ニュース&アナリシス
- CIA元副長官が語る世界最強スパイ機関CIAから学んだ哲学②
CIA元副長官が語る世界最強スパイ機関CIAから学んだ哲学②
情報機関での長いキャリアを通じて、私は「敵対勢力は待ってはくれない」ということを痛感してきた。 彼らは、私たちが予想するよりも早く、時にはこちらの準備が整う前に、適応し、投資し、新興技術を活用する。 これからのグローバル・インテリジェンスにおける大きな競争は、もはや影の中だけで戦われるものではない。未来のツールを開発している研究所、スタートアップ、そして企業の役員室で形作られていく。次の5つの技術は、すでに情報活動の遂行方法を変えつつあり、将来の戦略的優位を決定づけるものとなる。 人工知能(AI):パターン認識から脅威の予測モデルまで、AIは収集と分析の双方を変革している。しかし同時に、敵対勢力が身元を偽装し、偽情報を自動生成し、影響力工作をかつてない規模で展開することも可能にしている。 量子技術:私たちはパラダイム転換の瀬戸際にいる。量子コンピューティングは暗号を根底から覆す可能性を持ち、量子センシングは新たな監視手段を生み出すかもしれない。これを最初に制した者がルールを作る。 自律システム:ドローン、無人潜水機、宇宙配備型センサーは情報収集の方法を変えつつあり、人員のリスクを減らしながら到達範囲を拡大している。自律性とは単に機械のことではない。速度、規模、そして意思決定の優位性の問題である。 デジタル・アイデンティティと生体認証技術:情報活動は信頼(自分の側の信頼と相手側の信頼)に依存している。アイデンティティ、認証、プライバシーをめぐる攻防は、いまや防諜の最前線となっている。 次世代通信(5G以降):高速で安全かつ低遅延の通信は現代の作戦に不可欠だが、同じネットワークを使うと悪用される可能性もある。将来の指揮統制は、誰がインフラを構築し支配するかに左右されるかもしれない。 私たちは機密空間や従来型の調達モデルの枠を超えて考える必要がある。インテリジェンスの未来は、技術者、起業家、そして使命志向のイノベーターとの連携によって築かれている。だからこそ私は、最先端の能力と国家安全保障任務を結びつける活動に深く関わり続けている。 私たちには立ち止まっている余裕はない。 これらの技術のうち、インテリジェンス任務、あるいはあなたが身を置いている自身の業界にとって最も破壊的になるのはどれだと思うだろうか。
- 2022年2月・ロシアによるウクライナ侵攻でのサイバー攻撃(後編)
2022年2月・ロシアによるウクライナ侵攻でのサイバー攻撃(後編)
2022年のロシアによるウクライナ侵攻では、ウクライナによるサイバー防衛策によって、ロシアの攻撃を効果的に耐え抜くことができた。 主なサイバーセキュリティ対策については前回で概説した通りだ。しかし、ロシアがサイバー空間で戦略目標を達成できなかった理由はそれだけではない。何よりも、攻撃活動が大幅にエスカレートしたにもかかわらず、サイバー戦争は完全に独立した戦争領域にはなっていない。サイバー作戦は依然として認知戦や諜報活動の効果的な構成要素にとどまっている。敵のサイバー作戦の成功例(Kyivstarや法務省レジストラへの攻撃であっても)のうち、壊滅的な事態を招いたものは一つもない。ただし、多大な金銭的・評判的損害はもたらした。 私の意見では、ロシア側は物理的な打撃による心理的影響を強化したり、ウクライナ社会や当局に追加の圧力をかけたりするためにサイバー作戦を利用する計画を立てていた。同時に、サイバーツールの適用限界と有効性をテストしていた。しかし実際には、ミサイルやカミカゼ・ドローンによる攻撃の方がはるかに破壊的な効果をもたらした。 また、サイバー作戦を行うのは「人間」であることを忘れてはならない。多くの高度な技術を持つサイバー専門家が、全面戦争の開始前、あるいは開始から数ヶ月の間にロシアを離れることができた。