安全保障の視点で見るサイバーセキュリティ 対談企画 第二弾
SOMPO CYBER SECURITYには色々な経歴のメンバーが在籍しています。
この連載は「国防でサイバーセキュリティに関わる任務を経験している」という共通点をもつ上級研究員二名、イスラエル出身のMaor Schwartz(マオール・シュワルツ)と髙宮 真之介に対談方式で国防という観点からサイバーセキュリティについて語ってもらおうという企画です。なかなか表に出ることのない二人ですが、それぞれの専門性を今のポジションに活かしてより良いサービスとより的確な情報をお客さまに提供するために、日々研鑽を積んでいます。
第2回目となる今回は、それぞれの国のサイバー戦力の仕組みについて話してもらいました。と言いますか、正確には、サイバー戦力の仕組みから「話が始まりました」ですが、私たち、日本人には馴染みの少ない「オフェンシブサイバーセキュリティ」の話を交えた回になっています。本対談のモデレータを務めますのは、SOMPO CYBER SECURITY プロダクト推進部企画グループ所属の福室 満喜子です。是非、最後までお付き合いください。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
彼を知り己を知れば百戦殆うからず
左から髙宮 真之介とマオール・シュワルツ 新宿御苑にて
イスラエルと日本、そのサイバー戦力の仕組み
モデレータ:今回は、イスラエルと日本、ぞれぞれの国におけるサイバー戦力の仕組みの話から始めたいと思います。サイバーセキュリティ部隊というのは、どんな仕組みで成り立っているのでしょうか。
Maor:ディフェンスの話ですか?それともオフェンスの話?
髙宮:可能であれば両方うかがいたいですが、オフェンスの部分は難しいですか?
Maor:社内でも知らない人がいるかもしれませんが、私の経歴はオフェンシブサイバーセキュリティと非常に強い関係があります。興味のある方は過去のコラムなどを見て頂ければと思います。来日した当初, オフェンス界隈の知り合いの多くが連絡してきて「セールス面で日本政府とコネがあるか?」と聞かれました。 彼らが一様に口にしたのが「日本でオフェンスサイドとコネのある人物を見つけられない。誰か知っているか?」ということでした。
髙宮:日本はオフェンシブサイバーセキュリティという公式な枠組み自体を持っていません。
Maor:なるほど、そういうことなんですね。国内用としてもないのでしょうか?
例えばですが、イスラエルでは国土の安全保障という観点から、国内の動きも監視していますし、もちろん国外の監視も行っています。テロリストや麻薬の密輸、人身売買、これらは国内外関係なく監視すべき対象です。日本にはこうした機能は存在しない、と?
髙宮:外務省(※1)の役割が一部重なっているかもしれません。警察庁や公安調査庁という機関も存在します。彼らは国内や周辺諸国などの情報の収集・分析を行います。日本には複数の情報機関が存在しますが、いくつかはサイバー犯罪活動の監視機能を持っています。(※2)
Maor:そうした機関は、例えば髙宮さんのスマホをハッキングできないのでしょうか?
髙宮:どうでしょうね、調べてみないとわからないですね。(※3)
Maor:興味があります。調べてみてほしいです。
脆弱性の専門家やリサーチャーが皆、日本政府に取り入ろうとしていますが、上手くリーチできていません。理由もわからない。おそらく、日本は全てをインハウスでまかないたいのでしょうか。
髙宮:マオールさんが「オフェンス」という言葉を使う時は、単なる盗聴・通信傍受とは異なるのでしょうか?例えば、警察が裁判所から令状を入手し、犯罪者の活動を盗聴するとか?
Maor:それとは異なります。例えば、NSOというイスラエル企業を聞いたことがありますか?
