はじめに:終わらない情報漏洩のデジャヴ
2023年7月、日本の物流の心臓部である名古屋港がランサムウェア攻撃を受け、コンテナターミナルのシステムが停止した 。2024年6月には、出版大手のKADOKAWAが大規模なサイバー攻撃により、ニコニコ動画を含む多くのサービスが長期停止に追い込まれるという事態が発生した 。これらの事件は、民間企業だけの問題ではない。国の安全保障を担うJAXAや、国民の生活に直結する地方自治体からの情報漏洩も後を絶たない 。
なぜ、これほどまでに日本の、特に政府機関の情報セキュリティは脆弱なのだろうか。長年にわたる警告、巨額の予算、そして内閣サイバーセキュリティセンター(NISC)のような専門組織の設立にもかかわらず、日本は情報漏洩とシステム障害の悪循環から抜け出せずにいるように見える。これは単なる技術的な遅れの問題なのだろうか。それとも、もっと根深い何かがこの国を蝕んでいるのだろうか。
本稿では、日本政府の情報セキュリティが繰り返し崩壊する原因は、主として技術的な欠陥にあるのではないと論じる。むしろ、それは日本の政治文化、官僚組織、意思決定プロセス、そして専門家との関係性の中に潜む、より深刻な「4つの病巣」の症状なのである。本稿は、これらの病巣を一つひとつ解剖し、なぜ日本のサイバーセキュリティ対策が機能不全に陥っているのか、その構造的な問題を明らかにする。
第1章:失敗の年代記:終わらない侵害と漏洩の連鎖
分析を始める前に、まず問題の深刻さとその根深さを証明する事実を提示する必要がある。日本政府および関連機関における情報セキュリティインシデントは、単発の事故ではなく、構造的な欠陥を示唆する一貫したパターンを描いている。
原罪:日本年金機構の情報漏洩事件(2015年)
日本の情報セキュリティ史における「原罪」とも呼べるのが、2015年に発生した日本年金機構の個人情報漏洩事件である。この事件では、標的型メール攻撃により、職員がウイルス付きの添付ファイルを開封したことで、約125万件もの年金加入者の個人情報が流出した 。
この事件が象徴的なのは、その原因が単純な技術的ミスに留まらなかった点にある。事件後に設置された第三者委員会の報告書は、組織的な問題を厳しく指摘した。具体的には、個人情報をインターネットに接続された環境下に置いていたシステム設計の甘さ、不審なメールを標的型攻撃ではないかと疑いながらも組織内で情報共有しなかったコミュニケーションの欠如、そしてリスクに対する認識の低さなどが挙げられている 。
さらに、この問題の背景には、コスト削減を最優先とする政策があったとの批判も根強い。社会保険庁を解体し日本年金機構を設立する過程で、基幹業務が大規模に外部委託され、非正規雇用が増加した。流出した個人情報も、外部委託に出すためのファイルだったと指摘されている 。この事件は、技術的な脆弱性だけでなく、人的ミス、不十分なプロセス、そしてセキュリティよりもコスト削減を優先する政治的判断が、いかに壊滅的な結果を招くかを白日の下に晒した。この事件は、本稿で論じるすべての病巣の萌芽を含んでいたと言える。
アキレス腱としてのサプライチェーン
政府のセキュリティは、もはや自らの庁舎の壁の中だけで完結しない。システム開発や運用を委託する民間企業、その先の再委託先まで含めた「サプライチェーン」全体が、攻撃者にとって格好の標的となっている。
2022年3月、トヨタ自動車は国内全14工場の稼働を停止せざるを得なくなった。原因は、主要な取引先である部品メーカー「小島プレス工業」がランサムウェア攻撃を受けたことだった 。これは、一社のセキュリティ侵害が、日本の基幹産業全体にいかに甚大な影響を及ぼすかを明確に示した。
政府機関も例外ではない。2024年5月、地方自治体などから印刷や発送業務を請け負う情報処理サービス事業者「イセトー」がランサムウェア攻撃を受けた 。この一つの攻撃により、愛知県豊田市で約42万人分、徳島県で約20万人分、和歌山市で約15万人分など、複数の自治体で合計70万人を超える住民の個人情報が流出した可能性があると次々に報じられた 。政府が直接攻撃されたわけではなくとも、委託先の脆弱性が国民の個人情報を危険に晒したのである。
