野党流お気楽提言・・・かな

そういえば、先日、自民党が出した「情報セキュリティに関する提言」を、つらつらと読み返してみた。緊急対策部分は、よそでも話題になっているように、ちょっと恥ずかしい実態をさらけ出した格好だ。要するに、まだ中央官庁や国会のセキュリティはこのレベルだということなのだろうが、ちょっと寂しい感じがする。そこからあとは、かなり威勢がいい書きっぷりなのだけど、あまり新しく思える提言は見あたらない。その多くがこれまであちこちで議論されてきたような内容。しかし、それがいまだ出来ていない原因についてはまったく触れられていない。たとえば、どうしてNISCが現状のように何の権限もない状態で、人材的にも枯渇した状態にあるのか、とか、どうして防衛庁と警察庁はまったく袂を分かった状態でこの問題に取り組んでいるのだろうとか・・・。米国の例がたびたび引き合いに出されるが、米国がそのような形に至った経緯についての分析も見られない。海外の動向で引き合いに出されているのが米国だけ、というのもちょっとバランス感覚に欠ける。これを「政治主導」でやる、ということだが、自民党の先生方には、本当にこれを絵に描いたモチにしない覚悟がおありだろうか。私にはそのようには見えない。

現実的とは思えない記述も多々見られる。たとえば、省庁SOCだ。これは人材調達ともからむのだが、各省庁にSOCを置くことは現実的とは言えないだろう。さりとて、GSOCになんでもかんでも束ねてうまく行くとは思えない。そもそも、それではGSOCがわけのわからん監視に忙殺されて、本当にアブナイ兆候をきちんと見張れなくなるのではないかと危惧する。まずは、何を重点的に監視、管理すべきなのかを明らかにしなくてはいけない。各省庁にSOCを置くならば、その運用は出来るだけ簡素化して、日常的な監視は自動化し、危険度が高かったり、正体不明の事象があれば、それをGSOCにエスカレーションする、といった階層的な運用が必要だろう。なによりも、監視できたとして対応はどうだろうか。たとえば、GSOCが見つけた事象に対して、今現在、きちんと対応ができているのだろうか。監視もさることながら、インシデントの対応体制と、各現場での判断責任の所在が不明確なままでは、監視は有効に機能しない。

人材育成についても威勢がいいのだが、そもそも、そんなに大量の高度な情報セキュリティ人材を短期に育成できるとは思えない。しかも、SOCを動かせるような人材をだ。どれだけ教育で詰め込んでも、結局個々のセンスと経験がモノをいう世界なのに。セキュリティ技術者の粗製濫造は御免被りたい。むしろ、適性のある少ない人材が余計な仕事をしなくていいように、一般のIT技術者がもっとセキュリティに注意を払い、基本的なセキュリティ実装と運用をできるように教育を施した方がよほど早道だろうと思う。資格制度にしても、新たに何かを作る必要が本当にあるのか。これを言うなら、現状の資格制度やその問題点をまず書くべきだ。高度な情報セキュリティ技術者は、そもそも中途半端な資格制度なんかにはなじまないような気がする。むしろ、IT技術者の資格制度全体に、情報セキュリティの単位組み込みを強化すべきだ。その上で、本当に資質のある若者を育てて、スペシャリストに育成していく必要がある。でないと、せっかく育ったとんがり技術者の足元が極めて不安定なものとなってしまうからだ。結局、高い技術を持ちながら、足元の問題解決に追われて、その能力を活かす仕事ができないことになる。

産業育成策も通り一遍のものでしかない。いったい、高度な情報セキュリティ産業とは何だろうか。いや、そもそも情報セキュリティというのは単独で産業になりうるものなのだろうか。それともいわゆる防衛産業と同列のものなんだろうか。人材もしかりだが、情報セキュリティの底上げは、利用者サイドの底上げとI（C)T業界全体のセキュリティ面での底上げがあってはじめて成り立つのだと思う。国産のセキュリティ製品が少ないから増やせと簡単に言うが、そんなことは10年以上前からみんな感じている。では、政府調達を全部国産品にできるのか？。そんなことをすれば、あっというまに世界中から叩かれるのが今の日本だ。できのいい海外製品を知っているユーザは中途半端な国産製品などもはや選ばない。政府がすべきは、国産で世界に通用するものを作れる環境の整備と、それを世界標準に押し上げていくための国際的活動の後押しだ。それなくして、世界に冠たるセキュリティ技術大国には絶対になれない。まず、世界がどのレベルにいるのかを知ってからこういう政策を語って欲しい。たとえば、米国のベンチャー企業がどのくらいのスピード感で技術を具現化し、それにどれくらいの金を誰がつぎ込んでいるのか、そして市場がそれをどのように評価したから、その会社は育つことができたのか、というあたりだ。国産製品が育たない背景として、このサイクルが決定的に日本には欠けていると私は思っている。

法制度に言及した部分に至っては、かなりキナ臭い。サイバー有事の議論は国際的にも盛んではあるが、通常の紛争、戦争行為とは明らかに違う部分がある。現状では、単なる暴動と戦争行為の区別ができないからだ。サイバー攻撃への国家の関与は疑えても、不法者の仕業と一蹴される可能性も高い。国際的にはこのあたりの定義をいま一生懸命にやっているところのようだが、そこに日本は全くといっていいほど参加していないという話も聞いている。こうしたリサーチもなしに法制度の強化を唱えているところがまず不安だ、というかわかっていないと思う。セキュリティ対策を民間にも法的に義務づけるようにとれる内容もかなり乱暴な感じがする。そうした法制度に対応できるような司法機関への教育も簡単ではない。そもそも、岡崎図書館事件のようなお粗末なことが発生するような状況下では、司法に強い権限を与えることは、ある意味で大きなリスクをはらむ。こうした政策の実施にあたっては、三権すべてにおいて、I(C)Tと情報セキュリティリテラシ向上策が必須だ。

予算規模については、目安と思えばいいのかもしれないが、そもそも米国の予算の半分という尺度も謎である。予算の割り振りもなんとなく中途半端だ。どうせやるなら、大半の予算を内閣官房が持って、各省庁の分も責任を持って対策していけばいい。内閣官房主導といいながら、結局省庁ごとの予算枠は現状の延長上でつけざるを得ないのだとすれば、この予算配分にこそ、現状の問題点が浮き彫りになっているように思える。これでは縦割りの排除は夢のまた夢だ。全体を通して抽象的な言葉のなかに、唐突にいくつか具体的な言葉が飛び出してきて、それにきちんとオカネが配分されているのも、なんとなく利権の臭いがするのだが。

さて、ついつい吠えてしまったが、この提言が唯一の政策提言であることもまた悲しい事実だ。現政権がいつまで続くのか、はたして自民党が政権に返り咲けるのか、それはわからない。しかし、こうした政策の立案と実行が国家としての緊急の課題であることだけは間違いないだろうと思う。せっかくこうした提言を出したのだから、出しっぱなしにせず、公の議論の場に上げて欲しいものだと思う。