第9号 令和7年3月28日(金曜日)
令和七年三月二十八日(金曜日)午前九時開議
出席委員
委員長 大岡 敏孝君
理事 黄川田仁志君 理事 國場幸之助君
理事 西銘恒三郎君 理事 今井 雅人君
理事 本庄 知史君 理事 山岸 一生君
理事 市村浩一郎君 理事 田中 健君
石原 宏高君 井野 俊郎君
江渡 聡徳君 尾崎 正直君
岸 信千世君 栗原 渉君
田中 良生君 西野 太亮君
平井 卓也君 平沼正二郎君
宮下 一郎君 山際大志郎君
山口 壯君 市來 伴子君
梅谷 守君 おおたけりえ君
下野 幸助君 橋本 慧悟君
藤岡たかお君 馬淵 澄夫君
水沼 秀幸君 山 登志浩君
伊東 信久君 三木 圭恵君
石井 智恵君 菊池大二郎君
河西 宏一君 山崎 正恭君
上村 英明君 塩川 鉄也君
緒方林太郎君
…………………………………
内閣府大臣政務官 西野 太亮君
内閣府大臣政務官 岸 信千世君
参考人
(横浜国立大学大学院環境情報研究院/先端科学高等研究院 教授) 吉岡 克成君
参考人
(防衛大学校総合安全保障研究科教授) 黒崎 将広君
参考人
(東京大学公共政策大学院客員教授)
(公益財団法人笹川平和財団上席フェロー) 高見澤將林君
参考人
(公益財団法人中曽根康弘世界平和研究所主任研究員) 大澤 淳君
内閣委員会専門員 田中 仁君
―――――――――――――
本日の会議に付した案件
重要電子計算機に対する不正な行為による被害の防止に関する法律案(内閣提出第四号)
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(内閣提出第五号)
――――◇―――――
○大岡委員長 これより会議を開きます。
内閣提出、重要電子計算機に対する不正な行為による被害の防止に関する法律案及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案の両案を一括して議題といたします。
本日は、両案審査のため、参考人として、横浜国立大学大学院環境情報研究院/先端科学高等研究院 教授吉岡克成君、防衛大学校総合安全保障研究科教授黒崎将広君、東京大学公共政策大学院客員教授、公益財団法人笹川平和財団上席フェロー高見澤將林君、公益財団法人中曽根康弘世界平和研究所主任研究員大澤淳君、以上四名の方々から御意見を承ることにいたしております。
この際、参考人各位に一言御挨拶を申し上げます。
本日は、御多用中の中、本委員会に御出席を賜りまして、誠にありがとうございます。両案につきまして、それぞれのお立場から忌憚のない御意見をお述べいただきまして、そして審議の参考とさせていただきたいと思いますので、今日はどうかよろしくお願いいたします。
次に、議事の順序について申し上げます。
まず、吉岡参考人、黒崎参考人、高見澤参考人、大澤参考人の順に、お一人十分程度御意見をお述べいただき、その後、委員の質疑に対してお答えをいただきたいと存じます。
なお、参考人各位に申し上げますが、御発言の際にはその都度委員長の許可を得て御発言くださるようお願い申し上げます。また、参考人は委員に対して質疑をすることができないことになっておりますので、あらかじめ御承知おき願いたいと存じます。
それでは、吉岡参考人にお願いいたします。
○吉岡参考人 おはようございます。横浜国立大学の吉岡と申します。
本日は、このような機会をお与えいただきまして、誠にありがとうございます。
私は、二十年ほど、サイバーセキュリティーの研究をずっとやってまいりました。特に、サイバー攻撃を実際に観測して、いわゆるコンピューターウイルスと言われる、あと、マルウェアとも呼ばれますけれども、不正なプログラム、こういったものを集めて解析する、又は攻撃者の観測をする、こういうことを研究としてやってまいりました。
その研究成果というのを、これまで四十九か国二百六十以上の研究組織に提供したりですとか、又は世界百三十の公的機関、また六千以上のネットワークオペレーターにこういった情報というのを提供するということを研究の中でやってまいりました。その経験を基に今日は意見を述べさせていただきます。
まず最初にですけれども、インターネット上で観測される攻撃ですとか、又は攻撃に至る前の偵察といったような通信というのが年々増えている。お手元の資料の図一にグラフがございますけれども、これは情報通信研究機構のサイバー攻撃観測網で観測されている攻撃関連の通信になりますけれども、これが年々増えているという状況です。一言でどういうことかと申しますと、インターネット上で接続している様々な機器ですとか施設ですとかシステム、そういったものがどこに存在して、そこにはどういうセキュリティーの問題があるのかというのを常に世界中で探索を繰り返している、調査を繰り返している、そういう状況がございます。
さらに、既に、探索だけではなくて、弱いシステムに侵入しまして、一般家庭の通信機器ですとかクラウド上の仮想の機器を含めて、セキュリティーの弱い機器が既に侵入を受けて攻撃者に制御されて、更なる大きな攻撃を行うためのいわば不正な攻撃を行う攻撃インフラというものが構築されているという状況になっております。
そのインフラというのは多階層になっていまして、一つのインフラを制御するためにまた別の階層でというような多階層になっておりまして、その全体像の把握ですとか、これを解体するということが非常に難しくなっております。また、ダークネットですとかテレグラムと言われるような匿名性の高い通信のコミュニティーにおいて、企業等の組織のネットワークにどうやったら侵入できるかという侵入のための情報というのが既に共有されていたり売買されている。また、個人ですとか組織から漏えいした情報というのもやはり売買して流通しているというような状況にございます。
インターネットは、そもそも世界の機器、システム、ネットワークをつなぐものでありまして、その中で行われるサイバー攻撃は瞬時拡散性を有しています。仮に有事の際には、このような攻撃インフラですとか侵入経路の情報などを悪用して、我が国の重要な情報システムに対して同時多発的な攻撃を行うことも原理的に可能です。
そもそも、サイバーの世界では、平時ですとか有事という明確な区別はありませんで、先ほどから申しているような探索、偵察、侵入、情報窃取、その窃取した情報に基づいて更に侵入するといったような活動が常に繰り返されて断続的に行われていると捉えるべきです。
このような状況を鑑みますと、絶え間なく続く攻撃ですとか偵察の活動に対抗するためには、防御をする側も、自らのシステムのセキュリティーの状況を正確に把握して、また攻撃側の動向もしっかり把握するということで対処していく必要があります。いわば、敵を知って己を知るということで初めてこれらに対処し得ると考えます。
これに対して、これまで産学官の連携でサイバー脅威に対抗する研究開発、施策、対処の努力がされてきております。前述のようなサイバー脅威の現状についても、これまでの積み重ねの研究ですとか対策の活動によってこういった状況が見えてきたということがございます。私自身も約二十年間サイバー脅威の実態を把握する研究をやらせていただきまして、十五以上の国のプロジェクトと五十以上の政府機関の委員会の有識者として参加させていただいております。
しかしながら、そのような産学官の努力ですとか国際連携にもかかわらず、特にICTの普及と昨今のテレワーク等による働き方の変化、また厳しい国際情勢などを背景にしまして、サイバー脅威はますます増大しております。攻撃による被害も大きくなってしまっています。
一例としましては、二〇二一年には米国最大手のパイプラインが攻撃を受けて一週間程度停止して、市民に大きな影響を与えたり、ご存じのとおり、ウクライナでは、大変なことになっておりますけれども、二〇一五年頃から現在に至るまで、電力システム等を含めた重要インフラ等への攻撃が繰り返されています。我が国でも、二〇二三年には名古屋港のコンテナターミナルへのサイバー攻撃によって数日間作業が停止したりですとか、公共交通機関や医療機関へのサイバー攻撃による被害も出ております。
こういった対策の努力にもかかわらずサイバー攻撃の被害が増大しているという根本的な原因としまして、サイバー世界の攻防は本質的に攻撃側に極めて有利であるという、攻撃側と防御側の非対称性が挙げられると考えております。
攻撃側は、様々な攻撃手段、また経路のどれを用いても目的を達成し得るわけでありますし、事前に侵入しておいて経路を確保したり、バックドアを仕掛けるなど、時間的にも準備をすることができる自由度が高い状況です。一方、守る側からしますと、守る対象のあらゆる要素を二十四時間三百六十五日守り続けていく必要があります。また、攻撃側は国境や法律を超えて活動している一方で、防御側は様々な制限の中で対策を行う必要があります。私たちのような大学の研究では捜査権限もありませんし、先ほど申し上げた多段に構成される攻撃インフラを観測しようと思っても、入口までしか観測、分析ができません。近年ですと、法執行機関の国際的な連携、協調は進んでおりますけれども、技術上、また手続上の制約の中での活動になると認識しております。
上記のようなサイバー脅威の現状を鑑みますと、サイバー対策能力の強化は喫緊の課題であることは言うまでもないと考えます。従来から実施しているサイバー攻撃の観測、分析に関する活動を更に充実化し、攻撃の検知能力、対処能力を強化することは必須と考えます。
加えて、前述の攻撃側と防御側の非対称性を考えるとき、これらの活動に加えて、通信の秘密に十分に配慮した上で通信情報を利用するということは、重大なサイバー攻撃やその対策の端緒となり得る情報を得ることにつながり、攻撃側に有利なサイバー攻防において、防御側の大きな助けになると考えます。例えば、攻撃インフラの構成要素であることがこれまでの分析によって判明している機器に対して継続的に通信を行っている機器を通信情報の中から把握することで、攻撃インフラの複雑な構造がより明確になったり、重大な攻撃やその予兆を迅速に把握できる可能性があると考えます。
また、サイバー攻撃の瞬時拡散性を考えるときに、攻撃がまさに行われている又はその準備が進んでいるという場合に、通常の手続に基づく攻撃インフラの解体等の対策が間に合わない可能性があります。人の生命、身体、財産に関わる重大な危害が発生し得る場合に、これらの攻撃インフラの一部にアクセスして機能を無害化するということで被害を未然に防ぐ又は軽減するということは、有効な対策になり得ると考えます。実際、米国等では、そのような対応によってサイバー攻撃に対処しており、我が国でも適切に実施されれば、その効果が期待できると考えます。
このように待ったなしのサイバー攻撃対策におきまして、通信情報の利用と攻撃インフラに対するアクセスまた無害化は、いずれも有効になり得る一方、従来の対策に比べて実施者の権限を拡大するものでありまして、濫用された場合には、プライバシーの侵害ですとか他国とのあつれきを生じかねないことが懸念されます。
そのため、これらの活動に承認を与えて、また、承認後の継続的な検査、調査を行う独立機関として設置されるサイバー通信情報監理委員会の責務と責任は特に重大であると考えます。その独立性、専門性が確保されるのはもちろんのこと、何よりも、この委員会が各サイバー対処事案の適正性を判断するに十分な情報が、対処の実務サイドから委員会側に確実に提供されることを保証し、承認、検査、調査を行うための十分な権限とリソースを確保し、その承認や検査が形骸化しない仕組みが必要と考えます。
最後に、これらのサイバー攻撃対処についても、技術的な側面、法的な側面共に、その運用に向けては検討すべき事項があると思っております。法案成立後も十分な議論を経て具体化していく必要があると考えます。また、それらの議論により仕組みができ上がったとしても、最終的にそれを実施するのは人でありまして、その実効性を高めて持続的に実施、改善していくためのサイバーセキュリティーの人材の確保、育成というのが、産学官が連携して行うことが重要と考えます。
以上となります。(拍手)
○大岡委員長 ありがとうございました。
次に、黒崎参考人にお願いいたします。
○黒崎参考人 おはようございます。防衛大学校で国際法を研究しております黒崎将広と申します。
本日は、お招きいただき、誠にありがとうございます。
時間が限られておりますので、本日は、日本の能動的サイバー防御法制が国際法の模範事例となるためにと題しまして、早速お話に入らせていただきたいと思います。
ただ、まず初めに、これからお話しする内容は個人の見解であって、所属組織の見解とは全く関係がないものであることをお断りさせていただき、一学術研究者として公平を期しつつ、国会における建設的な議論に資することを目指して、僭越ながら私見を述べさせていただきたいと思います。
さて、今般の法案に対する私の見解でございますが、国際法の観点から申し上げますと、法案それ自体は、様々な問題についての熟慮と配慮が行き届いた内容を有しており、日本のサイバー安全保障法制の重要な第一歩であるとともに、国際社会における重要な模範事例となる可能性を有したものと評価することができると思います。このようにサイバードメインにおける外交、安全保障上の困難な問題対処を法制化するために御尽力されている関係各位に敬意を表したいと思います。
特に、プライバシーの保護とアクセス・無害化措置の問題につきましては、本国会では様々な懸念が提示されておりますが、その一方で、法案では、既存の国際基準を踏まえて抑制的なものになるよう慎重に工夫が施されていると評することができる点は、国際法の専門的見地からは強調しておく必要があると思います。
ただし、国際法からすれば、むしろ問題は、これが適切に運用され、そして、国際的な支持そして理解を得ていくためにはどうすればいいのかということにあると思います。実際、この点につきましては、有識者会議の提言でも、「意図せず、措置を行うことで達成しようとしていたものとは異なる結果に至った場合の対応についても十分検討しておく必要がある。」ということが示されております。
確かに、情報通信技術は日進月歩でありますし、また、世界の安全保障環境も急激に変化しているからこそ、他の分野に比して発展途上にあるサイバー分野の国際法もまた、そうした時代の変化に合わせて絶えず変わり得る、そういう認識を持ち、本法案とその実施がそうしたサイバー国際法の模範事例となるよう、国際社会に絶えず、平素から働きかけていかなければならないと考えます。
では、そのための課題とは何か。こうした問題意識から、これまでの国会審議でも議員の先生方が提起された主要な懸念も踏まえつつ、次のような課題を三つ申し述べたいと思います。
第一に、安全保障と人権保障の適正なバランスでございます。
国際法上、人権は、一般的に、安全保障などの正当な目的のために、必要な限りにおいて制約され得るとされています。ただ、そうした制約の中にあっても、今般の法案に目を向けますと、機械的情報に係る非識別化措置や、サイバー通信情報監理委員会の関与はもちろんのこと、特に、いわゆる通信の本質的内容や内内通信を機械による選別と分析から除外するという点で、本法案は、既存の国際基準に比してより抑制的になるよう配慮されていると見ることはできると思います。
もちろん、通信手段や安全保障の変化によってその国際基準は今後も変化し得るので、その動向を踏まえながら、日本でも、安全保障と人権保障、どちらも重要なものでございます、その適切なバランスの下、選別対象となる機械的情報の範囲やその選別基準を必要に応じて適宜見直し、その上で、日本の立場が国際的な理解を得られるよう、信用確保に努め、国際法を更に発展させていくことに貢献することが第一の課題として挙げられます。
同じことは、アクセス・無害化措置、特に域外の場合についても言えると思います。国会審議でも様々な懸念が指摘されているのは承知しております。理解できるところもあります。ただ、今回の法案では、禁止された武力の行使に至らないよう、十分な法的な歯止めがされていると考えます。これはもちろん憲法上の制約を踏まえてのことであると思いますが、他方で、国際法上、武力の行使について普遍的に合意された国際法上の定義はございませんので、日本の措置を武力の行使であるとして批判する国が、一般論としてではございますが、今後出てくる可能性は理論的には否定できません。
したがいまして、欧米主要国その他日本の立場に関心を持つより多くの国々の動向を把握しながら、日本の立場が抑制的な模範事例であるということを平素から辛抱強く対外的にも説明し、あらかじめ理解を得て、国際法を更に、日本を主導として発展させていくことが第二の課題として挙げられます。
ただし、他国からの理解を得つつ、日本の模範事例を通してサイバー国際法を発展させるといいましても、そのためには、本法案の実施を通じて、自国が国際法を誠実に履行する体制をしっかり構築しておかないと意味がありません。
この点につきましては、外務大臣やサイバー通信情報監理委員会が重要な役割を果たすよう規定されておりますが、しかし、これらに全て任せておけばよいという姿勢では不十分でしょう。専門官庁はもちろん、実際の対応に当たる現場の警察官や自衛官の方々が主体的にサイバー国際法の履行確保の構築を、組織内で構築することはもちろん、国会につきましても、国際法で適切に評価できる能力を有しておくべきだと考えます。
更に言えば、国民レベルでも、国民の生活、安心を確保する日本の能動的サイバー防御の各種実施措置が国際基準に照らして適切かどうか、日本は国際社会から見て変なことをしていないのだろうか、大丈夫なんだろうか、そういうようなことを自らの問題として位置づけ、様々な機会を通じて見ていくということも重要ではないかと思います。
そのためには、これらの人々が、それぞれの役割に応じて必要な国際法の知識を正しく知り、習得し、サイバー攻撃の脅威に備えておくことが不可欠であります。サイバー対応能力の向上のための人材育成、これについてはつとに強調されるところだと思いますが、サイバー国際法を遵守し発展させる能力を支える日本の人材確保もまた、広い意味でのサイバー対応能力の一つとして今後位置づけられるべきと考えます。