このようなソフトウェアサプライチェーン攻撃の脅威は、2020年に米国で発生した「SolarWinds事件」で世界的に認知された。ネットワーク監視ソフトウェアのアップデートファイルに不正なプログラムが仕込まれ、米政府機関を含む約18,000の組織が影響を受けたとされる 。デジタル庁の文書でもサプライチェーン・リスクは重要な課題として認識されているが 、国内での事件の続発は、認識と対策の間に大きな乖離があることを示している。
地方自治体に蔓延する「初歩的ミス」という疫病
高度なサイバー攻撃が注目される一方で、多くの情報漏洩は驚くほど初歩的なミスによって引き起こされている。特に地方自治体では、基本的なセキュリティ対策の欠如が深刻な事態を招いている。
- メールの誤送信:2021年1月、福岡県は新型コロナウイルス感染者約1万人分の個人情報リストへのアクセス権を誤って外部にメールで送信してしまった 。
- 職員による不正持ち出し:2022年5月、宮城県釜石市の職員が、全市民約3万人分の個人情報を不正に持ち出し、自宅のパソコンに保管していたことが発覚した 。
- 委託先の管理不備:2019年12月、神奈川県庁が廃棄を委託したハードディスク(HDD)が、業者の社員によってネットオークションに転売され、大量の行政データが流出する事件が起きた 。
これらは、未知の脆弱性を突く「ゼロデイ攻撃」のような高度な手口ではない。職員への教育不足、ずさんな管理体制、そして委託先への監督不行き届きといった、組織運営の基本的な問題に起因する。国のトップレベルでどれだけ壮大なサイバーセキュリティ戦略が策定されようとも 、現場の足元がこれほどまでに脆弱であれば、砂上の楼閣に過ぎない。
|
年月 |
組織・分野 |
インシデント種別 |
被害規模 |
典拠 |
|
2015年5月 |
日本年金機構 |
標的型メール攻撃 |
約125万件の個人情報流出 |
|
|
2022年3月 |
トヨタ自動車(小島プレス工業経由) |
サプライチェーン攻撃 / ランサムウェア |
国内全工場の稼働停止 |
|
|
2023年7月 |
名古屋港 |
ランサムウェア |
コンテナターミナルが2日半停止 |
|
|
2023年8月 |
内閣サイバーセキュリティセンター(NISC) |
不正アクセス |
メールデータ漏洩の可能性 |
|
|
2024年5月 |
複数の地方自治体(イセトー経由) |
サプライチェーン攻撃 / ランサムウェア |
70万人以上の個人情報流出の可能性 |
|
これらの多様なインシデントが、長年にわたって繰り返し発生しているという事実は、一つの重要な結論を導き出す。それは、日本の政府機関が失敗から学んでいない、あるいは学べない構造的な欠陥を抱えているということだ。2015年の年金機構事件で露呈した問題点が、その後も形を変えて何度も再現されている。この「学習能力の欠如」こそが、これから論じる4つの病巣の根源にある。
第2章:病巣その1 - セキュリティの政治化:技術的現実を歪めるメディアと圧力
ユーザーが指摘するように、日本政府のサイバーセキュリティに関する意思決定は、客観的かつ技術的な検証よりも、世論やメディアの論調、そして政治的な思惑によって大きく左右される傾向がある。ここでは、その構造を二つの側面から分析する。
調達のパラドックス:問題をお金で買う仕組み
政府のセキュリティが脆弱なもう一つの根源は、ITシステムの調達プロセスそのものに埋め込まれている。政府のIT調達は、長年にわたり構造的な問題を抱えてきた。
第一に、総合評価落札方式において、依然として価格が重視される傾向が強く、技術的な優位性が評価されにくいという問題がある。提案書面上では優れたシステムに見えても、その実現可能性や事業者の遂行能力を正確に評価することは難しく、結果的に技術力の低い事業者が選定されてしまうリスクが常に存在する 。
第二に、特定の省庁と特定の巨大ITベンダーとの長年にわたる固定的な関係、いわゆる「IT癒着」の存在が指摘されている 。これにより、新規参入や技術革新が阻害され、競争原理が働かずに古い技術や高コストなシステムが温存されがちになる。
