サイバーセキュリティという言葉が一般に知られるようになったのは、2014年のソニーピクチャーエンターティンメントへの北朝鮮とおぼしきハッカーの攻撃と2015年の日本年金機構への標的型メールによる情報漏えい事件だろう。特に後者は、日本国内でかつ多くの市民の情報が盗まれたということで、市民自身にも影響が大きかった。
日本政府は事態を重く見て、セキュリティ対策予算を積み増すことにした。どこまでをサイバーセキュリティ予算というか数え方が難しいので概数だが、当時の日本政府関係予算が400億円/年くらいだったろうか。今は700億円を越えているはずだが、米国の2兆円/年に比べれば圧倒的に少ない。だからセキュリティ予算増は、ある意味当然のことである。
ただ急に増やすとなると、何に使うのか十分検討されないままに「枠だけ取りに行く」傾向に陥りやすい。そんな結果だったかどうかは分からないが、総務省の「セキュアゾーン」と呼ばれる「政府共通プラットフォーム」の中で強固なセキュリティ技術が組み込まれたシステムが、利用されること無く廃棄されていたとの報道があった。
https://news.livedoor.com/article/detail/17199057/
ただでさえ各府省の独自システムを束ねる「政府共通プラットフォーム」には運用上の問題がある。加えて、このネットワーク時代にデータの訂正に出向かないといけないシステムは、とても使い勝手が悪かったろう。現実に18億円の予算を使った総務省自身に、このシステムを利用する計画が無かった。記事はこのような野放図な開発・運用をしたことを責めているが、それは当然として記事に無いことを僕は知りたくなった。
例えば海軍軍縮条約で廃艦に決まった戦艦「加賀」と「土佐」、「加賀」は「天城」の代艦として航空母艦になったが、「土佐」は廃棄するしかなかった。そこで「標的艦」に改装して、砲雷撃の的にして攻撃術や被害軽減のためのデータをとったわけだ。
今回の「セキュアゾーン」もどうせ使えないなら廃棄の前に、「ハッキングコンテスト」の標的として使うことはできなかったのだろうか?1,000万円くらの賞金を積んで、攻撃させてみるというプランである。より優れた攻撃に出会って、防御も進歩するもの。それは大砲でもサイバー攻撃でも変りは無い。もし僕の知らないところで外郭団体など使っておやりになっていたのなら謝りますよ、総務省さま。
