“願い”と化す「情報漏えいの事実は確認されておりません」 問われる「サイバー攻撃を受けました」発表の質

　もしサイバー攻撃を受けた場合を想定して、調査ができるよう各企業は適切な期間、適切な種類のログを保存せよという規制ができたとしても、費用も相当かかることになって、守らないまたは守れない企業が一定数存在してしまい、このような企業に対して処分するのかという議論が当然に出てくる。

　先の規制の話と同様、じゃあそれを誰がどう確認して処分するのか、多数の企業を一律に処分できるのかという問題になる。それはおそらくできないので、そのような規制を作ることも相当の時間がかかると思います。

　自社のシステムに対するログですら、近年ようやくセキュリティの観点からモニタリングされるようになってきていますが、ログ自体を長期間保存していないという企業も多い。また、秘密として保存されるべきログを第三者にどこまで「提供」するかっていう問題も議論されていると思います。

辻氏：ISPからしたら、能動的サイバー防御は戦々恐々ですよ。設備投資が必要かもしれないので、それを早く知りたいと思っているでしょうね。

北條氏：そうですよね。システム的な改修やシステムの増強も必要になるかもしれませんからね。もう一つは「ハックバック」のような、能動的なハッキング（による防衛）が可能なのかという問題です。

辻氏：例えばレンタルサーバやクラウドサービスがあって、そのユーザーは日本人で、サーバが侵害されていると分かった時にハックバックして止めると、サービスが止まるんですよね。その止まった間の事業収益を誰が保証するのか。「マルウェアを消すだけ」みたいにきれいにクリーンアップできるとも思えないんです。そこでも、誰が、何をしたか、どう監督監視するのかという課題があります。

北條氏：実際に実施するとなったら警察ですかね。あるいは防衛省が実施するのかもしれません。そのやり方を誰が教えるのでしょうかね？　辻さんが教えるのですかね（笑）

辻氏：頑張らせてもらえるなら……ってやらせてもらえないですよ！

●「通信の秘密」と、世界との足並み

──通信の秘密について、日本でも議論は進んでいるのでしょうか？

辻氏：サイバー脅威に対し、諸外国の対応に並ぼうと思ったら、日本でもやはりある程度の変化はさせる必要はあると思っています。

　国と国とのサプライチェーンみたいなものの一つになれないってのもあるかなと思いますね。「お前らみたいな中身見られへんような、調べる能力もないような奴らに情報を預けられるかよ」と諸外国には見られると思います。