程での主張でちょっと気になったことはサンクコストについての主張です。

サンクコスト(sunk cost)
「投資、生産、消費などの経済行為に投じた固定費のうち、その経済行為を途中で中止、撤退、白紙にしたとしても、回収できない費用をさす。経済学の概念であり、「埋没費用」と訳される。」
※外部サイト:[出典]コトバンク

昨年から今年にかけて「今ここでオリンピックを中止にしたらこれまでかけたコストが無駄になる」という主張も(直接的であれ間接的であれ)見聞きした方もいらっしゃると思います。

こういった心理や主張は自分の経験に照らし合わせてみても「個人レベル」では非常によくわかりますし否定できません。
しかしより大きなスケール、行動経済学や企業戦略の観点でこの考え方を適用させることは不合理な判断を生む大きな要因とされています。

合理的な判断を下すためには過去に投じたコストについては現状とは分離したうえで、現時点での情報と分析結果に基づき、リスクの総和を算出し適切な意思決定をするべきということは様々な場所で語られています。
#もっともリスクが現実化した場合のコストを持つのは誰なの?という重要なポイントが明確でないので算出したところで意味がないのでは?という突っ込みがあるかもしれません。

まあ、主張している方もそんなことは百も承知で大衆を操作するためのわかりやすい煽り文句として使っているだけかもしれませんが。

国立競技場

--
さて今回は6月の終わりにいくつかメディアから突然出てきた「日本のサイバー能力は主要国中で比較すると見劣っており、その中では最下位グループである」という記事について探ってみます。
一部やや詳細な報道があるにしろ全体的にちょっと順位だけを強調するような記事が多く、意図がつかみにくいという印象を受けます。

#記事タイトルだけ見ると「サイバー能力」とはちょっと??という印象でしたが…

サイバー能力検索

 

記事のソースとなる報告書は誰が公開したのか?

ソースとなる報告書は記事内にあるように1958年にロンドンに設立された英国のシンクタンク、国際戦略研究所(The International Institute for Strategic Studies/IISS)という組織が公開しています。

IISSは本コラムによく登場するようなITやITガバナンス/セキュリティの団体とはちょっとカバーするドメインが異なります。
Strategic Studiesという名称の様に当初は軍事、防衛のための情報収集と研究が主体だったようですが、その後に社会や経済の観点からの研究も行っているようです。Wikipediaによると国防の専門家や教授を主要メンバーとする民間団体とされています。

The International Institute for Strategic Studies
※外部サイト:The International Institute for Strategic Studies

報告書原文

さて件のレポートは以下で入手できますが原題に含まれる「Cyber Capabilities」これはまさしく「サイバー能力」ですね!
つまりサイバーセキュリティという観点だけではないということが明確になっています。

※外部サイト:Cyber Capabilities and National Power: A Net Assessment

サイバー能力検索
※外部サイト:The International Institute for Strategic Studies

研究を開始し報告書を公開した目的は?

IISSによればこの報告書は
「15か国のサイバーパワーの主要な新しい定性的評価と、世界の国家サイバー能力をランク付けする方法を理解するための新しい定性的枠組みを提供する」
とあります。

#この報告書の起点となったのは2019年2月にIISSが公開した記事で、国家のサイバー能力と国家権力への貢献を評価するための方法論を開発する意向を発表したことのようです。

この研究の背景には、サイバー空間における国際的な対立の激化があることも記されていますが、これはわれわれにとっても十分頷けるものがあるのではないでしょうか。

サイトから引用しますと
---

2015年  国際間の「宇宙空間とサイバー空間は戦略競争における新たな攻略ポイントである。」と宣言
2016年   米国は、ロシア政府とウラジミール・プーチン大統領個人を、米大統領選に対し継続的な情報攻撃を指示したとして非難
2019年5月 当時のドナルド・トランプ大統領は、サイバー空間での悪意のある行為を続けるならば、中国との技術戦争を予告
2020年3月 ドナルド・トランプ大統領はサイバー空間で国家緊急事態を宣言(大統領の宣言は5年で4回目)
2021年4月  中国は米国をサイバー攻撃の「チャンピオン」と非難した
1か月後、G7外相会合はロシアと中国の双方に対し、国際規範に沿ったサイバー活動を求めた

また、目的の一つの例として「国家の力に大きな違いを生み出すサイバー能力を評価するとによって、国家の意思決定を支援することを目的としています」とあります。
これらの情報は、戦略的リスクを計算し、戦略的投資を決定する際に、政府や大手企業を支援することができるということも大きな理由として挙げられています。

また、彼らのアプローチとして他の組織はインデックスベースの方法論を開発していますが、主にサイバーセキュリティに焦点が当たっているので、私たちの方法論は、質を重視し、国際安全保障、経済競争、軍事問題との交差を含め、より広範囲に各国のサイバーエコシステムを分析するとあります。

調査の対象国は?

