Iphone

政府のサイバーセキュリティ部門:良い点、悪い点、そして官僚主義

政府のサイバーセキュリティ部門:良い点、悪い点、そして官僚主義
メリーランド州フォートミードの陸軍サイバーセキュリティ部隊。(米陸軍写真 / スティーブ・ストーバー)

パブリックインターネットの黎明期から、その成長と進化を目の当たりにしてきた幸運な私たちは、インターネットがいつの日か、偉大なイノベーションと、大きな潜在的破壊をもたらすであろうことを知っていました。スマートコーヒーマシンから個人の健康記録まで、あらゆるものがオンラインに接続されるようになった今、リモートアクセスによる破壊的変化はもはや単なる可能性ではなく、必然であり、善にも悪にも常に利用され続けています。

多くの民間組織がサイバー攻撃の抑制に向け、警報や脅威軽減を中心としたサイバーセキュリティ対策の連携に尽力している一方で、典型的な資本主義経済においては、金銭的または法的インセンティブがなければサイバーセキュリティを最優先事項とすることは稀です。この事実が、GDPR、2018年カリフォルニア州消費者プライバシー法、米国サイバー軍、そして新たに設立された(名称未定の)英国サイバー防衛軍の誕生を促したのです。

最初の2つは、データ侵害を犯罪とする法律であり、組織にサイバーセキュリティのベストプラクティスの導入を義務付けることで市場の安定化に貢献しています。残りの2つは、サイバーセキュリティを新たな戦場として扱うことを目的とした政府機関です。

政府主導の保護の「良い点」

9月下旬、英国は国防省(MoD)と政府通信本部(GCHQ)が協力し、共同サイバー防衛軍を創設すると発表しました。この部隊は、ISISなどの組織やロシア、イランなどの国による継続的なサイバー脅威に対抗できるよう訓練された、軍、政府機関、民間企業の専門家で構成される2,000人規模の組織となる予定です。

これらの国家は、インターネットをコミュニケーション媒体としてだけでなく、偽情報キャンペーンの拡散チャネルとしても利用しています。こうした動きが抑制されなければ、2016年の米国大統領選挙におけるロシアの介入のような事態につながります。だからこそ、多くの人が政府のサイバー部隊を必要かつ有益なものと見なしているのです。

これらの組織の取り組みは、その中核となる使命以外にも、次のような方法で社会にプラスの影響を与えることができます。

  • これらの組織はサイバーセキュリティを最前線に押し出し、インターネットの巨大さと、その善と悪の両方の可能性を一般の人々に認識させています。サイバーセキュリティをそれぞれの市場やミッションに適用する組織が増えれば増えるほど、世界がより多くのイノベーションを活用できるようになります。
  • 軍事組織は、徹底的な訓練なしには何もできません。世界中のサイバーセキュリティ業界が直面している問題の一つは、組織的かつ広く受け入れられている訓練プログラムの不足によって引き起こされる人材不足です。軍は、訓練プログラムの開発委託にますます多くの時間と費用を費やすでしょう。民間企業は、この発展を直接的にも間接的にも活用できます。直接的には、雇用主は政府の訓練修了証を、人気の高い職種の資格として活用できます。間接的には、民間企業は軍の訓練プログラムの質を活用し、現代のニーズを満たすすぐに使えるプログラムを模倣することができます。
  • 政府の仕事は安定している傾向があります。サイバー空間があらゆるものに浸透している現代においても、サイバーセキュリティの仕事の安定性は、勤務先の企業の安定性に左右されます。官僚主義を除けば、これは政府のセキュリティ職員にとって、より長いキャリアと、自国そして世界のサイバーセキュリティに意義ある影響を与えるための安定した機会を意味します。

政府のサイバー部隊の問題について深く掘り下げる前に、これらの組織が目標を達成するために何が必要かを理解することが重要です。米軍統合出版物3-13では、サイバー戦争(コンピュータネットワーク攻撃、CNAとも呼ばれる)を「コンピュータネットワークを介して、コンピュータおよびコンピュータネットワーク内の情報を妨害、拒否、劣化、または破壊する行為」と定義し、サイバー情報収集(コンピュータネットワークエクスプロイト、CNEとも呼ばれる)を「標的または敵の情報システムやネットワークから収集されたデータを悪用する、コンピュータネットワーク経由の情報収集」と定義しています。

これらの行為が成功するには、標的のコンピュータまたはネットワークへのアクセスが不可欠です。このアクセスは主に、ソフトウェアの脆弱性を悪用するエクスプロイトと呼ばれるツールを介して行われます。少し単純化しすぎているかもしれませんが、ここでは技術的な側面を深く掘り下げるのではなく、これらのエクスプロイトツールに焦点を当てましょう。

