米上院議員のBob Bennettは、2月23日〜27日まで開催された「RSA Conference」で、RSA Award公共政策部門の最優秀賞を受賞した。
これは決して無作為に選ばれたわけではない。共和党上院議員リーダーチームのメンバーであるBennettは、ハイテクの問題に関してはとりわけ活動的だ。
ユタ州から選出されたBennettは、大きなトラブルもなくクリアしたY2K問題や重要インフラの保護(CIP)に関する作業グループといった特別委員会で委員長を務めた人物。上院の中ではサイバーセキュリティとCIP問題の中心的な存在だ。
Bennettは、基幹インフラ情報セキュリティ法案(CIISA :Critical Infrastructure Information Security Act of 2001)の発起人でもある。CNET News.comはBennettに、サイバーセキュリティに関する見解や今年のサイバー問題に関する法的動向について、RSA Conferenceの会場で話を聞いた。
---サイバーアタックから重要なインフラを守るという点で、米国政府にはどのような進展がありましたか。
我々はサイバー脅威に対処する能力を向上させようと努力しています。しかし、9.11事件によって明らかにフォーカスは変わりました。議会は、サイバーアタックよりも物理的な攻撃を防ぐことに重点を置いています。これはもっともなことです。ただし今後は、サイバーアタックにも対処していきます。Al-Qaida(アル・カイーダ)はかつての力を失っていますが、他からも攻撃を受ける可能性があります。ただしそれは、今後何らかの予測ができる可能性があるものです。
---どうやって未来の攻撃を予防する手がかりを得るのですか。
攻撃には組織化が必要です。その情報が表面化する機会は常にあります。特に9.11以降、我々は情報収集に全力を注いでいます。テロ戦争は情報戦争です。地上で2つの軍隊が結集して取っ組み合いをするのではありません。我々はすでに把握しているAl-Qaidaの組織を監視しています。また、イラク解体とSaddam Hussein(サダム・フセイン)の拘束により大きな情報収集源を得ました。
我々は、イランやその他のテロリストをかくまっている地域から情報を収集していますし、外交的手段を使って他の国の情報機関からも情報を集めています。Al-Qaida組織とテロリストグループの間のやりとりを監視するのです。我々が重要度中レベルの警告を出した理由は、やりとりから彼らが何かを計画していると分かったからです。しかし同時に、彼らへメッセージを示す目的もあります。我々がやりとりをちゃんと聞いていて、危険度が高くなったことを知っていると示すためです。
---ITは情報の収集と共有において、明らかに重要な意味を持ちます。
ITは不可欠です。でもこの国に悪いことが起こることを願う人が、ある時点で、“トランスアメリカ・ピラミッド(サンフランシスコ中心街にあるオフィスビル)に爆弾を落とすことなど、もうどうでもよい”と言い、サイバーアタックで経済をまひさせようとするかもしれません。
私は国土安全保障省に対して、荷物コンテナに核物質を含むものがあるのではと心配する気持ちは分かるが、サイバーアタックにも注意しておくようにと勧めています。国防の第一線を気にすることも必要ですが、サイバーアタックは展開が容易です。身の危険をおびやかす心配はありませんし、自爆テロをする必要もありません。全体として、まったく新しい思考パラダイムが必要なのです。
---サイバーセキュリティにはどのようなパラダイムシフトが要求されるのでしょう。
これから先、脆弱性の最前線に立たされるのは企業です。現在ほとんどの攻撃が国防省やCIAをターゲットにしています。しかし私がもし、この国に悪いことが起こってほしいと思ったなら、国防省やCIAを直接攻撃のターゲットにはしません。私なら、Verizonのような企業をハッキングして、大規模なサービス中断を引き起こせるかどうかを試します。国防長官のDonald Rumsfeldが電話で軍の中央司令部と話そうとした時、電話を管理しているのはVerizonです。
---国防省にはバックアップシステムはないのですか。
多分、もうないでしょう。その昔、1950年代には専用のネットワークがありました。しかし公共ネットワークのほうが信頼性があり、コストが大幅に安いと分かったので移行しています。もし私がVerizonをハッキングできれば、軍の司令部にも自分が受信した信号が実際にRumsfeldからのものかどうかわからない、という事態を起こせます。例はいくらでもあります。私がこの国を屈服させたいと思えば、(電子決済システムの)Fedwireの閉鎖を試みます。これによって、国内の財務トランザクションを消滅させることができます。
---Fedwireはどの程度サイバーアタックから保護されているのですか。
連邦準備制度理事会(FRB)のAlan Greenspan議長とこの問題について話をしたことがあります。Fedwireが最も警戒を要するターゲットであるという私の見解にGreenspanは同意していました。Fedwireはきちんと保護されていると彼は強調しています。でも、年々攻撃技術は向上しており、これはある種のいたちごっこです。