政府自身もこうした問題を認識しており、NISCは調達段階からセキュリティを確保する「セキュリティ・バイ・デザイン」の考え方を推進し 、デジタル庁も脆弱性診断に関するガイドラインを策定するなど 、対策の必要性を訴えている。しかし、調達の現場では、前例踏襲や最も波風の立たない選択、つまり既存の大手ベンダーや最低価格を提示した業者を選ぶという慣性が強く働いている。
これは、技術的に最適な選択をするよりも、手続き上の公平性(に見えるもの)や、既存の関係性を維持することを優先する文化の表れである。その結果、政府は自らセキュリティリスクを抱え込み、第1章で見たようなサプライチェーンの脆弱性を再生産し続けている。
これらの事例から浮かび上がるのは、政府のサイバーリスクへの対応が、根本的な原因解決よりも、対外的な体裁や政治的な力学を優先しているという実態である。LINEヤフー事件では、技術的な問題が政治問題に転化され、調達プロセスでは、技術的評価よりも手続き論や既存の力関係が重視される。これでは、問題の根本解決には至らず、同じ過ちが繰り返されるのは必然である。意思決定の主眼が「いかにシステムを安全にするか」ではなく、「この問題をいかに政治的・社会的に乗り切るか」に置かれている限り、この病巣が治癒することはないだろう。
第3章:病巣その2 - 官僚機構の麻痺:「縦割り」と「同調圧力」という見えざる壁
日本政府のサイバーセキュリティ対策を阻む、より根深く、そして厄介な要因が、官僚組織そのものの構造と文化にある。ここでは、長年日本の行政の課題として指摘されてきた二つの要素、「縦割り行政」と「同調圧力」が、サイバーセキュリティという現代的な課題にいかに深刻な悪影響を及ぼしているかを分析する。
「縦割り行政」という内部の敵
「縦割り行政」とは、各省庁が自らの管轄範囲に固執し、組織間の連携や情報共有を怠ることで、行政全体として非効率かつ硬直的になる状態を指す 。平時でさえ問題となるこの組織構造は、一刻を争うサイバー攻撃への対応においては致命的な欠陥となる。
サイバー攻撃者は、省庁の管轄など意に介さない。経済産業省を狙った攻撃の手口は、数日後には外務省や防衛省を狙うために再利用されるかもしれない。効果的な防御のためには、攻撃の兆候、マルウェアの検体、攻撃者のIPアドレスといった脅威インテリジェンスを、政府全体でリアルタイムに共有し、連携して対処することが不可欠である。政府も官民連携や省庁間の情報共有の重要性を繰り返し強調しているが 、その実態は理想とは程遠い。
この縦割り意識が物理的な形となって現れたのが、年金機構事件をきっかけに多くの地方自治体で導入された「三層分離」モデルである。これは、インターネット接続系、LGWAN(総合行政ネットワーク)接続系、そしてマイナンバー利用事務系の三つのネットワークを物理的に分離することでセキュリティを確保しようという考え方だった。しかし、この厳格な分離は、職員の業務効率を著しく低下させ、結果として分離されたネットワーク間でデータを移動させるためにUSBメモリを使用するなどの危険な「抜け道」を生み出す原因ともなった 。これは、セキュリティを各セグメント(=縦割り)の中で完結させようとする発想であり、連携や全体の効率性を犠牲にするという点で、縦割り行政の弊害そのものを体現している。
攻撃者がネットワーク化して情報を共有し、柔軟に標的を変えてくるのに対し、防御側である政府組織がサイロ化し、情報の流れが滞っていては、勝ち目はない。縦割り行政は、サイバー空間における日本の防御網に、無数の「隙間」を作り出している内部の敵なのである。
「長いものには巻かれろ」という同調圧力の文化
日本の組織文化の負の側面としてしばしば指摘される「長いものには巻かれろ」という同調圧力もまた、サイバーセキュリティを蝕む深刻な病巣である。これは、異論を唱えたり、前例のない行動を取ったりすることを避け、権威や多数派の意見に従うことを良しとする風潮を指す。
この文化がもたらす弊害は、2015年の日本年金機構の事件で鮮明に現れた。報告書によれば、不審なメールを受け取った職員の中には、標的型攻撃の可能性を疑った者もいた。しかし、その疑念が組織内で迅速に共有され、警告として発せられることはなかった 。もし、一人の職員が「これは危険かもしれない」という声を上げ、組織がそれを受け止めて迅速に対応する文化があったなら、被害の拡大は防げたかもしれない。
