日本の改革

日本の改革に関するブログです。あるべき改革や政策等について考えていきます。

三菱電機への大規模サイバー攻撃:「あってはならないこと」から「避けられないこと」へ発想の転換を。

三菱電機へのサイバー攻撃、情報共有の遅れが一つの問題になっています。こうした攻撃の際には、迅速な報告・公表を促すようなインセンティブを与える制度を作るべきです。

これほど大規模なサイバー攻撃でも、報告義務はない?

三菱電機が大規模なサイバー攻撃を受け、防衛関連、電力や鉄道など官民の情報が広く流出した恐れが報じられています。

約8000人分の個人情報や取引先の機密の流出が疑われていますが、中国系ハッカー集団「Tick(ティック)」や「BlackTech(ブラックテック)」の関与が疑われています。
手口としては、社内PCのトレンドマイクロ社製「ウイルスバスター」の管理サーバーの未対応欠陥が悪用されて、このサーバーが「踏み台」とされ、不正アクセスにつながる改ざんされたファイルが社内のパソコンにばらまかれたそうです。

digital.asahi.com

おそらくは中国政府がバックにいる攻撃でしょうから、これは安全保障上の問題です。

対策として、たとえば内閣サイバーセキュリティセンター(NISC)に実働部隊をちゃんとつけたり(現在のような業界団体との情報共有だけでなく業務拡大したり)、縦割りを排した日本版の情報機関で海外活動が出来るようなもの(いわゆる日本版CIA)を作ったり、色々とやるべきことはあるでしょう。それらも必要なことだと思います。

一方、まず急いでやるべきことは、大規模なサイバー攻撃が実際に起きたとき、その情報を迅速に共有し、防御するような仕組みを作ることです。現行法では、今回のようなサイバー攻撃を受けても、取引先には契約上の義務として伝える義務はあるでしょうが、政府に報告する義務は恐らくないからです。

今回、三菱電機が、不正アクセスが最初に分かってから半年も公表していなかったことが問題視されています。ソフトに不具合のあったトレンドマイクロ社も、三菱電機の件についてはノーコメントです。

三菱電機は最近、自殺者まで出したパワハラ問題で強い批判を受けており、内部からのリークが増えていたため、この件が発覚したのでは、と言われています。だとすると、パワハラ報道のようなきっかけでもなければ、伏せられたままだったかもしれません。

diamond.jp

三菱電機の政府への最初の報告先は、朝日によれば、内閣サイバーセキュリティセンターではなく、経済産業省でした。メーカーとして多くの業法での監督官庁であり、政府調達・補助金等の主な窓口の一つである役所に報告した、という形なのでしょう。

digital.asahi.com

梶山経済産業大臣は、三菱電機がもっと早く公表すべきだった、と言っていますが、経産省ガイドラインでは、「できるだけ早く公表はすべきである」と言っているから、早めの公表の方が良かった、と、しまらない言い方です。個人情報がどうのと大臣までが言い訳をしていますが、ガイドラインの内容も運用も緩いのでしょう。

梶山経済産業大臣の閣議後記者会見の概要 (METI/経済産業省)

 現行法では、個人情報保護法でも、サイバーセキュリティ基本法でも、被害を受けた企業は、サイバー攻撃があったことについて、国への報告義務がないようです。

さすがに、個人情報が漏洩した場合については、個人情報保護委員会に報告義務を課すよう、今国会で個人情報保護法を改正する方向です。

https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf#search=%27%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E4%BF%9D%E8%AD%B7%E6%B3%95+%E6%94%B9%E6%AD%A3%27

https://www.dir.co.jp/report/research/law-research/law-others/20191223_021223.pdf

しかし、個人情報の漏洩に至らなかった場合、あるいは、漏洩したかどうかも分からないけれど、明らかに組織的で大規模な不正アクセスがあったような場合につき、サイバーセキュリティ基本法上は、政府への報告義務は明確には定められておらず、結局は任意の情報提供に頼っています。

サイバーセキュリティ基本法は、その17条で、「サイバーセキュリティ協議会」なる会議体を作って、そこでサイバー攻撃等に関する情報共有を行うことになっています。

サイバー防衛策、官民で共有 政府 東京五輪に備え協議会 :日本経済新聞

この協議会のメンバーは、サイバーセキュリティ戦略本部長等が、「必要と認めるときは、協議して」、自治体や重要インフラ事業者、サイバー関連事業者等を「加えることができる」となっています(同法17条2項)。要するに、民間企業も自治体も、参加するかどうかは任意です。

また、サイバー攻撃に関する情報提供義務も、努力義務です。協議会は必要と認めるときにメンバーの企業等に情報提供を求めることができるし、その場合にメンバーは拒否できないけれど(17条3項)、罰則はありません。罰則があるのは、守秘義務違反だけです(17条4項、38条)。

https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=426AC1000000104#64

なぜ、こんな中途半端な規定になっているのでしょうか。

日経 xTECH/日経コンピュータの記事で、NISCの神谷参事官補佐は、以下のように答えています。

「事前に企業にヒアリングしたところ『インシデントの情報を協議会に提供したい気持ちはあるが、法的根拠がないまま内部のインシデント情報を外部の協議会に提供するのはコンプライアンスの観点から望ましくない』という意見が多かったのを踏まえた」

