この記事では、私有携帯電話での業務連絡の問題について、次の内容を説明します。
- 私有携帯電話での業務連絡は情報保全義務違反になるおそれがある。
- 私有携帯電話での業務用データ取り扱いが禁止されているため。
- にも拘わらず、警急呼集などで私有携帯電話の業務利用が推奨されている。
- 特に出入港情報は「注意」に該当するので、恣意的な処分が可能になっている。
- 私有携帯電話で業務連絡する危険性
- 情報漏えいのおそれ
- 標的型攻撃のおそれ
- 防衛省携帯電話を全自衛官に貸与するべき
- 防衛省携帯電話は、DIIにアクセス可能な携帯電話で、業務用データの取り扱いが認められている。
- 現状、指揮官や当直士官にのみ貸与されているが、対象を全自衛官に拡大することで、不健全な状態を是正できる。
- (課題)防衛省携帯電話の紛失・盗難などによる情報流出のおそれがある。
- 端末内へのデータ保存の制限、遠隔での失効処理、定期的な暗号更新、運用ルールの改訂などが必要
この記事は、読者の皆さまに自衛隊の未来について考える機会を提供するため、世間に向けて声を上げることの出来ない自衛官の思いを取り上げます。
なお、情報提供者の特定を防止するため、内容を脚色しております。ご了承ください。
某日 護衛艦「ひとなみ」科員食堂
通信士 与那覇3尉それでは、通信士が情報保全・情報保証教育を行う。
私有携帯電話での業務連絡は禁止!なのに……?
不開示情報は取扱禁止
通信士 与那覇3尉……というわけで、事故事例の紹介に移る。まず、数か月前に某艦で発生した保全事故について。
通信士 与那覇3尉当該隊員、20代海士長は、艦の緊急出港に際して、某SNSに「急に出張が入りました、5日ほど連絡取れません」「連休がパーだ、【外国の政治指導者を揶揄するのに俗用される、某人気アニメキャラクター名】許さん」などと書き込んだところ、部外者から海幕広報室への相談があり発覚した。
通信士 与那覇3尉当該隊員はプロフィール画像に自分の艦の部隊識別帽の写真を使用しており、海上自衛官であることや、どこの乗員であるかが容易に類推できる状態であった。
水雷長 遠見1尉へぇ……今どき、こんな典型的な事故者がいるなんて……。
通信士 与那覇3尉さらに、当該隊員の携帯電話を確認したところ、1術校のスタディガイドを撮影した写真が発見されたほか、他艦の同期隊員とSNSで部隊の行動予定について情報共有していたことが発覚した。
水雷長 遠見1尉こ れ は ひ ど い
通信士 与那覇3尉では、改めて本件の何が問題であったか解説する。
通信士 与那覇3尉何と言っても、業務用データを私有の携帯電話で取り扱ったこと。
(定義)
第2条 この訓令において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
(1)~(9)省略
(10)業務用データ 職員が職務上作成し(作成中も含む。)、又は取得したデータであって、当該データに行政機関の保有する情報の公開に関する法律(平成11年法律第42号)第5条各号の規定に基づき行う開示又は不開示の処分に係る審査基準を適用した場合、不開示情報に該当する情報が含まれるものをいう。
(11)~(12)省略(私有パソコンの取扱い)
第44条 省略
2 省略
3 職員は、私有パソコンで業務用データを取扱ってはならない。(私有携帯電話、私有目的特化型機器及び私有可搬記憶媒体の取扱い)
防衛省の情報保証に関する訓令(防衛省訓令第160号。19.9.20)
第45条 省略
2 職員は、私有携帯電話、私有目的特化型機器及び私有可搬記憶媒体で業務用データを取り扱ってはならない。
(行政文書の開示義務)
行政機関の保有する情報の公開に関する法律
第5条 行政機関の長は、開示請求があったときは、開示請求に係る行政文書に次の各号に掲げる情報(以下「不開示情報」という。)のいずれかが記録されている場合を除き、開示請求者に対し、当該行政文書を開示しなければならない。
一 個人に関する情報(事業を営む個人の当該事業に関する情報を除く。)であって、(中略)
一の二 個人情報の保護に関する法律(平成十五年法律第五十七号)第六十条第三項に規定する行政機関等匿名加工情報(中略)
二 法人その他の団体(国、独立行政法人等、地方公共団体及び地方独立行政法人を除く。以下「法人等」という。)に関する情報又は事業を営む個人の当該事業に関する情報であって(中略)
三 公にすることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあると行政機関の長が認めることにつき相当の理由がある情報
四 公にすることにより、犯罪の予防、鎮圧又は捜査、公訴の維持、刑の執行その他の公共の安全と秩序の維持に支障を及ぼすおそれがあると行政機関の長が認めることにつき相当の理由がある情報
五 国の機関、独立行政法人等、地方公共団体及び地方独立行政法人の内部又は相互間における審議、検討又は協議に関する情報であって(中略)
六 国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業に関する情報であって(後略)
通信士 与那覇3尉出入港情報をはじめとする部隊の行動予定は取扱区分「注意」に相当する不開示情報、つまり業務用データになる。
通信士 与那覇3尉携帯電話に限らず、パソコン、可搬記憶媒体などでこうした情報を取り扱えば、保全義務違反になる。
通信士 与那覇3尉特にこうした情報をSNSで流出させた場合、処分が重くなる。これは不特定多数に開放された場ではなく、仲間内だけで情報共有する場合も同様。
当該隊員の場合、停職処分は免れず、3曹昇任はおろか、継続任用も絶望的なものとなり……
広告
でも、警急呼集って業務用データじゃない?
