BACK
TOP
佐々木俊尚 Toshinao Sasaki
■今そこにある危機
2000年春、ちょっとしたコンピュータウイルス事件が米ヒューストンで起きた。
そのウイルスはWindowsの「ファイルとプリンタの共有」が導入してあるパソコンに感染し、もしそのパソコンがAT&TやAOL、MCIなどのプロバイダにダイヤルアップ接続するようになっていれば、それを通じて他のプロバイダ会員に感染しようとする。またハードディスクを強制的にフォーマットしようとしたり、毎月19日にWindowsのシステムディレクトリを削除するなどの破壊活動も行った。これだけなら、きわめて平凡なウイルスの一変種でしかない。しかしこのウイルスは、もうひとつ興味深い特徴を備えていた。それは感染すると、5分の1の確率でautoexec.batを書き換え、そのパソコンにつながっているアナログモデムを使い、米国の緊急通報電話番号である911番に電話をかける能力を持っていたのだ。
ウイルスはごく早期に発見されたため、実際の被害はほとんど生じなかった。米連邦捜査局(FBI)ヒューストン支局がいち早く捜査に乗り出し、容疑者と見られる男性の自宅を家宅捜索してコンピュータを押収するなど先手を打ったからだ。地元紙の当時の短い記事によれば、「ウイルスがかけたと見られるニセの911番通報は2件しかなかった」という。結果的にこの事件は米国の中央メディアではほとんど話題にならず、日本でも報道されなかった。
FBIは間もなく、ヒューストンの銀行に勤める技術者を逮捕した。宗教や政治的動機はなく、いたずら目的だったとみられている。技術者は起訴され、懲役5年と罰金25万ドルという重い実刑判決を受ける結末となった。
しかしこのウイルスは、実はかなり高度なパワーを持っていたのだ。プロバイダ経由で一度に2550台もの感染先のパソコンを見つけ出し、そして推定で3日間で25万台ものパソコンに感染する能力があった。もしこのウイルスが爆発的に感染範囲を広げ、その結果、米国全土の無数のパソコンが911番に電話をかけ始めていたら――。被害が最小限に押しとどめられたのは、不幸中の幸いだった。
もしこの強力なウイルスを、テロリストやカルト教団が入手していたとしたらどうなっていただろう。一定の日時に同時に911番に通報をさせるDDoS(分散型サービス拒否)攻撃の手法を使い、凶悪なハイジャックテロや爆弾テロを起こすのと同時にこのウイルスを動作させたら、どうなっていただろうか。単一のテロ事件以上に、社会は大きな混乱を来すことになる可能性は高い。
同種の事件は、今年1月に全世界に蔓延したコンピュータワーム「SQL Slammer」でも生じている。このワームによって米シアトルの緊急通報番号が機能不全に陥ったのだ。シアトル郊外の警察と消防の911センターが事実上使えなくなり、スタッフは緊急電話に対して紙と鉛筆で対処する羽目になったのだ。
各国の政府関係者の間ではいま、こうした「ハイブリッド型」ともいえるサイバーテロに対する懸念の声が高まりつつある。
かつてはサイバーテロといえば、凄腕のハッカーが政府システムの中枢に侵入してデータを盗んだり、原子力発電所を勝手に動作させたり……といったイメージだった。しかし最近は、そうしたサイバーテロの可能性に対しては、懐疑的な見方も広がりつつある。日本政府のセキュリティ対策担当者のひとりは「テロリズムは言葉の通り、テラー(恐怖)を人々に与えるための手段。難しいサイバーテロで政府のコンピュータ技術者を惑わせるよりは、爆弾を投げて市民を殺害する方が簡単で影響力も大きい」と指摘。「サイバーテロはこうした爆弾テロなどの補助的手段として使われる可能性の方が高いのではないか」という。
その可能性のひとつが、冒頭に上げたような緊急通報電話へのDDoS攻撃などの手口だ。こうしたハイブリッド型サイバーテロが行われ、市民が情報から隔絶されるような事態が生じた場合、社会に与える恐怖は確かに何倍にも増加するだろう。
