サイバー防衛は「シギント」実行する政府機関が不可欠
脅威情報の事前把握が重要、世界標準へやっと第一歩

政府は重大なサイバー攻撃を未然に防ぐ「能動的サイバー防御」を導入するため、関連法案の今国会成立を目指す。法案によると、サイバー攻撃を事前に察知するための通信の監視とともに、攻撃される可能性が高いと判断すれば、攻撃元のサーバーに入り込んで機能停止させる侵入・無害化措置を行うことができる。警察や自衛隊が担うため、警察官職務執行法、自衛隊法を改正する。国内でも病院を含めサイバー攻撃による被害は相次いでおり、対策は待ったなし。一方、情報監視においては、憲法が保障する人権「通信の秘密」との兼ね合いも課題だ。

茂田忠良（しげた・ただよし）氏は警察庁に長らく勤務し、警備企画課長、内閣情報衛星センター次長などを歴任。他の主要国と比べて日本の遅滞が歴然としているとされるインテリジェンス分野に取り組み、退職後は日本大危機管理学部教授として研究、講義を行ってきた。共著に「シギントー最強のインテリジェンス」がある。

今回の法案について率直な評価を聞いた。

※聞き手：政策ニュース編集部
インタビューは2025年2月21日に実施しました

法案提出自体が進歩、今後改正を

― 政府が閣議決定した能動的サイバー防御関連法案の全体的な評価は。

（茂田忠良氏、以下同じ）わが国のサイバーセキュリティに関する状況は惨憺たるものだということを前提にすれば、とにかく法案が提出されたこと自体が大きな進歩であり評価に値する。他方、欧米水準と比べると不十分であり、欠点も多々ある。しかし、日本の政治状況など諸条件を勘案すれば、不十分で欠点があっても仕方がない。現時点で素晴らしく実効性の高い法律を制定できるはずはないからである。わが国の現状で、制定可能な法案を提出したということであろう。

法律は制定後の運用実績を見て今後改正を重ねていけばいい。政府には、国会審議で「この法案で十分対応できる」と答弁することだけはやめてほしい。「日本の政治状況やその他の事情を考慮した上でまとめた法案である」とした上で「不備があるところは今後、逐次改正していきたい」と正直に説明すべきだと思う。なお、一部報道では、「これで日本のサイバーセキュリティ対応が欧米水準になる」という記事もあるが、仮に、このような説明をすると、今後の法改正が困難になり、それが最大の間違いとなる。

― もう少し詳しく。

（茂田）日本には犯罪捜査のために、当事者の同意を得ないで通信を傍受できる「通信傍受法」がある。しかし、これは世界標準と比べれば、まったく役立たない。ところが、いったん通信傍受法ができてしまうと、より役立つよう改正しようとせずに「これでもういい」と放置されている。今回の能動的サイバー防御法案は、成立後も不断の改善を続けるよう頑張ってほしい。

大戦時から続く5国同盟「UKUSA」

― 各論に移るが、不十分な点どこか。

（茂田）個別の条文ではなく、サイバーセキュリティに取り組む前提として、日本には諸外国と比べて足りない二つの基礎的条件がある。一つは「シギント（sigint）機関」が日本に存在しないことだ。シギントとは、インターネット上を含む通信や電波、信号の傍受で得た情報を利用する諜報活動のこと。国家の安全保障や軍事、電子戦を行う技術とも密接に結びついている。日本政府にはこれを専門に行い、司令塔となる機関がない。今回の法案をまとめるための政府有識者会議の議事録を読んでも、シギントはほとんど議論されていない。法案に実効性を持たせようとするなら、非常に不可解なことだ。

― 主要国ではシギント機関はどうなっていますか。

（茂田）第2次世界大戦中、日本の敵国であり、連合国だった米国と英国、それからカナダ、オーストラリア、ニュージーランドなどが通信情報を取るために、シギントの同盟を組んでいた。この同盟は大変な成果を上げたため、戦後も継続した。それが通称「UKUSA」と呼ばれるシギント同盟だ。英UKと米USAの協定を基軸として、その後にカナダ、オーストラリア、ニュージーランドが加わった。この5か国のシギント機関が密接に協力し、ワールドワイドに活動する世界最強のインテリジェンス同盟と言って差し支えない。残念なことに日本ではインテリジェンスの専門家を自称する人でも、この同盟の中身を知らないことが非常に多い。

