通信情報の取得を通し攻撃の道筋を把握
二つ目のポイントは、強化法が合意を伴わない通信情報の取得を可能にする点である。メール添付ファイルやメール内リンクによる攻撃は、実在する取引先のメールサーバーを遠隔操作し、攻撃対象に偽のメールを送信することが効果的だ。こうした踏み台攻撃への能動的な対策を考えた場合、まず思いつくのは、ボット化されたメールサーバーを含むネットワークの通信情報を分析し、その先にいる攻撃サーバーを特定することだ。強化法による通信情報の取得は、大きく二つの考え方に基づいて行われる。一つは重要インフラ事業者に対して行う、同意に基づく通信情報の取得である。
基幹インフラ事業者等との協定(同意)に基づく通信情報の取得(強化法第三章)
内閣総理大臣は、基幹インフラ事業者その他の電気通信役務の利用者との協定に基づき、当該利用者が送受信する通信情報の提供を受けることとする(この通信情報のうち、外内通信に係る通信情報を用いてサイバーセキュリティ確保のための分析を行うとともに、当該利用者のサイバーセキュリティの確保のため必要な分析結果を提供することとする)。
★内閣総理大臣及び基幹インフラ事業者は、相互に、相手方に対し、協定締結のための協議の求めをすることができることとし、相手方は、正当な理由がない限り、協議に応じなければならないこととする(協定はあくまで任意)。基幹インフラ制度の対象事業(特定社会基盤事業)は、①電気(48者)、②ガス(25者)、③石油(18者)、④水道(23者)、⑤鉄道(5者)、⑥貨物自動車運送(3者)、⑦外航海運(3者)、⑧港湾(32者)、⑨航空(2者)、⑩空港(6者)、⑪電気通信(10者)、⑫放送(6者)、⑬郵便(1者)、⑭金融(59者)、⑮クレジットカード(8者)の15事業になり、合計249者の対象事業者が含まれる。
さらに強化法では、政府機関や機関インフラへの踏み台攻撃に利用されていることが確認された際には、同意によらない通信情報の取得も認められる。これが二つ目の考え方だ。
(同意によらない)通信情報の取得(強化法第四章、第六章)(外外通信の分析のための取得)
●内閣総理大臣は、外外通信であって、他の方法ではその実態の把握が著しく困難であるサイバー攻撃に関係するものが、特定の電気通信設備により伝送されていると疑うに足りる状況がある場合には、サイバー通信情報監理委員会の承認(★1)を受けて、当該電気通信設備から通信情報が送信されるようにする措置(★2)をとることができることとする。(第十七条、第十八)(外内通信又は内外通信の分析のための取得)
●内閣総理大臣は、外内通信又は内外通信であって、サイバー攻撃に用いられていると疑うに足りる状況のある特定の外国設備と送受信し、又は当該状況のある機械的情報が含まれているものの分析をしなければ被害防止が著しく困難であり、他の方法ではこれらの通信の分析が著しく困難である場合には、サイバー通信情報監理委員会の承認(★1)を受けて、これらの通信が含まれると疑うに足りる外国関係通信を伝送する電気通信設備から通信情報が送信されるようにする措置(★2)をとることができることとする。(第三十二条、第三十三条)
★1 委員会は承認の求めがあった場合において、理由があると認めるときは、遅滞なく承認する。
★2
ここで送信されるものは、国外関係通信、すなわち、外外通信、外内通信及び内外通信であるが、自動選別を行うことにより、それぞれ分析に必要なものが選別されることになる。一連の条文の最大のポイントは、踏み台攻撃などが確認された際、第三者機関であるサイバー通信情報監理委員会の承認を受け、通信情報の取得が可能になる点にある。ここで大きな問題になるのが、憲法が国民に保障する「通信の秘密」との整合性である。強化法はこの課題を、IPアドレスやメールサーバー等への命令文であるコマンド情報のみ取得することで解決している。実運用にあたっては、監理委員会の承認を受け、IPアドレスやコマンドとメール文面をはじめとする通信内容の分離を自動的に行い、通信内容を即座に破棄する仕組みが新たに構築されるという。