報告書では以下の15か国を調査の対象としており各国のポジションについて明記してあります

・米国
・英国
・カナダ
・オーストラリア
以上俗にいうファイブアイズ(英語圏の5か国による機密情報共有の枠組みの呼称)から4か国

※外部サイト:★ファイブアイズとは 英語圏5カ国で機密情報共有

・フランス
・イスラエル
サイバー対応に関して信頼できるファイブアイズのパートナーとして2か国をピックアップ

・日本
ファイブアイズの同盟国だがイマイチ役に立たないとして1国で特別なポジションに指定

・中国
・ロシア
・イラン
・北朝鮮
上記国家に敵対する勢力の中心として4か国を名指し(あくまでもIISSの見解です)

・インド
・インドネシア
・マレーシア
・ベトナム
サイバー能力の新興国として4か国

調査の対象国は?

サイトより以下のカテゴリを評価しています。(丸数字と日本語は筆者が追加)
①Strategy and doctrine(戦略と教義)
②Governance, command and control(ガバナンス、指揮統制)
③Core cyber-intelligence capability(コアサイバーインテリジェンス機能)
④Cyber empowerment and dependence(サイバーエンパワーメントと依存)
⑤Cyber security and resilience(サイバーセキュリティとレジリエンス)
⑥Global leadership in cyberspace affairs(サイバースペースにおけるグローバルリーダーシップ)
⓻Offensive cyber capability(攻撃用のサイバー能力)

一つ一つ私なりのコメントをつけさせていただくと
①最上位のコンセプト、サイバーへの国家としてどう相対していくかの姿勢

②戦略と教義を全うするために必要な国家全体の統治や指導の能力についての前提条件とその成熟度

③いわゆるサイバーセキュリティとしてもなじみがある機能の一つ
 国家の障害となる外部の活動を識別するための機能とそれらに必要なデータの入手
 データ⇒インフォメーション⇒インテリジェンスのインテリジェンス

④サイバーでの活動がどの範囲でどの程度、国家や国民の活動に浸透しているか?どれだけ国力を高めることに貢献しているか?

⑤直接的なサイバーセキュリティ機能
NISTのCSFでいえば特定⇒防御⇒検知⇒対応⇒復旧の一連の流れをカバーする

⑥国家グループの紛争になった場合そのグループをけん引していく力、もっと言えばグループを形成していく力
#当然サイバーの分野に関して豊富な人材と技術を持つ国が有利だが、その枠組みにはサイバー以外の要素がどれだけ影響するか注視が必要か?(プライバシーに関するU.S.とEUのせめぎ合い)

⓻ちょっと外れますが現在いくつかの国家に十分なサイバー攻撃能力があったとしてそれを止めているものはなんでしょうか?
#サイバー攻撃は現存する大規模な攻撃方法の中でも最も”シラを切り“やすいものともいえるので情報戦を含めるとサイバー攻撃能力を持っている=すでに攻撃を開始していると考えた方がいいかもしれません

ABC兵器との考慮事項の違いは?条約の存在?倫理?
最終的に動作をするデバイスは殺傷を直接の目的としていないから?

というところです。

報告内容のサマリー

報告内容はサマリー的に15か国を3つのティアに分類することで示されています。

Cyber Capabilities and National Power: A Net Assessment
※外部サイト:Cyber Capabilities and National Power: A Net Assessment

★ティア1★
ファイブアイズの中心、米国のみです。

①~⑦すべてのカテゴリにおいて世界をリードしているとの評価!
※外部サイト:Cyber Power – Tier One

詳細な報告書は以下よりダウンロード可
※外部サイト:Cyber Power – Tier One United States

★ティア2★
ファイブアイズからオーストラリア、カナダ、英国
そのパートナーではフランス、イスラエルの両国
敵対勢力から中国、ロシアがこのティアです。

このティアの各国は一部のカテゴリであれば世界をリードできるとの評です。
※外部サイト:Cyber Power – Tier Two

例えばオーストラリアは情報通信技術とサイバーセキュリティの分野でのアドバンテージがあり予算の割に豊富なサイバー能力を保有する。

カナダは適切な法律や規制がサイバー能力を支えている。

英国ではサイバーインテリジェンス機能において世界クラスの強みが評価されると同時に、政府と産業界のパートナーシップによる社会全体でサイバーセキュリティ能力を向上させるというアプローチが成果を挙げているとされています。

