衆議院外務委員会で、サイバーセキュリティについて討議を行いました。
討議を行ったのは5月10日。
問題提起をした直後に世界的規模のサイバー攻撃が発生してしまいました。
もはやサイバーセキュリティ対策には一刻の猶予もありません。
外務委員会での私の発言の趣旨は以下の通りです。
現在、あらゆる産業においてITの活用が進み、そしてIT関連のサービスや製品は国民生活にも深く浸透しています。
そのような中、サイバー攻撃は国境を越えて高度かつ熾烈なものとなっており、我が国の治安や経済など、国民生活に及ぼすリスクは限りなく高いものとなりつつあります。
また、我が国は平成32年に東京五輪開催国となりますが、平成24年のロンドン大会においては2億件近くのサイバー攻撃を検知したとされており、高度情報化社会が進展する中、我が国も東京五輪期間中はこれまでの大会に増してサイバー攻撃の集中砲火を浴びることが予測されます。
このため、我が国においても、計画的かつ戦略的なサイバーセキュリティ対策を早急に講じていかなければならなりません。
しかし、事業者等の組織内においてサイバーセキュリティ対策をリードできる人材は、我が国では圧倒的に不足しています。
これから官民挙げて対策を講じていかなければならない中、それを担える人材が現場に不足している現状は危機的と言わざるを得ません。
このため、政府においては、各級技術者を育成するための目的別の施策をこれまで以上に力強く、早急に推進していくべきです。
サイバー攻撃には、ホームページの改ざんやロックしたデータの身代金要求などのように被害が早期に発覚しやすいものもあれば、不正アクセスによる情報流出など、発覚が遅れたり、場合によっては被害に気付かなかったりするようなものもあります。
後者に関しては被害の実態が見えないため、一般的に危機感が希薄となりがちですが、悪意ある者に不正アクセスで入手した情報をもとに競争条件を継続的に歪められ、長い期間をかけて経営危機に陥っていくリスクも指摘されています。
このような被害を未然に防ぐためには、あらゆる組織においてサイバーセキュリティ対策を十分に講じる必要がありますが、現状はそれをリードできる人材がいない上、必ずしもサイバーセキュリティを専門としないIT技術者にそうした役割を担わせている組織も多いのが実態です。
その結果として、サイバー攻撃のリスクを適切に評価できている組織は極めて少なく、社会全体として十分な対策が講じられていません。
政府においては、事業者等におけるサイバーセキュリティ対策の体制整備を促進すべく、政策的誘導を行うべきです。
他人の製品を解析し、そこに用いられている技術を分析することをリバースエンジニアリングと呼びます。
リバースエンジニアリングは技術の進展等に有益であるため、産業財産権分野では一般的に認められるものです。
一方、従来の著作物については作品を見る、もしくは聞くことでその表現を享受することが可能であったため、著作権法においてリバースエンジニアリングを明示的に認める規定は存在してきませんでした。
これに対し、同様に著作権法で保護されているソフトウェアプログラムについては、その技術を分析するにあたって解析行為が必要となります。
しかし上述の通り、法律上リバースエンジニアリングの適法性が明確となっていないため、現状、プログラムに対する解析行為は行うことができません。
他方、欧米諸国等においては適正利用目的でのリバースエンジニアリングは認められており、内外における制度調和が図られていません。
プログラムに対するリバースエンジニアリングは、脆弱性の早期発見を通じて情報セキュリティ対策にも大いに資するものであり、我が国においても適正利用目的でのリバースエンジニアリングの適法性を早期に明確化すべきです。
東京五輪の開催に備えるため、東京23区内に所在する重要サービス事業者においては、政府のガイドラインに基づき、サイバー攻撃に対するリスク評価を行っています。
今後は、各重要サービス事業者がリスク評価を踏まえて講じてきたサイバーセキュリティ対策が十分なものであるかどうかの検証が必要であり、政府が前面に立って重要サービス事業者の安全性確保に万全を期するべきです。