UKUSAが世界中に及ぶ強大な情報収集力を持ち、この5か国のサイバーセキュリティをバックアップしている。米国を除く4か国でサイバーセキュリティを所管しているのは、実は全てシギント機関だ。例えば、英国では「ナショナルサイバーセキュリティセンター」という組織があり、これは同国のシギント機関の附置機関。この4か国のサイバーセキュリティの主管官庁はすべて同様に、シギント機関の附置機関という位置付けとなっている。

― 現在、米国ではどうなっているのか。

（茂田）米国では「NSA」（国家安全保障庁）という国家シギント機関があるが、インテリジェンス機関に対する不信という過去の経緯があり、NSAではなく、国土安全保障省傘下の「CISA」（サイバーセキュリティ・社会基盤安全保障庁）という組織がサイバーセキュリティ全体の主管官庁となった。ところが、NSAが突出した技術力と情報力を持っているため、2019年にNSA内に「サイバーセキュリティ総局」という部局ができ、それがCISAを支援している。サイバー関連の事件が起きた時も、NSAがFBIによる捜査をバックアップしている。

米NSAは世界のサイバー空間を監視

― シギント機関はサイバーセキュリティに欠かせないと。

（茂田）シギント機関は、つまりハッカー組織である。シギントとはハッキングだけではなく、無線通信も含む多様な通信の傍受解読をしているが、2000年前後からサイバー空間が極めて重要になってきた。シギント機関は情報を取るために、まるでサイバー空間を開拓するかのように、どんどんハッキングに力を入れてきた。おそらくNSAが世界一のハッカー組織だ。シギント組織はサイバー空間における攻撃能力を持ち、自分たちでハッキングしているので、相手側の手口も分かる。よってサイバー防御も、シギント組織による支援が必要なのは当たり前だと言える。日本のサイバーセキュリティは「専守防衛」で来たので攻撃能力がない。よってNSAと同じ水準のことができないのは仕方ない。ただ政府有識者会議の議事録を読んでも、そういった認識があるのかないのかさえ分からない状態だ。こうしたイロハのイも、議事録に出てこないのはお粗末である。

ハッキングとは「天才ハッカー」のような傑出した人材が行っているイメージがあるかもしれない。しかし、NSAのハッキングはどちらかというと「装置・技術産業」だ。つまりシステムが物を言う側面が大きい。世界中に協力する国や企業をつくり、インターネット回線から情報を吸い上げる。NSAは米国内だけでなく世界中でサイバー空間を監視している上、そうしたトータルのシステムを基盤としているので、高いハッキング能力を持っている。逆に言うと、防御するときも、そうしたシステムを使ってハッカー通信を把握することで、サイバー攻撃を仕掛けてくることを察知する。

かつてNSAに所属した技術者であったエドワード・スノーデンが漏えいした資料によると、彼らは全世界でインターネット空間からハッカー通信を探知するシステムをセットしていた。また、現在では民間企業がダークウェブで行われているハッカー同士の遣り取りなどの情報を収集して、サイバーセキュリティ情報として販売しているが、このようなダークウェブの情報分析もシギント機関はすでに15年前にはシステム化していた。さらに、C-CNE（Couter-Computer Network Operation）という活動もある。これはハッカー集団をハッキングしてその脅威（ウィルスなどの技術情報や攻撃目標など）を解明する活動で、2013年時点でNSAは中露などの28のハッカー集団をハッキングしてこれらの集団に対して対策を講じていた。サイバー防衛では脅威情報の事前把握が重要であり、シギント機関はこのようにして脅威情報を事前に収集しているのである。

「攻撃方法を知らねば防御もできない」

― 今回の日本政府の法案については。

（茂田）米国のようにワールドワイドでの監視には程遠い。例えば、同意によらない通信情報の取得については「国内の通信事業者」から「特定の機械的通信」（アイ・ピー・アドレス、指令情報等の意思疎通の本質的な内容ではない情報）などと制限されている。機械的通信に限定してしまっては、サイバー防衛に必要な情報が十分取得できるのか、疑問である。実効性は限定的となり、UKUSA並みのものは絶対にできない。