適格な人員の不足により、侵攻前に準備されていた主要なリソースや初期アクセスを使い果たした後、敵はサイバー影響力を大幅に拡大することができなかった。最後に、彼らの作戦の有効性は、パートナー諸国、具体的には主要なソフトウェアおよびハードウェアメーカーによって課された技術制裁によって制限された。 さらに、ウクライナ国内外で発生したボランティア運動(ウクライナIT軍など)が反撃を開始した。これがロシアのサイバー専門家の注意を、ウクライナに対する攻撃の計画・実行から逸らさせることにつながった。すべての作戦には標的の選定、計画、ツールの探索、実行に時間が必要であり、それには資金、人員、技術が必要であることを忘れてはならない。ロシアにとってエクスプロイト市場がほぼ閉鎖されており、自らツールを開発する必要があることを考えれば、これは特に当てはまる。 ウクライナのサイバーセキュリティにおいて強調されるべき欠点としては、主に以下の通りだ: ・担当機関間の不十分な連携 ・民間セクターから治安機関や国家規制当局に対する強い不信感。その結果、サイバーインシデントの原因や規模が隠蔽される事態を招いた ・サイバー意識の低さ、組織指導部による優先順位の低さ、公的セクターにおけるIT専門家のスキルの低さ ・脅威の状況に合わせてサイバー保護レベルを引き上げるための法的・規制的な変更の導入の遅れ。時に、これらの取り組みは直接的な抵抗やサボタージュに直面した ウクライナ同様、ロシアは日本にとって隣国であり、北方領土をめぐる領土問題もある。最近では日本の選挙へのロシアの介入を示唆する報告もあるが、ロシアの影響力工作とはどんなものか。 民主主義を破壊し弱体化させるというロシアの戦略は、ほとんどの場合、選挙に影響を与えようとする試みとして現れる。我々はこれを、2014年のウクライナ、2016年の米国とブルガリア、2017年のフランス、そして2024年のモルドバで目撃してきた。 特定の悪意のあるグループに関連する詳細なTTPs(戦術・技術・手順)は、ウクライナのサイバー対応機関CERT-UAによって収集・分析されている。協力覚書に基づき、これらは日本のカウンターパートと共有することが可能だ。 同時に、ロシアの影響力工作の特徴的な要素として、ソーシャルネットワーク(特にMeta、X、TikTok)におけるボットファームの活動が挙げられる。これらの活動の目的は、過激な勢力や親ロシア派の政党・候補者の人気を高め、伝統的な穏健勢力の信用を失墜させることにある。 諜報に特化したサイバー作戦を専門とするロシア系サイバー攻撃グループAPT29のような組織は、通常、選挙においては主要な立候補者の本部や情報リソースを標的にする。2016年の民主党全国委員会(DNC)への攻撃で見られたように、通信内容が特に強い関心の対象となる。 選挙プロセスにおけるロシアの介入の古典的な形には、政党や選挙管理委員会のウェブサイトに対する大規模なDDoS攻撃も含まれる。 こうした攻撃には、ロシア政府はどれくらい関与しているのだろうか。 インテリジェンスのデータからも裏付けられているが、ロシアの治安機関や法執行機関がロシアのサイバー犯罪者の大多数を認識していることに疑いの余地はない。ロシアはインターネットユーザーのほぼ完全な身元特定や、多くの外部リソース・サービスに対する技術的なブロッキングを実施しており、犯罪者の世界には常に当局に協力する個人が存在する。 したがって、矯正施設の外でサイバー犯罪グループが活動・存続できるのは、それらが公的当局と協力している場合に限られる。これは、サイバー犯罪者がクレムリンや治安機関の管理下で作戦に参加すること、あるいはロシア国外(特に先進国)での犯罪を黙認されることの両方の形で現れる。その目的は、金銭的な利益を生み出し、それを犯罪者と治安・法執行機関の代表者の間で分配することにある。
