◆イージス艦情報漏えい事件以来の大事件、F-X選定への影響は必至
三菱重工の研究開発部門を含むサーバーがサイバー攻撃を受け、防衛技術情報を含め漏えいした可能性があると報道がありました。2007年のイージス艦情報漏えい事件以来の重大事案で、F-X次期戦闘機選定を含め今後の防衛装備品ライセンス生産にも影響が及ぶ大事件の発生です。
三菱重にサイバー攻撃、80台感染…防衛関連も ・・・ 日本を代表する総合機械メーカー「三菱重工業」(東京都)が第三者からサイバー攻撃を受け、最新鋭の潜水艦やミサイル、原子力プラントを製造している工場などで、少なくとも約80台のサーバーやパソコンがコンピューターウイルスに感染していたことが18日、関係者の証言で明らかになった。
外部からサーバーなどに侵入され、情報を抜き取られていた痕跡も見つかり、同社は標的型攻撃によるスパイ行為の可能性が高いとして警察当局に届け出た。日本の防衛産業を狙ったサイバー攻撃の一端が明らかになるのは初めて。
関係者によると、これまでに感染が確認されたのは、「神戸造船所」(神戸市)、「長崎造船所」(長崎市)、「名古屋誘導推進システム製作所」(愛知県小牧市)などの製造・研究拠点8か所に、本社を加えた計9か所の約80台のサーバーなど。 (2011年9月19日03時15分 読売新聞)
ttp://www.yomiuri.co.jp/national/news/20110918-OYT1T00734.htm
非常に大きな問題です。安易な情報流出という意味ではSONYの史上最大の個人情報漏えいのほうが規模としては目を引きますが、事が防衛産業だけに恐らく東日本大震災発災後の安全保障にかかわる事件としては最大のものでしょう。航空管制官による米政府専用機情報漏えい事件もありましたが、波及する脅威としては比較になりません。情報流出としては2007年のイージス艦情報漏えい事件以来最大の不祥事です。三菱重工は日本の防衛産業としては最大手の存在であり、特に装備品開発では長い歴史とともに培われた技術陣と、装備開発費において国が負担するはずである基礎研究部分を防衛庁時代から負担することなくいわば自腹という形で担当していることから必然的に三菱重工でなければ日本国内で開発することができない分野、外国製装備の場合においてもライセンス生産には三菱重工で無ければ難しい分野、というところが存在します。加えて、日本の防衛費の水準からは高い水準の防衛力を維持することができているのは自衛隊の優秀な隊員とともに、場合によっては採算度外視で維持費や生産ライン整備に努力している防衛産業の存在も非常に大きいのでして、いわば国が負担を嫌い私企業に依存する体質を恒常化させてしまったわけですね。
今回の不正アクセスはPC本体に関するものではなく、サーバーが被害にあっており、加えて研究拠点という重要な個所が被害にあっている点が大きな問題です。もとろん、防衛産業以外の分野での被害も重大であることは間違いないことですが、事にミサイルや潜水艦、戦車、戦闘機といったデータにかかわる問題は一企業の問題を超えて国家の安全保障に直接かかわる問題でありますし、三菱重工からの基礎研究分野などでの負担はあったにせよ、装備品開発には税金が投じられていることは事実です。加えて、潜水艦などは基本的に艦内では一般の写真撮影はもちろん、見学さえも非常に制限される分野です。新型の戦車や戦闘機、国産の高性能な各種誘導弾など、技術情報がどの程度漏えいしたのか、特に誘導弾については回避などの情報を得る上で重要な情報が多すぎ、この対策を講じるだけでも正面装備にいったいどれだけの追加が必要なのか、考えるだけで直接の利害関係がない当方でも眩暈がします。
情報管理は企業の存続にかかわる問題、ということはSONYの個人情報漏えい事案で繰り返し提示されていた表現ですけれども、防衛分野の情報流出は、再発防止措置の検討も抜本的に行う必要があるでしょう。とはいえ、私企業である三菱重工のデータ安全管理について国、特に防衛省が直接サイバーテロ対処部隊を創設して専従で対策を行う、ということは現行法上で問題がありそうですし、一方で公務員守秘義務などはやはり私企業である以上適用はできません。しかし、防衛にかかわる重大な情報さえも管理できないとあっては、日本の防衛を根本的に左右する重大な事案となってしまいますので、異本企業の情報に関するモラルが問われる、なんていうお座なりの言葉でに以後すことは絶対に避け、私人の財産権にも踏み込みうる法整備を含め、何らかの措置が必要です、何とかせねばなりません。