そして、サイバー分野における日本の外交、安全保障政策を広く支える人材確保や国民への普及に広く貢献するためにも、大学を拠点としたサイバー国際法の研究、教育もまた、日本のサイバー対処能力の構築のための官民連携の一つの在り方として、私個人としては重要であると考えております。この点で、日本のサイバー国際法の専門家の数は、他国に比して十分であるとは言えず、欧米主要国並みを目指すべきと考えます。
以上が、人材面の課題ということで、第三の課題と位置づけさせていただきました。
最後に、国家安全保障戦略でも、国際法に基づく国際秩序を維持、擁護することが我が国の国益であるとうたわれておりますように、国際法の遵守、発展は日本の国益であるということを改めて強調させていただきつつ、以上に提示させていただきました課題が、国会における本法案審議の少しでも参考になることを願い、私の話を終わらせていただきたいと思います。
御清聴ありがとうございました。(拍手)
○大岡委員長 ありがとうございました。
次に、高見澤参考人にお願いいたします。
○高見澤参考人 本日は、発言の機会をいただき、ありがとうございます。
細部は配付資料を御覧いただくという前提で、簡単にお話をさせていただきます。
サイバー空間をめぐる問題についての私の捉え方は、二ページに示すとおりです。攻撃側から見れば、融合化が進んでおり、さらに、それが低コストでできるというところが特徴かと思います。
安全保障環境の変化は加速化しており、サイバー安全保障能力強化策の検討、実施に当たっては、制度面でも運用面でも、ソフト、ハード両面においても、目まぐるしい変化に対応するための常続的アップデートが不可欠であると考えております。また、あらゆる領域で、平時、緊急事態発生時を問わず様々なフェーズにおける対応が重要であることを肝に銘じておく必要があると思います。
三ページに示すとおり、日本の国家安保戦略の目標の一つとして、国際社会の主要なアクターとして、同盟国、同志国等と連携し、国際関係における新たな均衡を、特にインド太平洋において実現することがうたわれております。サイバー安全保障は、こうした課題解決のための共通の基盤的ソリューションである、そして、日本の総合的な国力と社会全体の強靱性を高めるという意味において鍵を握る分野であると認識しております。
また、サイバー安全保障能力の向上は、軍事、非軍事、有事、平時の境目が曖昧になり、ハイブリッド戦が展開され、グレーゾーン事態が恒常的に生起している現在の安全保障環境において、我が国を全方位でシームレスに守るための取組の強化に関わる重要施策の最初の柱となっております。加えて、防衛力の抜本的強化を補完し、それと不可分一体のものとして取組を推進する四分野がございますけれども、その一つがサイバー安全保障であります。
また、米国との安全保障面における協力の深化という観点からも、サイバー分野などでの協力の深化などに取り組み、サイバーセキュリティー等の基盤を強化するとともに、同盟国、同志国等と連携した形での情報収集、分析の強化、攻撃者の特定とその公表、国際的な枠組み、ルールの形成等のために引き続き取り組むこととされております。このように、国家安全保障戦略では、非常にサイバー安全保障について多分野からその重要性が強調されているというふうに考えております。
その意味で、このサイバー安全保障能力の強化は、多岐にわたる分野において政府横断的な政策を進め、我が国の国益を隙なく守るという国家安全保障戦略上の目標を達成する上で不可欠のものです。そしてまた、対応能力を欧米主要国と同等以上に向上させるという高い目標だけではなくて、サイバーセキュリティーに関する世界最先端の概念、技術等を常に積極的に活用する、そういう方針が示されていることに特に留意すべきものだと考えております。
サイバー安全保障、特に能動的サイバー防御を考える場合、前提となりますのはサイバー空間における情報収集を含む高い情報能力です。四ページに示すとおり、日本と主要国の間には大きな格差が存在する現実を直視する必要があります。主要国においては、長年にわたり蓄積された統合的なデータ、ノウハウ、技術、能力を有しており、官民の境を超えた協力関係と、さらにはサイバーインテリジェンスコミュニティーとエコシステムの存在がございます。専門家への尊敬度や人材の流動性が高く、交流も濃密で待遇も恵まれております。
一方、日本においては、伝統的に情報収集、分析能力が軽視され、情報を共有する文化が育ちにくく、組織横断的な情報共有制度の不備もあって、やっと整ってまいりましたが、官と官、それから官と民、さらには民と民、そしてそれに加えて現役とOBが隔絶されてきた傾向がございます。また、日本では長い間、そもそもサイバー空間におけるアクセスが制約され、国内中心に最小限の対応に徹してきたというのが実情です。
今後は、新たな体制の下でサイバー安全保障関連諸活動を重要任務として位置づけ、社会全体として情報及びサイバーセキュリティーの重要性や官民連携の不可欠性に対する認識を高め、コミュニティーが形成され、専門家が尊敬されるような社会になることが望まれます。
全般的な安全保障意識向上のための具体策の一例は五ページに掲げておりますけれども、その際、サイバー安全保障についても、防災と同様に全国民が関心を持ち、総理始め閣僚が参加するような全国的な実践的演習の定例化が重要だと思っております。三月十八日はサイバーセキュリティーの日でございます。
六ページに、サイバー関連シナリオを基にしたシミュレーションの一例を示しました。平素からの活動の重要性と事態の様相、相互関係、原因把握の困難性などを認識するよい機会になるのではないかと考えております。ウェブ上のプログラムですとかゲームを含めて教育や研修の場を活用しつつ、個人や職場単位でも実践的な対応ができるような場面を用意しておくことが必要です。法案成立後、施行までの間の制度づくりに当たっても、こうした実践的課題に取り組むことが期待されます。
以上の認識を前提とした上で、今回のサイバー安全保障法案についての私の考え方を述べさせていただきます。その内容は七ページに示すとおりです。
本日この委員会に出席されています大澤参考人も直接関わられたと認識していますが、笹川平和財団が二〇一八年にまとめた報告書、日本にサイバーセキュリティ庁の設置をという報告書においては、サイバーセキュリティーに関する欧米主要国と日本の現状について、九項目のベンチマークを設けて比較しております。今回の法案については様々な見解が示されていますが、こうした基準に照らせば、日本の実情を踏まえた上で、今後更なる取組を発展、充実させていく、その上で必要となる基盤を構築する重要なステップであると評価できると考えております。
まず、政府の役割の明確化については、法案全般を通じ、政府による具体的な情報提供の拡大と官民の情報共有枠組みの整備、警察や自衛隊を含む支援体制、対応体制の整備など、より主導的な役割を果たすことを可能にするものと言えます。
サイバーセキュリティー機関の一元化については、内閣サイバー官が新設され、国家安全保障局次長を兼ねることとされるなど、全般の体制が強化されることが期待されます。
第三の、攻撃や被害に対する機動的、集中的な措置を取るための体制の整備については、一部の閣僚と有識者から成る現在の戦略本部の構成が改められます。一般的な政策立案や助言に加え、事態発生に備えたふだんからの対策について、政府として、全閣僚参加の下に、より責任を持って意思決定を行っていくことが可能になると期待されます。
法律に基づくサイバー脅威情報の収集については、基幹インフラ事業者等との協定に基づく通信情報の取得を始め、様々な規定が設けられております。さらに、取得した通信情報を厳格に取り扱うとともに、独立機関による事前審査、継続的検査等の体制が整備されるということで、一定の条件の下に可能になると考えております。
また、サイバーインシデントに関する重要インフラ事業者からの報告義務については、基幹インフラ事業者による届出、報告などの形で定められることになったというふうに承知をしております。
六番目に、重要インフラ事業者等におけるサイバー攻撃対処時のリエゾンの設置については、法律の中でははっきりしておりませんけれども、今後具体的な措置が取られるものではないかと考えております。
さらに、政府によるプライバシー侵害を監視する独立の機関については、先ほど申し上げたとおりであります。ただ、これは通常の三条委員会以上に難しくかつ複雑な問題に対応しなければなりませんので、専門的で迅速な判断と同時に、適切なガバナンスの在り方が、その双方が求められるものと考えております。
さらに、サイバーセキュリティー機関による産業・人材育成を図るための体制整備については、法案との関係でははっきりしておりませんけれども、特に、この有識者会議の報告書を踏まえて、幅広い措置が求められるものと考えております。
九番目、防衛・治安・情報機関等とサイバーセキュリティー機関等との情報共有の問題につきましては、私が重要だと思っておりますのは、警察と自衛隊による共同の措置が規定されている、この共同の措置というところが非常に意味があるかと思っておりますし、また、分析情報や脆弱性情報等の提供を行うということになりますと総合整理が必要になりますので、その意味で、政府全体の統合と共同の慣習が確立することが期待されるものと考えております。
最後に、八ページにあるとおり、私なりの内閣官房における実務経験を踏まえての具体化の留意事項をそこに示してございます。
時間の関係もありますのでここは省略をいたしますけれども、何より、内外の各種事案、それから国家実行についての情報共有を深めて、その必要性や実際の運用との関係を深く分析し、シミュレートし、履行、検証し、国際事象への対応、絶えざる見直しを継続していくというサイクルが重要ではないかと考えております。それをビルトインするためにも、制度の定期的見直しが不可欠ではないかと思っております。
また、国家安全保障戦略には、幅広い分野において有事の際の持続的な対応能力を確保するということがうたわれておりますので、改めて、こうした観点から、政府全体において平素から取り組むべきサイバー安全保障関連施策について、この法案施行のための準備段階から並行して進め、必要な制度の充実強化を図るべきではないかというふうに考えているところであります。
どうもありがとうございました。(拍手)
○大岡委員長 ありがとうございました。
次に、大澤参考人にお願いいたします。
○大澤参考人 おはようございます。中曽根平和研の大澤と申します。
本日は、参考人として意見を表明する機会をいただきましたこと、心より感謝申し上げます。
本日は、両案につき、法案に賛成の立場から意見を述べさせていただきたいと思います。
その前に、このサイバー安全保障の政策の実務及び研究に携わってきた者といたしまして、能動的サイバー防御を可能とするサイバー対処能力強化法案及び同整備法案の策定に際しまして、御担当の平大臣並びに与党・政府の関係者の皆様の御尽力に心より敬意と御礼を申し上げたいと思います。
本日は、本法案につきまして、立法事実の観点から法案の必要性について三点お話を申し上げた上で、法案の課題について三点に絞って指摘をしたいと思います。
最初に、法案の立法事実について、まず簡単に三点申し上げます。
第一に、お手元の資料にございますように、サイバー攻撃情勢の急激な悪化がございます。攻撃観測パケット数は、この十年で十倍になっております。体感的にも、二〇二二年以降、重大なサイバー攻撃が増加傾向にございます。
一の二にございますように、国家の関与が疑われるサイバー攻撃が我が国でも顕在化をしております。さらに、一の三にございますように、二〇二二年のウクライナ戦争以降、地政学的リスクに起因するサイバー攻撃が出現するようになっております。我が国でも、資料に示しましたように、ボルト・タイフーンやソルト・タイフーンとよく似たタイプの攻撃が、政府機関や重要インフラに、有事の準備攻撃と見られるサイバー攻撃、こういったものが行われております。
第二に、このような国家の関与が疑われる技術的にも高度なサイバー攻撃に対しては、従来から行われてきた自分のネットワークのセキュリティーを高める受動的防御では限界が来ている、防ぎ切れなくなっているという現実がございます。
資料一の三の囲みにございますように、二〇二四年一月の、米司法当局による、ボルト・タイフーンが悪用していた米国内の家庭用ルーターの無害化、これは能動的サイバー防御の一環で行われた措置になります。お手元の資料二以降で示しましたように、自己のネットワークにおける受動的な防御を超えた能動的防御の必要性が、米国では二〇一六年以降議論され、政策に反映されております。
そして、立法事実の第三は、お手元の資料二の二で示しましたようなサイバー攻撃者に対する持続的な関与が、諸外国で能動的サイバー防御として実施されるようになっていることであります。平素から情報収集を行い、攻撃者を特定して、攻撃者に直接作用する政策的、技術的対応を行っていく、これらをサイバー安全保障政策の中心として欧米各国では実施をされているところでございます。
次に、法案の課題について三点指摘をいたします。
第一は、アクセス・無害化措置を国内で実行する際の課題でございます。
サイバー攻撃に関わるIT機器のアクセス・無害化は国民の権利を制約する側面がありますので、これを正当化するために、安全保障という公共の福祉の観点からの国民の権利の制約であることを明確にする必要があると考えます。米国でも、国内でアクセス・無害化を行う際には、裁判所の許可を取って実施し、爾後、安全保障上の措置であったことを政府が発表しております。
本法案で、国内におけるアクセス・無害化措置の権限を定めた警察官職務執行法改正案では、国内の電子機器に対して警察官である執行官が行うアクセス・無害化措置が、外国からのサイバー攻撃への対応措置という安全保障上必要な公共の福祉目的であるのか、条文上明確ではありません。この措置が明確に安全保障目的であることを担保するためには、警察官職務執行法改正案第六条の二の二において、自衛隊法改正案と同様、本邦外にある者による高度に組織的かつ計画的な行為と認められるものが行われた場合においてという条件を付与する必要があると考えます。
第二に、本法案で想定されている政府の行為は領域外での行動が含まれており、かかる対応措置が国際法上正当に行えること、すなわち国際法上の違法性阻却事由について対外的に明確に示す必要があると考えます。
本法案でアクセス・無害化の対象となるサイバー攻撃は、武力攻撃には当たらないものの、武力行使レベルの重大なサイバー攻撃が含まれます。諸外国においては、このようなサイバー攻撃への対処は自衛権により外国に対して能動的サイバー防御を取るのが一般的であります。これに対して、我が国では、いわゆるマイナー的自衛権の行使、武力攻撃未満の行使に対する措置は認められておりませんので、本法案でも、海上警備行動や治安出動、ミサイル破壊措置命令と同じ警察権の準用で能動的サイバー防御を実施することにしております。
今回、アクセス・無害化措置を我が国の領域外で警察権を用いて実施することは、行政機関が国内法を具体的に外国の領域で行使する執行管轄権の行使に当たると考えております。これは、国家管轄権である執行管轄権は原則としてそれぞれの自国内において認められるという国際法の属地主義の原則に反する可能性がございます。国際法の属地主義に反して域外執行管轄権を行使する際の国際法上の違法性阻却事由については、合意を除き、対抗措置、緊急避難の二つの可能性がありますので、これらを法案審議の過程で政府答弁において明確にしておく必要があると考えます。
第三に、本法案が安全保障上必要な法律改正であることに鑑み、内閣総理大臣の意思決定に基づき、自衛隊が有事に向けてのシームレスな安全保障上の対応を柔軟に実施できる体制の確保が必要と考えます。
自衛隊法改正案第八十一条の三では、内閣総理大臣が、本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合において、自衛隊が対処を行う特別の必要があると認める場合のみ、自衛隊の部隊にアクセス・無害化措置を取るべき旨を命ずることができるとされています。
この際、自衛隊の出動要件として、自衛隊法改正案の第八十一条の三の一で、特定重大事象の認定、自衛隊が有する特別技術又は情報が必要不可欠であること、さらに、国家公安委員会からの要請又はその同意があることの三要件が付されて、更にサイバー情報通信監理委員会の承認が必要となります。
このうち、国家公安委員会の同意やサイバー情報通信監理委員会の承認は、サイバー攻撃に迅速に対応する必要があるグレーゾーン事態において、迅速な対応の足かせとなる可能性があり、自衛隊の出動要件について、より緩和をする必要があるというふうに考えております。
最後に、私自身、もう十年以上前になりますが、二〇一四年四月から三か年、国家安全保障局に初代民間任用局員として中曽根平和研から転籍出向をしておりました。その際、本日参考人に来ておられます、当時の高見澤国家安全保障局次長の下で、この能動的サイバー防御を含むサイバー安全保障の在り方を検討してまいりました。
国家の関与が疑われる攻撃は、当時、二〇一四年の米国ソニー・ピクチャーズに対する攻撃とか、二〇一五年の日本年金機構に対する中国からの攻撃、こういったものが当時から散見されておりました。そのため、このようなサイバー攻撃を防ぎ、日本のサイバー安全保障を担保するためには、能動的サイバー防御を国として行うことが不可欠であるという思いの下、この実現に微力ながら尽くしてまいりました。
サイバー空間では、地理的な制約を受けることなく、容易に国境を越えて外国の攻撃主体が我が国の中に入れる特性がございます。このようなサイバー空間の安全を担保するためには、国が主導的にサイバー攻撃主体を監視、特定し、対応措置を取る必要がございます。
本法案の成立で道が開かれる通信情報の利用、アクセス・無害化措置は、国民の権利を制約する側面があることは事実でございますけれども、サイバー空間における我が国の安全保障確保という公共の福祉のために必要な措置と考えております。