出所:日経 xTECH/日経コンピュータ 2019年2月18日号

tech.nikkeibp.co.jp

内部情報を外部に出すのはコンプライアンス上の問題がある、つまり、何らかのルール違反になるおそれがあるから、法的根拠が必要だ、と言いますが、どんなコンプライアンス違反になるのかが、よく分かりません。法的根拠が必要と言うなら、サイバーセキュリティ基本法で、情報提供義務を定めればそれで良いはずです。

サイバー攻撃を受けた企業が、正直に報告・公表するインセンティブを与えるべき

企業がサイバー攻撃を受けたことを報告したくない本当の理由は、やはり経営上のダメージを考えてのことではないでしょうか。

三菱電機の場合は、もともとサイバー攻撃への防御サービスを売っていたのですし、それ以外でも取引先情報が広範に盗まれた可能性があるとなっては、ビジネスに与える影響は深刻でしょうし、だからこそ、最近になるまで公表しなかったのでしょう。

本件に限りません。以前も本ブログで紹介しましたが、中国政府とつながりのあるハッカー集団「APT10」が「クラウドホッパー作戦」と銘打ち、情報窃取目的で、スウェーデンエリクソンや、富士通NTTデータ、インドのタタ等、世界的な大手テクノロジー企業に大規模なサイバー攻撃を仕掛けたことがありました。このときは、ヒューレットパッカードが提供した専用サーバーが踏み台にされたそうです。

セブンペイ不正事件:コンビニ最大手のガバナンス崩壊。政府はコンビニを甘やかさず「重要インフラ」に位置付け、リスク対策の法的義務付けを! - 日本の改革

この事件を詳しく報じたロイターは、被害を受けた企業が、「法的責任や不利な報道を懸念し、ハッキング被害を受けた顧客に情報を提供しなかったため、企業や政府による攻撃への対応が後手に回った」と書いています。情報当局者(匿名)は、「こうした失敗を見ると、西側の諸機関が高度なサイバー侵略を防ぐために必要な情報共有ができるのかが疑わしくなる」と言っているそうです。

特別リポート:中国クラウドホッパー攻撃、西側敗北の裏事情 - ロイター

私はもう、こうしたサイバー攻撃は、どんな優れた技術を持った企業でも、政府であっても、完全に防ぐことなど出来ない、それどころか、こうした攻撃は避けられないことを前提とした法制度に変えるべきだと思います。

サイバーセキュリティ基本法等で、サイバー攻撃について国への報告義務を厳しく課していないのは、報告や公表による経営上の悪影響を嫌って、企業団体が強く反発したからでしょう。困った話ですが、企業の心配も分かります。

もともと、サイバー攻撃は、攻撃側は低予算、低人数で簡単に出来るのに対して、防御側は大変な予算と組織的対応が必要で、非対称的な形になっています。完全に防ぐことなど、最初から無理です。

にも関わらず、サイバー攻撃を受けたときのビジネス上のダメージが大きすぎるということになれば、企業は被害を受けても、出来るだけ隠そうとしてしまいます。重要インフラ事業者や政府等、責任が重ければ重いほど、その傾向が強くなります。そうした重要な企業や政府で対応が遅れたら、国や社会に与えるダメージは極めて大きくなります。

これを防ぐには、被害を受けた企業や団体等に対して、報告や公表を罰則付きで義務付けると同時に、その際に受ける経営上のダメージを何とか小さくする必要があります。独占禁止法カルテル等を自主的に申告した際には課徴金を減免する制度のように、迅速に正直な申告をした場合には、むしろ法的責任は小さくなるような制度にすべきです。

www.jftc.go.jp

具体的な制度設計は難しいかもしれませんが、たとえば、重過失でなければ、迅速にサイバー攻撃を報告・公表した場合には、それによって取引先に生じた損害について負う義務を一定程度軽減するような制度を検討してみるべきです。

少なくとも、サイバー攻撃というのはどんな企業でも、もう避けられないことを政府としても広報し、迅速な報告・公表が社会的に価値があり、推奨されるべき行動であることをメディアを通じて広く伝えて、正直な報告・公表に伴う評判の低下が起きないようにするべきです。

サイバー攻撃の対象となるのは、重要インフラを担うような企業だけではありません。5G以降の時代には、大企業も中小企業も、営利企業非営利団体も、それどころか家計・個人に至るまで、中国の政府系ハッカーによる本格的なサイバー攻撃の被害者となる可能性はあるでしょう。もう、彼等のサイバー攻撃を完全に防げるはず、防げなかった企業は全責任を負え、というのは、そもそも無理ではないでしょうか。

以上のように、サイバー攻撃というものを、「あってはならないこと」から、誰でも「避けられないこと」に位置づけなおしたうえで、被害の報告・公表を義務付ける一方、それに伴う損失が出来るだけ少なくすることが必要です。