一番影響があると考えるのはF-35の関係でしょうか。国家規模の問題、といいますと三菱重工は戦闘機生産を実施している防衛産業ですから、現在懸案となっている次期戦闘機選定において、日本側は国内での戦闘機運用基盤を維持する観点からライセンス生産を強く希望しています。最有力はステルス性能を有するF-35で、この開発遅延が実質的に選定の長期化に繋がっています。F-15をライセンス生産し、F-2を共同開発した三菱重工でなければライセンス生産は考えられず、防衛航空産業を担う川崎重工や富士重工、新明和工業では戦闘機のライセンス生産は相当な投資を行わなければ現状では不可能でしょう。最終組み立てのみであればF-35であっても日本で行うことは可能、という一部報道がありましたが、影響は必至でしょう。どのデータが流出したのかはこの際問題ではありません、可能性を放置していたことが問題なのです。思えば海上自衛隊におけるイージス艦情報漏えい事件が次期戦闘機選定の最有力候補であったF-22導入に重大な影響を及ぼしていましたので、国が現状では関与できない分野でも情報管理を行う場合には関与する枠組みが必要です。この点、自衛隊における情報保全の取り組みはここ数年間で特筆すべき全身があったのですが、今後は今回の経験の反映を強く望みます。現時点で失ったものは大きすぎますが、せめて将来に反映させねばなりません。
北大路機関:はるな
(本ブログに掲載された本文及び写真は北大路機関の著作物であり、無断転載は厳に禁じる)
この分野は軍・警察の境目も曖昧ですし、ただでさえ少ない防衛予算を大きく割くわけにもいかず。
軍・警察という概念を超えた新組織を立ち上げてるべきでないでしょうか。
これから自衛隊だけではなく社会のネットワーク化はさらに急速に拡大し、それはまた社会の脆弱性も作り出すと思いますので急務。
三菱重工は過去にR-4EJ,F-15,F-2(?),SH-60Jに対する破壊工作が有ったようですが、セキュリティが甘い印象でしたが、それがこの結果ですか。。。
それから三菱電機開発の中SAMの情報漏えい(北朝鮮)事件もありましたね。
防衛産業のトップがこれではまずいですね。
通説ではノイマン型コンピュ-タではハッキングを完全には防げないとはいえ、何とか対策をしないと話になりませんね。
本当に重要なデ-タは外部からアクセス出来ないように完全に独立したデ-タベ-スを構築するとか(素人案ですけど)
しかし、シナとか、南北朝鮮とか、ロシアとか日本の近隣にはろくな国でないのばかりです・・・。
平和ボケは原子力災害にもつながりました。
大災害等への備えを怠ったわけです。
わが国は、四方を海に囲まれ、他民族の侵略を先の大戦まで受けてきませんでした。
他方、陸続きの国々は、常に他民族の侵略か逆に侵略する歴史の繰り返しであり、他民族の支配を受けるまたは支配する、辱めを受ける、殺される殺す等の記憶が、遺伝子に残っているので、日本のように極端な平和ボケにはならないわけです。
わが国は平和ボケを治し、国際基準の法整備や各種対策、そして初心に帰り、日本の誇る武道にもある先を読む力をつけるべきではないでしょうか。
「確実に防ぐ」から「防ぐことはできなくても重要情報は漏らさない」へ変わりつつあるものの、未だセオリーが確立されていないからです。脆弱性は最も弱いところを突かれれば抜かれますからね。
組織を立ち上げたからと言って解決する問題でもありません。防衛だけでなく、全ての企業においても同様に抱えている問題だからです。IPAなどは十分に機能しているのではないでしょうか? 今は過渡期なのです。
しかしながら「やむを得なかった」にしても、防衛省との契約上の通知義務を果たさなかったのは責められるしかないでしょう。防衛機密も扱う企業、自分たちで伏せようとしたのか、契約内容を現場の人間が把握していなかったのか。後者であったとしても、周知徹底を図らなければシステムは構築しえません。
別に難しいことでも無い所より始めるが得策
ヘンな手紙は開けずにポイ、粘着様は即刻通報、鍵言語は週イチ切り換え、人様ん家の玄関先でガ~ウ~(でなければブキィブキ~)唸り散らかす傍めーわくなどーぶつには毒餌と言いたい所だけど取り敢えず釘バットでメッタ撃ち
出来ることは幾らでも有ると思われ
(分かっててしない輩は平和ボケ!)