先生方におかれましては、そのような観点から、両法案について慎重に御審議をいただきまして、法案の成立に御尽力を賜りますように、心からお願いを申し上げます。
以上でございます。御清聴ありがとうございました。(拍手)
○大岡委員長 ありがとうございました。
以上で各参考人からの御意見の開陳は終わりました。
―――――――――――――
○大岡委員長 これより参考人に対する質疑に入ります。
質疑の申出がありますので、順次これを許します。黄川田仁志君。
○黄川田委員 自由民主党の黄川田仁志でございます。
本日は、四人の参考人の皆様、お忙しいところお集まりいただきまして、ありがとうございます。
私からは、吉岡先生と高見澤先生のお二人に、まず最初に御質問させていただきたいと思います。
先ほど黒崎先生から、今回の法案について、非常に抑制的であって世界の模範になるかもしれないという評価をいただきました。安全保障の観点と人権保護のバランスが必要ということで、内内通信の情報収集の除外と、機械的情報をしっかりと区別したというところが挙げられておりました。しかしながら、先ほど吉岡先生からも、サイバー空間での攻防においては攻撃側に極めて有利だというところ、そして守備側は厳しい制限が課されているところで、非常に非対称であるというお話でありました。
これも御案内でございますが、サイバー攻撃の関連通信の九九・四%は国外からの通信であることから、本法は、内外通信、外内通信、そして外外通信のみを守備範囲とさせていただいております。しかしながら、国内からも、〇・六%以下といえども攻撃があるということでございます。
そこで、お二人の先生に、この内内通信の分析も対象に入れた方がいいのではないかという考え方もあるのではないかというふうに思います。この内内通信を分析から外したことで他の分析に影響が生じることはないのか、その辺りを教えていただきたいと思います。
今日は言及がありませんでしたが、吉岡先生は、新聞の寄稿でも、サイバー攻撃の代行ビジネスも横行しているという投稿もされておりました。これは、外国のスパイが日本国内に入って、それで国内の方に代行で頼んで、それで内内のうちに攻撃をしかけてくるということも、私は、先生の新聞記事をもってそういうふうなものを想像したものでございます。
そういう観点も入れて、この内内通信の情報収集の除外についてのお考えを、吉岡先生と高見澤先生から教えていただければと思います。
○吉岡参考人 ただいまの御質問に関しまして、考えを述べさせていただきます。
先ほども言及いただいたとおり、国内の、中でのサイバー攻撃に関わる活動というのが少ない、パーセンテージで見ると少ないように見えるんですけれども、あるということ、これは事実であると思います。特に、そういった内内の情報を見ないということが例えば攻撃側に知れた場合には、そこを活用したような活動というものが生じる可能性はあると思います。
これまでも、わざわざ、外国から行う攻撃が目立つので、一旦国内に侵入して、そこから攻撃を行うということを意識した攻撃というのは、実際存在しております。そういった意味でも、内内の情報というのも、技術的な側面、セキュリティーの観点では、実は重要な部分であるというふうに思っております。
一方で、御懸念の部分というのは当然あると思いますので、慎重になるべきであるとは思いますけれども、サイバー攻撃を長年観測している観点でいきますと、その点は重要であるということは明らかであると思います。
以上です。
○高見澤参考人 御質問にお答えしたいと思います。
私は、例えば、警職法の準用であるとか海上保安庁法の準用で自衛隊がいろいろな権限を行使しているという現状、そして、日本の憲法との関係というようなことを考えた場合には、世界最先端の概念あるいは技術を活用するということとは逆の意味で大変難しい問題があると思いますし、大臣もこの委員会で答弁されているかと思いますけれども、日本の、こういったサイバーセキュリティーについての歴史を考えた場合には、そこはなかなか一挙にはいかないだろうと思います。
ただ、常に大事なのは、まさにそういったことで、富士山の高みが見えないときに、まず一歩上がってみる。その結果、新たな景色ができたときにどういった対応を考えるのかというのがやはり国会の仕事でもあるというふうに思いますので、現行の法案が一〇〇%完全なものというふうに私は考えておりませんけれども、非常に苦労された中でいろいろな論点をこなして、今の、内内通信については、諸外国の状況も踏まえて、ある程度、今回の形になったというふうに思っておりますので、早く法案を上げていただいて、実際のシナリオといいますか、どういうことが起き得るかというようなことをシミュレーションしてみて、我々自身が、山の高みというか、我々が今どういう状況に置かれているかということを知ることが大事ではないかということでございます。
○黄川田委員 ありがとうございました。
たとえ〇・六%以下といえども、国内からの攻撃、内内通信については今後の課題として考えていく必要があるということが分かりました。ありがとうございました。
また、機械的情報収集のみとされていることについて、こちらも吉岡先生と高見澤先生の見解を教えていただきたいというふうに思っております。
これも御案内ですが、本法では、コミュニケーションの本質的内容に関わる情報は特に分析する必要があるとは言えないとされて、通信情報を自動的に取得した機械的情報を調査分析するとしております。したがって、コミュニケーションの内容等は分析の対象ではない、個人情報が特定されない形でのデータ分析のみということになっております。
そこで、質問ですが、機械的情報のみでサイバー攻撃を防ぐのに必要な情報分析、これは十分に行うことができるのかというところ、これはちょっと技術的な話を吉岡先生に教えていただければというふうに思います。
私としては、明らかに挙動が怪しい通信のコミュニケーションの内容について分析する必要があるのではないかというふうに思っております。将来的には、機械情報だけでは不十分ということになるのではないかというふうな心配をしております。
そして、高見澤先生においては、独自のサイバー空間での情報収集能力の向上が必要というお話もされておりました。インテリジェンスの観点で、機械的情報収集のみで今後事が足りるのかというところを、両先生から教えていただければと思います。
○吉岡参考人 ただいまの御質問についてお答えさせていただきます。
御指摘のとおり、通信の本質的な部分に関わる情報がサイバー攻撃の対策において役に立つかどうかという意味では、役に立つことがあることは確かであると思います。一方で、先ほどからも出ているとおり、非常にそれは機微な情報であったり、プライバシーに関わる情報として非常に重要なものでありますので、まずは、そこを見ずともできることは何があるのかというところをしっかり考えるべきかと思っております。
私は、仮に機械的な情報だけであっても、それがない場合と比べると、相当できることは増えてくるであろうというふうに思っております。ですので、重要性という意味では、機械的情報以外の情報というのも、純粋にセキュリティー対策という意味では有効であるものの、一旦そこを除外して、機械的情報で何ができるかということをまず考えていく、それでもかなりの差が出てくる、対応が進むのではないかというふうに考える次第です。
以上です。
○高見澤参考人 大変重要な御指摘をいただいていると思います。
まず、私の認識としましては、やはり情報というのは総合力でありますので、サイバー空間だけにとどまらず、いろいろな手段を行使して総合評価をするということが大事だと思っておりますし、今回の法案の中でもいろいろな情報の総合整理ということがうたわれておりますので、そういった観点も非常に重要だというふうに思っております。
それから、機械的情報の場合では、やはり大量のデータを機械的情報でやるということですから、私としては、それの分析というのは物すごく効果があるのではないかというふうに思っております。
ただ、いずれにいたしましても、それなりの、振る舞いが怪しいというものが特定されたときに、それを前提として様々な形での情報収集なり総合評価ということを行ってそれを深掘りをしていくというようなことが非常に大事ではないか。だから、サイバー空間のいろいろな状況を監視するだけではなくて、政府全体の情報を集め、さらには外国の情報、あるいはその他の関連情報を全て評価した上で対応を考えていく、そういうサイクルが、いわゆる認知戦的なことも含めて、偽情報的なことも含めて、トータルな形での管理ができるような体制というのが日本政府はいずれとして必要ではないか。今回の法案というのは、その最初のステップとして非常に重要な基礎を形成するものではないかと。
だから、先ほど申し上げましたけれども、ある程度そういう実態なり評価が分かったところで、それを踏まえて更にどういう対応が必要か。これは、より積極的に進める部分もあれば、より抑制的にやらなきゃいけないという部分があるかもしれませんので、それを虚心坦懐に整理をして対応していく、そういうスピード感が大事ではないかと思っております。
○黄川田委員 ありがとうございます。
まずは機械的処理でワンステップを踏むということが大事だということで理解しました。そして、この法案については、その最初のステップであるということではあります。
我が国は、今後、ネットを通じた様々な攻撃に高度に対応していかなければなりません。特に、サイバー攻撃と偽情報の拡散による情報戦の組合せによるハイブリッド型の攻撃が増えてきているということが指摘されております。
こうした中、日本はどのようにこの情報戦に対応すればよいか、これは大澤先生にお答えいただきたいというふうに思います。
○大澤参考人 ありがとうございます。情報戦への対応について御質問いただきました。
情報戦は偽情報の拡散という形で行われますけれども、拡散主体が確実にいます。サイバー攻撃に対する能動的サイバー防御も、攻撃主体に注目をして追い込んでいくということをしております。情報戦も全く同じでございまして、攻撃主体を特定して、その攻撃主体に対して、その人がこういう悪い偽情報を流しているということを国民の前につまびらかにする、ないしは外国政府と一緒に国際的に非難をするという形での対処が考えられますので、今回の法案で技術的に痕跡が見つけられるようになりますと、同じような手法で情報戦の攻撃主体に対しても対応措置ができるというふうに考えております。
○黄川田委員 もうそろそろ時間が来そうなので急いで質問しますが、吉岡先生、横浜国大で教えていらっしゃるということでありますけれども、先ほどのお話の中で、サイバーセキュリティー人材の育成、これを産官学で連携して行うことが重要だということでございます。
そういう中で、今後、セキュリティー人材が不足していくんじゃないかということを危惧している中で、政府としてどのような更に支援が必要かというところを、教育者の立場からまた教えていただければと思います。
○吉岡参考人 お答えさせていただきます。
おっしゃるとおり、セキュリティーの人材というのはいろいろな面で不足していると考えております。
特に、私が大学におりまして感じるところとしては、やはり、大学の学生が、サイバーセキュリティーの研究に興味を持ってくれる学生は多くおります、一方で、就職して出ていくときに、それらの学んだ技術ですとか知識を産業で生かしていけるところに就職しているかというと、必ずしもそうではないということがございます。
これは、やはり社会のニーズですとか、それに対する、そういった人材に対する価値ですとか評価というのがもしかするとまだ十分ではない、又は、そういった技術を持った人間が社会でどういうふうに活躍できるか、そういったビジョンというものがまだ十分に見えていないのかなというふうに思っております。
そういった意味で、今後、そういった人材に対する評価をはっきりできるような仕組みですとかというものが出てきますと、より優秀な人材がサイバーセキュリティーに興味を持って取り組んでくれるのではないかというふうに思っております。
以上です。
○黄川田委員 時間が参りましたので、これで終わります。どうもありがとうございました。
○大岡委員長 次に、市來伴子君。
○市來委員 立憲民主党の市來伴子と申します。
本日は、法案審議に当たり、皆様から本当に貴重な御発言をいただきましたことを、心から感謝を申し上げます。
私からは、まず、アクセス・無害化措置、そして通信防護措置がエスカレートする懸念について伺ってまいりたいと思います。
黒崎参考人と大澤参考人に伺いたいんですが、このアクセス・無害化措置等ですね、サイバー攻撃に対して、お互いの応酬が予想を超えてはるかにエスカレーションを招き、そして、そのエスカレーションを招いた結果、思わぬ被害を起こしてしまうのではないか、そういう懸念があるわけでございますが、この点について、それぞれお二人の御見解を伺いたいと思います。
○黒崎参考人 ありがとうございます。お答えいたします。
現実問題として、まず、どこまでエスカレーションを引き起こす蓋然性があるのかということは、法的評価だけでは答えられないことだと思いますし、また、予測することも困難なんですけれども、ただ、先ほどお話しさせていただきましたように、今回の法案では、少なくとも、アクセス・無害化措置の実効性を妨げない範囲で必要最小限度に抑えるという十分な歯止めが法的にかけられていると思います。
ただ、恐らく御懸念は、それでももし万一というお話だと思うんですけれども、そのエスカレートするということが、法的には何らかの国際法違反を日本はしてしまうんじゃないか、そういうふうに解すなら、例えば、主権侵害、物理的被害を相手に、機能喪失をもたらしたとかいうようなことでエスカレートを引き起こす懸念ということであるなら、そのときには、やはり、違法性阻却事由という形で国際法上正当化するという選択肢になるのではないかと思います。
したがいまして、お答えといたしましては、第一段階として、そもそもアクセス・無害化措置というものを最小限度に抑えるということでエスカレートしないようにさせる、つまり、法的には国際法違反が生じないようにする、それでも万が一ということになれば、第二段階といたしまして、違法性阻却事由で正当化するということになると思います。
そして、他国との応酬ということになりますと、やはり信頼醸成措置とか、二国間、マルチ、多国間、いろいろな、平素から、お互いの信頼関係、サイバーでの対処、お互いについてこういうことをするということを、可能な限り、ここも安全保障上のバランスを取りながら、考えながら、エスカレーションを避けていくということが重要になると思いますし、この法案はそれを可能にする枠組みだと考えております。
以上です。
○大澤参考人 無害化措置のエスカレーションの可能性について御質問いただきましたので、お答え申し上げます。
米国での事例を考えますと、無害化措置をする場合に、非常に慎重に運用されているというふうに考えております。
これは、エスカレーションが生じるというのは、相手側で誤認をしてエスカレーションをさせる、という要因が働かないようにすることが重要になりますので、そういった誤認を避けるために、米国では、例えば、コロニアル・パイプラインにおける攻撃者側のPCの無害化とか、あと、二〇一八年のロシアからの情報戦に対する、サンクトペテルブルクの、拡散している会社のネットワークの停止、こういったものをアクセス・無害化措置でやっておりますけれども、措置をした後に必ず、目的、それからどういう理由でということを、政府当局、ホワイトハウスから公表しております。これは、エスカレーションの誤認を防ぐために情報公開をちゃんとやっているということになります。
ですので、そういった、相手が確実にいますので、外国の組織的な主体、彼らは悪いことをやっていると分かっていますので、それに対して無害化措置をするということに関しては、一概にすぐエスカレーションするということはないだろうと思いますが、情報公開をしながら誤認を避けていくということが重要かなと思います。
ありがとうございます。
○市來委員 先ほど黒崎参考人が、無害化措置が武力に当たると主張される可能性がある、また、国際法においては武力の定義がないとおっしゃっておりました。この点についてもう少し詳しくお聞きしたいのと、また、先ほど来出ています、自衛隊でなく警察が措置した場合でも国際法上は同じく扱われるということでよろしいでしょうか。
○黒崎参考人 お答えいたします。
まず、一般論といたしましては、先ほどお話しさせていただきましたように、国際法上、普遍的に合意された武力の行使の定義はございません。また、国際法上の評価をする際に、今先生おっしゃったような、自衛隊であるかあるいは警察であるかというよりも、何を日本という国が行うのかということが決定的な評価として重要な要因になると思います。
その意味では、日本の警察官が、サイバー危害防止措置執行官だと思いますが、どういう措置を取るか。警察だから大丈夫だ、その事実だけで国際法上武力の行使にはなりませんよということにはなりません。その意味では、おっしゃる御懸念はそのとおりなんだと思います。
そういう意味では、国際法上は、警察だから大丈夫だとか、自衛隊だから大丈夫じゃないとか、そういうことではないんだろう、国際法上の評価においては。ただ、しかしながら、他方で、繰り返しになりますけれども、この歯止めというところの点は、日本政府が強調しているところは非常に重要なんだと思います。
例えば、私の理解が間違っていなければなんですけれども、アクセス・無害化措置というのは、警察官が行うか自衛官が行うか、つまり、危害防止措置執行官が行うか通信防護措置として行うかに関係なく、ひとしく公共秩序維持の観点から比例原則に基づいて慎重に行うという、繰り返しこの立場を表明されていることの意味というのは、国際法上非常に、他方で重要な武力の行使であるか否かを判断する上ではポイントだと思っています。