― 政府有識者会議でもシギントにあまり触れられず、法案でも限定的となっているのは、なぜか。

（茂田）専門家にとって、「攻撃方法を知らなければ防御もできない」ことや、UKUSAによるワールドワイドのシギントシステムがハッカー対策に使われているということは、いずれも常識の範囲と言える。それなのに政府有識者会議でほとんど取り上げられていない。私は政府のインサイダー情報を持っていないので推測の域を出ないが、無知のなせる業か、わざと避けたのか、どちらかだろう。

― いきなりワールドワイドの対応は無理としても、日本政府がまず着手すべきは何か。

（茂田）まず、首相に直結した、しっかりしたシギント機関をつくることだ。現在でも画像情報については、内閣情報衛星センターが首相に直結した形で存在する。世界のインテリジェンスでは、情報収集力ではシギント機関がナンバーワン。日本でも、首相や首相に直結する立場の人が直接的に指揮命令できるシギント機関をつくるのが第一歩だ。しかし、現時点では、残念ながら「そういうことを議論するだけ無駄」というのが大勢の認識だと思う。現在の日本のインテリジェンスのリテラシーのレベルでは、国民が同意してくれるのは、せいぜいこの法案程度の中身だと判断したのではないか。本格的なシギント機関の設置に取り組むと、おそらく日本では、憲法が保障する通信の秘密などとの兼ね合いから「反対キャンペーン」が起きる。そうしたことを避けるため、踏み込まなかったとも推察できる。

シギントによる機密知見と民間情報を総合する米

― 攻撃してくるコンピューターを無害化するには、攻めてくる相手を突き止める「アトリビューション」が必要となる。

（茂田）米国にはグーグル、アマゾンウェブサービス、マイクロソフトといった巨大プラットフォーマーがある。彼らの情報収集力は世界中に及び、NSAと密接に協力している。2020年にNSAは本部ビルの隣に民間企業との官民連携組織「サイバーセキュリティ・コラボレーションセンター」を設立した。2023年夏の時点でIT企業など約500社が参加している。そこでサイバーセキュリティの実務的な技術的知見について意見交換などをしている。NSAがシギント活動から得た機密の知見と、民間企業が収集した脅威情報と専門技術を総合する、サイバーセキュリティ対策の拠点となっている。NSA本部は秘密保持のため原則的に民間企業の人は入れないので、近くに民間企業用のビルを建設したわけだ。私はグーグルのGmailを使っており非常に便利であるが、米国政府は巨大プラットフォーマーの米国内データセンターからメールの内容を入手できる。ところが日本には巨大プラットフォーマーがない上、シギント機関と民間企業の密な情報交換もない。初期条件で既に大きなハンディキャップを背負っている。このように、法案だけを見ても始まらない。

NSAがどのようなシギント活動をしているかは秘密事項だ。しかし、これまでの情報開示でその一端が公開されたり、スノーデンの漏えい情報でも明らかになったりしている。それらによって、間接的にではあるが、シギントがアトリビューションに貢献していることが分かっている。NSAの看板プログラムとして「X-Keyscore」という非常に高性能のシステムがあり、世界中で情報を集めている。本来は情報を取るシギントシステムだが、アトリビューションなどでも役に立つ。漏えい資料の中に「X-Keyscore for cybersecurity」という表題のプレゼン資料がある。つまりサイバーセキュリティに役に立っているということだ。

― 具体的には。

（茂田）ソニー・ピクチャーズエンタテインメントが2014年に北朝鮮から大規模なサイバー攻撃を受けた。数年後、犯行グループの北朝鮮ハッカーを、個人を特定して訴追した。容疑者は国外にいたので身柄を取れなかったものの、訴追に至ったのは、NSAによるシギントの力と、FBIの捜査力があったためだ。当然のことながら、今回の日本政府の法案でアトリビューションを十分できるようになるかというと、これまで述べてきたのと同じ理由で無理なのは言うまでもない。