髙宮:はい、サイバーセキュリティの会社ですよね、Pegasusで有名な。
Maor:はい。彼らの顧客は各国政府です。
警察の中にある詐欺だとか、サイバー犯罪を監視しているサイバーセキュリティ部隊とは異なります。NSOが開発するような製品を扱うのはそうした部隊ではありません。例えば、悪名高い麻薬売買の組織があったとして、彼らの活動を監視したいから、彼らのスマホをハッキングしないといけないので、実行する、ところが日本ではそれは行われない、と?法的な手続きの話だけではありません。それを実行する技術の話をしています。技術こそが最も重要かつ難しい点です。 日本にはそうした技術自体は存在するのでしょうか。
髙宮:存在しないと思います。
Maor:私もそう思っています。
オフェンシブサイバーセキュリティとは
Maor:「サイバーセキュリティ」という言葉の定義にも関係してきます。イスラエルでは二つの異なるサイバーセキュリティが存在します。オフェンスとディフェンスです。
オフェンスに関して言えば、インテリジェンス部隊と内務省のためのものになります。一方、ディフェンスとなると、それぞれの機関で独自のSOCを運用しています。各省庁や重要インフラを守るための国のSOCも存在します。幅広に国全体のサイバーリスクを監視するSOCもあります。それぞれにポリシーが存在し、それによって国全体が守られています。このようにディフェンシブサイバーセキュリティは、イスラエルのそこかしこに存在していますが、オフェンシブサイバーセキュリティは、もっと限られた範囲のより小さな機関にのみに集中して存在しています。しかし、日本ではディフェンスのみということですね。
髙宮:はい、オフェンシブサイバーセキュリティに関して言えば、現在、日本はそうした機能やそれを行う機関を持ち合わせていません。防衛省等が公開している資料にも攻撃能力に関する言及はありません。
以後、機微なトピックなので技術的な部分に焦点を当てて進行しました
Maor:法的手続きの話はさておき、技術面の話だけをしましょう。
例えば電話の盗聴にも2種類あります。髙宮さんのスマホと世界のインターネットの間の通信は全て暗号化されていますよね?それを例にとってみましょう。ここに警察と、警察が捕まえたい犯罪者がいるとします。この犯罪者の電話を盗聴するための許可が必要で、裁判所の許可も下りたとしましょう。実際にどうやって盗聴するのでしょうか?マルウェアに感染させるわけでもないでしょう?スマホのプロバイダに行って、盗聴させてもらえるか、確認するのでしょうか。もし、コミュニケーション手段がWhatsAppや他のアプリだったら、話はより複雑です。これを実行する技術が日本にあるのか否か、ということが気になっています。
髙宮:WhatsAppやTelegramだと、ニュースで見る限りでは何もできないようですね。マオールさんが「技術」というのはスパイウェアのようなものを指していますよね。今のところ、そのようなスパイウェアや能力は持っていないと思っています。警察は復元や情報開示のために、プロバイダに協力要請をすると思います。
Maor:なるほど。充分とは言えないですね。
今は私たちのスマホからのコミュニケーションは二種類あります。電話をかけるのが一つ、これはつまりはシグナルです。もう一つはインターネット接続に関連するコミュニケーションです。インターネット上のすべての情報は暗号化されている世の中ですので、可視性はありません。日本ではLINEがポピュラーなメッセージアプリのようですが、暗号化されていますよね?
髙宮:はい。よって、警察はLINEの運営会社に協力を求めることになります。
ほとんどのメッセージアプリは暗号化されていますので、政府や法執行機関が情報を得るのは容易ではありません。イスラエルではどうですか?犯罪者の多くは、匿名性の高いTelegramを使っているかと。
Maor:イスラエルではそこは問題ではありません。
所詮、端末にある情報です。端末そのものをハッキングします。SMS, WhatsApp, Telegram, シグナル、ファイル、ウェブサイト、全てです。そうした端末に存在する情報をえるためのツールを販売しているのが、NSOのような会社です。
髙宮:なるほど。Pegasusのようなツールということですね。
Maor:その通りです。
ペガサスを使って端末を感染させて、情報を入手したり、遠隔操作ができるようにします。マイクやカメラをオンにしたり、今、入力している情報を読み取ったり、何でもできます。髙宮さんのスマホがここにあります。中にはOSがありますよね?スパイウェアやマルウェアはOSレベルに存在します。つまり、OSが送る情報、受け取る情報、全て把握することが可能です。NSOは一例にすぎません。イスラエルには、似たような企業がまだまだあります。
髙宮:そうなんですね。それはかなり強力ですね。
Maor:イスラエル以外にももちろん存在しますが、イスラエルはその市場をけん引する立場にあるとは思います。しかし、いわゆる「スパイツール」と呼ばれるものに対しては、立場の違いなどから、各国考え方に違いがあることは皆さんもニュースで聞いたことがあるかもしれませんね。
イスラエルのサイバーセキュリティ産業の誕生
Maor:イスラエルで何が起こったかというと、15年ほど前になりますか、軍でサイバーセキュリティに従事していた人たちが退役する時期になり、民間でサイバーセキュリティ産業のブームが訪れます。もちろん、オフェンスとディフェンス、それぞれの特性を活かしたスタートアップが誕生しましたが、多くはディフェンスに流れました。もちろん、少数ではありますが、オフェンスに流れた人もいました。軍は常に民間より、2,3歩進んでいて、より進化した技術を持っています。
モデレータ:そうした新興企業は政府からの補助金やVCからファンドを調達していますよね。
Maor:はい。でも、企業によります。ディフェンスは万民がその必要性を認めているものですが、オフェンシブサイバーセキュリティはグレーゾーンと思われるものも存在しますので。(※4)
髙宮:質問ですが、アメリカもある程度はそうかと思いますが、日本もサイバーセキュリティやIT分野においては国の機関より一般企業の方が技術的・能力的にbetterと思っていますが、イスラエルでは、これは当てはまらないということですね?