とはいえ、重要なインフラに対するサイバーテロの危険性も決して否定はできない。たとえば9.11同時多発テロを引き起こしたとされる国際的テロ組織「アルカイダ」は、米国の水道供給システムに侵入すべく準備を進めていた形跡があるのだ。
米国家インフラ防御センター(NIPC)は9.11テロから半年後の2002年1月、アルカイダがSCADA(監視制御・データ収集システム)の情報をひそかに収集していた形跡があると警告した。SCADAというのは、公共機関などが上水道や電力の供給、調整などに使われている機器制御システムの名称だ。たとえば遠隔地から浄水場の監視や無人操作を行うことができる。このSCADAシステムの危険性については以前から指摘されていて、クリントン政権時代の1997年にまとめられた重要インフラ防衛に関する報告書でも、「水道の流量や水圧をコントロールするSCADAへのサイバーテロの危険性は増大している」と指摘されていた。このSCADAシステムに、もしテロリストが侵入できたら何が起きるのだろうか。単に水道の供給を止めるだけなら、それほど大きな被害は起きない。しかし米国の水道には、浄水場で塩素やフッ素が添加されている。この分量を変え、大量の塩素やフッ素が水道に流し込まれたら――。大きな被害が起きるのは間違いないだろう。実際、NIPCがこの件を発表した当時、SCADAの設計者のひとりは米メディアの取材に「もし侵入者が十分な技術的知識を持ってSCADAに不正アクセスできれば、大惨事を起こすことも可能だ」と明言していたのだ。
そしてサイバーテロは、決してネットワークを介した不正アクセスだけを言うのではない。最近問題として指摘されているのが、政府がシステムを導入する際、下請けや孫請けの業者として身元のはっきりしないエンジニアが政府施設に立ち入り、データの窃盗や改ざん、破壊工作などを行う可能性だ。
9.11で過剰なまでにテロを警戒している米国では昨年、この危険性を防ぐために外国人が政府施設のコンピュータに近づくことを禁止する施策さえ打ち出している。人種問題からも批判の多いその施策の是非は置いておくとしても、米政府がいかにセキュリティに対して強い意志を持っているかわかるというものだ。
翻って、日本ではe-Japan戦略の例を見てもわかるように、政府や自治体がベンダーにシステム導入や運用を丸投げしてしまっているケースが少なくない。大手ベンダーは丸投げされた発注を下請けやさらには孫請けに出し、何のスクリーニングも行われないまま、身元のはっきりしないスタッフが公共機関のシステムを触っている――というわけだ。
実際、すでに事件は起きている。2000年春、オウム真理教の経営するソフトウェア開発会社が、防衛庁や郵政省(総務省)文部省(現文部科学省)建設省(現国土交通省)などの中央官庁のシステム開発を請け負っていことが明るみに出たのだ。
防衛庁が発注したシステムは、自己資本額や実績などを審査したAランクの企業44社を対象に一般競争入札を行い、その中の1社と契約していた。だがこの会社が下請けに出し、そして下請け会社が孫請けに出し……というかたちで次々に仕事は下に回され、何と5番目に位置していたのがオウム真理教の会社だったのだという。オウム企業が実際に請け負っていたのは、庁内LANのルータ設置やファイアーウォールの導入などだったとされ、軍事機密にこそ近づいてはいなかったものの、オウム側がもし何らかの悪意を持っていれば、破壊行為なども可能だった。
事件は警視庁公安部がこのオウム企業を別の事件の容疑で家宅捜索して発覚。防衛庁など中央官庁の側は警察に指摘されるまで、この事実にまったく気づいていなかったという。
サイバーテロは、あらゆる手法、あらゆる可能性をはらんでいる。政府がこれを防ぐのは、容易なことではない。「セキュリティに完璧という言葉はない」というのはセキュリティ業界の誰もが口にする言葉だが、国民の重要な財産と情報を握っている政府は「完璧はない」では許されない。果たして日本政府は、どこまで対策を進めることができるのだろうか。