近年の中国については知的財産の獲得、政治的影響力の達成、国家間のスパイ活動、将来の紛争の場合の破壊的な影響に対する地位を目指して、海外で大規模なサイバー活動を行ってきたと評価されています。
現在の中国はティア2ですが、ITの産業基盤の成長が著しいため、ティア1として米国と肩を並べるのも時間の問題で十分可能と締められています。

詳細な報告書は以下より各国ごとにダウンロード可 ※以下
オーストラリア
カナダ
英国
フランス
イスラエル
中国
ロシア

★ティア3★
新興国であるインド、インドネシア、マレーシア、ベトナムはすべてこのティアに属します。
敵対勢力からイラン、北朝鮮
そしてわれらが日本もここに含まれます

一部のカテゴリにおいては強みまたは潜在的な強みを持っているが、他の点では重大な弱点があるという評価です。
※外部サイト:Cyber Power - Tier Three

例えばここでインドは地政学的なメリットや活気に満ちたスタートアップ文化と非常に大きな人材プールが評価されていますが、その半面社会的な取り組みが遅れているとの指摘もあります。

インドネシアについてはサイバーへの進出は遅かったが、今後、国力の向上を背景にしたサイバーへの投資次第ではティア2への格上げも十分考えられるとの評価。

マレーシアは、サイバーセキュリティ政策に明確な強みあることを評価され、今後うまく進めばティア2への可能性があると指摘されています。

詳細な報告書は以下より各国ごとにダウンロード可 ※以下外部サイト
インド
インドネシア
マレーシア
ベトナム
イラン
北朝鮮

日本について

そして日本です。ここではサイトのサマリーを私なりに意訳します。

※外部サイト:Cyber Power - Tier Three

日本は1980年代始めから、ICTの商用アプリケーションの世界的リーダーの一角だが、サイバーセキュリティへの準備が整ったのはごく最近のことだ。
最初のサイバーセキュリティ戦略といえるものは2013年に発行され、限られた技術と古典的な情報セキュリティのセオリーに基づいている。

現在、日本においてサイバースペースのガバナンスに対するアプローチが十分に発達しているが、これは、米国や英国などと比べ、特に民間部門における情報共有の観点から、緩い内容で構成されている。
サイバースペースにおける日本の防御力は特に強力とはいえず、それらを強化するためのコストを負担したくないと考えている企業が多い。

日本のレジリエンス計画はかなり制限されていたが、これは2020年のオリンピックとパラリンピック(COVID-19のために延期)に向けて強化された。日本はサイバー専任組織の創設を含め、自衛隊にささやかな組織変更を加えたものの、サイバースペースに関する公式の軍事サイバー戦略や公式の軍事ドクトリンをまだ持っていない。
国家の強制力の行使に対する憲法上および政治上の制約のため、その攻撃面でのサイバー機能は未発達のままだ。
米国とオーストラリアに促されたこともあり、懸念の高まる中国と北朝鮮に対して日本は2020年までにより強固な”cyber posture”に移行しまた。

※外部サイト:Cyber Power - Tier Three Japan

詳細の記載のあるPDFについて
①についてキーワードを抜粋すると
・情報セキュリティの対応は遅くなかったがサイバーに対しては効果が薄かった
・2010年代中盤よりようやく政府統一のサイバー戦略ができてきた
・自衛隊によるサイバー支援が実現できるところまで来ている(三軍と連携してという意味でも)

②についてキーワードを抜粋すると
・サイバーセキュリティ戦略本部を評価
・内閣サイバーセキュリティセンター(NISC)を評価
・JPCERT/CCを評価
・自衛隊のC4I2(Command Control Communication Computers Intelligence Interoperability )システムを評価

③についてキーワードを抜粋すると
・諜報機関に割り当てられたリソース不足
・インテリジェンスに関する憲法上の問題
・防衛省/自衛隊の情報本部(Defense Intelligence Headquarters/DIH)を評価
・U.S. NSAとの連携を評価

④についてキーワードを抜粋すると
・日本はサイバースペース技術の世界的リーダーであり続ける
・産業用ロボットの開発について評価
・フォトレジストに代表される半導体用生産関連の技術について評価
・NTTをはじめとする通信網を評価(物理的なインフラ設営についても)
・OECDの各国に後れを取っている部分がある
 サイバースキル(特に中高年)とデジタル分野へのより大きな投資が必要
 年代によるデジタルデバイド
・Society5.0への対応を評価
・高齢化による国力低下は大きな懸念材料
・AIの分野では競争力がある
・多くのデジタル技術の軍事転用が見込めるが政策に影響される
・人工衛星機能について評価
・電波航法システムについて評価
・2020年に宇宙空間での戦略を確立

