サイバー防衛に関しては、日本の脆弱性は深刻です。サイバー能力は東京オリンピック・パラリンピックのサイバー攻撃をはじくというレベルでは通信簿でいうと５です。ＮＴＴや日立、三菱電機など最優秀な方々がおられます。では、戦争になったときにロシア軍、中国軍と張り合うだけの能力があるかというと、このレベルでは通信簿では１です。戦う能力がありません。日本はすごく遅れていて、世界中から、特に同盟国の米国から問題にされているのです。今、一番、日本の防衛能力にあいている穴はこれだといわれていて、「日本はサイバー戦が原因で負けるぞ」といわれているのです。ウクライナがロシアのサイバー攻撃に屈して、2014年にいとも簡単に負けてしまったのですが、「ああなるよ」といわれているのです。

何が問題かといいますと、先ず自衛隊です。普通、サイバー軍は１万人程度います。ハッカーの子たちなのです。普通の兵隊ではないのです。体力測定がありません。腕立て伏せが出来なくても、ハッキングさえできれば「はい、合格」と言われるのです。学歴も関係ありません。ハッカーの子たちというのは結構ドロップアウトをしている子が多くて、ずっとお家でゲームをやっている子も多いのです。なので、学歴は中学卒でも全然構いません。ハッカー試験だけ受かればいいのです。超１級のハッカーをずらっとそろえて、１万人ぐらいいるのです。

彼らが何をやるかといいますと、例えば日本中の重要インフラとか、政府とか、あるいは主要な金融産業中枢にセンサーを置きます。そこに入ってくる情報を全部スパコンに入れるのです。膨大な量のデータが洪水のように流れています。よく通信の秘密を犯すという方がいらっしゃいますけれども犯しませんし、読めもしません。人間なら読むのに数億年かかります。読んでいる暇はないのです。１回さっとスパコンに入れるだけなのです。

スパコンというのは、日本に今流れている情報量ですと全部入れても４～５年分入ります。容量が大きいですから。それがサイバーセキュリティ専門の情報センターの核になります。そこでスパコンは何をやるのかというと、ざっとログを見ていくわけです。ログを見ていくと、「あれっ」というのがあるわけです。「マイクロソフトではないよね」というものがあるわけです。オペレーションシステムが彼らは違うのです。そうすると、これは悪意のある攻撃ではないかいう疑いのあるものが、バシャバシャと出てくるわけです。これがマルウェアといわれているスパイウィルスです。これがわーっと私たちのシステムの中に入ってくるわけです。そこから情報を窃取したり、有事には起動して電気を落とすということをやるのです。それを捕まえてスパコンが出してくるわけです。そのためにはスパコンにデータベースを作って人工知能を活用するしかありません。

マルウェアを捕まえると、これをハッカー軍団１万人が待っているわけです。「来たよ」と言われると「行きます」と言って、だーっとサイバー空間を泳いで敵のマルウェアの発信元にいくわけです。そうすると誰がやったかが分かるのです。これを「アトリビューション」といいます。上海の何とかビルの第何号室のＫ大佐ではないか、またこいつか、とやるわけです。

中国やロシアの進んだマルウェアは、Advanced Persistent Threat（ＡＰＴ）と呼ばれます。Persistentに意味があって、しつこいという意味ですね。毎日やって来る。発信源の特定は、能力があれば民間でもできます。日本の企業でもかなりできるといわれています。

発信源が分かると、ここから先はバリバリと敵のコンピューターに入っていくのです。逆進入、ハックバックです。これは軍の仕事です。当然ですが、軍隊同士は通信の秘密を尊重しません。だから暗号で守るのです。敵の暗号解読は平時からお互いの仕事です。暗号が弱い方が悪いというのが軍隊の世界であり、暗号をお互いに破り合うのが軍隊の仕事です。軍はその権限があるのでサイバー軍がやるのです。バリバリとやって「こらっ」と警告するわけです。それでもＡＰＴをやめないと、犯人の顔写真をウェブ上にばらまいて、「こいつがチャイナハッカーだ」とやるわけです。最悪の場合には連邦裁判所に訴えます。ここまでやります。このためには、敵のコンピューターに入っていかなくてはいけないのですが、それはスパコンとハッカー軍人たちがやるのです。