階層的でコンセンサスを重んじる組織において、問題を指摘すること、特に上司や既存のやり方に疑問を呈することは、自らの評価を危険に晒す行為と見なされがちである。これにより、職員は積極的なリスク発見や改善提案をためらい、「決められた手順をただこなす」という受け身の姿勢に陥りやすい。セキュリティ対策は、チェックリストを埋めるだけの形式的な作業となり、その実効性は失われる。
最高のセキュリティ技術を導入したとしても、それを使う人間が異常に気づいても声を上げられない、あるいはルールを守ること自体が目的化してしまい、現実のリスクに対応できないのであれば、意味がない。同調圧力の文化は、セキュリティにおける最も重要なセンサーである「現場の人間」の感度を鈍らせ、組織全体を思考停止に陥らせる。
このように、日本の官僚機構が抱える構造的な剛直性(縦割り)と文化的な柔軟性の欠如(同調圧力)は、サイバーセキュリティという、本来、俊敏性と連携が求められる領域とは根本的に相容れない。政府は、21世紀のサイバー戦争を、20世紀の組織モデルで戦おうとしている。この時代錯誤な構造と文化こそが、技術的な欠陥以上に深刻な脆弱性の源泉となっているのである。
第4章:病巣その3・4 - 「専門家」というジレンマと「進歩」という名の幻想
日本政府のサイバーセキュリティ対策が迷走を続ける背景には、さらに二つの深刻な病巣が存在する。一つは、政策決定の正当性を担保するはずの「専門家」が、客観的な批判機能を失い、政府の意向を追認するだけの存在、いわゆる「御用学者」と化してしまう現象である。もう一つは、その結果として、根本的な問題解決を避け、新たな権限の獲得といった見せかけの「進歩」に走りがちになるという問題である。
「御用学者」現象:正当化のための専門家会議
政府は、重要な政策を決定する際に「有識者会議」を設置し、専門家の意見を聞くという形式を頻繁に用いる。サイバーセキュリティ分野も例外ではなく、「能動的サイバー防御」のような重要政策については、専門家を交えた会議で議論が重ねられてきた 。しかし、その実態は、政府が予め描いたシナリオに専門家がお墨付きを与えるための儀式と化しているのではないか、という厳しい批判がある。
これらの会議の議事録は、しばしば発言者名が伏せられた形で公開されたり 、そもそも非公開で行われたりするため、外部からはどのような議論が交わされ、どのような反対意見が出たのかを検証することが難しい。結果として、公表される提言は、政府の方針を追認し、後押しする内容に収斂しがちである。
これは、独立した立場から政府の政策を客観的かつ批判的に検証するという、専門家が本来果たすべき役割の放棄に他ならない。専門家会議が、政府の決定を正当化するための「アリバイ作り」の場となってしまうことで、政策に含まれるリスクや問題点が十分に議論されないまま、物事が進んでしまう。ユーザーが指摘する「専門家は客観的な評価をしているのではなく、単なる御用学者に成り下がり機能不全を起こしている」という状況は、まさにこの点を突いている。
ケーススタディ:「能動的サイバー防御」をめぐる議論
この「御用学者」現象と、それに伴う議論の歪みを最もよく示しているのが、「能動的サイバー防御」の導入をめぐる一連の動きである。能動的サイバー防御とは、攻撃を受けた後に対応するだけでなく、攻撃の兆候を察知した段階で、攻撃者が利用する国内外のサーバーにアクセスし、無力化するといった積極的な対抗措置を指す 。
政府および有識者会議は、国家を背景に持つ高度なサイバー攻撃に対抗するためには、こうした踏み込んだ措置が不可欠であると強く主張してきた 。この主張は、政策の必要性を国民に訴え、関連法案の成立を後押しする大きな力となった。
しかし、この政策には極めて重大な法的・憲法上の懸念が存在する。
サイバー攻撃をされる前にするという点について、
「そういうことができる人材は日本にどれだけいるの?」
「仮にいたとしても、サイバー攻撃、ハッカー行為が得意とアピールして人材紹介会社に登録する人一人もいるわけないでしょ?人材紹介経由で見つかるはずないでしょ?