⑤についてキーワードを抜粋すると
・国としてのサイバーレジリエンスはまだ発達段階
  重要なのは
    重要インフラストラクチャのサイバーセキュリティポリシー
    官民パートナーシップ
    損傷から重大な状態への迅速な回復
    全国レベルのCIRT、JPCERTとの調整
    他の国と戦術的な事件対応
    公的部門と民間部門のチーム
    NISCも正確で迅速な情報に責任あ り
  CIRT全体での共有
・サイバーレジリエンスについて企業の意欲が欠如している
・文化的および構造的要因によりサイバーセキュリティに関する一般的な知識が欠如しているビジネスリーダーの問題
・日本企業はサイバーセキュリティをコーポレートガバナンスに統合するのが遅い、特にリスク計画
・サイバーセキュリティ経営ガイドラインを評価
・2019年11月の「分野横断的演習」を評価

⑥についてキーワードを抜粋すると
・日本はサイバーのリーダーになるという目標を設定
・3つの柱を評価
    サイバースペースにおける法の支配の促進、
    信頼醸成措置の開発と強化
    能力開発に関する国際協力
・ASEAN-CERTとの連携を評価
・NATOとの連携を評価
・U.S. DoDとの連携を評価
・TSUBAME(インターネット定点観測システム)を評価
(ここでJPCER/CCの担当者が中国のカウンターパートと毎年会い、協力しているとの記載がある)
・日本と各国のサイバー対話確立を評価
 オーストラリア、エストニア、フランス、ドイツ、インド、イスラエル、ロシア、韓国、ウクライナ、英国、米国、加えてEU、NATO(原文を見てもロシアが入っている)
・日本が中国、韓国と共に北朝鮮のOP66に対応する3か国協議を持っていることが記載されている

⓻についてキーワードを抜粋すると
・2015年政府は集団的自衛権に関する憲法の再解釈を行った
・日本自体が攻撃を受けていなくても同盟国への攻撃は集団的自衛権により対応可能
・純粋な防御としての攻撃能力の増強について自衛隊から控えめなプッシュがあった

誤解があるといけませんので⓻最後の部分だけ少し原文を記載させていただきます。

The fact remains that, for the foreseeable future, Japan will probably remain reliant on its alliance with the US for any kind of offensive response to a cyber threat. It is notable that the 2015 guidelines for US–Japan defence cooperation include an entire section dedicated to cyberspace, setting out the circumstances under which the US can lend cyber support in Japan’s defence. The narrowest interpretation of the text would limit US assistance to the protection of Japanese critical information infrastructure used by US forces in Japan, but in the broadest interpretation the text is analogous to NATO’s Article 5, with a serious cyber attack on Japan being treated like an attack on the US.

ちょっと長くなりましたが本文を読んでみると新興国レベルと評価された日本もそこまでに悲観したものでもないかなと思えます。やはり何らかの意図があってのティア3なのでしょうか?

いまさら私が申しあげるまでもなく今後のサイバー能力の発揮に大きな影響を与えるのは他国との関係性と割り当てられるリソースの質と量です。特に他国のとの関係性は現時点でもビジネスファーストから様々な考え方があるなと感じています。

まあ、これは前振りのような記事ですので今後の国家レベルのアクションは引き続き注目する必要があるでしょう。

おわりに

関東は現在梅雨真っ只中です。
今年は5月末に梅雨入りしたと勘違いしていましたが、調べてみると6月14日あたりから梅雨入りしたようですね。

6月下旬は大雨が続くと聞いていましたが私の行動範囲ではそうでもなかったように思います。
7/1現在の予想だと関東の梅雨明けは7/19あたりになっていますが、7/23朝の東京の天気はどうなるでしょうか!?

国旗

ではまた、次回のエントリーでお会いしましょう。

Hiroki Sekihara, CRISC, CISSP, CCSP, CEH, PMP, CCIE #14607 Emeritus,
AWS Certified Solutions Architect – Professional,

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。

メルマガ登録ボタン

関原 弘樹

株式会社インフォメーション・ディベロプメント フェロー / CISSP

この執筆者の記事一覧

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス

関連するナレッジ・コラム

ITエンジニアの現地作業 ミスを減らす!作業本番のポイントとは

NTTのIP網移行と、通信の未来とは

Society 5.0を支える認証基盤-トラストサービス