安全・安心科学技術委員会(第9回) 議事要旨

1.日時

平成19年6月12日(火曜日) 16時~18時

2.場所

文部科学省 宇宙開発委員会会議室(文部科学省ビル4階)

3.議題

  1. 安全・安心科学技術について
    <有識者ヒアリング>
    ○ 情報セキュリティ政策と技術戦略
     小林 正彦 内閣官房情報セキュリティセンター 内閣参事官
  2. 安全・安心科学技術について
    <有識者ヒアリング>
    ○ セキュリティセンターの活動について
     三角 育生 独立行政法人情報処理推進機構セキュリティセンター センター長
  3. 安全・安心科学技術について
    <有識者ヒアリング>
    ○ 情報セキュリティインシデントの現状と対応上の課題
     早貸 淳子 有限責任中間法人JPCERTコーディネーションセンター 常務理事
  4. その他

4.出席者

委員

 板生委員、井上委員、大野委員、岡田委員、岸委員、土井委員、中村委員、奈良委員、札野委員、堀井委員

文部科学省

 袴着科学技術・学術政策局次長、吉川科学技術・学術総括官、戸渡科学技術・学術政策局政策課長、生川学技術・学術政策局計画官、井上安全・安心科学技術企画室長

オブザーバー

 小林正彦 内閣官房情報セキュリティーセンター内閣参事官(有識者)、三角育生 独立行政法人情報処理推進機構セキュリティーセンター長(有識者)、早貸淳子 有限責任中間法人JPCERTコーディネーションセンター常務理事(有識者)

5.議事要旨

(1)小林内閣参事官より資料2「情報セキュリティ政策と技術戦略」についての説明の後に、情報セキュリティに関する技術開発についてコメントがあった。
 ○:委員、△:有識者

有識者
 情報セキュリティに関する技術開発には、大きく分けて対症療法的な技術と、インフラを支える系統の技術がある。国がどういう技術開発を支援するかについては、後者の系統の技術を支援することが適当と思うが、さらに分析的に考えていくと、いわゆる技術体系のベースになるインフラ的なものと、ニーズに対応するインフラ、つまり社会のインフラを支えるセキュリティというようなものがあると認識をしている。
 特に社会のインフラになるもの、例えば住民基本台帳みたいなものについては、それらのセキュリティをどのように考えるかを先回りして検討して、設計の中に生かしていく必要があるが、そういう系統の技術開発は、実は必ずしも光が当たっていないのではないかという認識をもっている。
 また、今後のことを考えると、例えば、擬似通貨の流通、情報家電、ロボット技術などが、将来の日本社会の中に広く行き渡っていくときには、必ず裏側に情報セキュリティの問題が張りついて存在すると考えられるが、これらについて先回りして情報セキュリティの技術開発という課題を考えることについては、どうも後手を引いているんじゃないかと思っている。さかのぼって考えると、例えばインターネットやマイクロソフトのOSについても、セキュリティについて根本の設計思想のところで、もう少し何とかしてくれていたら、今日のセキュリティの状況はもう少し変わっていたのではないかという議論もある。このようなことが、今後とも繰り返し起こることが危惧される。

(2)三角センター長より資料3「セキュリティセンターの活動について」、早貸常務理事より資料4「情報セキュリティインシデントの現状と対応上の課題」について説明の後、本日のヒアリング全体について質疑応答が行われた。

委員
 資料2の5ページ目のところで、情報セキュリティ上の課題で満たすべき3つの条件というのを挙げておられるが、この条件2は安心対策であり、条件3は危機管理・復旧・復興という話だと思う。この条件2、条件3のための技術というのは開発されているのか、そのあたりをお聞かせいただきたい。

有識者
 端的に言うと、条件2とか条件3という問題のための技術があるのではなく、1だけでは済まない要素があることを意識するべきであるという認識を持っている。例えば、電子投票システムについて、安全な電子投票システムをつくることにはいろいろな方法論がある。ところがこれが安全であるということを国民が信じられる電子投票の技術はそう簡単ではない。でもそれが安全であると信じられなければ、世の中で普及しないという話があったが、そういう問題とつながっていると思う。