政府主導の保護の「悪さ」

サイバー諜報機関やサイバー戦争組織が攻撃を成功させるには、標的のコンピュータにアクセスするための利用可能なエクスプロイトを大量に保有していなければなりません。サイバー組織が保有するエクスプロイトの種類が多ければ多いほど、成功の可能性は高まります。多くの場合、エクスプロイトは、悪用する脆弱性が修正プログラムに反映されていない限り有効です。もし一般の人々がそのような脆弱性を知っていれば、すぐに修正プログラムが適用され、エクスプロイトは使用できなくなります。

これは本質的に、エクスプロイトがサイバー組織によって使用可能であり続けるためには、それを秘密にしておく必要があることを意味します。

政府のサイバー組織が効果的に活動するには、エクスプロイトツールを蓄積する慣行はほぼ必須と言えるでしょう。しかし、これは重大な道徳的ジレンマを生じさせます。問題は、あるサイバー組織が発見し、利用した脆弱性は、他国のサイバー組織やサイバー犯罪者によっても容易に発見される可能性があるということです。

言うまでもなく、これらの脆弱性を秘密にしておくことは、公的機関と民間組織の両方を危険にさらす可能性があります。例えば、EternalBlueが挙げられます。これはNSAによって開発され、2017年4月にShadow Brokersによって公開されたエクスプロイトです。Microsoftが実装したSMBプロトコルの脆弱性を悪用します。Microsoftは2017年3月にパッチをリリースするなど最大限の努力を払いましたが、このエクスプロイトはWannaCryとして知られる世界的なランサムウェア攻撃で悪用されました。ユーロポールは、150カ国で20万台以上のコンピュータが感染したと推定しています。

世界中の民間企業がサイバー侵入の被害に遭う割合は、数百万ドルもの収益損失につながっています。こうした秘密のエクスプロイトは必要悪であり、リスクを負うだけの価値があると考える人もいるでしょう。しかし、そうではないと主張する人もいます。政府機関はこれらのエクスプロイトを蓄積したい一方で、自国組織を外部からのサイバー攻撃から守りたいと考えているため、これはまさに道徳的なジレンマと言えるでしょう。

政府主導の保護の「官僚主義」

政府の世界では、何も無料で、あるいはすぐに得られるものはありません。英国が軍のサイバー作戦の統合に取り組んでいることは喜ばしいことですが、すぐに効果が出ると考えるのは誤りでしょう。

新たな政府組織の立ち上げは、終わりのない会議、書類作成、そして承認手続きを伴う、長く困難なプロセスです。初期段階では、GCHQに配属された軍人が、新設のサイバー部隊に割り当てられた特定のプロジェクトに従事することを許可する短期協定が存在する可能性があります。これらのプロジェクトは、前述のISIS、ロシア、そしてイランに対する取り組みに関連するものとなるでしょう。いくつかの特定の任務に割り当てられたリソースを除き、防衛機構は本格的な計画立案モードに入るでしょう。

サイバーセキュリティの専門家は、国防省およびGCHQ関係者と協力し、この新組織の役割、責任、そしてミッションの策定に着手する。必要な経験を持つ人員が高可用性の体制に就いたことはこれまでないため、国防省とGCHQは、組織の立ち上げにあたり、おそらく複数の人員を再配置することになるだろう。

今後2年間、組織のスピードと強化を図るため、大規模な採用と訓練が実施される予定です。その間、軍の指揮系統は、この若い組織に割り当てる任務をますます増やし、数年後には完全な運用能力に到達するでしょう。

それでも、作戦が承認されるまでには、指揮系統による審査と将軍、場合によっては首相の承認という、長くて手間のかかるプロセスがあります。簡単に言えば、他の政府機関と同様に、これらの政府のサイバー部隊にも官僚主義が蔓延するでしょう。

それで、判決はどうなりましたか?

世界はますますデジタル化が進んでおり、世界舞台で優位性を維持する唯一の方法は、サイバーインテリジェンスと戦争の分野で熟練した人材を維持することです。しかしながら、民間部門にかかるコストと、政府がエクスプロイトを蓄積することによるメリットを比較検討し、より深く理解する必要があります。

エクスプロイトの蓄積は必要悪だと個人的には考えていますが、何らかの妥協点を見出せるはずです。つまり、一般の人々がこの行為について議論を始め、政府に説明責任を果たすよう圧力をかける方法が必要です。インターネットとこれらのサイバー組織の比較的新しい歴史を考えると、一般の人々にとっての有効性は時が経てば明らかになるでしょう。