どこでどうやって探せば何人の採用が見込めるの?その数の根拠は?」
「ボットネット、ボットハーダーがここまで広がっているのに誰を先制攻撃するの?」
→ こういうことを書いても意味の分かる官僚や政治家ほとんどいないでしょう
「先制攻撃を察知するためメールをのぞき見るというけど、いまどき、平文メールで攻撃指示するポンコツハッカー(クラッカー?)なんているの?オフラインや暗号化メッセンジャー使うだけで話は終わり」
「サイバー攻撃防御と先制サイバー攻撃の技術は全く違う。サッカーにたとえればディフェンダーがすぐにフォワードになれないのと同じ。そもそも、ディフェンダーさえ日本には人材にいないのでは?」
そもそもサイバー攻撃をリアルな軍事と同じく先制攻撃しようという発想が間違っていると思います。それにしても何でこれらの当たり前に指摘が有識者会議で指摘の声が出ないのか、不思議です。自称有識者は名ばかりで実は「情○」なのか同調圧力に押されて本当は問題に分かっているのに周りの顔色みてばかりで正論を言えない人たちでは? はたまた意味ないと分かっているのに受注をして国(税金)からたんまりお金をもらって懐をy旅装と考えているのか これらの声がネットで上がるのではないかと思っています。
国会での質疑応答においても、政府側はこれらの根本的な懸念に対し、「必要最小限度の措置を適切に行う」といった抽象的な答弁に終始し、具体的な法的整合性についての説明を尽くしているとは言い難い 。
ここに見られるのは、まさにユーザーが指摘した構図である。政府とそれに近い専門家が一体となって「能動的サイバー防御は不可欠」という大きな物語を構築し、政策を推進する。その専門家たちが提示する客観的かつ重大なリスクは、政策決定の主流から意図的に排除、あるいは軽視される。これは、客観的な技術的・法的検証よりも、政治的に望ましい結論が優先される意思決定プロセスの歪みを如実に示している。
この一連の動きから導き出されるのは、さらに深刻な洞察である。日本政府のサイバーセキュリティ戦略は、地道で目立たない基礎的能力(調達プロセスの改善、職員教育の徹底、組織文化の改革など)の向上よりも、新たな権限や強力な対抗手段(能動的サイバー防御など)を獲得することに偏重している。なぜなら、新しい法律を制定し、新たな権限を持つ組織を作ることは、メディアで大きく報じられ、政府が「断固たる対策を進めている」という印象を国民に与えやすいからだ。
一方で、第1章から第3章で見てきたような、調達の癒着、縦割り行政、同調圧力といった、官僚機構の根深い問題を解決するのは、時間と労力がかかり、政治的な成果としてアピールしにくい。その結果、政府は、足元の脆弱性を放置したまま、より強力な「剣」を手に入れようとする。これは、防御の基礎が崩れているにもかかわらず、派手な攻撃能力を誇示するようなものであり、セキュリティの本質から乖離した「進歩」という名の幻想に他ならない。この構造的な欠陥が、日本のサイバーセキュリティを根本的に脆弱なものにし続けているのである。
結論:システムへのパッチ適用を超えて、信頼の再構築へ
本稿で分析してきたように、日本政府の情報セキュリティが抱える問題は、単一の技術的な欠陥ではなく、相互に関連し合う根深い「4つの病巣」に起因する。
第一に、セキュリティの政治化である。客観的な技術評価よりも、メディアの論調や政治的なパフォーマンスが意思決定を左右し、LINEヤフー事件のような場当たり的で本質からずれた対応や、IT調達における構造的な欠陥を生み出している。
第二に、官僚機構の麻痺である。省庁間の連携を阻む「縦割り行政」と、リスクの指摘をためらわせる「同調圧力」の文化が、サイバー攻撃という俊敏性が求められる脅威への効果的な対応を不可能にしている。
第三に、専門家の機能不全である。本来、政府に対する客観的なチェック機能を果たすべき専門家が、政府の方針を追認する「御用学者」となり、政策決定プロセスから健全な批判が失われている。
そして第四に、これらの病巣の結果として生まれる**「進歩」という名の幻想**である。地道で根本的な基礎能力の改善を怠り、能動的サイバー防御のような、新たな権限を獲得する派手な政策に走ることで、問題が解決されているかのような錯覚を生み出している。
これらの失敗がもたらすコストは、金銭的な損失や業務の停滞に留まらない。最も深刻なコストは、デジタル時代において政府が国民の情報を安全に管理し、社会インフラを安定的に運営する能力に対する、国民の信頼そのものが蝕まれていることである。これは、日本のデジタルトランスフォーメーション(DX)や経済安全保障の実現に向けた取り組みの根幹を揺るがす事態と言える。