■政府の対応
政府のサイバーセキュリティ対策が大きく動くきっかけとなったのは、2000年初頭に起きた中央省庁のウェブサイト改ざん事件だった。
最初に攻撃されたのは、科学技術庁(現・文部科学省)のウェブサイト。トップページを「日本人は負け犬だ」という英文に書き換えられた。1月24日に起きたこの事件を皮切りに、総務庁(現・総務省)のサイトが南京大虐殺への中国語の抗議文に書き換えられるなど、省庁など10以上の公的機関のサイトが改ざんされた。犯行は中国人の仕業だったとみられているが、それにしても日本の中央官庁が史上初めて、大規模な不正アクセス被害に遭遇するという事態に、政府は大騒ぎとなった。
だがシステムの導入から運用まですべてをベンダーに任せきりだった省庁は、いきなりの事態にまともな対応もできず、右往左往するのみ、というのが実情だったらしい。総務庁ではパソコンに中国簡体字のフォントをインストールしていなかったため、中国語の抗議文が読み取れず、文字化けしたままの画面を紙にコピーして報道陣に配布。受け取った側の記者も何のことやらわからないまま、「ホームページがわけのわからない文字列に変えられています」などとテレビでレポートしたりしていた。
わずか3年前の事件だが、官庁もマスコミもその程度のコンピュータリテラシーしか持ち合わせていなかったのだ。
いずれにせよ、この事件をきっかけに政府内でサイバーセキュリティへの対策が急に進むことになった。事件当時、あるセキュリティ企業幹部は「事件発生後数日で、平年の数カ月分の発注が来た」と笑みを浮かべ、「これから『ハッカー特需』がやってくるかも」と話していたが、その通りの展開になったわけである。
政府対策の第一弾が、内閣官房に情報セキュリティ対策推進室(以下、政府セキュリティ対策室)を新設したことだった。しかも設立日は、事件発生からわずか1カ月後の2月29日。その異様な素早さは、いかに政府が慌てふためいていたかの証左といえるのではないか。
さて、同推進室が最初にやった仕事は、同年7月に各省庁に向けてセキュリティポリシーのガイドラインを作ったことだった。
それほど細かい内容ではない。@単にポリシーを策定するだけでなく、見直しを繰り返してポリシーをきちんと改善させていくことAセキュリティの責任者を決めて、その下に委員会を作ることB物理的セキュリティと人的セキュリティ、技術的セキュリティ、運用のそれぞれの観点から包括的な対策を行うことCポリシーを実際に徹底するために、各部署で実施手順を決める――という4点を指針としただけだ。セキュリティポリシーを定める際の一般的な基本事項といってもいい程度の内容である。
しかし実際のところ、各省庁ではこの程度のガイドラインでも必要なほど、セキュリティについては何もしていなかった。セキュリティポリシーなど当然作っておらず、具体的なセキュリティ対策についてもベンダーに言われるがままにファイアーウォールを導入している程度だったようだ。職員の使うパソコンレベルとなると、アンチウイルスさえ導入されていなかったとも言われている。当時、ある業界関係者は「大半の省庁はセキュリティのセの字も知らず、不正アクセス対策への本格的な取り組みは何もしていなかった。そんなツケが回ってきただけでしょう」と冷笑していたほどだ。
そんな中でガイドラインは各省庁に対し、2000年12月までにセキュリティポリシーを定めるように求めた。そしてこの年の暮れまでに各省庁は実際にポリシーを策定。また政府セキュリティ対策室はこの時期に中央省庁以外の重要な機関――電力・ガス・通信・鉄道・航空や情報通信、銀行、地方自治体などのいわゆる「重要インフラ」をサイバーテロから守るための特別行動計画も作った。官民の連携の体制を確立することを中心に、重要インフラを防御する態勢の基盤作りを狙ったものだ。そして官民の連絡の具体的手順については、翌2001年末までに細かく定められることになる。
