最近、三菱重工業を含む防衛関連各社、さらに衆議院や外務省の在外公館を狙った標的形攻撃による情報搾取が立て続けに発覚して大問題になっている。

国家あるいは国家を支える重要な要素である防衛関連の情報漏洩が由々しき事態であることは言うまでもないが、過去に数多のスパイ事件が発生していることでもわかるとおり、この手の攻撃を根絶するのはなかなか難しい。そこで、過去2回の話から繋ぐ形で、防衛産業界と情報の保全を取り上げることにしたい。

人的要素は最重要課題

「人を見たらスパイと思え」というのは極端だが、IT分野でもその他の分野でも、セキュリティ対策において「人」が最大の弱点であることは論を待たない。

最近、頻発している標的形攻撃においても、結局のところ、業務に関係があるメッセージに見せかけた攻撃者のメールを開いてしまったかどうかが、運命の分かれ道になっている。実際、会社によっては不審なメールに対する注意喚起を以前から行っていたおかげで、攻撃者のメールを開かずに済んだと報じられている。

こうした「サイバー攻撃」「サイバー産業スパイ」が問題視される傾向が強まっているが、防衛関連分野だけが狙われているわけではない点に注意する必要がある。ITでもバイオでも製薬でも各種分野のメーカーでも、条件はみんな同じである。

もっと生々しいところでは、経済的弱みにつけ込んで情報を売らせようとする攻撃、色仕掛けのハニートラップ攻撃なんてものもある。いずれにせよ、「人」が最も弱いところを突いた攻撃と言える。

もちろん、そうした問題をできるだけ回避するため、企業では機微に触れる立場の仕事をする人については事前に身元調査や周辺人脈・交友関係などの調査をするわけで、問題ないと判断してセキュリティ・クリアランスが出た場合に限り、機微に触れる立場の仕事ができる。もしもそこでNGが出れば、「防衛関連のポジションには就けません」ということで、別のポジションに就けたり、転属させたりすることになる。

その身元調査・身辺調査を問題視する向きもあるが、迂闊に外部に漏洩されては困る情報を扱うのに、「誰でもホイホイと担当できるようではキケン」と考えるほうが理に適っているのではないか。

防衛産業界とセキュリティ・クリアランス

したがって、防衛関連のビジネスをしようとする民間企業にとって、社員がセキュリティ・クリアランスを取得できるかどうかは大問題である。実際にそういう会社があるかどうかはともかく、もしも身辺に問題を抱えた社員がゾロゾロいたら、もちろんセキュリティ・クリアランスの取得に支障を来すし、結果的には仕事を請けられなくなる。

本連載の第24~26回などで取り上げているように、近年では軍の仕事を民間に委託する事例が増えている。かつてなら考えられなかったような業務、例えば教官の派遣や情報分析の仕事にまで民間企業が進出していることを考えると商機は増している……と考えそうになるが、それに対応できて、かつセキュリティ・クリアランスを取得できる人材がいなければ、話にならない。

しかし、ちょっとした抜け道がないわけではない。手元でそういう人材を確保できなければ、別の方法で手に入れればよいのである。例えば、すでに軍の仕事をしていてセキュリティ・クリアランス取得者も抱えているが、何らかの事情で経営的に苦しい状況にある会社。そういう会社が手掛けている業務と自社が参入を目論んでいる業務がマッチしていれば、会社ごと買収してしまえばよい。

すると結果的に、単なる業容拡大のためのM&Aではなく、セキュリティ・クリアランス取得者も付加した形でのM&Aということになるわけだ。もっとも、買収した相手先の社員がゾロゾロと離職・転職してしまわなければの話だが。

必要なスキルとセキュリティ・クリアランス取得上の問題をクリアしやすいという点では、軍や情報機関のOBを雇い入れたり、あるいは引き抜いたりする手もある。これは、顧客との人的つながりを確保する点からも理に適った方法だろう。

ただし、軍や情報機関からスパイ事件の犯人が出た話だってたくさんあるのだから、情報保全という話に限れば、絶対安全で万全の解決策というものでもないが。

「秘密」といってもいろいろある

話が前後するが、「防衛関連の秘密」といっても対象は多種多様だし、その中の重要度は意外と世間で思われているものとは異なっている可能性がある。例えば、各種装備の設計図や技術情報が機微に触れるのは当然のことだが、単に形が見えるものだけが機微に触れるわけではない。

むしろ、実際の運用経験、実戦経験を反映することで実現・更新されていくソフト的な部分(コンピュータを動作させるためのソフトウェアだけでなく、ノウハウなど、形に見えないものすべてを指す)にこそ、重要な情報が多く含まれていると言える。見た目ではわからない部分、と言い換えることができるかもしれない。前回に取り上げたF-35のコックピット・シミュレータは、それが形になって現れた一例だろう。

これは軍事に限らず、他所の業界も同様である。だから、目に見える部分、形の部分だけを真似して「我が国の独自技術で世界最高水準のものを実現した」と威張ってみても、運用面で馬脚を現してしまうことがある。そこのところがわかっていれば、むしろソフト的な情報の盗み出しに精を出すケースも出てくるだろう。

いずれにせよ、狙われそうな情報には事欠かない業界だけに、秘密保全は終わりのない課題である。しかもその一方で、納税者に対する説明責任などの事情から、ある程度の範囲で情報を公開しなければならない場面も出てくるので、この相反する立場のバランスをどこでとるかという問題もある。

産業の立場からすると、その情報公開という点で難しい課題があるのだが、その話は次回に取り上げることとしたい。