Maor:まずは「better」の意味するところを話しましょう。
イスラエルには多くの企業が存在しますが、いわゆる「ソリューションプロバイダ」に該当する企業は多くありません。日本にはソリューションプロバイダが多く存在します。つまり、他の企業が開発した技術に基づいたサービスを提供するプロバイダということです。
髙宮:そういうことですか。まず、その違いですね。
Maor:そうです。イスラエルは逆なので。
イスラエルでは開発が盛んですが、開発されたものを使ったサービスを展開する企業は多くありません。
政府機関の話に戻りますが、彼らは一般的に優れた人材を抱えています。研究開発を行う企業と協力して、それを役立てる、売れるシステムづくりにも優れています。これがエコシステムと呼ばれる仕組みです。
髙宮:日本でも高い認知度を誇るチェック・ポイント・ソフトウェア・テクノロジーズ(※5)ももとは軍事技術と聞いています。
Maor:はい、元をたどれば軍隊です。
髙宮:IDF(イスラエル国防軍)は研究開発の施設や組織があるということですね。
Maor:はい、多くの部隊があります。
髙宮:だから、兵役を終えた人たちは同時に開発に関する特殊技術も身につけているんですね。
Maor:Yes and No
どういう意味かというと、大きなサイバーセキュリティ企業に関して言うと、オフェンス側出身の人を多く見かけます。考えてみてください。自分がハッキングする側の経験があったとします。つまりは、どうすればハッキングされないのか、ということもわかっているということです。
髙宮:軍隊にいる間はオフェンス側のことを学び、その知識と技術を持って、ディフェンスの製品開発に役立てるために外の世界に出ていく。
Maor:その通りです。
EDRがいい例で、Cybereasonは攻撃者の動きを把握しているからこそ、製品開発が出来たわけです。EDRという呼び名さえなかった頃ですよね。昔は次世代型アンチウィルスみたいに呼ばれていました。
モデレータ:軍隊において、オフェンスとディフェンスの人材における求められる要素の違は何ですか?何を基準に振り分けられるのでしょうか?
Maor:言い方は良くないかもしれませんが、優秀な人材がオフェンスに引き抜かれる場合が多いです。TOP1%だけが、オフェンス所属になります。インテリジェンス部隊の最重要部です。敵を攻略する必要がありますから。
オフェンシブサイバーセキュリティにおける法規制
モデレータ:日本の自衛隊におけるサイバーセキュリティ部隊というのはどのような組織なのでしょうか?
髙宮:自衛隊のサイバーセキュリティ部隊は軍種ごと大まかに陸上、海上、航空、統合の4つに散在しています。それぞれにサイバーセキュリティに関する司令部・指揮系統があります。各システムが航空管制であったり、インテリジェンスであったり、特定の任務を負っていて、各々でSOC機能も備えています。
Maor:その辺りは、皆、似たり寄ったりかもしれません。ディフェンスは守るべき資産があって、どう守るか、どの国もそこに尽きるので比較的わかりやすいと思います。
モデレータ:髙宮さんが、アメリカに派遣されていた時の役割は何を?