委員
 1については、いろいろなところでやられているので、安全・安心科学技術委員会でカバーする必要はないだろう。ただ2 3の安心対策あるいは危機管理の技術というのは、いろいろな分野で普遍的なものがあると思うので、安全・安心科学技術として取り組むことがあり得ると思う。
 それから、将来に対するリスクアセスメントに関して、これまでに例えばシナリオプランニングなどの手法を使って、社会と技術の未来予測をうまく組み合わせて社会変化まで含めて予測する試みがなされているが、そういうこともこの安全・安心科学技術という中には入ってくるのではないかと思った。
 また、資料6の案の1、案の2では、これらの基盤技術が表現できていないと感じている。

委員
 政府の情報システム用に開発されてきた技術を民間に公開していくというお話があったが、どういう狙いか。公開すると逆にセキュリティが危うくなるのではないか。

有識者
 政府が自分自身で使うということでつくろうとしているものだが、政府自身が調達するまでの最後のコーナーでは、やはり民間に技術開発の最終仕上げをしてもらわなければいけないという話をしている。
 戦略としては、使えるものができ上がったら、次のステップとして民間に波及していくということを内心期待している。逆に公開したことによってセキュリティが危うくなることの懸念については、技術によると思う。例えば、暗号技術はアルゴリズムが公開されているけれども安全だというのと同じように、隠しておかなければ安全でないという判断をするのではなく、やはり技術の仕様がわかっても安全であるというものをつくるのが本質だと思う。

委員
 情報セキュリティにかかわる人材について、日本の現状は他の国に比べて多いのか少ないのか、あるいは技術のレベルは高いのか低いのか、その辺のことを教えていただきたい。

有識者
 私どもも随分調べたが、残念ながらはっきりしたことはわからない。ただ、ほかの先進諸国に比べて日本にセキュリティ関係の人材が多いという印象は、専門家にはないということである。

委員
 地域格差があっても、その地域で住んでいれば、クローズドでいられるというのが実際の世の中だとすると、インターネットはフラットな世界である。こういう問題は、国民の99.9パーセントが理解して動けるようにならないと、結局そこがやられてしまうということがある。
 NISCは政府を向き、JPCERT/CCは海外とのコーディネーションとかエンタープライズを見ているという中で、IPAがもうちょっと国民の方を向いているかと思っていたが、IPAが言っている民間の下にその他の国民がいそうな印象を受けた。国民といっても広く、パソコンも持たず、年収300万以下で携帯もないが、ときどき漫画喫茶でパソコン使って変なプログラムをロードして、そこから広がるといったことがあると思う。そういう意味で、国民に広く情報を伝えるということにどういう努力をなさっているかを知りたい。

有識者
 一般のユーザーが被害を受けるのは、ウイルスや不正アクセスのところだと私どもも認識している。
 約1年半前までは届け出情報を企業のシステム管理者向けに淡々と出していたが、おととしの夏ぐらいから一般ユーザーの相談が非常に増えてきたため、できるだけ平易な表現に変えよう、できるだけ対策情報も無料でできる方法にしよう、それからよくある間違いをお伝えするようにしようということに方針を変えた。
 ただ問題はあり、例えばウイルスを取り込んたがどうしたらよいか、不正請求を受けたがどうしたらよいかと相談は、大体国民生活センターからIPAに回ってくる。IPAが何かわからないまま相談に回されたという感じで、どうやって一般ユーザーの方々にリーチするかというのが、実は我々の最大の課題の1つである。

委員
 私のいうその他の国民というのは、その外側にいるような気がする。きょうの皆さんの発表はすごくわかりやすかったし、ここにいる人たちは感銘を受けていると思うが、国民の99パーセントは難し過ぎて全く理解できないと思う。今のテクノロジーは難しい。また、わかったとしても僕は関係ないと思う人が多いと思う。例えば何も持っていなかったら、身ぐるみはがれても、クレジットカードもないのでとられる情報がないと思っている世界がある。だが、そこは必ずカモになるので、そのラインが一番今怖いのではないかと思う。完全に根絶やししないと病気と同じで広がってしまうと思うが、その辺の難しさがあると思う。

委員
 情報セキュリティでいつもじれったさを感じるのは、犯罪者がなかなか捕まらないということ。これが普通の犯罪であれば、注意喚起と同時にやっぱり逮捕されるということが、犯罪を防ぐ非常に大きな条件だと思う。犯人を同定する技術はどうなっているのか。その辺の技術がないと、なかなか根絶できないと思う。