この時期から現在に至るまで、政府のセキュリティ対策を推し進めることになった背景には、ふたつの大きな要因があった。
ひとつは2001年9月11日に米国を襲った同時多発テロ。そしてもうひとつは、今年あたりから具体化しつつあるe-Japan戦略の電子政府構想だ。前者は衝撃的なまでのテロリズムの実在性をあらためて政府に実感させるきっかけとなり、そして後者はそうした21世紀の状況の中で、電子政府へと踏み出すことについての覚悟をあらためて政府関係者に植え付ける役割を果たした。
そのひとつの帰結が、緊急対応支援チーム(NIRT)の設立だった。
昨年4月にスタートしたNIRTは政府セキュリティ対策室の中に置かれ、セキュリティ企業関係者や各省庁の職員など非常勤のスタッフ17人で構成される。政府や重要インフラを対象にしたサイバーテロが実際に発生した場合は、関係省庁が内閣官房の政府セキュリティ対策室に連絡。そこからスタッフに電話やメールで連絡が入る手順だ。
アラートのレベルは「情報収集」と「スタッフ一部参集」、「スタッフ全員参集」の3段階に分けられている。たとえばイラク戦争時などは、日本政府に直接のサイバー攻撃が行われる可能性は少なかったものの、米陸軍のウェブサーバーが侵入されたり、カタールの衛星放送アルジャジーラのウェブサイトがDOS攻撃を受けるなど、かなりの規模の事件が発生していた。このためNIRTのアラートは「情報収集」のレベルだったという。もし今後、省庁のデータがごっそりと盗まれたり、大規模なDOS攻撃で電子政府のシステムがダウンしてしまうような事態が生じれば、アラートは「全員参集」のレベルにまで引き上げられることになる。その場合は17人のスタッフは全員首相官邸に隣接する内閣官房に集まり、対策を検討するとともに、必要があれば攻撃を受けた省庁に出向いて現場を指導するなどの行動を取ることになる。
現段階では、ここまでが政府の取ってきた主なセキュリティ対策と言えるだろう。万全とは言えないかもしれない。ただ少なくとも、何の対策も講じられておらず、セキュリティに対する理解度もゼロに等しかった2000年初頭の時点と比べれば、はるかに前進してきたのは間違いない。
政府セキュリティ対策室副室長の吉原順二・内閣参事官は「対策室ができて3年が経ち、最初のラウンドの仕事は終わったのかなという印象だ。既存のツールを使い、いたずらでウェブを改ざんするような行為は防ぐことができるレベルにまで来ているし、実際、現在では各省庁でウェブの改ざん事件はほとんど起きていない。これからどうするかを今、議論しているところだ」とコメントしている。とりあえずは低レベルのサイバー攻撃に対しては対処する能力を備えるようになり、そして高レベルの攻撃に対しても緊急対応できる体制作りまではようやく整いつつあるということだろう。
■インタビュー
政府のセキュリティ対策はどのように進められているのだろうか。内閣官房・情報セキュリティ対策推進室副室長の吉原順二・内閣参事官に聞いた。
――この3年間に行ってきたセキュリティ対策で、どのような進展があったのでしょうか。
吉原 意識面、対策面ともに相当進歩している。今年初めにSQL Slammerというコンピュータワームが全世界に蔓延し、韓国などでたいへんな被害を出したが、日本ではほとんど被害が生じなかった。官公庁のウェブ改ざん事件も最近はゼロに近く、この程度のレベルでの対策が相当に進んだ結果だと思う。
――各省のセキュリティポリシーへの評価はどうなのでしょうか。
吉原 各省が策定した後、セキュリティ対策室で各省の実施状況をヒアリングし、その評価を行っている。その結果分かったこととしていくつかの課題があり、たとえばポリシーの運用が文書化されておらず、スタッフの力量任せになっていること。また同じ省内でも、部署によってばらつきがあること。また職員に対する意識の醸成がもっと必要なこと。こうした論点をもとに、昨年11月にはセキュリティポリシーのガイドラインの改定を行っている。