同日 護衛艦「ひとなみ」士官室
船務長 先野1尉ご苦労。まぁ、皆さして聞いてはいなかったが、ひとまずやる事はやったからな。良いだろう。
通信士 与那覇3尉はい、次は船務士にやらせて下さい。
船務長 先野1尉そりゃあ、ダメだ。たとえ聞いてなくとも、説明は正しく出来ねばならん。彼奴が正しく説明できるよう、キミが手取り足取りレクチャーするならいいが……
通信士 与那覇3尉致し方ありませんね。次もやることにします。
水雷長 遠見1尉それにしても、こうも保全事故が相次いでいるんですね……。
船務長 先野1尉昔のテキトーな雰囲気を引きずってる部隊だと、当直勤務中に携帯電話いじってて当たり前なんてところもあるからな。ここ数年で急速に厳格になってきたものだから、意識が追いついていないのだな。
水雷長 遠見1尉ええ。……ところで、ふと気付いたんですけど、我々って警急呼集を携帯電話でやってるじゃないですか。あれって大丈夫なんですか?
警急呼集
非常の呼び出しのこと。主に部隊が緊急出動する場合に行われる。
特に艦艇部隊では、警急呼集≒緊急出港であり、正当な理由なく出港までに帰艦できなかった場合は「後発航期」として懲戒処分の対象になる。もちろん陸上部隊でも指定期間内に帰隊できなければ懲戒処分の対象になり得るが、一般に艦艇の方が期限が短く、超過時のペナルティが大きいため、恐れられている。
船務長 先野1尉おいやめろ。それ以上口を開くな。
水雷長 遠見1尉やっぱりマズいんですか?
船務長 先野1尉そりゃあ……、まったくホワイトな訳がなかろう。だから隠語を使ったりしてぼかしたりしているのだ。もっとも、誰が聞いても意味が理解出来る隠語に意味があるとは思えんがね。
水雷長 遠見1尉やっぱり。ボクたちだって、いつ保全義務違反でしょっ引かれるか分からないってことじゃないですか。
船務長 先野1尉こんなことで、いちいち言う輩もいないとは思うがね。
だいたい、警急呼集をやれと言っているのは海上自衛隊自身だぞ。
通信士 与那覇3尉ですが船務長。私たちはつい先日も、組織の意向に従った結果、危うくクビになりかけたのでは……。
通信士 与那覇3尉警急呼集の危うさは、かねてより私も気になっていたところです。
電話にせよ、メールにせよ、SNSのメッセージにせよ、伝達される内容は、本質的には部隊の行動予定であり、不開示情報のはず。それを私有の携帯電話でやり取りするのは危うさを孕んでいます。
水雷長 遠見1尉字面通りに捉えたら規則違反だけど、実際は処罰されてないのは危ないですよ!それって恣意的に処罰できることになってしまうじゃないですか!
船務長 先野1尉まったく、キミらは。本当に面倒な事にばかり気付くのだな……。
広告
私有携帯電話で業務連絡の危険性
船務長 先野1尉そりゃあ、キミらの言うとおりではあるんだ。
情報漏えいのおそれ
水雷長 遠見1尉そうですよ。私有回線でやり取りしたら、情報漏えいのリスクが高まります。
船務長 先野1尉今どきの携帯電話回線は、割とセキュアに出来ているぞ?
水雷長 遠見1尉回線自体はセキュアでも、それを取り扱ってる端末がセキュアだとは限らないじゃないですか。
船務長 先野1尉さすがにこの程度では引っかからんか。
そのとおりだ。確かに扱っている端末にスパイウェアがインストールされていれば、端末内のデータを外部に送信されてしまう可能性があるな。
船務長 先野1尉そもそも、伝送経路がセキュアである事も保証はされない。LTEですら脆弱性を指摘されることもあるしな。そして他の伝送経路が使われることも十分にありうる。
船務長 先野1尉DIIの通信が安全なのかと言われれば、それはそれで疑問符が付くんだがな。
通信士 与那覇3尉DIIの問題は防衛省が監視し、改善する事が出来ます。ですが防衛省の管理外でそういった通信が行われると、収拾が付かなくなります。
船務長 先野1尉それもそのとおりだ。
広告
標的型攻撃のおそれ
通信士 与那覇3尉それより、私が懸念しているのは標的型攻撃の問題です。
水雷長 遠見1尉どういうこと?