髙宮:ハワイのパールハーバーにある、基地システムやネットワーク、インターフェイスのセキュリティを担当するディフェンスサイバーセキュリティ部隊に派遣されていました。彼らはちょうどシステムやネットワークのセキュリティ(IT)だけではない新しいコンセプトを構築中で、特殊業務を課されていました。例えば、私の所属部隊のミッションは輸送機運用のセキュリティを担保することでした。ディフェンス部隊は多くのタスクを抱えており、やることが多いです。
Maor:そうですね、守るべきものが多いので、ハッカーより厳しいかもしれません。私も軍を出てからはディフェンスの仕事で、ブルーチームに所属していたので、その辺りも理解しています。
髙宮:個人的な見解ではありますが、オフェンスのほうが興味深いです。
Maor:とても大変な仕事ではあります。
モデレータ:イスラエルにはイスラエルの敵対する相手がいますが、日本は日本で異なる脅威を抱えています。
Maor:異なる敵がいても技術は同じ。つまり、みんな、インターネットを使って、みんな、スマホを使っていますよね。
髙宮:オフェンスに関して言うと、日本もオフェンシブな能力(能動的サイバー防御)についても協議が始まっています。 サイバー攻撃を無効化あるいは攻撃元を無力化する対策のようなものです。
Maor:難しい話ですよね。
例えば、ロシア人や中国人が運用しているボットネットがあって、日本を標的としているとします。日本政府としては「オフェンス部隊にボットネットをシャットダウンしてもらおう」という話になるわけです。ですが、他国のインフラを攻撃するわけですから、ここでも法的な問題が生じます。サーバ自体はどこに存在するのか。ボットネットは多くの場合、感染した端末に存在します。端末の持ち主は気づいていないケースも多く、政府はこの気付いていない持ち主も含めシャットダウンするわけなので、そう単純な話ではありません。
髙宮:日本のこうしたサイバー攻撃能力制限やサイバー戦力の特性は、憲法に由来するところが大きいかもしれません。
Maor: イスラエルには憲法と呼ばれるものは存在しません。
髙宮:イスラエルの法を司る基本となるものは何なのでしょうか?
Maor:法的文書である憲法とは異なりますが、イスラエル独立宣言が似たようなものとして存在します。
日本では憲法改正には、国会での三分の二以上の賛成で初めて発議されると理解していますが、イスラエルでは、基本的には政府が法律を制定することが出来ます。でも、国民はそれを簡単にはさせませんけど。
イスラエルは軍隊を持つ国です。ユダヤ教徒の歴史と深いかかわりのある背景があります。根本にあるのは「Never Again(※6)」という精神です。ゆえに、多くの資金や人材を軍隊に費やし、イノベーションを模索するのです。これは環境による必要性から生まれたものです。
髙宮:イスラエルの法律は検閲に関する規制や法的な制限、人権の保障に関する記述はないんですか?
Maor:ありますが、それは憲法ではありません。例えば、警察が髙宮さんのスマホをハッキングしたいとしましょう。そのための署名すべき書類など、従うべき手順というのは存在します。
髙宮:なるほど。興味深いですね。
日本は憲法が検閲や人権について明記していますので、そこを変えることは非常に困難です。日本国憲法や法律も日本の歴史と関係している部分は大きいと個人的には思っています。
第二次世界大戦以前、日本は軍事国家で、軍隊はかなりの権力を有しており、そうした権限・権力の濫用や統治体制の混乱も生じました。敗戦後の日本はそのような反省から、特定の政府機関が過剰なパワーを持ったり、人権侵害等を行ったりしないように、憲法によってさまざまな制限を設けています。米軍派遣時代、アメリカ人と仕事をしている時に感じましたが、こうした法的制限には多くのメリットとデメリットがあります。
個人的な見解ですが、オフェンス機能を持つあるいは研究開発する枠組みを作るということは安全保障および技術振興の観点から重要だと思っています。国防という観点に限らず、サイバーセキュリティの技術開発の現場においてもです。
Maor: とても難しい問題です。例えば世界中の政府、特に中東ですが、国内での開発能力というのを持ち合わせていません。となると、何十億ドルという資金を投入して、優秀な人材を誘致したり、製品を買ったりします。つまり、それは他国に依存するということを意味します。日本がそこに着手したとして、実際に使えるレベルに達するには長い年月がかかります。
例えば、リチェルカセキュリティという企業が日本にあります。非常に小さな会社ではあるのですが、オフェンスの知識をもった優秀な人材が在籍しています。しかしながら、彼らと仕事をしようとする企業は多くありません。私もオフェンス側の仕事をしていた人間なのでわかりますが、日本にも優秀なリサーチャーがいますが、法律や規制が厳しく、その道を諦めた人を知っています。彼の才能を理解する、認める人はあまりいなかったということです。その才能を活かせる職場が日本にはなかった。
業界の成長の妨げになったり、才能あふれる人材の行き場がなかったりという状況を招いている可能性があります。
モデレータ:法律や規制、産業の成長や優秀な人材の育成、バランスや柔軟性が求められますね。
異なる環境、異なる脅威