解決策は、新たなセキュリティソフトを導入したり、法律を一つ追加したりすることだけでは不十分である。求められているのは、日本の政治・行政文化そのものに対する、根本的な外科手術である。意思決定プロセスを透明化し、技術的な合理性を最優先する文化を醸成すること。IT調達の仕組みを抜本的に改革し、価格や癒着ではなく、真に優れた技術を持つ事業者が公正に選ばれるようにすること。政府から独立した、真に客観的な専門家の知見を政策決定に活かす仕組みを制度として保障すること。そして何よりも、現場の職員から各省庁の大臣に至るまで、すべてのレベルにおいて、ヘッドラインを管理することではなく、セキュリティという結果に対して責任を負うという、真のアカウンタビリティを確立すること。
この困難な改革なくして、日本はこれからもサイバーセキュリティのデジャヴに囚われ続けるだろう。
Q&A:日本政府の情報セキュリティについて
Q1: 日本政府のサイバーセキュリティが「ずさん」だと言われる主な理由は何ですか? A: 主な理由は技術的な問題だけでなく、メディア報道や政治的圧力に左右される意思決定、省庁間の連携を妨げる「縦割り行政」、問題を指摘しにくい「長いものには巻かれろ」という組織文化、そして専門家が政府の意向を追認するだけの「御用学者」になりがちで、客観的なチェック機能が働いていないことなどが挙げられます。
Q2: 2015年の日本年金機構の情報漏洩事件から、私たちは何を学ぶべきですか? A: あの事件は、単純な技術的ミスではなく、リスクへの認識の甘さや、不審な点に気づいても組織内で情報を共有しないというコミュニケーション文化の欠如が大きな被害につながったことを示しています。これは、日本の組織が抱える根深い問題の象徴的な事例です。
Q3: 「サプライチェーン攻撃」とは何ですか?なぜ政府にとって脅威なのですか? A: 政府のシステム開発や運用を委託している関連会社や取引先を狙ったサイバー攻撃のことです。政府自身が強固な対策をしていても、セキュリティの甘い委託先が侵入の足がかりにされてしまうため、防ぐのが非常に困難です。トヨタの工場停止や地方自治体の大量情報漏洩など、一つの攻撃が広範囲に影響を及ぼすため、大きな脅威となっています。
Q4: 政府のIT調達にはどのような問題がありますか? A: 技術的な優位性よりも価格の安さが優先される傾向があることや、特定のITベンダーと省庁の長年の癒着関係が指摘されています。これにより、本当にセキュリティレベルの高いシステムが選ばれにくくなり、脆弱性を抱えたままのシステムが導入されるリスクが高まっています。
Q5: 「縦割り行政」はサイバーセキュリティにどう影響しますか? A: 各省庁がバラバラに対策を進めるため、脅威に関する情報が政府全体で迅速に共有されません。ある省庁が受けた攻撃の手口が他の省庁に伝わらず、同じような攻撃で次々と被害に遭う可能性があります。サイバー攻撃という横断的な脅威に対し、縦割りの組織構造は非常に非効率で脆弱です。
Q6: LINEヤフーへの行政指導が異例だと言われるのはなぜですか? A: 通常の技術的な再発防止策の要求に留まらず、韓国の親会社との「資本関係の見直し」にまで踏み込んだからです。これはセキュリティ問題をきっかけに、政府が企業の経営体制にまで口を出すという政治的な側面が強い対応であり、国内外で大きな議論を呼びました。
Q7: 専門家が「御用学者」化するとはどういう意味ですか? A: 本来、政府に対して客観的で中立な立場から助言すべき専門家が、政府の方針を後押しするような意見ばかりを述べるようになる状況を指します。これにより、政策の問題点やリスクが十分に議論されないまま、政府の都合の良い方向に物事が進んでしまう危険性があります。
Q8: 「能動的サイバー防御」とは何ですか?どのような懸念がありますか? A: サイバー攻撃を受けた後に対応するだけでなく、攻撃の兆候を掴んだ段階で、攻撃元のサーバーなどに侵入して無力化するという、より積極的な防御策です。しかし、憲法で保障された「通信の秘密」を侵害する恐れや、他国の主権を侵害する国際法上の問題など、多くの法的な懸念が専門家から指摘されています。
Q9: なぜ政府は基本的なセキュリティ対策のミスを繰り返すのでしょうか? A: 派手な新政策(能動的サイバー防御など)の立法には熱心でも、職員への地道な教育や、時代遅れの業務プロセスの見直しといった、目立たないが重要な基礎的改善が後回しにされがちだからです。組織文化や日々の運用の問題を根本的に解決するよりも、新しい法律を作る方が「仕事をしている」ように見えるという政治的なインセンティブが働くことも一因です。
Q10: 日本のサイバーセキュリティを本当に強くするために必要なことは何ですか? A: 新しい技術や法律の導入だけでは不十分です。意思決定のプロセスを透明化し、技術的な評価を最優先すること。組織の風通しを良くし、誰もが問題を指摘できる文化を作ること。そして、IT調調達の仕組みを根本から見直し、真に実力のあるベンダーが選ばれるようにすることが不可欠です。つまり、技術だけでなく、政治・行政の「文化」そのものを変革する必要があります。
引用文献