といいますのも、法的見地からすれば、そういう政府の立場は、意味しているのは、どの国に対しても、これは敵対的な意図があるわけじゃありませんよ、これはあくまでも日本の公共の秩序の意味にあるのであって、例えば領土的野心を持ってそれを域外に対してやるとかいうこととは全く違うことなんですよというメッセージを、恐らく国際法学者はそれを読み取るわけです。外国も多分それを読み取ると思うんですよね。
そういうことに加えて、しかも、被害が出ないように、つまりエスカレーション、先ほどの第一の質問になると思うんですけれども、避けるように、必要最小限度に行うのだと、極めて自制的なメッセージ、多分、私はそういうふうに、政府の繰り返し歯止めとして言われていることはメッセージなんだというふうに理解しております。
更に加えまして、外務大臣との協議とかサイバー通信情報監理委員会の承認、外務大臣だと協議になると思うんですが、委員会だと承認、勧告とかいう形になると思うんですけれども、そのプロセスを経て行われるので、恣意的な判断はしませんよというような厳格な歯止めが制度的にかかっているということも無視してはならないと思います。
その意味で、御指摘のような懸念に関しては、少なくとも法的なレベルでの歯止めという意味では適切にこれはなされていると思いますし、ただ、あと、これは慎重に実施、運用のところで是非徹底していただく必要があると思います。
繰り返しになりますが、先ほどの質問と同じように、やはり他国とのサイバー協議といいますか、平素から日本はやっているというふうに承知していますので、二国間であれ多国間であれ。そういうところで、先ほど言いましたエスカレーション回避、ここも、やはり武力の行使になるかどうかも重要ですので、そこも徹底しているので、政府としてはここをきちんと継続していくということが、御懸念に対応する上では重要かと存じます。
以上です。
○市來委員 違法性阻却事由について、黒崎参考人と大澤参考人に伺いたいと思います。
違法性阻却事由の緊急避難が援用される、想定されるというふうに政府は言っているわけでございますが、この範囲はあくまで武力に至るまでの行為であって、相手国が武力であると主張した場合には、この援用についてはどうなるんでしょうか。
また、続けて、そもそもこの緊急避難の援用は可能なのかという懸念が聞こえてきます。緊急避難の要件が充足されない、あるいは、濫用のおそれがあるため認められにくいのではという意見もありますが、御見解を伺います。
○黒崎参考人 お答えいたします。
まず、緊急避難で武力行使を正当化できるかについては、これは国際法学者の中では合意に至っていません。したがいまして、緊急避難でも武力の行使は正当化できるという見解と、いや、できないんだ、緊急避難の場合は武力は駄目なんだという見解が両方ございます。
ただ、いずれにしましても、日本としましては、恐らくこの法案が前提としているのは、武力に至らない、これはもう至上命題であるということでございますので、その必要最小限度で域外のアクセス・無害化措置を講じるという仕組みだと思いますので、平素から、そうしています、それに徹しますということを対外的に発信して、信用を確保しておくことが重要だと思います。
それで、国際法上、違法性阻却事由が認められるのかというのは、国際判例でも、これは違法性阻却事由として認められているというようなことは出ていますので、ここの点については疑いはなかろうかと思います。
ただ、問題は、その厳格な要件でございます。ここがやはり、国家責任条文という、二十五条だったと思うんですが、細かな規定がございます。そこをきちんと個々の具体的なケースに応じて満たしているということを慎重に、もしこれに援用する場合には主張していくということはしなければならないと思いますが、違法性阻却事由としては今日は認められているということは改めて強調したいと思います。
以上です。
○大澤参考人 お答え申し上げます。
緊急避難を、正当性、違法性阻却事由とした場合に、どちらかというと、私の見解では、それでは十分なのではないと。
つまり、緊急避難というのは、不正急迫の侵害が行われている最中であればできるんですけれども、例えば、その準備段階においてできる、十分措置が打てるのかということを考えますと、サイバー攻撃というのは、実際、最後の段階では、例えば電力が止まったりとか交通機関が乱れたりということが起きますが、それに至るまで、相手のネットワークに入る準備期間というのは、数か月かけて入ってきます。
ただ、その間は、不正急迫なことが起きているわけではなくて、単にネットワークの中に侵害をされているという状態になりますので、そういう場合において事前に止めなければいけないというときに、この緊急避難で違法性が阻却できるのかというのはなかなか難しいと思いますので、緊急避難以外の、対抗措置でありますとか、本来、諸外国のようにマイナー自衛権を用いて、つまり、政府機関とか重要インフラにまだ悪いことはしていないけれども侵入をしているという状態は非常に危険な状態ですので、それを排除するというのは対抗措置のような形でやっていった方がいいのではないかなというふうに考えております。
○市來委員 国際法の遵守は非常に大事な点だと思います。違法行為とならないように制度設計をすることがまず大事だと思いますが、黒崎参考人、また大澤参考人は、どういった機能が必要だとお考えでしょうか。先ほど黒崎参考人は、国会の関与ということもおっしゃっていただきましたけれども、その点についても含めてお伺いをしたいと思います。
○黒崎参考人 お答えいたします。
法的な歯止めは十分ではないか、十分であるというふうな形で申し上げましたが、やはり効果的にそれを実施するにはどうすればいいのかという、人材確保が私は重要だと考えております。
先ほどのお話の繰り返しで恐縮ですけれども、警察や自衛隊については、自主的に組織内できちんと能力構築、新しい任務が付与されるわけですので、警察官も自衛官の方々も。基本的な国際法に精通された方、専門家の方はたくさん組織内にもいらっしゃるのは重々承知しておりますが、ただ、そういう新しいルール、適用可能な国際法規則に合わせた教育訓練というのはやはりしていかなければいけないでしょうし、それを安定的に長期的な視野に立ってやらなければならないというところが重要だと思います。そういう意味では、その人材を一般大学が提供していくということも、やはり忘れてはいけないんだと思います。
同じことも国会については言えるのではないかと思います。どのような国会の関与が望ましいのかどうかということは国際法が規律するところではございませんので、専門的見地からは申し上げることはできませんけれども、ただ、しかしながら、そうはいいましても、国会が、サイバー空間における国民の生活とか安全というものを守るという当事者意識を持って、その時代に合った国際法の誠実な履行とは一体何なのかというものを政府にインプットするという役割はやはり重要なんだと思います。
ただ、それが、どういう場でやるのかについては、いろいろなお考えがあると思いますし、そこは私の全く専門外とするところでございますので、その辺りは慎重に検討していただいた上で、日本の国際法遵守というものも国会が貢献していくべきだというふうに考えております。
以上です。
○大澤参考人 国際法上の遵守ということになりますと、やはり実際にオペレーションをやっている人たちの意識の問題が非常に大きいだろうというふうに思っております。
どうしても、国内でやっておりますので、国内法は肌感覚としてオペレーターが身につけていると思うんですが、やはり国際法上その行為は大丈夫かという感覚を教育を通じて養っていただく必要があるだろうと思います。
思い返しますと、我が国で、ちょうど司馬遼太郎先生が「坂の上の雲」で東郷平八郎をずっと描いていますけれども、日清戦争のときに、彼はイギリスの商船を砲撃するんですが、これは国際法上にのっとって、中国の兵隊を乗せているから、国際法上この行為は大丈夫だという十分な知識を持って判断をしております。それは、戦前、二次大戦になる前までは、そういった国際法を運用者がきちっと守るという意識が、やはり軍隊にも浸透していたんだろうというふうに思います。
このサイバー空間においても、やはり域外で活動するということになりますと、実際にそのオペレーションをする人たちが、ちゃんと国際法上の知識を持って実際のオペレーションをやることが非常に大切だろうというふうに考えております。
○市來委員 時間となりましたので、終わります。ありがとうございました。
○大岡委員長 次に、塩川鉄也君。
○塩川委員 日本共産党の塩川鉄也です。
四人の参考人の皆様に貴重な御意見を賜り、ありがとうございます。
最初に、吉岡参考人にお尋ねをいたします。
サイバーセキュリティーに関する研究開発に従事をしてこられたということで、吉岡さんのメディア等での発言等々を拝見をした中に、攻撃者は得られるメリットの大きさだけでターゲットを決めるわけではない、攻撃にかかるコストが低ければ小さな組織も魅力的なターゲットとなり得ると述べておられました。
中小企業など小さな組織においてセキュリティー対策を強めるとすれば、国としてどのような取組が求められるのか、この点について教えていただけないでしょうか。
○吉岡参考人 お答えさせていただきます。
今御指摘ありましたように、重要なシステムですとか、大企業ですとか国だけが攻撃対象になっているかというと、そうではないということが、いろいろな研究で、そのように認識しております。
中小企業となりますと、やはり一番足りないところは、人的又は技術的な意味でもリソースが足りていないということです。やらなければいけないことは分かっていながらも、何から取り組んでいいのかということが十分に認識できていないですとか、危機感がまだ十分にないというところが、一つ大きいところかと思います。
ですので、既に国の方でも、最低限中小企業で行うべき対策のチェックリストですとか、そういったものを用意いただいていると思います。さらに、それをうまく活用して、リストは準備しても、それが浸透していない、普及していなければその効果は求められませんので、そういった現状のサイバー攻撃の状況というのをしっかりと認知していただくような活動というのも重要になってくるかと思っております。
以上です。
○塩川委員 ありがとうございます。
次に、黒崎参考人にお尋ねいたします。
サイバー分野の国際法は発展途上というお話がございました。フランスは、自国のネットワークに影響をもたらす全ての外国のサイバー行動は主権侵害になり得ることを示唆する立場ということを伺っております。
そのような国がある下で、法案におけるアクセス・無害化措置がサイバー攻撃と判断される、そういう危惧についてはどのようにお考えでしょうか。
○黒崎参考人 お答えいたします。
確かに、現時点では、フランスにつきましては、ネットワークに対して影響を及ぼすものについては主権侵害の可能性があるというような見解を示しているというふうに私も認識しております。
問題は、ネットワークへの影響とは何なのかというようなところはやはり国際法学者としては気になるところでございます。これを、低い烈度というか、敷居が非常に低いと見るか、あるいは、実は言っていることはほかの国と、例えば物理的な被害とか機能喪失とかといったことと変わらないかもしれない。ただ、だから、そこら辺は、その国の安全保障に対する考え方というものがやはり背景にあって、ある意味、戦術的にと申しますか、というような形で表現をして、他国の出方を見たりして、どういう形で見解が収れんしていくのかという段階に今あるんだと思います。
例えば、フランスとは反対に、イギリスとかいうものについては、内政干渉にならないのだったら主権侵害にもならないという、つまり内政干渉の方が重要なんだみたいな形で、主権よりもそっちの方が重要だというような考え方の国もあるんですが、それも本当に違うのか、ほかの国が言っていることと、とか。
というような形で、だから、こういうふうに、一見違うようなことに見えるけれども本当に違うのかというところを今見極めなきゃいけない状態というところで、私自身が、発展途上の、一つの状況把握としては考えております。
以上です。
○塩川委員 関連して、緊急避難についてですけれども、国際法学者は適用できるケースを非常に限定して考えており、これを理由にすれば対抗措置以上に論争を呼ぶ可能性がある、日本政府は緊急避難を援用することも国際法上認められると考えると主張しているが、同様の主張をしている国はまだ多くはないと述べておられます。
そういった点での危惧を覚えるところなんですが、この点についてはいかがでしょうか。
○黒崎参考人 お答えいたします。
まず、国際法上、一般論といたしまして、違法性阻却事由というものについては、緊急避難よりも、緊急状態と政府は言っていると思いますが、緊急状態よりも対抗措置の方がより確立した、つまり、先例とか判例もしっかりしているということで、よりそちらの方が支持が得られる違法性阻却事由として、教科書でもそのような形で書かれていると思います。
そういう意味では、緊急避難というものは、国際法をやっている人間は余りそこまでしっかり勉強しなかったというぐらい、余り注目されてこなかったというものであると思います。そういうものを反映して、緊急避難というものについて、サイバーの文脈で援用する国々がやはりいないということも影響しているんだと思いますが。
ただ、しかしながら、やはり対抗措置というものをサイバーの文脈で援用するということは極めて難しいという問題点もございます。それはやはり、対抗措置を援用するためには、相手の国が先に違法行為をしていなきゃならない。つまり、それは、国家がやったというところまで持っていかなきゃいけないという、いわゆるアトリビューション、帰属という問題が出てきます。これがサイバーの実態に非常にそぐわない。
という中で、でも、しかしながら、市來先生がおっしゃったような違法性阻却事由の懸念という、対策も考えなきゃいけないと私は申し上げましたが、第二段階ということで、サイバーに一番その特性に見合った国際法の違法性阻却事由とは何かというようなことを考えると、これは、確かに濫用の危険性というのはこれまで主張されてきたものではありますけれども、ただ、国家の安全保障上の、ここで言う国家責任条文での緊急避難というようなところでございますが、重大かつ差し迫った危険から根本的利益を守るために、つまり、相手の先行違法行為が国によって行われているというようなことを、考えなくても言える、それはそれでまた濫用のリスクがあるじゃないかというふうに思われるかもしれないんですが、ただ、しかしながら、サイバー攻撃の実態を鑑みると、一番これが適切であるというような国が必ずしも今の現状では少なくても、一番サイバーの実態に合った違法性阻却事由として主張しているというのも事実でございます。
そういうような判断がこれから恐らく日本を中心に、私の模範事例というような話にも合うと思うんですが、事情を、特性を考えて、違法性阻却事由というものが、対抗措置と緊急避難、どっちが本当にいいのかというようなことを考えていかなきゃいけない、そういうふうに考えております。
以上です。
○塩川委員 ありがとうございます。
もう一問、黒崎参考人にお尋ねしますが、今回の法案は日本の安全保障における転換点となり得る、第一に、警察が安全保障に関わるようになること、第二は、外国からの不正なサイバー攻撃に対して犯罪処罰とは別の目的で域外実力行使を警察がし得ること、警察は従来、刑事犯罪への対処と国内の脅威を対象とする治安、公共秩序の維持を主たる任務としていたが、その垣根を越えると述べておられました。
今回の法案は、このような、警察の活動に質的な大きな変化をもたらすものということなんでしょうか。
○黒崎参考人 お答えいたします。
まず、国際法上に限って、国内法であれば行政警察権とか、また警察か自衛隊であるかというのは重要な要素になると思いますが、国際法上は、先ほどお答えさせていただきましたように、国が何をするか、警察機関がやるか自衛隊がやるかとか、そういうようなことで、それ自体で決まるというわけではございません。
その国がどういう目的で行動を行うのか、国際関係において、ということですので、その意味では、日本の警察組織がこれまで関わらなかったことをやるようになったことは画期的だというふうに申し上げましたが、国際法からしますと、いろいろな、警察であっても安全保障に関わる任務を行うということは国家機関としてありますし、また、国際法上の軍隊にいたしましても、そのような警察活動、公共秩序維持というようなことでございますが、日本でいうと行政警察ということになると思いますが、そういうようなことをするというようなことであります。
ただ、国際法上では、警察か軍事行動であるかというようなことがきっちりとそれ自体で分けられているということではございませんので、その意味では、特にそれ自体で画期的だというふうな、国際法上の評価からすると言えるのではないかと思いますが、ただ、日本のいろいろな背景からすると、警察というものが実際そういう任務を、これまで、海上保安庁はまた別だと思うんですが、警察庁が域外の任務を与えられるということは非常に重要である、画期的であるというような認識は変わらないと思います。
以上です。
○塩川委員 ありがとうございます。
次に、大澤参考人にお尋ねいたします。
冒頭の意見陳述の中で、警察権の関係のお話がございました。今回、アクセス・無害化措置を我が国の領域外で警察権を用いて実施することは、国内法を外国の領域で行使する執行管轄権の行使に当たるため、国家管轄権である執行管轄権は原則としてそれぞれの自国領域内に限り認められるという国際法の属地主義の原則に反する可能性が生じるということですけれども、こういった点についてはどのように対応することなのか、その点についてお聞かせください。
○大澤参考人 お答え申し上げます。
諸外国ですと、こういった領域外の措置は自衛権の行使で行っております。ところが、我が国では自衛権の行使は非常にハードルが高い、平時にはなかなか実施をできないということで、平時から、いきなり有事になると自衛権の行使になる。ただ、諸外国においてはシームレスに斜めに上がっていきますので、そういった点で、今回の法案では警察権を用いて領域外での行動が想定をされているということになります。