髙宮:最後にひとつ聞きたいのですが、イスラエルでは中国、ロシア、北朝鮮というのは(サイバー防衛の観点からみて)どういう存在なのでしょうか?日本とは異なる視線で見ていると思うのですが、どうでしょう。
Maor:かなり違いますね。
髙宮:イランやレバノンとも異なる脅威として捉えられているということですよね。
Maor:イスラエルは人口900万人の小国で、狙われるべき産業もありません。脅威アクターでも大物たちは私たちのことは意識していません。彼らが気にしているのは武器の製造元とか、そういう特定の組織です。イランや中東の国は政府やインフラを常に狙っていますが、さほど、気にはなりません。我々のディフェンスは強固です。でも、日本は違います。成熟した産業があり、多くの大手企業が存在して、世界的な競争力もあります。
環境が異なれば、脅威も異なる、守るべき資産も異なる。
私からしたら日本が国として、セキュリティの能力開発にリソースを十分に投入していないと感じることが時々あり、それに違和感を覚えます。しているのかもしれませんが、私の目にはそう映っていないという意味です。環境がまるで異なるイスラエルと比較してという意味ではなく、世の中、一般的に見ても、という意味です。
先ほどの話にも繋がってきますが、才能のある人にそれを活かせる場所を提供する、それは国として大切なことです。
日本には突出した才能を持った人が多く存在しますし、素晴らしいモノが存在します。生み出す能力、守る能力、それを十分に日本文化の中で生かしきれていないと思うことがあります。
モデレータ:なるほど、確かにそうですね。
サイバーセキュリティに限らず言えることだと思います。
「オフェンス」の知識があっての「ディフェンス」というのも含め、言われてみれば当たり前で、なるほどと思うのですが、私には非常に新鮮で印象的なトピックが盛りだくさんの対談でした。また、次回のセッションを楽しみにしています。お二人とも、ありがとうございました。
対談企画の記事一覧はこちら
※2 「サイバー警察局」
※3 「犯罪捜査のための通信傍受に関する法律」(通信傍受法)によれば、通信傍受の対象は法律に定められる犯罪に関する捜査に限定されています。また、要件や令状手続、通信事業者の協力義務等の記載はありますが、スマートフォンハッキングの有無やその手段(スパイウェアの利用等)については不明です。
参考ソース:
https://www.npa.go.jp/hakusyo/r01/honbun/html/v2223000.html
https://www3.nhk.or.jp/news/html/20230217/k10013983141000.html
http://www.sllr.j.u-tokyo.ac.jp/earlierVersion/10/papers/v10part07(kawaide).pdf
https://www.nikkei.com/article/DGXMZO44175780V20C19A4CR0000/
※4 カーネギー国際平和基金 「なぜグローバル・スパイウェア産業は繁栄を続けるのか? 傾向、説明、対応」(2023年3月14日)によれば、イスラエルはスパイウェアおよびデジタル・フォレンジックツールのリーディング・エクスポーターであり、スパイウェア製品を購入した74か国政府のうち、56契約をイスラエル企業が占める。
米公共放送NPRによれば、イスラエルにとって防衛産業とハイテク産業は「聖なる牛」ともいえる経済の柱である。また、2007年成立したサイバー技術輸出規制では、対象となる技術の悪用やライセンスに反する利用が認められた場合の処置が定められている。(https://www.npr.org/2021/08/25/1027397544/nso-group-pegasus-spyware-mobile-israel)
※5 1993年にイスラエル・テルアビブで設立。創設者複数名がMaorと同じくイスラエル8200部隊出身
※6 ホロコーストやその他のジェノサイドに関連されるフレーズ及びスローガン。出典はイツハク・ラムダンによる1927年の詩。紀元前に発生したユダヤ戦争において、マサダ砦に籠城したユダヤ人がローマン人に包囲されたときに集団自決した事案に基づく。
https://en.wikipedia.org/wiki/Never_again
その他参考リンク
「解析、復元難しく 履歴の自動消去機能も―月7億人利用の「テレグラム」・高齢女性殺害」(時事通信)
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
著者情報
ソリューション部 上級研究員
イスラエル出身。軍隊時代は空軍のインテリジェンス部隊、及び8200部隊と呼ばれる諜報機関に所属。除隊後、「サイバーオフェンス(ホワイトハッカー)」と「サイバーディフェンス」両方の専門知識を活かし、民間企業でサイバーセキュリティ業務に従事。Black Hat USA 2019に登壇(Selling 0-Days to Governments and Offensive Security Companies)。2019年5月よりSOMPOリスクマネジメントでシニアリサーチャーとして活躍中。愛読書は五輪書(宮本武蔵の著した兵法書)。
プロダクト推進部 特命リーダー
