本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
政府がサイバー攻撃対策の一環として、国内のIoT機器に対して簡単なパスワード(脆弱なパスワード)が用いられていないかを調査し、ユーザーに注意喚起することを発表した。それを受けて「『通信の秘密に抵触の恐れ』無差別侵入し調査へ」といったメディアの報道があり、「総務省自身が不正アクセス禁止法や憲法にも記載されている通信の秘密を侵害するのか?」などという意見が多数噴出し、物議を醸している。この報道のタイトルや概要だけを聞くと、一般の人々は政府が家庭のIoT機器をハッキングし、その行動を監視する統制国家になるのかという印象を受けてもおかしくないと思われる。今回は、政府の行動や報道が何を意図し、どのような意味があるかについて述べていきたい。
IoT機器への“無差別”侵入調査
総務省の取り組みは、IoT機器などを悪用(例えば他のサーバへの攻撃の踏み台などに不正利用)するサイバー攻撃のリスクの高まりや深刻化という状況を踏まえた調査と注意喚起である。その実行は国立研究開発法人「情報通信研究機構(NICT)」に委ねられ、日本に数億台存在すると言われているIoT機器を安全に使えるようにするという。つまり、IoT機器と家庭のネットワーク環境をサイバー攻撃の魔の手から守るために国が動いたということだ。
NICTが行うIoT機器調査の概要その1(出典:総務省)
NICTが行うIoT機器調査の概要その2(出典:総務省)
このように具体的な調査内容を聞けば、メディアの報道やそれに反応したSNSなどで見られる「国がハッカー行為をするのか?」「日本は中国(やその他共産圏のように統制が強い国)と同等になったのか?」といった意見やイメージを持つ人はそれほど多くはいないと思われる。
それでも、報道では国が不正アクセス禁止法違反はもちろん、日本国憲法第21条の「集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。検閲は、これをしてはならない。通信の秘密は、これを侵してはならない」の条文にある通信の秘密を侵しており、「このような調査は憲法違反なのではないのか?」という指摘がなされるなど、「日本も旧共産圏の諸外国のような監視社会になるのでは?」との疑念が出ている。
2020年は東京オリンピック・パラリンピックが開催される。これまでもそうであったように、世界最大級のイベントの開催はサイバー攻撃のリスクが高まり、東京大会だけが例外になる理由はない。そのため、政府が「国民をできるだけ安全にしたい」という気持ちは十分な正論だと言える。とはいえ、政府が“無差別に”ハッキング行為をすると聞けば、国民感情として正直それほど気持ちの良いものではない。異論を唱える人々の意見も的外れとは思えず、なかなか国民を納得させるのは難しいだろう。