1. JPCERT/CCセキュリティインシデント年表, https://www.jpcert.or.jp/magazine/chronology/ 2. サイバーセキュリティ 2024 (2023 年度年次報告・2024 年度年次計画) - NISC, https://www.nisc.go.jp/pdf/policy/kihon-s/cs2024.pdf 3. 情報セキュリティ白書 2024 - 独立行政法人情報処理推進機構, https://www.ipa.go.jp/publish/wp-security/eid2eo0000007gv4-att/2024_ALL.pdf 4. JNSAセキュリティ十大ニュース, https://www.jnsa.org/active/news10/ 5. 公務・自治体の情報漏洩、個人情報流出事件9選 - Watchy(ウォッチー), https://watchy.biz/contents/column/2146/ 6. サイバー攻撃事例|日本での被害5例と主な攻撃の種類、対策を解説, https://insights-jp.arcserve.com/cyber-attack-cases 7. 不正アクセスによる情報流出事案に関する調査結果報告について - 日本年金機構, https://www.nenkin.go.jp/oshirase/topics/2015/20150721.files/press0820.pdf 8. 問うべきは社保庁解体/年金情報流出 第三者委の報告 - 日本共産党, https://www.jcp.or.jp/akahata/aik15/2015-08-22/2015082202_03_1.html 9. サプライチェーンリスクについて理解する - IPA, https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/ngi93u0000002jnu-att/000099269.pdf 10. サイバーセキュリティ 2025 (2024 年度年次報告・2025 ... - NISC, https://www.nisc.go.jp/pdf/policy/kihon-s/250627cs2025.pdf 11. サイバーセキュリティ政策の 現状と動向について, https://www.sec-dogo.jp/online/download/kicho.pdf 12. 政府情報システムにおけるサイバーセキュリティに係る サプライチェーン・リスクの課題整理 - デジタル庁, https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/a547f9a6/20250630_resources_standard_guidelines_technical_report_01.pdf 13. 自治体の情報漏洩の原因は?対策について解説! - パンドウイット, https://www.panduit.co.jp/column/feature/17789/ 14. サイバーセキュリティ 2023 (2022 年度年次報告・2023 年度年次計画) - NISC, https://www.nisc.go.jp/pdf/policy/kihon-s/cs2023.pdf 15. 総務省、LINEヤフー株式会社に対する電気通信事業に行政指導 - サイバーリスクディフェンダー, https://cyber-rd.org/lineyahoo/ 16. 総務省が「ガチギレ」のLINEヤフー、ネイバーとの決別が“いばらの道すぎる”ワケ - ビジネス+IT, https://www.sbbit.jp/article/cont1/142310 17. LINEヤフーが約51万人分の個人情報を流出させた問題 総務省が再発防止を求める行政指導, https://www.youtube.com/watch?v=4QMaFbLAkV8 18. LINEヤフー、総務省も呆れ果てた「変わらぬ体質」 情報漏洩で行政指導、資本関係見直しの行方は, https://toyokeizai.net/articles/-/741042?display=b 19. 総務省がLINEヤフーに再び行政指導 個人情報流出問題巡り(2024年4月16日) - YouTube, https://www.youtube.com/watch?v=D5NgRzbVtc0 20. 国会で『LINEヤフー事態』緊急討論会開催··· 「『IT後進国』日本の強奪欲求から始まった」, https://m.jp.ajunews.com/view/20240524150254119 21. 日本政府「LINEヤフーへの『資本再検討』はセキュリティ強化を要求したもの」 - ハンギョレ新聞, https://japan.hani.co.kr/arti/international/49945.html 22. 政府情報システム調達の課題とあり方 - JEITA, https://home.jeita.or.jp/page_file/20130423112245_oyIXWRcmC5.pdf 23. 