有識者
 今のご質問には、2つの観点があると思う。1つは、技術という前に制度はどうかということで、例えば不正プログラムをつくる、あるいは使うことが罪に問えるかということに関して言うと、実は今法律の整備が宙に浮いており、国会での審議が刑法改正とセットになっていてなかなか成立しない。ほかの諸外国だと既に犯罪に問えるものが、日本では犯罪に問えないという現実がある。
 それともう1つの犯人を捕まえられるかということについては、実際問題としてはよっぽどミスをしたやつは捕まえられるが、ほんとうにすごい腕があって注意深いやつは、なかなか捕まらないという現実がある。
 政策の観点から言うと、捕まえることにそういう限界があるので、そもそもプログラムがトラブルを起こさないようにする対策や、対策をみんなができるようにする政策のほうが現実的なアプローチだということで、そちらのほうに力が入っている。

有識者
 仮に犯人が自分ではない第三者のリソースを踏み台にして、直接的な攻撃をせず、自分の証跡をなるべく消すようなことをしたとしても、技術的には頑張ってトレースバックをしていく方法がないわけではない。ただ、ありとあらゆる手段を使っていいと言われたらできることも、今の制度の中で、法律に抵触しないようなやり方でやろうとすると、いろいろなところにぶつかってできないという問題があり、技術の問題だけではない。

委員
 法律は早く有体物、無体物も含めて、きちっと取り締まるという方向でやっていただかないといけないと思う。

委員
 情報セキュリティという場合、インターネットの世界が情報家電まで進み、それから最後はセンサーネットの時代になる。ロボットなどのいろんなものが接続されるような時代になるので、早目に対応していくことが必要ではないか。センサーまで含めたネットワークができたときのセキュリティ対策について議論がされているか。

有識者
 まだ議論の場ができていないという感じである。

有識者
 技術的には、研究者が個々に対策をやっている。例えばRFIDの識別子を位置情報としてトレースすると、子供の誘拐にも使えるとかプライバシーの侵害にもつながってしまうとかなどの問題がある。そこでRFIDを1個とられても、トレースするときに、そこが読めないような技術を開発するなどの技術課題に取り組んでいる研究者もいる。
 ただ総合的に議論する場が今のところなく、去年から産総研、情報通信研究機構、幾つかの大学とでチームを組み、組み込みシステムのセキュリティ技術を開発しようということを文部科学省の振興調整費でやっている状況である。
 それでも、網羅的に全部はできておらず、組み込みの機器についてのセキュリティ問題については昨年度から調査を始めているが、まだ十分に分かっていない状況である。

委員
 例えばセンサーで生体の情報がどんどんとられるようになったときに、不特定多数の人たちの生体情報から、個人がある程度特定できるようになったとすると、個人情報がものすごいお金になり、例えば生命保険会社に売るようなことができる。そういうようなものに対しての扱いを今後考えていかないといけないと思うが、今はまだ手探りの状態である。

有識者
 電力などのリソースが限られた中でどれだけ堅牢なものをつくるかというのは、やはり研究者の課題である。

委員
 次の世代のネットワーク技術にどのように対応するかも今後課題と思う。

委員
 不正アクセスの報告件数が最近減っているという話で、不正手段が巧妙化し、知らないうちに被害に遭っているケースが増えているということだが、被害が見えなくなっているのを見えるようにするという技術開発が必要だということになるのか。

有識者
 それはすごく大事な技術で、やり方に今すごく苦労している。

有識者
 ご参考までに申し上げると、ボットネットワークのボットというのは、外からの指令に基づいて勝手に悪さをするようなプログラムが普通のパソコンに住みついているものであるが、日本全国で今ボットに住みつかれているパソコンが約50万ぐらいあるだろうと言われている。
 ネットワーク越しに調べるとそういう状況が把握できるが、実際には利用者は全然気づいておらず、約50万人は気づかずに悪性プログラムを自分のパソコンで飼っている。そのパソコンで自分の個人情報を抜かれているかもしれないし、あるサイトを攻撃しているかもしれないし、あるいはスパムメールをまき散らしているかもしれないし、というユーザーが世界中ではもっと山のようにいるということである。

委員
 非常にごく一般のパソコンを使っている人からすると、市販のセキュリティソフトがいろいろありが、例えば自分がセキュリティソフトを載っけているから安心だというようなイメージが多分強い気もする。まだセキュリティソフトとしてはまだかなり対策をやらなくてはならないのか。

