セキュリティーの人材が足りない　ジェームズ・ルイス氏が語るアメリカのサイバー対策

オバマ政権はサイバーセキュリティーを国の安全保障と同じように重視している。これは正しい姿勢だと私は考える。しかし米国にはまだ基本的な混乱がある。政府のネットワークだけを守ればいいという議論がそれだ。

政府も民間もネットワークは一つ。片方だけの解決では失敗してしまう。サイバー空間の安全確保のためには、包括的で政府主導のアプローチが必要だ。

軍事的な活動や武力行使と明確に連携したサイバー攻撃の実例は、まだ1件だけだ。07年にイスラエルがシリアの核疑惑施設を空爆した際、イスラエルが用いたとされる。戦闘機が領空に侵入したのに、シリアの防空レーダーはサイバー攻撃を受けて攪乱（かくらん）され、何も画面に映らず攻撃を許してしまった。

こうした例からも、サイバー攻撃に、物理的なダメージを与える能力があることも、軍隊の指揮通信、情報機能を破壊する能力があることも、よく分かってきた。

サイバー攻撃で核戦争のように多数の犠牲者が出ることはありえない。それでも政府が敵の戦闘機やミサイルを防ぐために防空体制を築くのと同じように、サイバーの脅威に備えることは大事なことだ。

そうした脅威からネットワークを守るために、米国防総省はサイバーコマンドを創設した。どのような攻撃に対し、どう対応するのかを取り決める交戦規則（ROE）を現在、作成中だ。反撃についても、敵の周辺に生ずる付随的損害（巻き添え被害）を見積もりながら、臨むことになるだろう。

一方、経済面ではサイバーによる犯罪やスパイ活動が深刻だ。米国社会は、サイバーセキュリティーのためにすでに数十億ドルの投資を行ってきた。しかしそれはまだ始まったばかりの段階だ。セキュリティー技術をもつ人材が不足している。米国だけで3万人足りないと言う専門家もいる。

日本では、サイバー空間を利用した経済スパイ活動と北朝鮮のサイバー攻撃の二つが問題になりうる。前者は、すでに知的財産の盗難などに被害が出ている。後者は今はそれほどではないが、IT技術を重視する北朝鮮は5年後には日本を悩ませる水準に達するだろう。

サイバー空間には国際的な法秩序がまだ確立されていない。まずサイバー戦争のリスクを低減するためにどのような体制をつくるべきなのか。特定の国々と条約を結ぶのか、国連のような場を使うのか。日本も考えるべきだ。攻撃に対処する体制についても、実際に攻撃を受ける前にはっきりさせておく必要がある。（聞き手・谷田邦一）

James Lewis　米戦略国際問題研究所上級研究員。シカゴ大で博士号を取得。専門分野はサイバーセキュリティーやインターネット政策、宇宙プログラム、経済変動など。「第44代大統領のサイバーセキュリティー」「中国のIT産業」など多数の報告書や著書があり、米政府のサイバー戦略に影響力を持つ。