富士通と厚労省、NECと防衛省、NTTと7府省の「IT癒着」にメス!予算7100億円没収の衝撃, https://diamond.jp/articles/-/279614 24. デジタル庁が「国とITゼネコンの癒着断絶」画策、真の抵抗勢力はベンダー?霞が関?, https://diamond.jp/articles/-/278751 25. 富士通と厚労省、NECと防衛省、NTTと7府省の「IT癒着」にメス!予算7100億円没収の衝撃[小嶋秀治コジーの今週気になるDXニュースVOL20210818-01] - STADニュース, https://stad.news/vol20210818-01/ 26. 情報システムに係る政府調達における セキュリティ要件策定マニュアル 2025 年7月1日 - NISC, https://www.nisc.go.jp/pdf/policy/general/SBD_manual.pdf 27. 「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」を読んでみた - NEC, https://jpn.nec.com/cybersecurity/blog/220812/index.html 28. 縦割り行政のデメリットを解決する5つの革命的方法, https://www.tifana.ai/article/mental-article-806 29. サイバー安全保障分野での対応能力の向上に向けた有識者会議 官民連携に関するテーマ別会合 - 内閣官房, https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/dai3/siryou3-2.pdf 30. 行政機関から見た情報共有への期待 - NISC, https://www.nisc.go.jp/pdf/council/cs/kyogikai/dai2/GDkentoukai02_shiryou2-3(nisc).pdf 31. 公的機関はサイバー攻撃の格好の標的 偽情報氾濫という新たなリスクも | IT Leaders, https://it.impress.co.jp/articles/-/27543 32. 「能動的サイバー防御」有識者会議の議事録を公開 - KSI政策ニュース.jp, https://www.policynews.jp/government/2024/06_active_cyber_defense.html 33. 能動的サイバー防御2法案の国会論議(3) -アクセス・無害化措置の概要と論点 - 参議院, https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2025pdf/20250725023.pdf 34. 能動的サイバー防御2法案の国会論議(1) - 参議院, https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2025pdf/20250714041.pdf 35. 【衆本会議】菊池大二郎議員がサイバー対処能力強化法案等について質疑 - 国民民主党, https://new-kokumin.jp/news/diet/20250318_2 36. サイバー攻撃から国民を守る能動的サイバー防御 今国会での法案成立を | お知らせ - 自由民主党, https://www.jimin.jp/news/information/209933.html 37. 能動的サイバー防御とは?実施方法や利点・課題まで徹底解説 | LAC WATCH, https://www.lac.co.jp/lacwatch/service/20250822_004455.html 38. いわゆる能動的サイバー防御法案について慎重審議等を求め る意見書 2025年(令和7年) - 日本弁護士連合会, https://www.nichibenren.or.jp/library/pdf/document/opinion/2025/250417.pdf 39. 能動的サイバー防御法案 は、ネット監視・サイバー先 制攻撃法案だ! - 京都弁護士会, https://www.kyotoben.or.jp/files/250412_%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E9%98%B2%E5%BE%A1%E8%B3%87%E6%96%991.pdf 40. 能動的サイバー防御の導入 -サイバー対処能力強化法案及び整備法案の概要と主な論点 - 参議院常任委員会調査室・特別調査室, https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2025pdf/20250414003.pdf