有識者
 いわゆるアンチウイルスソフトの世の中でメジャーなものは幾つかあり、それらはかなりよくできている。例えば3日前に世の中で知られるようになったウイルスとか不正プログラムだったらば大体ひっかけてくれるぐらいの速さでは対応している。しかし、世の中には、ゼロデー攻撃とか、世の中で対策ができる前にもう攻撃が始まっているというのがあって、ワクチンが対応できないうちに一たん素通りしてしまった攻撃の結果、1回住みついたプログラムは、さらにネットワークにアクセスして違うプログラムを呼び込んでくるとかで、どんどんそのパソコンの中でトランスフォーメーションしてしまう。そうなると、もうワクチンが手に負えない世界になる。結局ワクチンをちゃんと入れていても見つけられないプログラムがいっぱい世の中で生息している。

委員
 例のファイル交換ソフトにウイルスがくっついて情報が漏れるというのが、企業の中で相も変わらず頻発している。会社のパソコンにはそういうものはもともと絶対に載せないということになっているが、家庭とか家族のパソコンに会社のデータが載っかってしまい、それで被害を受けるというのがいまだにとまらない。このファイル交換ソフトの問題というのは、日本特有の問題なのかあるいは海外でも起こっているのか、教えていただきたい。

有識者
 一番問題になりましたWinnyの話は、日本の開発者がつくり、日本の中で流行しているので、感染するウイルスも日本特有な傾向としてある。海外はちょっと別の感じである。

委員
 Winnyに関しては、改訂版を出す前に開発者を逮捕してしまい、開発者だけがソースコードを持っていて、改変を禁じてしまったので手がつけられないというのが特殊事情である。もう少し逮捕が遅かったら状況が変わったと思う。

有識者
 いろいろなセキュリティ対策の目的を考えていくと、やはりリスク分析がきちんとできないと、対策の優先度とか効果についていうことはできない。情報をちゃんと集約して分析する際に。技術的な情報とか現象の情報だけではなく、社会全体がどういうシステムの使い方をしているかとか、どういう要素が上がってくるとどういうセキュリティ上の脅威が増すのかといった研究をしていただいて、その上に私たちのような技術上の分析をしている人間が乗っかれるようになるというのが非常にありがたい。
 ご指摘のあった、一番の対策は意図的に犯罪をやっている犯人を捕まえることだ、というのは全くおっしゃるとおりだと思うが、この問題を国全体として解決するという強い意思を持っていただかないといけないと思う。私たちは技術上のそういうアトリビューション情報とかを提供することができても、第三者から提供された情報は証拠として使えないので、その情報を利用できない社会制度となっていると思う。そういった問題を解決してもらいたい。

(3)井上室長より資料6「安全・安心科学技術の概念」について説明の後、全体討論が行われた。

委員
 「安全・安心科学技術の概念」についてここに書かれたことは大切なことだと思うし入っているべきものだと思うが、多くのことは安全・安心科学技術委員会でカバーしなくても、ほかのところで取り組まれていると思う。
 この安全・安心科学技術委員会の中でカバーするべきなのは、安心対策という部分と、危機管理技術という部分と、将来のリスクアセスメントというようなことではないかと思う。これがこの自然・社会現象の計測、予測・評価、システム化ということで表現できるかというと、ちょっと違うのではないかと感じる。

委員
 社会体制、社会の法整備等を含めた技術との関連を、どう入れていくかということがあると思う。

委員
 安全・安心科学技術というものを、例えば安全・安心のためのシステム技術の中でコアとなる基盤的な技術だとすると、確かにシミュレーションということを活用することによって、より効率的に安全・安心のための対策を打つというのは重要なものだし、優先順位もかなり高いと思う。
 だがそれだけではなく、例えば法制度という側面からコアとなる技術もあるだろうし、社会心理的な側面というか、信頼を構築するとか、人々の安心を達成するためのコアとなる基盤的な技術というのもあると思う。コアとなる技術は必ずしも一種類ではないので、1つの図であらわそうとすると、安全・安心科学技術の全体をあらわしたものにならないのではないかと思う。

委員
 私も同じような感じを受けている。資料2の5ページ、条件1 2 3は、かなり一般的な安全・安心の条件だと思う。ちょっと抜けているかなと思うのは、やっぱり2番目のところで、社会とのコミュニーケーションとかリスクコミュニケーションの認識とか一体感が少し図としてはわかりにくい。ほかの技術との違いは、社会全体として理解した上での協力体制というのが必要な分野であることではないかと思う。