無害化措置実行への協議に過重さも

― では、今回の法案で相手方の無害化措置については、どうか。

（茂田）どこまで実効性ある手段が提供されているのかが、よく分からない。例えば警察が対応するケースについては、警察官職務執行法の改正案で「そのまま放置すれば、人の生命、身体または財産に対する重大な危害が発生するおそれがあるため緊急の必要があるとき」に無害化措置を実行できることになっている。では、どうやってその要件に合致するかどうかを認定するのだろうか。事前に必要な情報がなければ認定できないはずだ。情報がないと、攻撃されて被害を受けてから初めて分かるということになる。どういう集団がどうやって攻撃しようとしているかという情報を、いかに事前に把握するかが重要だ。それを把握した上で、どういうグループが、どういう攻撃をかけようとしているのかを解明できれば、攻撃の前に無害化できる。しかし、解明できないならば、やられてからでないと、分からない。

私の感覚からすると、緊急の必要があるかどうかも含め、事前に解明しておかなければ、いざというときに無害化できない。例えば、こちらから先にハッカー集団のサーバーにハッキングし、どういうマルウェアを持っているのかなどの技術、それから作戦計画、攻撃しようとしている標的―などの情報を事前に取れば、相手の攻撃前に阻止できる。問題は、そのようにアクセスすることについても、この法案には含まれていると理解すればいいのかどうかが、よく分からない。また、緊急に必要性を感じた時に、初めてアクセスの努力をできると解釈したらいいのか。そのあたりも、分かりにくい。合理的に解釈するならば、ハッカー集団のシステムへのアクセスは、無害化措置を適切に行うための正当な準備行為、すなわち正当業務行為であると解釈して、普段から行う必要があるだろう。そうしなければ、無害化措置も絵に描いた餅になる。

また、法案では、無害化措置を実行するには、外務大臣と協議し、更にサイバー通信情報監視委員会の承認を受ける必要がある。しかし、無害化措置を実行するのは「（危害防止措置を採る）緊急の必要があるときに」である。その時に大臣協議や委員会承認の時間的余裕があるのだろうか。外務大臣との協議ではなく、国家安全保障局との事前の方針協議で良いのではないか。また、サイバー通信情報監視委員会の関与は事後報告で十分ではないだろうか。

2018年以前の米国では、インテリジェンス機関のcovert action（秘密工作）という形で実際はサイバー攻撃もしていたが、秘密工作には大統領決裁が必要で、前段でNSC（国家安全保障会議）を経由（そのための関係省庁調整）する必要があるため、サイバーセキュリティ対策では機能しなかった。そこで、「伝統的軍事活動」と定義しなおすことによって、実施要件を下げて、前方防衛（Defend Forward）を実施できるようにした。つまり、武力の行使に至らないものは、国防長官の権限、実質的にサイバー司令官＝NSA長官権限とすることにより、サイバーセキュリティのための無害化措置の実行を容易にしたのである。この経緯と対比すると、事前の外務大臣との協議や通信情報監視委員会の承認は過重な手続規定ではないか。

通信の秘密も人権、安全で平穏な生活も人権

― 日本国憲法の人権規定の「通信の秘密」との兼ね合いをどう考えるか。

（茂田）通信の秘密は大切な人権であり、守らねばならない。しかし、国民には経済的利益もあり、安全で平穏に暮らす権利もある。ある意味で、一番大切な人権というのは、国民が犯罪に遭わずに、安心して安全に暮らすことができ、命が守られるということだ。来日した外国人がよく感激するのは「スマートフォンを置き忘れても盗まれない」「財布を落としても返ってくる」ことだという。国民が豊かに暮らせるのも人権だ。企業の経済的技術情報なども盗まれ放題の国では、経済力は大きく落ちていくだろう。サイバーセキュリティは、直接的には人権とは憲法に書かれてはいないが、国民の豊かに安全平穏に生きる権利につながるものだ。一部の憲法学者が、通信の秘密だけを取り上げて「人権が侵害される」と主張するのは、議論の仕方としてふさわしくないと思う。