――これまでのところ、大きなインシデントは起きていないようですね。
吉原 細かな案件はいくつかあったが、大きな被害があったという各省庁からの報告は受けていない。これからだと思う。重要インフラについても同様。ただ民間の場合、政府の省庁間よりも距離はあるし、政府に報告するということには抵抗感がある場合もあるだろう。とはいえ最近は報告もかなりきちんといただけるようになってきている。
――重要インフラについては民間企業に官がどこまで介入するかという点も問題になりそうですが。
吉原 政府IT戦略本部の下に各省の局長級の情報セキュリティ対策推進会議がある。さらにその下に課長級のワーキンググループを作り、各省で管轄している重要インフラは大丈夫かということを検討してもらっている。今まで調べた結果では、心配されているダムや電力などの制御系システムについては、インターネットなど外部のネットワークには直接接続していないと報告されているようだ。
――今後の方針は。
吉原 さまざまな議論が出ている。セキュリティポリシーのガイドラインも重要だが、きちんと技術基準も決めるべきではないかという指摘もある。確かに海外の主要国を見ると、そうした技術基準はどの国もしっかり作っているが、日本では各省庁任せ。極論すれば、発注先のベンダー任せになってしまっているというのが現状だ。しかしこうした技術基準を作ろうとすると専門家がたくさん必要で、予算の問題も生じてくる。さまざまなセキュリティ対策をどこまでやるかは、コストの問題もあり、そしてまた政府がどこまで個人のプライバシーなどに介入するのかという問題もある。政治の問題になってくるのではないか。
■米国の実情
米国のサイバーセキュリティ対策は、圧倒的な深みと物量、そして歴史の長さを兼ね備えている。
歴史は非常に古い。黎明期でもっとも有名なのは、1997年に国防総省が行った「エリジブル・レシーバー(資格がある応戦者)」と呼ばれる演習だ。30人のエキスパートスタッフを選抜し、市販のパソコンと一般的なプロバイダを使って国防総省のコンピュータに侵入できるかどうかをテストさせたのだ。30人は3カ月の期間の準備期間を与えられ、その結果、40回にわたって国防総省に侵入。システム管理者が侵入に気づいたのはわずか2回で、残りの38回は管理者も気づかないままスーパーユーザー権限を乗っ取られていた。
この衝撃的な演習の結果が、その後の米国のサイバーセキュリティ対策を大きく推し進める要因となったのは間違いない。翌1998年にはクリントン大統領が米国のシステムがサイバーテロに対してどの程度脆弱なのかどうかを評価するよう要請。これに応え、国家安全保障会議(NSC)が国家計画を作り、そして翌99年には議会に対して14億6000万ドルもの巨額のサイバーテロ対策費の拠出を求めた。
そしてこうした積極的な政策は、大規模な事件がきっかけになってさらに進められることになる。その最初のターニングポイントは、2000年2月に著名な企業サイトで起きた分散型サービス拒否攻撃(DDoS)事件だった。Yahoo!やeBay、CNNなど著名なポータルサイト、ニュースサイトが軒並み攻撃を受け、40時間以上にわたってダウン。Yahoo!では瞬間的に800Mbpsのトラフィックが発生していたというから、攻撃の規模は相当に大きかったと見られている。調査会社ヤンキー・グループなどによると、この攻撃で生じた被害総額は10億ドルを超えたといわれ、ネット社会が受けた影響は甚大だった。
この事件に米政府は大きな衝撃を受けた。その衝撃のレベルを物語るかのように、2001年度の予算案ではサイバーテロ対策費に前年比15%増もの20億ドルが計上されている。この中には、政府システム防御のための研究開発費6億600万ドルをはじめ、セキュリティを学ぶ学生への奨学金2500万ドル▽政府機関のシステムを防御する政府侵入検知システムの設置に1000万ドル▽政府と民間が情報インフラを共同開発する機関の設置に5000万ドル――など、ありとあらゆる政策が盛り込まれたのである。