1:実際になにが失われたのか、(公開される事はないでしょうが)よくよく内部で調査して欲しいと思います。
機密情報と言っても、いろいろなレベルがあり、根幹となる情報が守られていれば、被害は少ない。これによって今回の事件を擁護するものでは全くありませんが、実際に何が失われたのかは、極めて重要な話しです。漏れてしまった情報が重要であれば、それを適用した技術に直ちに改良を加える(通信の秘匿性等)など、至急の対応が必要だからです。
2:対策は精神論で議論するのではなく(単に皆が萎縮し、開発活動が滞るだけ)、技術論に根ざして議論される事を祈っています。
通常の社員にとって、未決のスパイ法で訴えられる事と、会社を首になる事は、将来が閉じるという意味で、同じくらい恐ろしい事です。今回の当事者の方は、かなり厳しい処分を受ける事は間違いありません。
#とはいえスパイ対策法が必要ないとは言いません。
意図的に漏らした事件と、アタックを受けた今回の事件は、精神論の上では、全く別に扱うべきであり、技術論の上では、どちらにも対応する体制、十分な技術力をつける必要があります。(漏らしたくても漏らせない、アタックを受けても弾き返せる体制)
優秀なハッカーを高値で雇う等、もっと実質的な対応をとるべきです(ただしやり方を間違えるとひどいことになる。例えば、セキュリティーシステムの「せ」の字も分からない人が、あるいはこの種の人間の人間性を理解できない人が、ハッカーを使いこなす事は不可能)。
3:今後の国際共同開発にあたって、暗い影を落とす事は間違いないでしょう。大変残念です。
信用という意味で、我々は実に大きな未来を失った「可能性」があります。その意味でも、「1」をよく調査し、機密のいろいろなレベルのうち、どこまで漏れうる状況だったのかを明らかにして欲しいと思います(もちそん、内部で。外部に公表するとそれ自体が情報漏れ。。。)
4:無人機の運用に当たっては、制御コードの暗号化が極めて重要です。SFにも出てきますが、ロボット兵を止めるには制御系を混乱させる/乗っ取るのが「王道」だからです。一つ一つつぶすのは、しんどい。
国産無人機の開発に於いて、このへん=情報の秘匿性については、どの程度、日本は進んでいるのでしょうか?
防衛費との関係ですが、サイバー攻撃は今回私企業に向けられたのですけれども、有事の際の戦術インターネットへの不正アクセスがあった場合、まさか敵軍からサイバー攻撃受けました、と通報するわけにもいきませんので、防衛省が担うべき範疇、この範囲がどこまでかというのが大きな問題なのですが、行っておく必要はあるのだろう、と。
サイバー攻撃は対領空侵犯措置以上に常在戦場の世界だと考えています。
三菱重工の航空機への内部破壊行為ですが、あれ、実質小牧南工場だけなのですよね、他の事業部ではそういう話は聞かないので、一概には言えないだろう、とも。
独立したデータベースですが、しかし構築するとして、どこがお金を出すのか、防衛装備品の納入価格に上乗せしていいのか、国が直接予算を出すのか、このあたりの議論も必要ではないでしょうか。整備契約は単年度契約の積み重ねで欧米のような十年単位での長期整備契約は契約として結んでいませんので、そこまで自己責任で予算投入はできない、と五年程度で維持部品供給を停止し防衛産業からの脱退を打診される可能性もありますから、ね。
一つ疑問なのですが、スパイ防止法があった場合、海外からのサイバー攻撃は防げるものなのでしょうか。
当方はそう考えないのですが、海外からのサイバー攻撃があった場合、罰則というものはどういうものをお考えでしょうか。
当方は、法整備さえすれば技術的なものは別次元として大丈夫、という考え自体が、平和ボケに見えるのですけれども。
議論としてはアメリカでも軍需産業へのサイバー攻撃、特に重要な部分への攻撃は繰り返されているのですから、リスク管理、設備投資、そのための法整備等、国としてどういった政策を通じて対策を行てゆくか、という青写真を構築する方向に持ってゆかなければならないでしょうね。
通知遅れですが、一日二日ではなく一週間二週間、これは、責められなければならないわけでして、特に電子戦情報など有事の際に今回とは比較にならないほどの攻撃を受け奪取されそうな分野は、平時の感覚ではなく対処法を考えなければ、仰る通り過渡期であり、技術革新も多い分野ですので時間が無くなってしまいます。