米国の連邦裁判所の判決を見ても、片方の人権だけを取り上げるのではなく「通信の秘密」という人権がある一方でナショナルセキュリティもある。これらは相互に対立しているのではなく、ナショナルセキュリティは安全で平穏に生きる人権を守るためにあり、いずれも国民の人権守るためのものだ」という議論の立て方をする。そして「ナショナルセキュリティを通して守られる人権も重要であるので、通信の秘密の範囲は、どこまで譲歩できるか」という双方のバランスを取る議論を真正面からやる。このような考え方が本来あるべき姿だ。乱暴な言い方かもしれないが、国家が崩壊してしまっては、人権もへったくれもないことを、米国はよく分かっている。

― 日本では、どのようなことが必要か。

（茂田）一番大切なことは、米英がやっていること、ワールドスタンダード（世界標準）がどのようなものかを、日本国民が知るということだ。最近はやや色褪せてきたかもしれないが、戦後、日本が憧れてきた民主主義の国である米国でも、実はすごいシギントをやっている。しかし、それは報道されていない。よって日本国民はワールドスタンダードが分からない。私は、一見すると回り道のようだが、世界の国はどのようなシギントをしているのかを日本の報道機関に伝えていただくことが近道だと考えている。ワールドスタンダードを知れば、国民は正しい判断を下してくれると思う。

専門性高い人材育成を

― 今回の法案で、被害を受けた場合に届け出義務を課した事業者の範囲については。

（茂田）最初の法案なので範囲が狭くても仕方がない。ここから始めていくしかないと思う。私が少し気になっているのは、民間企業が出すインシデント・レポートの報告先だ。当該企業の所管官庁や個人情報保護委員会など、いくつも報告するのは大変であり、政府の報告窓口を一つにしてほしいという要請は多いと思う。しかし、この法案は依然、主管官庁が中心だ。もっとも、内閣府にできるNISC（内閣サイバーセキュリティセンター）の後継機関もマンパワーがなく、窓口を一元化しても対応できないかもしれない。また、それぞれの主管官庁にサイバーセキュリティの専門家がいるのかどうかという問題も起きそうだ。UKUSAのうち米国以外はシギント機関にサイバーセキュリティ機関を附置したのは、人材が限られているというのが大きな理由だ。窓口を一本化し、政府としてレベルの高いものを目指す狙いがある。

― 日本政府に専門家は十分なのか。

（茂田）ところが日本は、専門家が足りていない上、その少ない専門家を一つの機関に集中してレベルアップに取り組むということが、この法案に書いていない。NISCを改組するとしても、生え抜き職員がずっといるわけではなく、いろんな官庁から来て、2～3年経ったら元の官庁に帰っていく。本当の専門家集団になるような人事をどうのように行うのかという問題がある。日本の公務員の人事制度は、一つの役職の任期が短いため、専門性が低くなる。日本のキャリア官僚は、一つのポストに1～2年しかいない。このような人事をしているのは日本だけだ。私も渉外で欧米の官僚組織とも付き合ったが、1ポストは4年くらい務める例が普通である。しかも、専門性の高いポストは、（昇任しながら）十何年も同じ人がやっているケースもある。

― なぜ日本の国家公務員の人事制度は変わらないのか。

（茂田）変えようと思えば変えられるが、惰性で続けているだけだ。どの官庁も、短い任期を前提として仕事、経歴の管理が出来上がっており、異動しないと昇進が遅れたりする。東日本大震災のときに原子力発電所であれだけの大事故が起きたのに、日本の監督官庁の役人で懲戒処分を受けた人は一人もいない。このようにアカウンタビリティが全然ない。人をころころ変えるから、大事故が起きても、現職の人の責任ではないということになりかねない。過去の責任者は誰かといっても、1～2年で人が変わっていくと、その不作為が10年続いた場合、10年の間に何人もいるから、誰の不作為か分からない。大失態が発覚した時にたまたまポストのトップにいる人が辞表を出し、責任を取った形にするというのが、日本の官僚制の一般的な責任の取り方になってしまった。

関連リンク

・茂田忠良インテリジェンス研究室 – 経歴、著作、講演や発表資料など。公式サイト
・サイバー安全保障に関する取組 – サイバー対処能力強化法案及び同整備法案の概要、有識者会議の提言。内閣官房