標的型攻撃
サイバー攻撃の攻撃手法の1つ。不特定多数に対して行うのではなく、特定の個人・企業等に対して、関係者を装ったメール等を送りつけ、攻撃対象を油断させてマルウェアのインストール等を試みる。攻撃対象やその人間関係などを事前に分析する必要があるが、的確に行われると看破は困難。
船務長 先野1尉それこそ、情報漏えいのリスクが高まるという話だ。防衛省の所管しない通信手段で業務連絡をするのが当たり前になれば、そうした通信手段での標的型攻撃が容易になるだろう?
水雷長 遠見1尉なるほど、確かにそうですね。
DIIで攻撃メールを送りつけようと思ったらDIIのネットワーク内に侵入しないといけないけど、私用のアドレスならアドレスさえ知っていれば送りつけられますもんね。
通信士 与那覇3尉ええ。ですが、それだけではありません。
そうした特定個人を狙った攻撃が、指揮統制を混乱させるために行われるリスクがある、という話です。
通信士 与那覇3尉実例が2014年のロシアによるウクライナ侵攻です。
この時、ロシアは無線設備の破壊や電波妨害によって軍用の通信手段を無力化し、併せて、携帯電話で指揮官からの命令を装った偽メールを配信して、それに従った部隊を効果的に撃破しています。
/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/SSALAVBWLRO5LAZYCB5J43EQ4U.jpg)
水雷長 遠見1尉へぇ、そんなことをやってたんですか……!
船務長 先野1尉指揮統制を混乱させ、敵部隊の意思決定を都合の良い方向へ歪曲させ、物理的破壊力を最大化する……。まさしく、情報作戦のお手本のような事例だ。
通信士 与那覇3尉日常的に私用の携帯電話でやり取りしていると、どの人間が誰に影響力を有しているのかの分析も容易になりますし、そうした偽情報を商用回線で流布されたときに受け入れやすくなってしまいます。
水雷長 遠見1尉由々しき事態ですね……。
広告
【意見】防衛省携帯電話を全自衛官に!
船務長 先野1尉しかしだ。現実的な問題として、自衛官を24時間基地内に閉じ込めておく訳にもいかん以上、何かしら連絡手段が必要だろう。それは容易には解決出来んぞ。
水雷長 遠見1尉うーん……確かに。
通信士 与那覇3尉何言ってるんです。防衛省携帯があるじゃないですか。
防衛省携帯電話
防衛省情報通信基盤(DII)を介して通信することが出来る携帯電話のこと。ハードウェアは商用のスマートフォンと同様であるが、DIIにアクセスするためのソフトウェア等がインストールされており、商用回線を経由して防衛省のネットワークに入系することが出来る。
本記事執筆時点では、指揮官や当直士官など、主要な人員にのみ貸与されている。
通信士 与那覇3尉防衛省携帯を全自衛官に貸与すれば、こんな問題はすぐに解決出来ます。
船務長 先野1尉馬鹿を言うな。そんな簡単にできるわけないだろ。
通信士 与那覇3尉まー、難しいとは思います。そもそも端末を用意するだけでも100億円単位で費用が必要でしょうし。自衛官は20万人以上いますからね。
ですが、規模こそ違えど民間企業なんて、まともなところは全社員に業務用携帯電話を貸与してますよ。
水雷長 遠見1尉確かに、費用の桁は違うかもしれないですけど、他の組織では当たり前にやってるんだから、自衛隊だって出来そうな気がしますね。
課題は管理の難しさ
船務長 先野1尉あのな、費用なんて正当な理由があって、予算に空きがあればどうとでもなるんだ。
問題はそこではないぞ。管理の問題だ。
船務長 先野1尉まず、20万人超いる自衛官にそうした端末を貸与して、紛失や盗難が1件も起きないわけがないのだ。そんなことが起きればどうなると思う?