これがサイバー積極防衛です。日本は全くこの能力がありません。私は本当にけしからんと思っているのですが。サイバー戦は平時が勝負です。平時にマルウェアを埋め込まれたら、有事に負けるのです。日本国は平時の自衛隊に、人のコンピューターに入ってはいけないという法律を適用しているのです。こんな馬鹿な話はありません。日本法制の恥です。これはおまわりさんに「捕まえてはいけない」と言っているようなものです。どうしてこんな馬鹿なことになっているのかと思うのですけれども、是正されていません。軍にとっては平時から敵軍の暗号を破るというのは正当業務行為なのです。どこの軍隊でも毎日やっているのです。

「平成30年防衛大綱」という５年前の大綱でサイバー軍を本格的に立ち上げるべしと指示を出しました。当時は90人で立ち上がり、5年経ったので当然9000人くらいになっただろうと思って聞いたら、なんと今で500人しかいません。どうしてこんなことになっているかと言えば、「不正アクセス防止がかかっていますから仕事ができません」という話になるわけです。

これは日本国の恥なのですが、担当しているのは「シギントクラブ」の人たちで、防衛省の中でも最も秘匿度が高い部署の人たちなので、絶対にしゃべらないのです。だから、この問題に陽が当たらなかったのです。しかし、これはシギント担当者の問題ではありません。政府全体のサイバー防衛政策と体制の問題です。私も最近、本件について大きな声を出しているのですが、北村前ＮＳＣ局長も、この問題に気が付いて「けしからん」と言って批判しています。これはやらないといけません。

また、自衛隊は、自衛隊しか守らないというのが戦後の仕組みですので、自衛隊に重要インフラと政府全体を守らせなくてはなりません。これを防衛省の業務にすると、防衛省の性格が変わってしまいます。防衛省が国土安全保障省のようになってしまうので、それはおかしいですから、やはり内閣官房にサイバーセキュリティ局をつくるのが正道です。

今、内閣には内閣サイバーセキュリティセンター（ＮＩＳＣ）という部署があり、そのトップが危機管理監と防衛担当の副長官補ですが、危機管理全般を担当して、死ぬほど忙しい人たちですから、別途サイバーセキュリティ監やサイバーセキュリティ局長というのをつくって、それにサイバー防衛は全部見させるのが正しいと思います。

民間のサイバー防衛、政府全体のサイバー防護・有事防護、サイバー治安対策、サイバー犯罪対策、科学部、総務部の６部体制とし、大体200～300人ぐらいで立ち上げればよいと思います。

サイバーセキュリティ局は、自衛隊でいえば統幕です。この下に実働部隊というべき１万人程度のサイバー師団がいります。サイバーセキュリティ局の下に、さっきちょっと申し上げましたが、「サイバーセキュリティ情報センター」をつくって、ここに自衛隊のサイバー軍の人たちを兼務で持ってくればいいのです。そうすると、サイバー能力の高い自衛官たちが、内閣官房の人間として重要インフラが見られるようになるのです。サイバー戦士は彼らしかいませんから、彼らに兼務でやらせる。実は、政府は宇宙衛星情報センターという組織を持っていますが、本体は自衛隊です。画像分析は彼らしかできないからです。サイバーセキュリティ情報センターは、将来、宇宙衛星情報センターのような形にしていくのがよいと思っているのですが、現状は、何も動いていません。

先だってデジタル庁をつくるときに、ここのあるファイブ・アイズのとある大使から呼ばれまして、「いよいよ日本もシックス・アイズですね」「サイバーインテリジェンスが始まるのよね、素晴らしいわ」などと言うから、「とんでもない。あれは政府プラットフォームを作って、ハンコをやめるだけの話ですよ」と言ったら「えっ」と驚くわけです。「サイバー軍は?」と聞くから、「関係ありませんよ。ハンコをやめるだけですよ」と言ったら、「何やってんの?」と怪訝な顔をしていました。

はっきり言って、今の日本は、世界の中で最も恥ずかしいサイバー防衛態勢です。これは早急に手当てしないと、万が一台湾有事になったら、色々大変なことが起きる。沖縄は一瞬でブラックアウトします。沖縄の発電所、送電網がサイバー攻撃で潰される。自衛隊も米軍も動けない。戦う前に負ける。今、実は米軍は、それを非常に恐れています。