ただ、そうしますと、諸外国でやっている自衛権の行使と明らかに条件が異なりますので、そういった国内の法執行を外で行うということに関して、冒頭でも述べましたように、国際法上正当である、違法性が阻却できるということをきちっと理由づけた上で活動する必要が出てまいります。
そういった点では、先ほど来議論をいただいております緊急避難ないしは対抗措置、こういったもので理屈づけをして域外での法執行を行う、こういったことが必要になるというふうに考えております。
○塩川委員 ありがとうございます。
次に、高見澤参考人にお尋ねいたします。
意見陳述の中で、警察と自衛権の共同の措置が重要ということを述べておられました。その意味するところはどういうものなのかについて、高見澤参考人にお尋ねいたします。
○高見澤参考人 私が共同措置が非常に意味があると申し上げていますのは、やはり現在の日本の憲法体系なりの下でいろいろなことを考えてできた今回の法案における一つの特徴は、警察と自衛隊が共に共同して、いろいろな情報を共有しながらシームレスに対応しようということがうたわれておりますので、その意味で、警察が全体的に、前面に立ってやるということではなくて、少なくとも国外からの、その要件に該当するようなものについては、警察と自衛隊が協力してやるんだということがはっきり出ているという意味において、それなりに、自衛隊の権限の行使ということあるいは警察の関係ということを政府全体としてやる体制がそこにできているのではないか。だから、実際の行動に対しても比較的スムーズに迅速な対応が期待できるのではないか。さらには、いろいろな形で、共同の施設なり、あるいは近い施設で警察と自衛隊が協力してやるというふうなことはそれなりに意味があるのではないか。つまり、今回の法案の一つの悩みというか、その部分がうまく反映されているのではないかなというふうに理解しているところでございます。
○塩川委員 ありがとうございます。
最後に、高見澤参考人と大澤参考人にお尋ねいたします。
自衛隊が通信防護措置を行う場合の要件の一つに、自衛隊が対処する特別の必要があるときというのが挙げられております。自衛隊が有する特別な技術又は情報が必要不可欠であるなどとしておりますが、この自衛隊が有する特別な技術、情報というのはどのようなものなのかについて教えていただけないでしょうか。
○高見澤参考人 私は、少なくとも外国の高度な組織的なものに対するサイバー防衛ということを考えた場合に、自衛隊は、日本有事の場合にどういうふうな形をするかということで、各国との情報交換もやっておりますので、その意味で、そういった技術なりというのは持っているわけですし、また、総合的な情報ということについても警察とはまた違ったものがあるかというふうに思いますので、そういうことを背景として、実際に対処する上でやはり自衛隊の存在が必要になるということが日常的にも考えられるわけでございますので、そういった意味で、この要件というのは、まさに自衛隊にとって重要な内容のものに対応するための権限ということになるのではないかというふうに理解をしております。
○大澤参考人 現時点では、具体的にどういう技術なのかというのは、公開情報でもありませんので推定になりますけれども、警察が国内のサイバー攻撃を扱う中で、自衛隊は外国からの、特に、ちょっと国名を申し上げるとあれですが、隣国の、想定される攻撃者の攻撃手法、こういったものを研究しながらということになりますので、そういった攻撃手法やマルウェア、こういったものの技術解析とか、逆に相手のネットワークに入るというふうになりますと、ウィンドウズベースではない、その国のOSとかソフトウェアで守られているということになりますので、当然、そこにアクセスをして無害化をするということになりますと、その国のスペックに合った、OSに対してどうやって侵入するのかという、ふだん恐らく警察が実行しないようなアクセス・無害化措置やソフトウェアとかマルウェアを使うことになりますので、そういう点では、自衛隊が外国からの攻撃を想定して有している技術がこういった高度な技術になるというふうに考えております。
○塩川委員 終わります。ありがとうございました。
○大岡委員長 次に、市村浩一郎君。
○市村委員 よろしくお願いを申し上げます。
本日は、参考人の皆様、感謝を申し上げます。早速質疑に入らせていただきます。
唐突でございますけれども、今回の法案は、能動的サイバー防御をやるに当たっての主体そして手続を定めるものというふうに簡潔に申し上げていいかと思っておりますが、四人の参考人の方々から、じゃ、この法案で何を守るのか、防御するというのですから、何を防御するのか、そして、この法律の成立で防御し切れるのか、それについて簡潔にお一人ずつお答えいただければと思います。よろしくお願いします。
○吉岡参考人 お答えさせていただきます。
まず、対象となる、何を守るのかという点でございますけれども、やはり国民の生活ですとか生命に関わるということで、重要インフラに関わるサイバー攻撃を未然に防ぐ、又は、起きてしまった場合にもそれを軽減するということが一つ重要な目標だと認識しております。
それで、それがやり切れるのかということなんですけれども、サイバー攻撃というのが、非常に多様である上に、実態がかなり分からないところも多いものでありますので、それで完全に防ぎ切ると言い切ることは常にできないものであるとは思います。しかし、これまでの状況に比べまして、この法案に基づいて実施する対応というのは、かなりその効果というのは上がることは十分期待できると思いますので、そういった意味での期待はできるものだと認識しております。
以上です。
○黒崎参考人 お答えいたします。
まず、意義につきましては、これまで、やはり外国からのサイバー攻撃というものは、武力攻撃に至るものでなければ対応できないということであったところがあったわけです。それが、武力攻撃に至らない、未然に防ぐということになるとやはり難しかった。これを埋めるのが今回の法案だというふうに考えています。
これが本当に実施できるのか、その目的が達成されるのかということにつきましては、私がお話ししましたように、やはり、魂を吹き込めるか、人材確保、どういう人材をどれだけそこに割り当てることができるのか、そのときに、大澤参考人もおっしゃいましたけれども、オペレーターが国際法の遵法意識を持ってできるのかというようなところもやはり重要だと思っております。
以上です。
○高見澤参考人 お答え申し上げます。
私は、今回の法案の最大の意義は、サイバー安全保障の重要性について国民あるいは政府全体あるいは各企業においてより深く理解をし、そのための重要インフラの防衛の重要性でありますとか、重要インフラが我が国の安全保障にとっていかに重要な役割を果たしているか、あるいは、社会生活全体の強靱性を高めるために必要な措置というものを定めるものではないかというふうに考えております。
一方では、この措置ができたら守れるかということになれば、それは決してそのようなことはございません。それが一〇〇%達成されることはないと思いますし、まさに、ゼロデイの攻撃の話でありますとか、ゼロトラストの話についても、最近ではレス・ザン・ゼロトラストという話になっておりますし、それから、生成AIがいろいろな攻撃手段として用いられているということを考えれば、むしろ、被害が発生することを極小化するけれども、発生した場合における対応あるいは復旧なり、あるいは非常に業務継続が難しい状況の中でどういうふうにほかの代替手段を講じながらやっていくのか、そういうことを含めたものが必要になるというふうに思っておりますので、あくまでも、そういうことを前提として、少しでも社会の強靱性を高めるための法案であるというふうに考えております。
○大澤参考人 お答え申し上げます。
まず、何を守るのかということでございますが、今、情報、デジタル社会になりまして、国民の社会活動、経済活動は全てITネットワークに依拠しております。これが止まると、例えば電子決済ができなくて物が買えないとか電車に乗れないということがございますので、このITネットワークに乗っかっている社会活動が止まらないようにというのが今回の法案の一番の大きな守るべき対象かなと思っております。
それから、この法案でやり切れるのかというところでございますけれども、サイバー攻撃の歴史は盾と矛の進化の歴史でございまして、攻撃が常に進化してまいります。そのため、技術的な進化だけではなくて、守る側の体制、つまり法案とか政策とか戦略も、ほぼ毎年のように諸外国でもアップデートされておりますので、この法案で足りないところが出てくれば、やはり見直しを不断にしていくという形で、守れる領域を進化させていくことが必要なのではないかというふうに考えております。
○市村委員 ありがとうございます。
今お話をお伺いしていまして、この場合、普通、一般的には、サイバー空間を守る法律だと皆さん思っている可能性が高いんですが、そういう答えは一つもなかったんですね。
やはり、いわゆる重要インフラを守るとかネットワークが止まらないようにというようなお話でありまして、ですから、結局これは、サイバーセキュリティーといいながら、私はやはり、よく申し上げているんですが、情報セキュリティーという考え方にいま一度立ち返って、そこから根本的に、今サイバー空間を通じて情報をやり取りする頻度が高まってきたという観点から、いま一度しっかりと練り直していくことが大切ではないかというふうに思っておるんです。
特に、高見澤先生からは、ゼロトラスト、ノートラストの話もしていただきました。まさにサイバー空間はゼロトラストであるのではないかということで、そもそも信用はできないと。ですから、私たちが与えられた命題というのは、どんな脆弱なサイバー空間を通じても情報を守り切る。
この情報の中には、吉岡先生がおっしゃっていただいたように、情報というと何かデータのことばかり考えられるんですが、情報システムという言葉を吉岡先生は使っていただいておりますけれども、いわゆる重要インフラというのは、まさにシステム情報なんですよね。単なるデータだけじゃなくて、そのシステムを動かす全体的な情報が今デジタル化されていますので、そこに入り込まれて、それを攻撃されると麻痺させられるということもありますから。
やはりいま一度、情報インフラだ、情報セキュリティーじゃないかと思っておるんですが、吉岡先生、いかが御見解を持たれていますでしょうか。
○吉岡参考人 お答えいたします。
まさに今おっしゃっていただいたとおりで、サイバーセキュリティーと申しますけれども、今は、物のインターネットと言われるIoTですとか、又はサイバーフィジカルシステムというように、サイバーの世界だけで全ては閉じないという状況に確実になっていると思います。サイバーの世界で起きた問題というのが我々の身の回りに直接的に降りかかってくる場合もございます。例えば、自動車も今ネットワークにつながっておりますし、身の回りの、自宅のネットワークというのもインターネットにつながるという時代になっておりますので、先生がおっしゃるとおりに、サイバーの世界だけで閉じられない、そこまで含めての防御を考えるべきであるということは間違いないと思います。
以上です。
○市村委員 感謝を申し上げます。
高見澤先生が、やはり今回の法案はまず第一歩であるんだということを強調していただいております。その意味を、もう一度しっかりとまた先生の方からお伝えいただけませんでしょうか。
○高見澤参考人 お答え申し上げます。
まず一つは、情報セキュリティーかサイバーセキュリティーかという話がございましたけれども、元々日本の情報セキュリティーということからスタートしているわけですね、IT基本法の話もそうですけれども。
当時、IT基本法の制定のときの本会議で、まさに機関の一元化であるとか人材の重要性であるとか、そういったことを言われておりましたし、アメリカでは非常にセキュリティーが低くて問題なんだけれども日本は大丈夫かというような話があったときに、それからIT基本法の話になって、逆にサイバーセキュリティーの観点はやや軽視される傾向があったというふうに私は思っておりますので、先生の御指摘は非常にごもっともで、まさにその情報の中身といいますか、我々が持っているデータなりシステムというものを我々自身が知る、つまり、データガバナンスなりシステムのマネジメント、あるいはOTの話も含めて、そういう体制を強靱に、それぞれの企業なり個人が持っていなきゃいけないという、それがまず大前提としてあるというふうに、それは全くおっしゃるとおりだと思いますので。それを前提にした上で、我々としてはいろいろな政策を展開していかなきゃいけない。
しかも、サイバー空間なり、テクノロジーとか攻撃のパターンとか、変化が非常に激しいですから、我々としてはやはり常にアップデートというのを考えなきゃいけない。
そうすると、今回法案ができても、施行までの時間がかかるということですから、それと並行して、今できることを常にやっていく。しかも、サイバー空間というのは、そういう非常に制約のある問題だ、だけれども便利だ、それは活用しなければいけないという、その両方のバランスを見ながら積極的に対応していくということに尽きるのではないか。つまり、常に安心しない、だけれども利用する、分かりながら利用するということではないかと思っております。
○市村委員 次に、大澤参考人にお願いしますが、今回、自衛権ではなくて警察権で、いわゆる攻撃というか対処するということであります。中で、先生がよくおっしゃっているのは、要するに、いわゆる国家公安委員長の関与というのは余りにもちょっと厳しいんじゃないかということをおっしゃられているんですが、その点について、もう一度詳しくお伝えいただければと思います。
○大澤参考人 お答え申し上げます。
今回、自衛隊法の改正の中で、三要件の中に国家公安委員会の同意又は要請ということが入っております。ただ、自衛隊が出動する場合、内閣総理大臣が意思決定をするということですし、特定事象を認定するということになりますので、政府として意思決定をした上で、そういったアクセス・無害化措置を行うということになります。
その上で、別途、国家公安委員会、それから三条委員会である通信情報監理委員会も承認をというふうになりますと、サイバー攻撃はリアルタイムで進みますので、実際に、一番最短ですとやはり数時間単位で被害が出るような場合もございます。そういった際に、持ち回りであっても、承認を得て実際に活動するということになりますと、やはりタイムラグがどんどん生じますので、このデジタルのスピードの時代を考えますと、なかなか、毎回承認を取る、同意を取るというのは、シームレスでタイムリーな対応をするという点では問題があるかな、この同意が本当に必要なのかというのは御検討いただいた方がいいかなというふうに思います。
○市村委員 次に、黒崎先生にお願いしたいんですが、今、先生、結局、幾ら教育しても、社会がまだそれを受容していないという話をされていました。まさに自衛隊、防衛大学、一番自衛隊が、サイバーセキュリティーという意味では一番の知見と技術を持っておるだろうと我々は推測をしますが、そこですら、そこでの教育を受けた人ですら社会が受容しないのでは私は大変問題だろうと思っておりまして、その点について、先生からまたお言葉をいただければと思います。
○黒崎参考人 ありがとうございます。
弊校防衛大学校でも、サイバー・情報工学科、通信工学科という学科もございますし、横須賀にも自衛隊の施設がございます、通信学校が。そういう意味では、今、自衛隊は、サイバー能力を構築している真っ最中だと思います。
先生御指摘のように、やはり一般社会が一体にならないと、このサイバー空間という、まあ、空間というのは、済みません、どうなんだというお話が今ございましたが、ただ、国民の生活、安全は情報通信技術というものにどんどん依存している中で、自衛隊だけ見ていても駄目で、任せていても駄目でという、そういう問題意識で、私、大学を拠点とした人材育成という意味で、国際法の理解の専門家の育成という観点で申し上げましたが、やはり、自衛隊とか警察とかに任せておけばいいという意識ではいけない、当事者意識を持たなければならない、そういうような時代である、環境であるというようなところは、人材育成の観点から、忘れてはいけない視点なんだというふうに考えております。
以上です。
○市村委員 最後に、吉岡先生、いよいよこれから耐量子の時代ということになってまいります。先生の御見解をいただきたいと思います。
○吉岡参考人 お答えいたします。
量子コンピューターというものが、実現が近づくということで、今までの社会のベースになっていた暗号等の技術というものが、それに耐えられるようなものが必要になってくるというふうに認識しております。
その中で、技術というのは急に変わるものではなくて、現在のものと耐量子の技術を持った次世代の暗号等の技術やセキュリティーの技術というのが急に社会に入ってくることにはなりませんので、いかにそれをシームレスに現行のものからうまく移行していくかということが一つ重要になってくると思っておりまして、それに対する、ベースの研究開発に加えて、そういった移行にうまく適用できるような制度ですとか考え方というのが大事になってくると思っております。
○市村委員 終わります。ありがとうございました。
○大岡委員長 次に、菊池大二郎君。
○菊池委員 国民民主党・無所属クラブの菊池大二郎でございます。
本日は、四名の先生方から貴重な御意見を賜りまして、本当に勉強になっております。
私からは、まず、吉岡先生に御質問させていただきます。
大学の方で非常に長年にわたって様々な研究をされている中で、先ほど先生からもお話ありましたけれども、通常の手続に基づく攻撃インフラの解体等の対策が間に合わない可能性もあると。先生、これだけ動的解析をされてこられて、IoT機器のマルウェアを収集して動的解析をして、場合によっては攻撃者の居住地域や国籍の手がかりを得ることもある、そういうお話でございますけれども、実際に検知をして、こういった特定をする、解析をする、時間的な幅といいますか、そしてまた、それに向かう人の体制、コストというのはどのぐらいかかるものなんでしょうか。