水雷長 遠見1尉……部外者が端末を入手すれば、防衛省のネットワークにアクセス出来てしまう、情報流出のおそれがあるってことですか。
船務長 先野1尉そのとおりだ。確かに私有携帯でのやり取りは危険だが、少なくともそれだけでは防衛省のネットワークへの侵入には繋がらない。
だが、防衛省携帯はネットワークの防壁に穴をあける存在。その危険性は無視できんぞ。
船務長 先野1尉端末にパスワードをかけたところで、パスワードを「12345678」だとか「12qwasZX」にする輩は必ず出てくるし、そうした分かりやすいパスワードを禁じたところで、端末の裏にパスワードを書いた付箋紙を貼るバカは必ず現れる。
そうでなくとも、しかるべき設備と能力があれば、端末内のデータを解析することは可能だ。
水雷長 遠見1尉確かに……
船務長 先野1尉無論、指揮官等のみに貸与された現状でも、こうした問題は当然起こり得る。私は防衛省携帯の仕様についてそこまで詳しくないが、次のような対策は当然とっているはずだ。
- 端末内へのデータ保存の制限
- 閲覧したデータを端末内に保存させない(キャッシュの強制削除、ダウンロード・スクリーンショットの無効化など)ことで、端末を解析されてもデータを読み出せなくする。
- 厳格にやり過ぎると、必要な情報を閲覧するのに、都度アクセスが必要となり通信量が膨大なものになる。また、圏外では当該情報を閲覧できなくなる。
- 遠隔での失効処理
- 紛失時、端末内に保存された文書や暗号規約を抹消する命令を、電話回線を介して送付する。
- 電池が切れていたり、電波の届かない環境あると利用できない。
- 本格的なフォレンジック技術を有する相手には効果不足のおそれ
- 定期的な暗号更新
- DIIにアクセスするのに必要な暗号(電子証明書)を定期的に更新し、更新されていない端末からはアクセスできなくする。
- 更新を頻繁にすることで、部外者による不正アクセスのチャンスを少なくできる。が、暗号更新をどのように行うかの問題が生じる。
- ネットワーク経由で更新すると、伝送した暗号が漏洩するおそれ
- 直接手渡しすると、端末を管理部隊に集積する手間が生じる。
- 艦艇のように決まったタイミングで更新作業を出来ない部隊では、端末を使用できなくなるおそれ
- 運用ルールの策定・改訂
- 端末の利用者ごとに権限を分ける。例えば、秘密情報にアクセスできるのは指揮官クラスのみにする。
- 権限の区分が緩いと、アクセスすべきでない情報にもアクセスできてしまうが、細分化・厳格化しすぎるとどの権限を付与すべきかの検討が煩雑になる。
水雷長 遠見1尉貸与する対象が増えるなら、すでにこういう対策をしていたとしても、さらに進めていかないといけないってことですね。
船務長 先野1尉そういうことだ。特に運用ルールの改訂は急務になるだろう。
厳格にするのはいいが、実効性のある形で規制するのはかなり厳しい。厳格にすればするほど、管理の手間が増え、むしろ規則の形骸化を招くのだ。
だいたい、ソフトの設定やら規約更新やらをやろうにも、千台単位でスマートフォンが各システム通信隊に押し寄せることになるぞ。その状態で一つ一つの端末をしっかり管理するなど出来るのだろうか。
船務長 先野1尉さらには、防衛省外……つまり、防衛装備庁や内閣府に出向している隊員や、企業や大学院で研修している隊員、海外出張している隊員など、部隊で面倒を見られない隊員の端末をどうするのか、あるいは貸与しないのか、などなど問題は山積みだ。
水雷長 遠見1尉うーん。かなり難しいですね……。
でも、単に同期と連絡取るだけでも、保全にはかなり気をつけないといけないもんなぁ。安全な連絡手段があると良いですよね。
船務長 先野1尉不健全な状態が続いているというのは、まったくそのとおりだ。
とはいえ、現状の是正は決して簡単なことではない。海幕などの担当者が余程頑張らないと実現は困難だろう。
通信士 与那覇3尉それでも、やるだけの価値はあると思いますよ。
この記事では、私有携帯電話での業務連絡の問題について、次の内容を説明します。
- 私有携帯電話での業務連絡は情報保全義務違反になるおそれがある。
- 私有携帯電話での業務用データ取り扱いが禁止されているため。
- にも拘わらず、警急呼集などで私有携帯電話の業務利用が推奨されている。
- 特に出入港情報は「注意」に該当するので、恣意的な処分が可能になっている。
- 私有携帯電話で業務連絡する危険性
- 情報漏えいのおそれ
- 標的型攻撃のおそれ
- 防衛省携帯電話を全自衛官に貸与するべき
- 防衛省携帯電話は、DIIにアクセス可能な携帯電話で、業務用データの取り扱いが認められている。
- 現状、指揮官や当直士官にのみ貸与されているが、対象を全自衛官に拡大することで、不健全な状態を是正できる。
- (課題)防衛省携帯電話の紛失・盗難などによる情報流出のおそれがある。
- 端末内へのデータ保存の制限、遠隔での失効処理、定期的な暗号更新、運用ルールの改訂などが必要
コメント