安全な未来のためには、全体的な情報共有システムが必要です。そうすれば、企業が政府に“わが社でこんなことが起こっている”と報告し、政府はデータを分析して“組織的攻撃の兆候はない”とか“これは精巧に組織化された攻撃だ”とかいうアドバイスができます。そして、攻撃を受けている企業の状態を見て、他社にも危険を知らせることができます。我々が社会として抱える脆弱性の約85〜90%は企業セクターの中に潜んでいます。政府ではありません。
我々は、情報自由法(FOIA:Freedom of Information Act)にかけられることなく、国土安全保障省と情報を共有できるようにすべきです。私は、Osama bin Ladenがサイバーアタックを開始するのを望みません。企業が政府に攻撃を報告するよりも先に、bin Ladenは弁護士を見つけてFOIA請求を起こすでしょう。
---CIP法案は右翼、左翼の両方から大きな反対を受けました。
我々は難局を乗り切って議会を通過させました。しかし、スタンスに関する大きなパラダイムシフトは今後起こってくることでしょう。プライバシー保護派は、プライバシーの最も重要な進化は情報共有から起こるということを理解しなければなりません。これは直感に反していますが。彼らの情報共有に対する恐れは、あなたの情報を必要とする誰かがいた場合、それはあなたに被害を与えたいからだという仮定に基づいています。ところが実際、人々が情報を必要とする理由は、あなたを保護したいからなのです。
---それは諸刃の剣ではありませんか。情報を乱用したいという誘惑と、個人が自分の個人情報を所有・管理するという問題は、よく議論されているテーマです。
その通りです。私にとっては興味深い政治的経験でした。一般的にプライバシー保護活動を行うことの多い左翼は、企業が入手・管理するおそれがあるから情報は外に出すべきではないと主張します。左翼は企業を嫌っています。我々は議会でこの議論をしました。私は、企業はあなたをターゲットにすることができるという意見に対し、“それがそんなに悪いことですか?”と尋ねました。もし企業が私のことを知っていれば、私に適した製品を提供できるでしょう。
右翼は左翼と同等、もしくはかそれ以上の懐疑心を政府に抱いています。たとえば、Patriot Act(愛国法)への反応は“政府は私の図書館の貸し出し記録を読むことができるのか”というものでした。もしあなたが脅威と何の関わりも持たないのなら、政府がどうしてあなたの図書館の記録を読みたいと思うでしょうか。政府はためになることをしないと思い込んでしまっているのです。
---人々は自分が提供する情報や企業が利用できる情報に関して、選択肢とある種のコントロールを求めているとは思いませんか。
オプトアウトできます。
---情報乱用の可能性は大きく、実際に個人情報の漏出や不適切な使用などの事件が起きています。人々は個人情報をもっとコントロールできるべきだと思いますか。
現実として、企業が望んでいるのはリピート顧客の獲得です。企業は顧客を追い払うようなことはしません。私自身、事業を運営した経験から知っています。企業は顧客を怒らせたくないと思っています。もし私が何らかの方法で情報を使ったとしたら、顧客は離れます。私の負けです。その一方で、我々には政府という存在があります。我々は国土を守らなければなりません。そのために、自由な情報の流れが必要なのです。
皮肉なことに、ID窃盗を防ぐ最善の方法は、自分のクレジットカードが盗まれたときに連絡する企業に、窃盗を防ぐのに充分な自分の個人情報を提供しておくことなのです。自分の個人情報を企業が所有したり共有したりすることを望まないとすると、警察やその他の法的機関とも情報が共有されていないという途方にくれた状態になります。
我々はいま、これまでとはまったく異なる世界にいます。情報が共有されるべきかどうかが問題ではなく、誰と情報が共有されるべきかが問題です。私はインターネットでやり取りのある企業に、自分について知ってもらいたいと思います。そうすれば、私を名乗る誰かからの注文を誤って受け付けるようなことは起きないでしょう。もしこの企業が私のすべてを知っていれば、より良いサービスを提供してくれるでしょう。そして、私だと名乗る誰かによる詐欺の被害に遭うことはないでしょう。
---情報共有に話を戻します。FBIやその他の政府機関は、情報共有が欠如しており、技術活用が下手だと批判されてきました。これに関して何か進展はありましたか。
今年は選挙の年で、当面の間、上院で最も重要なことは議会の進行です。共和党の院内総務であるBill Fristは、満場一致で可決するような法案以外を議会に持ち込むことはないでしょう。Fristは、審議が必要なものや議論を呼ぶようなものを議会に持ち込まないと思います。
今開会中で残された立法日数は67日で、議会日程は膨大な課題でいっぱいになっています。再考が必要な歳出予算案やエネルギー法案、それ以外にも課題があります。この分野で通過させるのは議論を呼ばないものだけです。このような政局下では、2005年まで何も期待しないほうがよいでしょう。まったくの臆病者なら話は別ですが。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」