- 2022年2月・ロシアによるウクライナ侵攻でのサイバー攻撃(前編)
2022年2月・ロシアによるウクライナ侵攻でのサイバー攻撃(前編)
ロシアによる侵攻の初期段階において、ウクライナに対して大規模なサイバー攻撃が仕掛けられた。 私はすべての攻撃を、その目的に応じて主に3つのグループに分類する。偽情報や認知への影響を目的とした攻撃、サイバー諜報活動、そして破壊的なサイバー攻撃だ。これらとは別に、通常はサイバー攻撃に分類されないが、その使用がサイバー・レジリエンスに直接的な害を及ぼすDDoS攻撃についても特筆したい。これらすべての種類の攻撃は2014年から観測されている。同時に、攻撃の強度は全面侵攻の日以来、ほぼ3倍に増加しており、現在は2022年以前の時期よりも著しく高いレベルにとどまっている。 サイバー攻撃はしばしば組み合わされ、一度に複数の目的を追求する。例えば、2022年1月14日に発生した政府ウェブサイトへの攻撃がその一例だ。サプライチェーン攻撃の結果、攻撃者は政府機関の特定の内部インフラへのアクセス権を獲得し、ウェブサイトを改ざんするだけでなく、内部データベースを消去することも可能にした。同時に、ウェブサイトの改ざんには、国家の個人データ保護能力に対する国民の不信感を植え付けるだけでなく、隣国に罪をなすりつけることを目的とした、挑発的な「偽旗」メッセージの投稿も含まれていた。これに伴い、内部レジストラの一部のデータは、その後のワイパー・マルウェアなどによってデータが削除される前に、流出したことがほぼ確実視されている。このように、この複合的な攻撃は、一面では特殊な情報心理作戦の性格を持ち、他面では機密データの窃取、さらには情報インフラや公共の電子サービスの破壊を目的としていた。 2022年2月15日に発生した、銀行のウェブサイトや決済サービスに対する前例のない強力なDDoS攻撃も、混乱を招き、ウクライナの銀行システムの回復力を損なうことを目的としていた。 全体として、全面侵攻の開始以来、最も大きな被害をもたらしたサイバー攻撃として以下の種類を挙げることができる: フィッシング(メールおよびメッセージングアプリの両方経由)目的:マルウェアの拡散、またはアカウントの窃取。多くの場合、最初の攻撃ベクターとして使用される。主な主体:UAC-0010 (Gamaredon)、UAC-0056主な標的:公務員、軍関係者 マルウェア目的:情報システムへのリモートアクセスの取得、機密情報の窃取、データおよびインフラの破壊ワイパー・マルウェアの種類:WhisperGate, AcidRain, IsaacWiper, HermeticWizard, CaddyWiper, Industroyer2バックドアの種類:Smokeloader, Agent Tesla, Remcos 破壊的攻撃(サプライチェーン攻撃を含む)主な主体:UAC-0002 (Sandworm)、UAC-0028 (APT28)、UAC-0056事例:2022年1月14日の政府ウェブサイトへの攻撃、2024年2月24日のViasat(衛星通信サービス)攻撃、2022年4月8日および10月10日の地方電力会社への攻撃、2023年12月12日のKyivstar(通信事業者)への攻撃、2024年1月25日に起きた主要データセンターParkovyiへの攻撃、2024年12月19日の法務省レジストラへの攻撃、2025年3月23日のUkrzaliznytsia(ウクライナ鉄道)への攻撃 公開されているサービスにおける脆弱性の悪用主な主体:UAC-0028 (APT28)事例:Microsoft Outlookへの攻撃 (CVE-2023-23397) DDoS攻撃主な主体:KillNet, Cyber Army of Russia Reborn, NoName(057)ロシアによる物理的な攻撃(通信や電力)によるインフラ破壊も、ITサービスの停止をしばしば引き起こしている点は注目に値する。 