10月14日開催分のサマリー

まず第一回、最初のテーマとしてファシリテータ役の清水智・トレンドマイクロ日本地域CISOより「なぜスパイが怖いのか、自社のプロファイリングの必要性」について説明しました。サイバー犯罪の構造がダークウェブを軸とした専門スキルを相互に提供し合う「サブスクリプション・モデル」が構築されており、それをスパイ目的を持った犯罪者が利用している現状について言及しました。スパイ目的の情報窃取事件は全体の10％を占めるというデータ、現状のサイバーセキュリティ・フレームワークでは最終段階を「回復」としていることへの課題意識、スパイ対策を意識した自社のプロファイリングの重要性についての示唆を行いました。
それに対して有識者へは、金銭目的とスパイ目的では被害を受けた際に分けて考えるべきではないかという問いに意見を伺いました。有識者からは分けて考えるべきだが、金銭かスパイかの二元論ではなく業務妨害や政治的プロパガンダなども含め犯罪者の意図を見極めることの重要性の示唆がありました。また、クレデンシャル情報窃取によって事態が変化する可能性（盗んだクレデンシャル情報を軸に犯行動機が変化する）への言及もありました。また「何が盗られると何が起きるのか」という事業への影響を考慮したセキュリティの取り組みの重要性についても有識者からは難しいことではあるが重要であるとの意見が出ました。

次のテーマは研究員の石原陽平より発表した「日本はスパイ天国なのか？ それを許す「犯罪環境」とは？」という内容です。スパイは実は非常に古くから存在する職業であること、そうしたスパイへの対応である「防諜」は長い歴史のあること、そして犯罪機会という観点から日本がスパイにとって活動しやすい国なのかという示唆を行いました。スパイにとっては「欲しい情報が豊富」「捕まり難い」「厳罰が課されない」という３点が重なる国はスパイ天国と言えるという解説がありました。これをふまえて環境学的アプローチから「人は機会があれば犯罪を冒す」という性弱説にたった環境構築の重要性について説明し、これは言わば「ゼロトラスト」の思想と同じで、理解・対策・行動のすべてが揃ってはじめて有効な『防御』となることを説明しました。
これを受けて有識者からは、実はスパイ事件は表に出にくい、知られているものが氷山の一角で指摘のあったように対応に苦心してきた法執行機関側の事情と法整備の必要性について言及がありました。加えて、様々な知的財産を生み出す研究活動は民間としては基本オープンで行う必要があり、知財を守る立場としての苦労や工夫の話、同様にDX推進をオープンに行うという性善説とゼロトラストという性悪説の間でのバランスの難しさなどの意見が出ました。日本でもサイバー犯罪者への厳しい対処（海外の事例のような）の必要性の話、法律体系が「有体罪」中心に設計されておりサイバー犯罪のような「無体罪」が軽くなってしまう問題、国の新たなサイバーセキュリティ戦略にあるCyber Security for allだけでなく、“by all”という考え方の重要性などについてご意見を頂きました。

３番目のテーマは、実際に被害発生現場で事件調査を行う中でどのように犯罪者の意図を見極めるのかについて発表しました。「金銭狙いなのか、スパイ目的なのかの見分け方とは？」というテーマで実際にインシデント調査に携わっている丸山恵里奈研究員より、インテリジェンスの有効活用と犯行ステージを意識した見極めの重要性について説明しました。インテリジェンスは特に内部のインテリジェンス、具体的には社員の情報、組織情報、業務内容、保有する資産、社員の行動といった情報群が被害発生時に速やかに参照可能であることの重要性と、外部にあるMITRE ATT&CKなどの脅威インテリジェンスの参照が重要であることに言及しました。犯行意図が明確にわかるステージが犯行の最終段階に近づくほどに明確になること、それを受けてどう動くかをステージを辿るように判断することなどを「殺人事件」を例に解説しました。
それを受けて有識者からは、インテリジェンス活用のメリットについて意見を伺い、インテリジェンスの利用目的は予防に８割といった意見とともに、予防のための共有や活動・行動は閣議の中での議論にも繋がり「専守防衛」の一線を超えるのではないかという意見もありました。ハレーションもあるという話のご紹介、実際のインシデント対応において特に海外支社などで内部のインテリジェンスが整っていないことによる調査の困難さの実経験、実際のところはインシデント対応中というよりも、セキュリティ戦略と計画に海外の有償インテリジェンス（PROPINT）やOSINT（特に国内外での地政学的な動向などを含め）を積極的に活用しているというご意見を頂きました。