そして第二のターニングポイントは、9.11同時多発テロだった。
この事件以降、サイバーテロに対する米国市民の関心は急速に高まったとされる。「世界貿易センターに対するきわめて複雑で高度な攻撃を可能にしたアラブテロリストであれば、サイバーテロを実行に移すこともあり得ない話ではない」という見方がマスメディアなどで頻繁に紹介され、米政府もこうした世論に押されるように、テロ事件直後の2001年9月末にサイバースペース安全保障担当大統領補佐官を新設。初代に任命されたリチャード・クラーク氏は「太平洋戦争時の真珠湾奇襲に相当するようなサイバー攻撃が起きる可能性がある」と訴え、「デジタルパールハーバー」という新語をぶち上げて危機感を煽った。
クラーク補佐官はさまざまな提案を政府に対して行った。もっとも有名なのはガブネット(Govnet)構想で、米国内のすべての政府機関を専用回線網で結んでしまおうという計画だ。クラーク補佐官は、既存のインターネットはコンピュータウイルスやDoS攻撃に対して脆弱で、新たな専用網を作らなければならないと主張した。とはいえこの意見に対しては、「いくら専用網を作っても、たとえばフロッピーディスクからウイルスは侵入するし、攻撃は完璧に防ぐことはできない」「新しい専用回線網を立ち上げるには莫大な費用が必要になる」「情報機関の既存の専用網との相互運用性を保つのは難しい」などの批判も数多く出ている。
最近では、海軍大学に調査会社のガートナーが協力し、昨年7月に演習「デジタル・パールハーバー」を実施している。これは電力や通信、金融機関などの重要インフラに対してサイバー攻撃が行われた場合、その対応策がどの程度のものなのかを評価するための演習だった。約100人の参加者は、はロードアイランド州の海軍大に参集し、テロリスト役を割り振られたメンバーがさまざまなサイバー攻撃を計画立案し、かなりの成功を収めたという。だが同種の攻撃を実際に敢行しようとすると、数億ドルもの資金や長い準備期間がかかることも判明。テロリスト側にとってもそれほどまでにカネを投下する意味があるのかという意味では、かなり疑問のある結果となった。
サイバーテロ対策に対するこうした疑義は最近、米メディアでも目立つようになってきている。システムに侵入し、重要インフラを外部から操作するのはきわめて高度な技術が必要で、果たしてテロリスト側がそのようなややこしい方法を採用するだろうか? 爆弾を投げた方が簡単で効果的ではないか――という見方だ。p●に挙げたように、今後は爆弾やハイジャックなどリアルなテロリズムの手口と、サイバーテロのハイブリッド型攻撃が米国でも主なテーマとなっていくのかもしれない。
■今後の課題
現在の日本政府のセキュリティ対策には、ふたつの課題がある。
ひとつは、セキュリティポリシーをどう運用するかという問題だ。常に語られ続けていることだが、ポリシーは作っただけでは何の意味もない。p●の吉原参事官のインタビューを読めば分かるように、担当者の人事異動によってポリシーの運用の体勢自体が変わってしまう、ということが中央官庁でも起きているようだ。こうした問題を防ぐためには、運用の手順を文書化し、引き継ぎをスムースに行える体制を整える必要がある。
また同じ省内でも部署によって対応がばらばらになっている、という指摘もある。かつてはどの省庁でも「情報管理課」「貞応システム課」といった部署が省内のすべてのサーバを管理し、専門的な技術知識を持った担当者が常駐していた。だが最近はダウンサイジング化に加え、電子政府の効率的運用が求められるようになり、各部署が独自にサーバを導入し、システムを構築・運用するケースが増えてきているという。膨大な数の部署がそれぞれきちんとセキュリティポリシーを運用しているかどうかを評価するのは、簡単なことではない。