監理委員会は、公正取引委員会などと同様に内閣府の外局として、委員長及び委員4人をもって組織される。委員長及び委員は、専門的知見を有する者等から両議院の同意を得て、内閣総理大臣によって任命される。
次に、「外外通信」「外内通信」「内外通信」という耳慣れない言葉を説明しておきたい。一口に言えば、国内にある主要インターネット接続ポイントを経由する外国から外国への通信が「外外通信」、同様に接続ポイントを経由した外国から国内への通信が「外内通信」、その逆が「内外通信」になる。
外外通信まで情報取得の対象に含まれた背景に、環太平洋地域のインターネットインフラ網の実態がある。米国西海岸・アジア間の通信は太平洋を横断する海底ケーブルを経由して行われるが、アジア側ハブの多くは日本国内にあり、太平洋を横断する通信の多くは日本国内の接続ポイントを経由して行われる。友好国との協力関係を維持・強化するうえで、外外通信の情報の取得が大きな意味を持つことは間違いない。
通信情報の取得に関連する不正には以下の罰則が整備された。
●通信情報を取り扱う行政職員による、通信情報の不正な利用・漏えいの行為
→データベース提供については、4年以下の拘禁刑又は200万円以下の罰金
→その他は、3年以下の拘禁刑又は100万円以下の罰金
●通信情報を保有する行政機関の管理を侵害して通信情報を取得する行為
→3年以下の拘禁刑又は150万円以下の罰金

カウンターサイバー攻撃は無効化措置には含まれず
三つ目が警察・自衛隊による、海外の攻撃サーバーへの無害化措置が認められた点である。
警察によるアクセス・無害化措置(警察官職務執行法(警職法)第六条の二)
●警察庁長官が指名する警察官(サイバー危害防止措置執行官)は、サイバー攻撃又はその疑いがある通信等を認めた場合であって、そのまま放置すれば、人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときは、そのサイバー攻撃の送信元等である電子計算機の管理者その他関係者に対し、危害防止のため通常必要と認められる措置であって電気通信回線を介して行うものをとることを命じ、又は自らその措置をとることができることとする。
防衛省・自衛隊によるアクセス・無害化措置(自衛隊法第八十一条の三、第九十一条の三及び第九十五条の四)
●内閣総理大臣は、一定の重要電子計算機(★1)に対する攻撃であって、本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合において、自衛隊が対処を行う特別の必要がある(★2)と認めるときは、当該重要電子計算機に対する通信防護措置をとるべき旨を命ずることができることとする(新たな行動類型の創設)。
★1
国の行政機関等、地方公共団体、基幹インフラ、一定の防衛産業の重要な電子計算機。
★2
★1の電子計算機がサイバー攻撃を受け、国家及び国民の安全を著しく損なう事態が生じるおそれが大きく、自衛隊が有する特別の技術又は情報が必要不可欠であり、国家公安委員会から要請又はその同意がある場合。
海外サーバーを対象とする無害化措置は、強化法の能動的サイバー防御において最も注目される点といえるだろう。無害化措置には、当然ながら海外サーバーへの物理的攻撃は含まれず、また拠点サーバーへのサイバーカウンター攻撃も現時点では想定されていない。具体的には、条文にもあるとおり、主に外交交渉を通した無害化措置が中心になる。
情報通信研究機構(NICT)によると、政府機関へのサイバー攻撃は、各IPアドレスに13秒に1回の頻度で行われるという。一連の攻撃の中で特に大きな意味を持つのが、実在する取引先メールサーバーを経由した攻撃である。またボット化のターゲットが、政府機関と直接的な取引がある企業にとどまらない点にも注目が必要だ。踏み台攻撃は、二重、三重の踏み台を経て行われることが一般的だからだ。能動的サイバー防御により、自社のメールサーバーが踏み台攻撃に利用されていたことが判明するというケースも、今後珍しくなくなることが想定される。この10月に迫ったWindows 10サポート終了への対応をはじめ、エンドユーザー様へのサイバーセキュリティに関連する情報提供やセキュリティ強化提案は、今後大きな意味を持つことになると考えられる。