○吉岡参考人 お答えさせていただきます。
私たちは大学で、こういったIoTマルウェア等々の観測、分析というのをずっと行っておりますが、まず、先ほど冒頭の陳述でも申し上げたんですけれども、サイバー攻撃の攻撃を行う仕組み、インフラというのが非常に多層化、多様化しているということがございまして、なかなか大学の研究の中では、その入口のところまでしか見えないということがございます。
なぜかと申しますと、攻撃を行う側は攻撃インフラを多段に持っていますので、その先にあるものを見ようと思うと、実はそこにアクセスをしてみないとその先がどうなっているかは見えないということがございますので、私たちだけでは、こういったインフラの無効化ですとかテイクダウンと言われるような対策というのは、実はできないということになっています。
ですので、我々として、取りあえず、今行っていることとしては、情報収集を行うということと、情報を求められたときには、しかるべき対策ができる組織に情報を提供するということを行っておりまして、そのためのリアルタイムの情報収集というのを行っておりますけれども、その先に、実際にサーバーをテイクダウンするといったような処理というのは、手続を伴って行うものですので、かなり時間が一般的にはかかってしまうものだと思います。
また、基本的には国外にあるものが多いですので、その中での調整をした上での対策ということになっておりまして、かなり時間を要する、コストもかかるものだと認識しております。
○菊池委員 緊急性の判断というのが非常に、なかなか体感で感じられないものでして、要は、いとまがないという、このいとまの幅というのがなかなか理解し難いところがありまして、基本的に、何かを検知をして、それを特定して、いわゆるアクセス・無害化措置を取るというところに至るまでに、もう既に何かしらの事象が発生をして、拡大してしまうということが往々にしてあるのではないかということで、時間的なところをお伺いさせていただきました。
先生、その入口の部分だけでも、実際、どれぐらいの時間的な幅があるんでしょうか。時間を要するんでしょうか。
○吉岡参考人 お答えさせていただきます。
今、私たちの方でサイバー攻撃を観測してマルウェアを解析するのに、大体、収集してから解析を行うのに十五分ですとか二十分で解析はスタートいたします。そうすると、攻撃側のインフラの情報というのが見つかって、初期的な情報というのが得られます。
ただ、そこから、攻撃側の命令が届いたり、その観測というのは継続的に行っておりまして、その中で、異常が発生するですとかそういったものはかなり、実際のところはケース・バイ・ケースになっておりまして、ある時点で攻撃が非常に増えるということを検知する場合もありますし。
ということで、済みません、なかなか一言でお答えは難しいんですけれども、というような状況の中で異常というのを見つけていって対処する必要があるというものになっていると思います。
一言でお答えできないところです。済みません。
○菊池委員 続いて、同じように、情報機器についてお伺いしたいんです。
海外からの攻撃に対して、政府も、家庭用の機器もそうです、果たして国内のもので防御が可能なのか。要は、海外製のもので、システムも含め、大半がそういった状況になっているのではないかなというところを危惧しております。
政府が使用する情報システムだったり家庭用の情報機器も含めて、これは、情報だけではなくて、いわゆるお金も海外に流れるというようなところも懸念するわけでありますけれども、こういった点について、国内基盤の確立、それに向けた支援なんということも必要になってくるのではないかなと思いますけれども、先生の御所見をお伺いしたいと思います。
○吉岡参考人 ありがとうございます。
おっしゃるとおりで、私が主に専門として特に扱っているIoT機器の場合、国内の製品だけでなくて海外で作られたものが国内の中でも非常に多く使われていたり、それが攻撃に悪用されているという現状がございます。
様々な対策をするときに、海外製品のものに対して何ができるかということは、確かに限られている面もあると思います。一方で、そういった、乗っ取った機器を制御する攻撃が、先ほどから申し上げているインフラというもの、そちらの方に対して仮に対処ができるとすると、間接的にそういった海外製品についても攻撃を抑止することにつながるということもございますので、やはり総合的に対策をしていくということが一定の効果をもたらすということは期待できると思っております。
○菊池委員 吉岡先生、更に質問させていただきます。
無害化の程度についてちょっと教えていただきたいんです。
高見澤先生の資料の中にも、無害化措置の程度の軽重と手続の組合せというキーワードがありました。様々な攻撃を検知をして特定をして、そしてまた最小限度の範囲内で、被害と攻撃が均衡になるような形でやっていくということが必要だと思うんですけれども、この無害化の程度というものを、それも、どういったところでこの規模が妥当だというところが判断できるのか、その辺をちょっと教えていただければなと思います。
○吉岡参考人 ありがとうございます。
ここは非常に難しい問題だと思っておりまして、今、無害化を、実際に具体的にはどういうアクションを取るのかというところまでは、まだ明確には議論されていないという状況だと認識しておりますので、あくまで私が考えている中での話ということになってきますけれども。
おっしゃるとおり、無害化の処理というのは非常に慎重にやらなければいけないものだと思っております。例えば、ある機器ですとかシステムにアクセスをして、その中で、サイバー攻撃に関わる、例えばマルウェアですとか、それに関わるプログラム、プロセスというのを停止するですとか、又は攻撃者がそこにアクセスできないようにするといったようなことが一般的には考えられると思うんですけれども、そのときに、そのマルウェアが何かということ、どのプロセスかということを特定して、ピンポイントでそこを停止するということがうまくできれば、それは無害化対象のシステム全体に対する損害ですとかダメージというのは抑えられると思うんですけれども、それもかなりケース・バイ・ケースになっていると思っていまして、正規のプログラムに取りつく形で不正なプログラムが動いている場合に、それを無害化してしまうと正規の機能に影響を与えるという可能性がないということは言えませんので、そこはかなり慎重に行うべきだと思っております。
ですので、やはりそのところは、事前の分析ですとかそういったものを総合的に見て、ある程度想定し得る損害、被害というものを考えながら慎重に実施するということになるのではないかと想像しております。
○菊池委員 ちょっと視点を変えて質問をさせていただきます。
黒崎先生と大澤先生に御質問させていただきたいと思います。
先ほど来、武力の行使云々の話もございます。国際法上、いわゆる武力の行使の定義は確立していないということと、大澤先生が以前寄稿された内容に、二〇二二年末にスロバキアのサイバーセキュリティー企業が、中国のサイバー攻撃グループが二二年の我が国の参議院選挙を標的にサイバー攻撃に臨もうとしていたというようなくだりがございました。
いわゆる自衛権に対する侵害とか、サイバー攻撃を武力の行使とみなすか、その辺がまだ国際法上定まっていないという中であえてお伺いをしたいんですけれども、私の私見というか感覚からすれば、選挙、民主主義に対して干渉してくるというのは、いよいよそれは武力の行使に当たらないというところにとどまらないのではないかなというところも危惧をしております。
その点、この武力の行使というものにサイバー攻撃というものが含み得る場合ということも想定されるのではないかなと思うわけでありますけれども、実際に武力の行使にサイバー攻撃が該当する場合というのはどういった場合が考えられるのか、そしてまた、実際に該当するということになった場合に、我が国が取り得る対策、対応というのはどういったものがあるのかなというところをお伺いしたいと思います。
この点、先ほど来出ているような緊急避難、その部分で違法性の阻却をしていくんだということに力点を置いて国際的な支持、理解を得るんだというところで、我が国が主導的に先駆的な役割をしていくべきだというところも必要なのかなと思うんですけれども、その辺併せてお伺いできればと思います。
○黒崎参考人 お答えいたします。
まず、外国からのサイバー攻撃について、武力攻撃に当たり得るというのはこれまでも多くの国が認めてきたことだと思いますし、私の記憶が間違っていなければ、日本も、伝統的な武力攻撃と同じぐらいの被害が出れば、なり得るんだと。それに対して、武力の行使としてサイバー手段を用いる、そのためにサイバー防衛隊というのもできているわけですし、その際には、相手のサイバー空間における利用を妨げる能力というような形で武力の行使を、サイバー手段を用いて行うというような、ただ、これは武力攻撃が起きたときということで説明してきたことなんだと思います。
今回の法案は、全くそこまで至らないレベルということになるわけです。武力攻撃についても、重要インフラがやはりターゲットになって、それが従来の武力攻撃と同じぐらいの被害が物理的に出た場合であれば、ターゲットが同じでもこれは武力攻撃になり得るというような場合もあるけれども、そうじゃない場合が、ただ、一般的に想定され得る場合だろうということで、今回そこを何とか対処しなきゃいけないんだろうということで法案が出ているというふうに承知をしております。
やはり、そういうような、基本的に一番想定され得るのが、よっぽど、武力攻撃になることはないだろうけれども、ただ、いろいろなサイバー事案というものは、そこの烈度が低い、武力攻撃未満であるというところで何としてでも対処しなきゃいけない。
それをやはり武力で対処しなければいけないんじゃないかというような、そこまで至るぐらいの烈度でやらなきゃいけないんじゃないかという質問の御趣旨であるならば、少なくとも今回の法案は、非常に、公共秩序維持というような観点からやる、比例原則、いわゆる警察措置として。ただ、犯罪捜査ではないので、捕まえるとかそういうことじゃないので公共秩序維持という表現をしているというふうに認識しているわけですが。ただ、それが、やはり強調しているということは、エスカレーションを何としてでも回避したい、それは、やはり武力の行使の定義がないからこそ、多分日本は慎重になっているんだと思います。
やはり、それが武力の行使と安易に言われてしまうと、武力の行使となれば自衛権でないと我々は正当化できない国でございますので、それはできない。何としてでも、そういう定義がないからこそ、歯止めをしっかりかけて、しっかり濫用を防がなきゃいけない。
そういうふうに、範囲内でできることはやる。ただ、それが武力攻撃に至るぐらいまで、至ったということになれば、武力攻撃、自衛権に基づいて事態認定をしてやるというような形で考えているんだと思います。
取りあえずは以上でございます。
○大澤参考人 お答え申し上げます。
武力の行使に相当するサイバー攻撃は、やはり物理的な破壊を伴うものというのが従来からの定義というふうに考えております。
ただ、デジタルの時代になりまして、我々の過去の常識が定義として通用しないということがございます。例えば、情報戦、認知戦ですと、物理的な破壊はされていないんですけれども国民の意識が変えられてしまうということで、アメリカにおいては、大統領選挙に対する介入は、これは主権の侵害であるということで、ロシアのサンクトペテルブルクの実施主体に対して反撃が行われております。
ですので、こういった物理的な破壊を伴わないものについてどういうふうに我々として認識するのかというのは、やはり定義を変えていかないと対応ができないということになりますので、今回の法案ではサイバー攻撃が対象になっていますけれども、じゃ、情報戦とか偽情報の流布というのはどういうふうに捉えるのか、これも物理的な破壊と同様の効果があるというふうに捉えるのかというのは、不断に我々考えていく必要があるだろうというふうに思っております。
○菊池委員 終わります。ありがとうございました。
○大岡委員長 次に、河西宏一君。
○河西委員 公明党の河西宏一でございます。
四人の参考人の皆様、本日は大変貴重な御意見、意見陳述を頂戴いたしまして、心から感謝を申し上げます。
また、私の方からは、いよいよ本法案、本格的な立法措置というふうになるわけでありますけれども、これまでサイバーセキュリティー、またサイバー安全保障に御尽力をくださった四人の皆様始め全ての皆様に、心からの敬意と感謝を申し上げたいというふうに思っております。
まず、サイバーセキュリティーに関わる人材について、実務の現場で様々御経験も積み上げられてきました高見澤参考人と、また大澤参考人の方にお伺いをしたいというふうに思っております。
実際、このサイバーセキュリティーの現場で様々取り組まれる皆様の人材の不足というのは世界的課題である。世界で総需要一千二十万人に対して、アクティブな人材は五百五十万人という分析もあります。
その背景には、燃え尽き症候群でありますとか、あるいは、そもそも処遇が伴っていないとか、あと、先ほどありましたけれども、キャリアパス、これがいまいち明確ではないということ、また、週末の勤務が常態化しているというようなお話も伺います。
こういったサイバー対処に挑む方々がどういった環境に置かれているのか。その環境というのは、今申し上げた処遇でありますとか、あるいは組織の文化でありますとか、あと、先ほど高見澤参考人の資料の方に、サイバーに対する社会全体のリスペクトが重要なんだという、言及はされませんでしたけれども、資料に書いてございまして、非常に大事な言葉だなというふうに思いました。
そういった意味も含めまして、何がサイバーセキュリティー人材の皆様にとって課題なのか、また足かせになっているのか。公的な機関で御経験も積まれていますので、可能な範囲で、具体的な、またリアルなお話を頂戴できれば幸いというふうに思っております。
また、先ほど、吉岡参考人の方から、学術の立場からありましたけれども、人材の確保、育成、こういったことに対しても、どういった政府また社会全体としての取組が必要なのか、御所見をいただきたいと思っております。
よろしくお願いいたします。
○高見澤参考人 御質問にお答えいたします。
私自身は、やはり内閣のサイバーセキュリティセンターができたときに思いましたのは、基本的にはなかなか一体感が得られにくい形、つまり、全体の人材が非常に少ないので、あらゆる組織から人を出してもらうというような形でやって、政府自身のサイバーセキュリティーに関係する要員が、そもそも資源配分が少ない。ですから、よく言われるのは、法律に関しての人材は非常に多いけれども、技術的なこととか現場でやるための高い専門能力を持った人間というのは非常に少ないという。
そういう、全体の、いわゆる公務員の配分の問題というか、それが非常に、伝統的な右肩上がりの、国家建設型の人材構成になっている、そこが非常に大きいところがあるのではないかというふうに思います。
それから、二つ目は、非常にリソースが少ない中で、二年、三年で代えなきゃいけないということが非常に多くて、私自身も、実際に日本年金機構の問題が起きているときに非常に有力な分析者が異動の時期を迎えてしまうというようなことがあったときに、その異動を防ぐのがなかなか大変であったりしました。
私自身、一度異動した人を呼び戻したことがあるんですけれども、そのときは、彼からは非常に喜ばれて、私の能力を生かせる職場じゃないところに行っていましたので、呼んでいただいて非常にありがたかったですみたいな形になり、実際に彼を呼び戻したところで職場の士気がぐっと上がるというようなことがありました。
ですから、私は、そういう意味で、この仕事の重要性であるとか、それから、その分野については十年、二十年やってもいいんだというようなことが必要だと思いますし、また、民間に行って新たな環境の下でその能力を発揮できるようになりながら、また役所に戻ってくるとか、そこの、いわゆるエコシステムといいますか、人材の流動性を確保しなければいけない。それができていないのではないかなというふうに思っていますので、何とか、若いうちから、若い人が、プロ野球とかJリーグのように、これも、eスポーツではないけれども、サイバーセキュリティーという分野が非常に格好いいというようなことを若い人に思ってもらえるような、そういったことが非常に必要ではないか。
だから、政治家自身が、サイバーセキュリティーの重要性なりサイバー人材の重要性ということについて強く訴えていただければというふうに思います。
ちょっと長くなりました。恐縮でございます。
○大澤参考人 お答え申し上げます。
リアルなお話だということでしたので、一つ事例を申し上げますと、攻撃者もちゃんと曜日を選んで攻撃してまいります。対応が難しい金曜日の夕方というのはやはり狙い目でして、そこでシステムを止めるとなかなか、対応する人間はもう休みに入っていたりしますので。そういう点では、システムが止まる攻撃は金曜日の夕方に発現することが多くて。幸い日本は、例えばヨーロッパとずれていますので、その後、土日に入ってからということになりますが、そういう点では、システムを復旧させるまでは仕事をしなければいけないので、現場のエンジニアの人は、土日だろうが深夜であろうが、直るまで現場でフィックスをして終了するという現状がございます。
それから、処遇面でも、日本の場合、なかなか給与体系が、官庁も官僚の行政職の待遇になりますし、会社でも特別にサイバーの人材をというわけにいかないんですが、例えばアメリカですと、大学院を出た初任給、今ですと三十万ドルをつけるというのが一般的というふうに聞いております。そういう点では、日本の恐らく七、八倍だろうというふうに思いますので、そういった点で、いかに処遇をするかというのは重要なんですが、ただ、その処遇も、人材育成のエコシステムの中でこの価格がついていますので、高い給与がもらえるので、やはり一生懸命勉強する、それなりに人材の数も出てくるという形になっております。