委員
 案の2は、真ん中にユーザーが入っていて、そこと3つの技術ポイントが相互作用しているところが、前回よりもさらにいいと思っている。私が考える安全・安心科学技術というのは、各フェーズを促進することにもあると思う。
 例えばリスクの評価をするときに、それをきちんと科学的に測定するためには、結局個別のいろいろなデータを集める必要がある。しかし企業や、あるいは官公庁がそういうデータを出してくれるかというとそれは難しい。それを出してくださいということを支援するようなシステムをつくれば、きっとデータが収集しやすくなって、予測・評価フェーズとか、自然・社会現象計測フェーズなどがうまくいく。非破壊検査とか子供の安全でもデータを集めるところでかなり苦労している。苦労がなるべく小さくするようなことをやれれば、この委員会の意義があるのではないかと思う。それに加えてコアはどこかというと、もしこの図の2を使うのであれば、システム化フェーズではないかと思う。

委員
 人間が社会を構成しているので、社会をきちんと観察するということと、どう予測するかということと、人間の行動に関連した情報を自動的にうまく集めていくことのために、ツールとしての科学技術が重要であるという考えがあり得ると思う。
 科学技術をツールとして使って、安全・安心な社会をつくるということなので、そのツールというのは一体何で、どういうふうに使えばよいのか、ということがわかるようにまとめられればよいと思う。

委員
 やはり予測できるようになるということが適切な安全対策を構築する上ではかなり重要だと思う。各分野で、安全対策はそれぞれが工夫しているが、全部をレベルアップするために安全・安心科学技術委員会でやるべきことは、汎用技術としてのシミュレーションの技術、それをシステム化して安全対策をつくり上げるという部分だと思う。
 しかし、2、3の部分については、そこの部分の技術開発に、やはり力を注げていない部分があると思う。この部分は特に人文社会科学の研究者のご協力が必要で、それはまさに文科省が取り組んで行うべきだと思う。そういうことがうまく表現された図にしていただけるとありがたい。

委員
 一般の安全・安心だと国民と問題を共有するのは簡単だが、情報セキュリティに関しては、当事者に当事者意識がないというケースがあると思う。この情報セキュリティの分野は、「最近急速に強まっている社会・国民のニーズ」になっていない可能性があり、そこが表現できていないと思う。総論としてのこの図は問題ないと思うが、情報セキュリティに関しては、気づいてもらう部分というのをエンハンスしないとだめなのではないかと感じた。

委員
 もう十分安全なのに使わないことは愚かだが、まだ危険であるのにも関わらず安心していることも愚かであり、一般ユーザーの認識はとても重要と私も思う。犯罪者にとってのリスクコストを上げるためには、一つには工学的な技術、もう一つには法制度、それからもう一つには個々人のユーザーの情報倫理を高めるという3つが重要かと思う。3つ目の情報倫理に関して、学童期の児童・生徒について、あるいは社会人教育について、何か一定の方針のようなものはお持ちでしょうか。システム化フェーズにそういう連携や教育が入りうるのかなと感じている。

有識者
 昨年情報セキュリティに関する人材育成という研究会をやった際に、情報セキュリティの具体的な対策に携われる人たちを育てる人材育成の話が出たが、実はその問題は、そもそもの国民一般の情報セキュリティの常識形成という問題と結局ペアの話であるという議論は随分あった。小中学校の教育課程からのセキュリティ教育、情報倫理教育、あるいは高等学校、大学におけるモラルの問題を、もっと体系的に議論すべきだという意見は随分あったが、結局報告書にはそれ以上書かないという形で終えた。
 そのかわり、セキュア・ジャパン2007を策定する過程で、文科省が施策を1つ書き込んだという経緯がある。いずれにしろ、もっと子供の段階から社会人直前まに教育の中でどうやって身につけていくか、あるいは社会人になった後の情報ユーザーに対してどのように波及させていくかなど検討しなければいけないセグメントがたくさんあるので、どこかでまとめて議論しなければならないと考えている。

お問合せ先

科学技術・学術政策局政策課安全・安心科学技術企画室

(科学技術・学術政策局政策課安全・安心科学技術企画室)