第一回の内容を振り返るためのフォローアップ動画も用意しておりますので、併せてご覧ください。

12月10日開催分のサマリー

第二回目の最初の発表は、「ゾーンディフェンスからマンツーマンディフェンスへ」というテーマで上田勇貴研究員より説明しました。防諜対策を考えるうえでベースラインアプローチだけでは十分ではない可能性を考察しました。スパイは目的達成のためにあらゆる手段をとってくることをデータと実例から示し、こうしたスパイの行動を念頭に置いた対策が必要であることを解説しました。加えて、スパイの行動を３つのフェーズ（特定、行動、利用）に分けて対策を考えることを提案しました。特定フェーズでは自社が守るべき情報のプロファイリングを行うこと、行動フェーズでは守るべき情報へのアクセスを防いだり、検知する方法を考えたりすること、利用フェーズでは悪用を防ぐ方法を考える必要があることを説明しました。
その後のディスカッションでは、スパイを意識した特別な防御策をとるべきか、という問いに対して有識者へ意見を伺いました。企業が求められるセキュリティ対策は十分に行っている一方で、スパイを特別視した対策は行っていないという回答が多く、スパイに対処するためには根本的には「人間を見ていく」という人事的な観点が重要になっていくのではないかという意見がありました。反面、採用時に必要となるスクリーニングを行うにあたって、人権やプライバシーを考慮する必要があるという課題も提示されました。

続いて、インシデント発生時の法執行機関との連携について、「インシデントレスポンスと警察捜査」と題して、日本シーサート協議会などに参加する研究員の今佑輔より発表を行いました。CSIRTと法執行機関の機能の違いから職務の分離が必要であると訴えるENISAの資料に言及しました。また法執行機関に相談することが望ましいケースとして、業務妨害・金銭搾取・情報漏えい・名誉棄損の４つを挙げ、たとえば再発防止の一環として攻撃者の逮捕を必要とする場合などに法執行機関の協力が不可欠であることを説明しました。このような相談を迅速にできるように、法執行機関と平時から連携し、あらかじめ相談の仕方をまとめておく必要性も提案しました。
有識者からは、「官民連携」は今後、一層重要になり、新たな段階に入っていくだろうという意見を頂きました。一方で、基本は自助が大前提にあり、続いて共助や公助があるべきであるという考えから、自分自身でできる役割を明確にした上で助けを求めることが必要であるという意見も頂きました。自助の観点における課題として、サプライチェーンで生じたインシデントが生じた場合に、自社と取引先のどちらが責任をもって相談・報告するのかという境界・データ主権があいまいになる、という課題も提示されました。

最後は「防諜に求められる組織能力とは」というテーマで花岡弥生研究員から発表を行いました。防諜に必要な組織能力として、①情報の管理、②人材の管理、③物理的な管理、④情報収集と分析の４つを挙げました。特に、人材の管理には昨今論点になっているセキュリティクリアランスやバックグラウンドチェックの導入が注目を集めている一方、法律や規制ができあがるまでは、プライバシーやコストを鑑みると1組織でできることに限りがあることを示唆しました。現状できることとして、自社の社員に対して機密情報の持ち出しが刑事罰にあたる場合がある旨を周知する定期教育の実施などを提案しました。
有識者からは、情報収集の観点で二種類のインテリジェンスについてご意見を頂きました。具体的には、攻撃目的を推察するための脆弱性情報や、攻撃者の戦術・技術・手順 (TTP)を指す「テクニカル」なものと、法令・規制や海外のポリシー動向などのトレンドを予測するための「ノン・テクニカル」なものと両方取り扱う必要があるというものです。また、インテリジェンスは受け取るだけではなく、情報を提供することで、双方向のアプローチを行うことが理想的であるという議論に及びました。

第二回の内容を振り返るためのフォローアップ動画も用意しておりますので、併せてご覧ください。

第一回、第二回研究会の総括

第一回の総括としては、スパイ目的の犯罪の厄介さについて共通認識があり、「回復」のみで終わらない場合があることや、それを意識したセキュリティ能力強化の重要性について一致しました。一方で、現実は一朝一夕にはいかない課題、民間組織レベルのみで解決できない国レベルでの課題もみえる議論となりました。
第二回の総括として、スパイは目的を達成するためにあらゆる手段を用いており、かつ狙うものもデータだけではなく企業のもつ知見・ノウハウなども含まれる、という動向変化を全体の共通認識としました。スパイによる内部犯行を防ぐため、人的対策が求められる一方、人のスクリーニングやバックグラウンドチェックを行う場合、人権問題が生じる場合があり、これをクリアするためにセキュリティクリアランス制度の導入や法令制定などが期待されるという議論となりました。万が一インシデントが発生した場合、法執行機関に協力を求めることも考える必要があります。2022年度4月に新たに警察庁にサイバー警察局が発足し、同時に、直接捜査する機関として、サイバー特別捜査隊等が新設といった動きから、「官民連携」がより一層重視されていくことが示唆されました。

今年度も引き続き、研究会を開催していく予定となっております。
開催後は本ブログにサマリを公開いたしますので、次回のブログ配信もお楽しみにいただければと思います。