人材育成の点では、例えばイスラエルですと、高校生ぐらいのときに数学、プログラミング特性を見極めて、国が奨学金を出して集中的に理系人材を育成しておりますし、我々の正面にいる北朝鮮も、やはり若いときに選抜して、軍の大学に入れてサイバー攻撃の技術を勉強させるというエコシステムを築いております。
日本では、そういう点では、そういう集中的に人を養成するということが行われておりませんので、教育の段階からエコシステムを念頭に、最終的にキャリアパスで十分稼げるようなエコシステムの確立、これが必要かなというふうに思っております。
ありがとうございます。
○河西委員 大変参考となる、また示唆に富んだお話をありがとうございました。
私も、以前、サイバーセキュリティーの専門家から、本当にこの分野を重視している国のトップリーダーというのは、軽々に、我が国のサイバーセキュリティーが遅れているなんというようなことは口にしないんだということをおっしゃっておりました。本当に現場では過酷な状況で、一生懸命。ただ、ふだんは安全が当たり前になっておりますので、インシデントが露見すると、何でこうなっているんだというように責められてしまう。こういったことをよく我々政治家も踏まえながら、これからの取組にしっかりと生かしてまいりたいと思っております。
続きまして、吉岡参考人に、中小企業のセキュリティーレベルの向上についてお伺いをしたいと思います。
近年、経済安全保障でありますとか、あるいは安全保障委員会の方では防衛産業の基盤強化、また、セキュリティークリアランス制度、そして、今回のサイバー安全保障ということで、私も、幸いにも、今申し上げた法案は全て委員会で携わらせていただきました。
こうした中、本日も話題になっておりますけれども、必ず課題として提起されますのが、中小企業、特に小規模事業者における情報セキュリティーの対応の難しさということであります。
私は、以前、サラリーマン時代に、サイバーというよりかは情報セキュリティーの担当の部局にいたことがありまして、必ず専門の、専従の職員、社員と、そして組織が必要になってくる。様々な文書も整えなきゃいけないし、事前、事後のいろいろな取決めもしっかり整えていかなければならないということで、小規模事業者になりますと、ほとんどそれは不可能だろうと。人もいないし、コストもかけられないし。こういったことに対してどのように対応すべきか。
ちょうど今週、マイクロソフトが、セキュリティー対応を自動化するAIエージェント、今非常に急速に進んでおりますけれども、セキュリティーコパイロットを、機能を拡張して対応していくんだと。ただ、多分かなりコストがかかるんだろうというふうに想像しているわけであります。
こういったサービスも、ニーズがフィットすれば中小企業等にも活用してもらいたいと思うんですけれども、こういったことに対して、どうコストを捻出し、価格転嫁していくのかというテーマがあるわけでありますが、政府の取組を含めて、御指導いただきたいというふうに思っております。
○吉岡参考人 お答えさせていただきます。
まさに御指摘があったとおり、中小企業のセキュリティー対策ということで、人も金も足りない、時間も足りない、仕組みもないということで、難しい状況だというふうに理解しております。
サイバー攻撃の話になりますと、非常に高度な攻撃ということがいろいろ取り沙汰されるわけですけれども、私、見ておりますと、攻撃の多くは、非常に基本的な対策を実は怠っていたことが原因だということもまだまだ非常に多いと思っております。そこに対して全てすごくコストがかかるかというと、そういうわけでもなくて、基本的な、例えばパスワードを変えているかですとか、更新をしっかりしているか、当たり前のように言われていることなんですけれども、それすら実はできていなかったということが多々あるというふうに認識しております。
最近ですと、VPNの、リモートアクセスで使うための機器が、いまだに更新がしっかりできていないですとか、そういったところが侵入の原因になっているということが多々ありますので、そういった基本的な対策をできるだけコストを抑えながらやっていくということでも多くの攻撃は防げるということがあるかなと思っております。
一方で、先ほど申し上げたんですけれども、そういったことをチェックするためのチェックリストですとか、そういったものも整備が進められていますので、まずそういったところを御覧いただいて対応するというのが最初のステップだと思っております。
とは申しましても、やはり最低限の人材を確保するということは必要になると思いますので、それはやはり経営側の理解と、このサイバーの最近の状況というのをよく御理解いただいて、そこに少しでも人材リソースを割いていただくということが重要になるかと思いますので、政府の皆様におかれましても、その点を強調できるような施策を更に、既に実行していただいていると認識しているんですけれども、更に進めていただけるとよいというふうに思っております。
以上です。
○河西委員 ありがとうございます。
人材の確保ということもありますし、私は、理想的には、やはりこのAIエージェントを何か安価な形で導入できるような、そういった仕組みが官民でできればいいのかなと。非常に便利で分かりやすいということがありますので、こういったことも取り組んでいきたいというふうに思っております。
続きまして、最後になるかも分かりませんが、国際法との整合性について、黒崎参考人と、また大澤参考人にもお伺いをしたいというふうに思っております。
アクセス・無害化措置、武力の行使ではないんだと。そして、国際法上許容された範囲内でやることは当然でありまして、先ほどから話題になっておりました違法性阻却事由、こういったことが、対抗措置か緊急避難かということがありますけれども、ただ、黒崎参考人の論文を拝見しましても、違法性阻却の抗弁が、するんだけれども、それが成り立つか否かというのは、これは非常に分からない面が多いと。要は、各国でどういう見解があるのか、これは様々であるので、非常に、事前の取組とか不断の精査とかということが大事であると。
私は、一言言えば、政府に見極めるための情報と力量、場合によってはインテリジェンス能力なんかということも非常に大事なんじゃないかというふうに思うわけでありますけれども、この点について、重要性、また政府に求める取組、黒崎参考人、また大澤参考人にお伺いをしたいというふうに思っております。
○黒崎参考人 お答えいたします。
やはり、国際社会、二百弱の国連加盟国で、たくさんございます。一か国一か国の動向とか情報をどうやって収集し分析するか、これは別に国際法に限ったことではないんですけれども、喫緊の可能性という点でいうと、やはりサイバー分野というものはプライオリティーを上げていかなきゃいけないということになるんだと思います。
欧米主要国と同等ということでありますけれども、より広く見極められる平素からの情報を可能にするだけのリソースをつぎ込められればつぎ込められるほど、国際法の支持は得られやすいということだけは強調しておきたいと思います。
手短でございますが、以上です。
○大澤参考人 お答え申し上げます。
まさに先生おっしゃられた、政府の情報分析能力、これは非常に重要だと思っておりまして、例えば、インターポールを通じて、ランサムウェアをやっているグループ、これは東欧で、ウクライナ等で差押えをしたケースがございます。これも、国際間の協力の中できちっと情報協力をして、サイバー攻撃の様態をお互い分かった上でそういう強制措置をしておりますので、今回、アクセス・無害化措置の際も、少なくとも、欧米の同志国とはきちっと情報交換をする、説明をするといったことが事前に重要だというふうに思っております。
○河西委員 終わります。ありがとうございました。
○大岡委員長 次に、上村英明君。
○上村委員 れいわ新選組の上村英明と申します。
今日は、四人の先生方、お時間を取ってこの場に来ていただきまして、どうもありがとうございます。
まずは、吉岡参考人に御質問したいんです。
三月二十一日に、今も議論に出ましたけれども、中小企業の対応についてちょっとお話をしました。もちろん、能動的サイバー防御のある意味では土台に当たる部分がしっかりしているかどうかというのは、この法案を考えるときでもすごく大事じゃないかなというお話をさせていただいたんです。
ちょうど、政府系の機関が二〇二四年に発表した、中小企業の情報セキュリティーに関するデータというのがございまして、例えば、現在、組織的に情報セキュリティーの取組をしているかどうかということに対して、していないという企業が七割。中小企業です。それから、この三年間に、やらなかった、投資をしなかったという企業が六割という状況があります。
この三年間というのはどういうことかといいますと、二〇二一年に経済産業省のサイバーセキュリティお助け隊という組織ができて、その三年間でどれくらい改善されたかというのが今回の調査の目的だったんですけれども、この三年間でもやはりなかなか進んでいなかった。
さらに、経産省がつくっている補助金事業というのもあるんですけれども、その補助金が五万円から百五十万円、しかも、これに関しては民間事業者が三分の一から二分の一を負担しなくちゃいけないという条件付でこの金額です。
一つの組織が情報セキュリティーを入れるとしたら、あるいは、今おっしゃったように人材を確保するとしたら、百五十万円の補助金では多分足りないというふうに思います。その意味でいけば、この能動的サイバー防御の土台の部分をしっかりさせるという意味では、これは民間がこのプログラムに対してかなり財政的な負担を確保する、あるいは政府がここをカバーできるような財政的な支援を考えるということが同時にないと、この辺がまさに脆弱性のポイントになってサイバー攻撃が展開してしまうということにならないかというふうに思うんですけれども、この辺に関して知見をお伺いできればと思います。よろしくお願いします。
○吉岡参考人 御質問についてお答えいたします。
私、比較的、技術の専門家でございまして、企業の経営ですとか、それに対してサイバーセキュリティーのコストがという面で、もしかすると知見が不十分かもしれないんですけれども、分かる範囲でお答えさせていただきます。
おっしゃるとおりで、人をそこに充てる、また技術的な対策をするということで、例えば百万、二百万という数字が出ていましたけれども、必要なコストがかかるということは確かであると思います。
一方で、先ほど別の質疑の中でもあったんですけれども、お金だけかければできるかということではなくて、実は、押さえるべきところを押さえるということをうまくやりますと、必ずしもコストをかけなくてもできることもまだまだあるというのが私は個人的に思っているところでありまして、どちらかというと、意識ですかね、企業側の意識の方がまだ十分ではないのではないかというふうに思っている面もございます。例えば、こういった政府の資金的な援助ですとか、そういったことをそもそも認識をされているのかどうか、中小企業の皆様、特に経営陣の皆様がそういったことをそもそも認識されているかどうかということも気になるところであります。
一般的には、被害が起きると急に大ごとになって対応し始めるというところがありまして、被害が起きるまではどうしても他人事というふうに思ってしまうところもありますので、資金的な面でのサポートに加えて、やはり周知という点を充実させるべきかというふうに感じます。
以上です。
○上村委員 ありがとうございました。
企業の場合は、いろいろと企業の経営自体が大変だということで、なかなか、意識と余裕を持てるかどうかという部分の相互関係にはあると思います。
では、次に黒崎参考人にお尋ねしたいんです。
三月二十六日のこの委員会で外務省の方を呼びました。なかなか外務省の方がこの場に来るというのはなかったみたいだったんですけれども、何を確認したかというと、タリン・マニュアル二・〇、今、三・〇の作成が進んでいるというふうに思うんですけれども、この問題と、それから国連のGGEの第六次報告書に関することの確認をやりました。
一つは、GGEの第六次報告書の日本政府の立場という文書を出しておられるんですけれども、これは依然として今でも大丈夫なのかということを確認いたしました。それから、この二点の文書が、国際法上のサイバーセキュリティーに関する重要な文書だと。よく、例えば、こういうものを取り仕切る条約がないと、国際的合意がないだろうみたいなことをおっしゃる方が多いんですけれども、国際社会では、実質的に合意的な文書がまとまればそれに従って行動を起こすということが当たり前なので、そういう意味で、この二点の文書の確認をいたしました。
その上で、これは黒崎さんのおっしゃっていることとつながるのではないかなと思って御質問させていただきますが、こうしたGGEの第六次報告書の中でも、サイバー行動が戦争とか紛争の原因にならないように慎重にやるべきだというニュアンスが非常に各所に出ている文書だと思いまして、特に、信頼醸成措置を構築すべきだという提言がございます。これは、連絡事務所を置くとか、それから定期的な協議をする機関を設けるとか、これが、今、多分、この場で議論されているような同盟国とか同志国間のものではなくて、むしろそうではない、問題が起こりそうな国やそれに影響を受けるような国々との間もある種の信頼醸成をしなくちゃいけない、そのために、例えばマルチの、国連のような場を使ってこうした措置が取られるべきだというふうにお話をしたんですけれども。
先生がおっしゃっている、日本はACDの対象とする国とそれにより影響を被る可能性のある国が以上の国際法原則についていかなる立場を有しているかを精査すべきだというふうにおっしゃっているんですけれども、私の認識と先生の認識というのはつながっているでしょうか。その辺、ちょっと確認をお願いします。
○黒崎参考人 お答えします。
三点ほど御質問をいただいたと認識しております。うまく答えられなかったら申し訳ございません。
まず、タリン・マニュアル、そして国連総会のGGE、政府専門家会議の報告書、二〇二一年の報告かなというふうにお伺いしていたんですけれども。
まず、タリン・マニュアルと申しますのは、NATOの研究機関、別にNATOの見解を代表するものではないんですが、個人の資格で参加している国際専門家集団でございます、それが、基本的に現在存在する国際法をサイバーの空間で当てはめればどういうふうなルールになるのかというものを提示したものであります。
これは、確かに、条約とかいうような、慣習国際法とか、それ自体、法としての形式を持っていませんが、実際に、まさに上村先生がおっしゃったように、多くの国が参照しているんですよね。そういうような影響力をやはり無視してはいけないんだと思います。その意味で、非常に重要な文書であるというような、学術的な側面も持ちつつ、規範的な価値もあるものだというふうに認識しております。
GGE、政府専門家会議の報告書におきましても、これも国連総会でできたもので、国連総会の決議というのは拘束力はございません、勧告しかできないというルールになっておりますが、ただ、世界人権宣言なんかがそうですけれども、あれは国連総会決議なんですが、それ自体は拘束力はないけれども、その後どういう評価を得てきたかというのを考えれば明らかなんですけれども、国際人権法の基礎を成し、国連人権規約を生み出す原動力となり、そういうような発展を生み出すものでございますので、GGE報告書もそういった価値がある。
実際、手元に私が持っている国際条約集でも、法的拘束力はないんですけれども、このGGE報告書は載っています。それだけやはり規範的価値があるものとして、ここでも載っているという、価値があるということでございます。
普遍的な枠組みの必要性ということでございますけれども、まさにおっしゃるとおりで、とはいえ、一番、顔が見える者同士も同時並行して交渉をするというようなことも重要ですけれども、やはり国際法の発展という意味では、普遍的な枠組みというのは重要であるということはそのとおりだと思います。
今、国連というのは、やはりいろいろな意味で存在意義が問われているようなところだと思いますが、ただ、これに代わるものというのはないと思います。やはり、ほぼ全ての国家が参加していて、国際社会を代表しているとなったら、国連しかないと思います。総会はそういう場でございますので、先生がおっしゃるように、そこで生まれる規範的なものというものはやはり我々は軽視してはいけないと思いますし、条約とかそういうものだけを見てはいけないということに関しては、完全に同意いたします。
以上です。
○上村委員 ありがとうございます。
最後に、全ての参考人の方、答えられる方で結構なんですけれども。
日本政府は、法案の目的を、サイバー安全保障分野での対応能力を欧米主要国と同等以上にさせることということを掲げていらっしゃいます。これを聞くと、全ての欧米主要国が能動的サイバー防御を行っているかのように受け取るわけなんですけれども、例えば私の知見でいけば、サイバーディフェンス研究所に名和利男さんという専門家の方がいらっしゃるんですけれども、能動的サイバー防御を政策にきちんと反映しているのはアメリカとイギリスだけで、その他の国では、例えば、回復力のあるサイバーディフェンス政策、これは、サイバー攻撃は完全に防ぐことが難しいという前提で、攻撃を受けた後の迅速な復旧や事業継続性に重点を置くサイバーディフェンスという考え方もあるというふうに聞いております。
こういう意見に関して、参考人の方で、我々がアメリカを見過ぎているのではないかという視点に関してはどういうふうにお考えでしょうか。御意見をいただければありがたいです。
○吉岡参考人 お答えいたします。
この点につきましては、私も十分に知見を持っていないところもございます。能動的なサイバー防御の実態というのは、なかなか私たち学術研究者にも知れるところでない部分もございますのでお答えが難しいところもありますけれども、一般論と状況から申しますと、アメリカ、イギリスのみにこういった活動が行われているかと申しますと、はっきりと分からないところもあるんですけれども、基本、こういったサイバー防御に対する重要性とそれに対する対応は各国とも重要視しているということは間違いないかなという印象を持っております。