省内の問題だけではない。重要インフラを管理する民間企業との連携についても、どこまで実効性があるかどうかは現時点ではかなり不透明だ。
セキュリティアナリストの古川泰弘氏が話す。
「セキュリティ管理の枠組みを作ったものの、実行力があるサイバーセキュリティ政策がさっぱり見えてこないことに不安を覚える。積極的な情報収集・分析が不十分なために、
危険なセキュリティホール、ウイルス等に対しては、諸外国のセキュリティ機関よりワンテンポ遅れてアナウンスされているのが現状だ」
サイバーセキュリティ対策の先進国である米国では、たとえば伝説的なハッカーとして知られ、かつてFBIに逮捕されたケビン・ミトニックを議会に呼び、直接生情報を得て活用するといったことも行われているという。だが日本では「有識者」の名の下に、政府諮問機関に企業の経営者が呼ばれてセキュリティ対策を話す、といったことが今でも平然と行われている。古川氏は「生情報が加工処理され、調理されたセキュリティ情報からハッカー対策を議論している。刺身から魚の釣り方を検討しているようなものだ」と指摘。「同時多発テロ連とイラク戦争を経験した米国は、政府から民間までセキュリティ意識が広まりつつある。日本でも今後はポリシーを策定するだけでなく、効果が見えるセキュリティガイドラインを作って実践する段階に来ているのではないか」と訴えている。
もうひとつの課題は、サイバーセキュリティ対策と安全保障との関連をどう位置づけるのかというきわめて政治的な問題だ。
吉原参事官は「日本政府のセキュリティ対策は、一般的な役所のレベルという中では米政府とさほど遜色のない程度にまでなっている。だが機密情報を扱う部署などの対策は、レベルから規模からまったく話にならない」と言う。日本政府の現時点でのセキュリティは、既存のハッカーツールを使ってウェブの改ざんを行うようなレベルの攻撃には対処できるが、組織化されたテロリストや外国の諜報機関が行う高度な侵入・攻撃には耐えられるレベルにはない、ということだ。
だがこうしたプロフェッショナルな攻撃への対策を本気で進めようとすれば、巨額の予算と時間が必要になってくる。ベンダーからの脆弱性情報や事件情報を交換しているだけではとうてい追いつかない。たとえば侵入技術を持っていると見られるテロリストや犯罪グループを24時間体制で監視し、メールや電話などの盗聴といった捜査手法も必要になる。公安当局が宗教団体や過激派に対して行っているのと同じレベルの体制が必要になってくるということだ。
こうした対策を政府がもし進めようとすると、巨額の予算をどう捻出するのかという問題が生じるのと同時に、世論が果たしてどの程度にまでこうした対策を容認してくれるのかという問題も起きてくる。米国と同じような防諜機関を保有し、エシュロンやカーニヴォアと同じような方法で通信データを盗聴するのか。そして米国と同じような徹底的な監視社会化を進めるのか――大げさに言えば、そうしたことにまで議論は踏み込まなければならなくなる。本格的なサイバーセキュリティ対策を取ろうとすると、そうした政治的な議論は必至になってくるだろう。
とはいえ、プロフェッショナルな侵入・攻撃のリスクは少ないとはいえ、決してゼロではない。仮に外国の諜報機関やテロリストが日本を狙わないとしても、最近ハイテク化を急速に進めている暴力団などの組織犯罪が不正アクセスなどの技術を使って政府の財産を奪い取ろうとする可能性も否定はできないのだ。そうした事態に陥ったとき、日本政府はどう対応できるのだろうか。
ある政府関係者は、こんなふうに語っている。
「結局のところ、大きなサイバーテロ事件が起きてみないとどうなるか分からない。逆に言えば、事件が起きて初めて、政策をどうするかという本格的な議論が始まってくれる可能性がある。正直に言えば、海外でそうした事件が起きてくれれば日本政府もそれを教材にできるのだが……」