済みません。以上です。
○黒崎参考人 手短にお答えいたします。
まず、やはりアクティブサイバーディフェンスというものをどういうふうに、それぞれの今先生がおっしゃった国々がイメージされているのかもかなり違う中でありますので、なかなか一律に評価はできないのかなというふうに考えております。どこまでの目標設定で、何に関してそれを実現するのかということ次第かなというふうに思っています。
アメリカ寄りじゃないかみたいなことにつきましては、少なくとも国際法の観点からしますと、例えば、ここでもいろいろ御質問いただいている武力というものの考え方は、アメリカと日本は全然法的に違いますので、極めて公共秩序維持ということを強調されていると思いますように、そこは、法的なレベルでは少なくとも、実態は同じじゃないかと言われる部分については私は何とも申し上げられませんが、全く違う枠組みだなというふうには常日頃感じております。
以上です。
○高見澤参考人 お答えいたします。
私の感じは、アクティブサイバーディフェンスの定義も曖昧ですし、日本語の能動的サイバー防御というのは、まさに今回の法案に示されているところを見れば、極めて最初の基本的なステップだというのが実態だろうと思います。
ただ、私が非常に重要だというふうに思っておりますのは、実際の行動に当たって日本独自として何が必要かということを考えたときに、先ほど申し上げましたけれども、サイバーセキュリティーに関する世界最先端の概念、技術等を常に積極的に活用する、むしろこちらの方ではないか。つまり、我々が今のサイバー安全保障の中で置かれている環境というものを客観的にできるだけ正確に認識をして、それに対する技術とか概念というものをしっかりとつくっていくということではないか。それに尽きるかと思います。
○大澤参考人 お答え申し上げます。
英米以外の主要国でも、フランスですとかオーストラリア、こういったところで、いわゆる我が国の能動的サイバー防御と同じような形の対応措置が取られております。ただ、明言するかどうかというのは各国によって違っておりまして、インテリジェンス活動の中でやっていくという国もございます。
攻撃者に対するアクセス・無害化だけで十分なのかということなんですが、やはりサイバーの世界、全てに効く処方箋はありませんので、当然、攻撃された後の復旧、レジリエンスの能力も高めなければいけませんし、そもそも攻撃されないようにするという、守る側の能力も必要になります。
ただ、我々今までやってこなかったのは、攻撃者に対して持続的に関与していくということは今まで政策上も対応策としてもやっておりませんでしたので、そこはきちっと今回の法案でできるようにする必要があるだろうというふうに思います。
○上村委員 時間がなくなりました。
御丁寧な御回答、どうもありがとうございました。
○大岡委員長 次に、緒方林太郎君。
○緒方委員 最後、よろしくお願いいたします。
四人の参考人の皆様方、本日、貴重な陳述、ありがとうございました。
まず、黒崎参考人と大澤参考人にお伺いしたいと思います。
今回の警職法におけるアクセス・無害化の措置というのはどこに書かれているかというと、六条の二でありまして、六条というのは何かというと、立入りなんですね。七条が武器の使用なんです。私は、これを見ていると、何か、むしろ今回の措置は武器の使用に近いのかなというふうに思うんですね。
実際に警職法第七条に何と書いてあるかというと、先ほどから何回も出てくるとおりですが、違法性の阻却事由として緊急避難が書いてあるわけですよね。何となく親和性が高そうに見えるんですけれども、今回の措置は、何か、武器の使用というふうに見た方がいいんじゃないかと思いますが、御見解をお伺いしたいと思います。
○黒崎参考人 お答えいたします。
国際法の専門家である者からの意見という形でお断りさせていただきたいと思いますが、政府は、公共秩序維持のための即時強制というような位置づけであって、これは武力の行使ではないというところがやはり一番重要なものなんだと思います。やはりそこのたてつけというものを考えたときに、恐らくそういうことになったんだろうな、立入りのところにと。
私自身、それがどういう経緯かというのは存じ上げておりませんので、これぐらいしかお答えできませんが、ただ、しかしながら、やはり、そういったような、武力の行使というもののところではない、そして、緊急避難と緊急状態、恐らく、刑法上の緊急避難じゃないよ、一緒にしないでということが、恐らく緊急状態という表現を、これも全く私の推測でございますが、確かに全然違う条件でございまして、本質は似ているところはあるかもしれませんが、多分、そういうような背景があって、そういうようなことになったのかなというふうに考えている次第でございます。
以上です。
○大澤参考人 ありがとうございます。お答え申し上げます。
六条の立入りのところなんですけれども、今回、アクセス・無害化措置で忘れがちなのが、実はアクセスがすごく重要ということなんですね。アクセスをして、そこで、どういうマルウェアがあって、どういうふうに国家が指示をしているのかという証拠をちゃんとつかむ、それによって攻撃者を特定することが実は一連の措置の中で一番重要な部分になりますので、そういう点では、六条の立入りで、悪いことをしているじゃないかというのをちゃんと見極めるというのが非常に重要になると思います。
その上で、無害化の措置は、先生おっしゃられますように、相手のコンピューターの機能を止めますので、これはある程度、武器の使用に近いような概念になるかというふうに思っております。
○緒方委員 続きまして、高見澤参考人にお伺いしたいと思います。
今回、サイバーセキュリティーに関する業務が非常にいろいろと拡大をしていくわけですが、じゃ、今後、内閣官房に置かれているNISCはどうなっていくんだろうかということをやはり思うんですね。国家安全保障戦略においては、サイバー安全保障の政策を一元的に総合調整する新たな組織をつくるということになっているわけでありますが、こういう組織において、副長官補としていろいろ御経験がおありだと思いますし、こういう新たな組織が出ていくときの課題、どのようにお考えでしょうか。
○高見澤参考人 お答えいたします。
国家安全保障会議ができ、国家安全保障局ができるときにどういうことをやったかということをちょっと思い返してみますと、それぞれの組織の法律上の任務というものはあるんだけれども、それを具体的にどういうサイクルで実際に展開していくのか、あるいは、定例的な会議ではどういうものが必要になるかとか、どういったアウトプットが必要になるか、あるいは情報のフローをどうするか、それから、どういった人材を確保するのかというようなことを、あらかじめ、国家安全保障会議設置法ができてから、法案準備室でいろいろやるのと並行しながら、我々、いろいろな業務フローというのを考えたわけでありまして。
恐らく、新しいサイバーセキュリティーの司令塔的になる部分については、じゃ、どういう政策文書を出すんだと。だから、政令、省令、やらなきゃいけないことがたくさんあると思うんですけれども、それと並行して、実際の実務の流れというのをすごく想像してやっていかないといけない。それを、いろいろな形で、しかも内閣官房だけでは完結しませんから、関係省庁との関係でどういった形でやるのかというようなことを含めて検証していかなきゃいけないんじゃないか。その過程で、何をしなければいけないということが非常に明確になってくるのではないかなというふうに思います。
それで、一方で、NISCの場合はやはりサイバーセキュリティーに徹したところがあるわけですけれども、一方で、事態対処の観点とか国際的な観点とか、非常に総合的な観点が必要になると思いますので、私としては、アイコンタクトで一緒に働けるような局長レベルあるいは次官級のところの、一緒に働ける意識といいますか、それぞれの制度を知悉した上で一緒に働いていくような形のワーキングリレーションシップというのができるかどうか、これが鍵になると思いますので、そのために、この施行までの時間というのは非常に限られているかもしれませんけれども、そこをしっかりやっていただきたいというふうに考えております。
○緒方委員 ありがとうございました。
続きまして、高見澤参考人に引き続き御質問させていただきたいと思います。
今回のこのアクセス・無害化の措置から、グレーゾーンの部分が多いということだったんですが、これは実務的なところなんですけれども、事態認定の難しさというのが物すごく出てくると思うんですね。先ほどからエスカレーションの話が出たんですが、私、行け行けどんどんではないんですけれども、エスカレーションの問題があるのと、それと同時に心配しなきゃいけないのは、ずっと事態をどう判断しようかなと待っているうちにトゥーレートになってしまうということについても、これも心配しなくてはいけないということなんだろうというふうに思います。
そういうケースがあり得ると思う中、そういうのを防がなきゃいけないと思うんですね。グレーゾーンの部分って、多分、どこまでがグレーかというと、むちゃくちゃグレーって広いわけでありまして、最後真っ黒になるまで全部グレーというわけにもなかなかいかないのかなと思うときに、その事態認定が後れを取らないということについてどのような留意が必要だろうと思われますでしょうか。
○高見澤参考人 私は、今回の法案で非常に重要なことは、平素からの活動というものが非常に重視されているということではないかなというふうに思います。
ですから、国家的な背景とする組織的、計画性のある行為というのは恐らく今も日常的に行われているという状況だというふうに思いますので、そういった実態を踏まえて、平素からの協力体制、つまり日本がサイバーセキュリティー上どういう環境に置かれているかということを政府が官民の連携の下に把握しているという状態が非常に重要だというふうに思いますので、その中で総合的な変化量というのを常に把握していくという体制をつくるということだろうと思います。
それから、同時に、これまでの国家実行、要するに、ほかの国の国家実行をよく見極めながら、例えば、ロシアがやったこと、北朝鮮がやったこと、中国がやっていること、多々あると思いますけれども、あるいはアメリカなりイギリスがやったことというのを全部見ながら、我々は、その後のサイバーセキュリティーの状況のエスカレーションなり変化というのがあるのか、あるいは、その背景にある意図というものをどういうインディケーターで見積もっていくかというようなことも含めて、平素からのシミュレーションといいますか体制づくりというのを徹底して行っていくということではないかなというふうに思います。それに尽きるのではないかと。
あと、事態認定の最大のポイントは、やはり、内閣総理大臣なり安全保障会議の四大臣会合なり、そこでの、政治家がふだんからそういった情報に接して常に鋭敏な感覚を持ったところで意思決定といいますか政治的判断を行って、さらに、情報を要求するなり、同盟国なりいろいろな信頼できるところとやったり、そういうことを踏まえて迅速に意思決定をしていただく、こういう心構え。ですから、私、先ほども、総理大臣を含めた形でのシミュレーションなり演練というのが重要だというのは、そういう意味でございます。
○緒方委員 続きまして、大澤参考人にお伺いをいたしたいと思います。
この法律は、要するに警察権で対応できるところを最大限までぐうっと広げて対応するということなんですが、これは国会でも委員会審議でもあったんですが、じゃ、その先の自衛権の話はどうですかと言ったら、その話は全く別ですというような答弁になるんですね。そこに実はシームが生じるんじゃないかと思うんですけれども、そのような御懸念について、どう思われますでしょうか。
○大澤参考人 お答え申し上げます。
今回、かなり早い段階から警察と自衛隊が共同してサイバー空間に出るということが法律上定められておりますので、マックス、グレーゾーンが上がっていくと、最後の段階ではもう既に自衛隊の部隊がかなり対処をしている、そういう状態で、仮にそこから武力攻撃事態ということになった場合にも、もう既に出動はしていますので、シームレスに、後は、自衛隊法上の武力攻撃事態、自衛権の出動というふうに切り替えるということで、かなりそこの点ではシームレスにできるかなと思います。
ただ、政府の側は事態認定が必要になりますので、そこを迅速にやっていただいて、デジタル空間でもう出動しているのは出動していますので、あとは権限が少し変わるということになろうかと思います。
○緒方委員 最後に、黒崎参考人、高見澤参考人、大澤参考人にお伺いしたいんですが。
今は事態認定のところでシームが生じるんじゃないかという話をしましたが、今度、諸外国と連携してやるときのその対応の中にシームができるのではないかという懸念というのはやはりあると思うんですね。
サイバー攻撃を広く主権侵害と捉える国もありますし、アメリカは原発やダムの攻撃についても武力攻撃だという見解を持っているんですが、これは十年前から私はこの件をずっと聞き続けているんですけれども、日本はどうですかと言ったら、アメリカの実行を参考にしていますとしか言わないんです、参考にしていますとしか言わないんです。
日本も、例えば、原発を攻撃されました、ダムを上流で壊して洪水を起こすような事例について、どうですかと聞いたら、あくまでも参考ですとしか言わないんです。ここを非常に、もう十年たつんだから踏み込んで言ったらと言うんですけれども、次回ちょっと聞いてみようと思っているんですけれども、多分、参考と言い続けるんですね。
こういうところのずれが出てくるということでありまして、連携関係にある国と共同対処をしなきゃいけないときに、何が武力攻撃なのか、そして、どこまでやっていいのかということについてそろわないことの課題について、どうお考えになりますでしょうか。
○黒崎参考人 お答えいたします。
おっしゃる点は、本当に実務的にも重要だと思います。
結論から申し上げますと、やはり異なる枠組みである以上、しかしながら、運用でそこをそろえるしかないということになろうと思います。
ただ、国際法の観点から、それを前提に申し上げますと、やはりアメリカは認定権が全然日本と違う。やはり、事態認定は閣議決定事項であるというのが日本でございます。しかも、武力攻撃事態ということになると、戦後初めて日本が武力の行使をするとか、非常に重い政治決定が、戦後初になるし、そういうことはあってはならないわけですが。アメリカとは全然違う、まず政治状況とか歴史がございます。
アメリカは、ユニットセルフディフェンスという概念がございまして、ユニットコマンダーが、これも自衛権の一種なんですが、アメリカの独自の考え方なんですけれども、指揮官が判断できるというような、そういう認定権が、極めて現場が、まさにシームレスに対応できるように現場の指揮官がアメリカを代表してやっていいというような、判断をですね。やはりそういうところも根本的に違いますので、運用の仕方というところとか政治体制の在り方等も反映してだと思うんですが、そういうことがございますというところは申し述べたいと思います。
以上です。
○高見澤参考人 基本的に、今黒崎参考人がおっしゃったとおりだと思いますけれども、私は、制度が違いますので、必ずそこは違いがあると。
それから、今までのプランニングとかトレーニングの中で同じ形だと思っていたことが、そのときの政治家の意思によって突然変わるということも逆にあると思いますので、そういったことを前提としながら何をやればいいかということになると、やはり、ふだんからの要するに情報の共有、あるいは人の行き来に厚みをつけるというようなこと、それから、いろいろな共同の計画、共同のプランニングをしっかりしておくということ、最後には、いろいろなそういったことに対するリスクのシェアリングをするということで、そういったことがまさに同盟の基本でもあると思いますので、そういう形でやっていくということだろうと思います。
それで、最も大事なのは、それが役所の中だけではなくて、政治も含めて、あるいは委員会のような場も含めて、総合的にそういうものであるということがある種共有されて、最後はそれを、国会の意思なり、あるいは総理の責任あるいは大臣の責任においてやはり決断をする、それに尽きる。そのためには、直接大統領と電話をする、それぞれのカウンターパートとやる、NSSとNSCでやるみたいな、そういう体制を常につくっておくことではないかというふうに考えます。
○大澤参考人 ありがとうございます。
確かに先生がおっしゃるように、アメリカは自衛権の行使で出る、日本は警察権になるという、グレーゾーンのときにはかなり、そういう面では枠組みの違いは生じるんですけれども、ただ、行為主体を見ますと、アメリカもFBI、警察権を持っている司法省とサイバー軍が一緒に活動をしております。今回、やはりこの法案で初めて日本で警察と自衛隊が一緒にサイバー攻撃に対応するんだ、そこは自衛権か警察権かという差はありますけれども、ただ、アメリカもほかのヨーロッパ諸国も、警察と軍隊がやはり一緒にサイバー攻撃に対応しているというのはフランスでもありますので、今回この法案で初めて日本がそういう体制をつくれるようになるということになります。
そこのグレーゾーンの事態の国際的な協力は、恐らく国際司法共助という形で、カウンターパートの警察組織と密接に連携をしてやっていくことになると思いますが、この一歩は非常に大きいと思いますので、サイバー攻撃に対処する上では、警察と自衛隊がやはり一緒に初めて活動できるようになるという法案の意義は非常に大きいというふうに思っております。
○緒方委員 終わります。
○大岡委員長 これにて参考人に対する質疑は終了いたしました。
この際、一言御挨拶を申し上げます。
本日は、参考人の皆様におかれましては、貴重な御意見をいただき、また的確な御答弁をいただきました。誠にありがとうございました。委員会を代表いたしまして厚く御礼を申し上げます。(拍手)
次回は、来る四月二日水曜日午前八時五十分理事会、午前九時委員会を開会することとし、本日は、これにて散会いたします。
午前十一時四十八分散会