対抗策に関しては、全面侵攻が始まる前から、政府機関は重要インフラ企業(特にエネルギー分野)とともに、施設におけるサイバーセキュリティの監視を強化し、サイバーインシデントに関する情報共有を改善し、24時間体制の人員配置を導入した。 1月14日のサイバー攻撃後、省庁横断的なサイバーインシデント対応ワーキンググループが設置され、後に2025年3月27日付の法律(第4336-IX号)に反映される法改正が提案された。これには以下が含まれる:・政府機関および重要情報インフラ施設におけるサイバーセキュリティ責任者ポストの導入・政府機関および重要情報インフラ施設におけるサイバーセキュリティ要件の未達成に対する職員の責任強化・政府機関と協力する請負業者組織に対するサイバーセキュリティ要件の賦課権限の付与(サプライチェーンの強化)・政府機関および重要インフラ主体に対し、重大な脆弱性の修正とその後の報告を要求する権限の付与、およびこれらの要件の違反または不遵守に対する責任の確立・サイバー予備役の創設 情報通信システムにおける潜在的な脆弱性の探索と特定も正式化され、サイバー空間における侵略への能動的な対抗センターが設立された。 また、国際的なパートナーとの協力を含め、いくつかの重要な技術的措置が実施された:・データ、インフラ、バックアップの海外クラウド環境への移転が正式化され、実施された・全面侵攻の開始から数ヶ月間、いくつかのオンラインサービスや国家レジストラがオフラインにされた・帯域幅の容量が拡張され、数百の政府ウェブリソースに無料のDDoS攻撃保護が提供された・重要情報インフラのセキュリティ評価が数百回実施された・数千のEDRエージェントと数十のテレメトリセンサーが配備された・国家サイバーレンジ(訓練場)が完全に稼働し、管理者や公務員向けに100以上のトレーニングコースが実施された。サイバーハイジーンとデジタルリテラシーの啓発が強化された・国家SOCの機能が拡張され、いくつかの部門別および地域別SOCが稼働した・複数のサイバー脅威分析プラットフォームが導入され、世界の主要プロバイダー、政府組織、重要インフラ企業との協力およびCTI(脅威インテリジェンス)交換が改善された・クラウド・サイバーサービス・プラットフォームが開始された・政府機関向けの安全なインターネットアクセスシステムが近代化された・安全なDNSのパイロットプロジェクトが開始された・国家情報リソースバックアップセンターが稼働した・いくつかの重要な国家情報システムに対して多要素認証プロジェクトが実施された・国家電子レジストラをホストするための統一された安全なプラットフォームが構築された・モバイル対応チームの設置などを通じてCERT-UAの能力が強化された・すべての電子通信プロバイダーの運用が、ウクライナ電子通信ネットワーク運用技術管理国家センターに従属させられた。
- CIA元副長官が語る世界最強スパイ機関CIAから学んだ哲学①
CIA元副長官が語る世界最強スパイ機関CIAから学んだ哲学①
私はCIAに34年間在籍した。それゆえに、CIAで物事がどのように機能しているか、かなりよく理解しているつもりだ。そこで、これから何度かに分けて、CIAの「哲学」について話をしたい。 例えばビジネスの目標は何か? 利益、お金、その他すべてだろう。CIAではそれが「任務」に置き換わる。 つまり、人々は任務に献身しているのだ。それがすべての原動力である。任務は、米国という国を支援するための情報収集、あるいは米国を支援するための他の情報活動を行うことだ。 CIAで成功するには、「長時間労働」と「犠牲」が必要だ。 CIAは仕事ではなく、生き方である。一度CIAに入ると、任務が最優先で、それが人生のすべてになる。24時間体制で動き、特に作戦分野の世界は非常に閉鎖的な世界である。 それは良い面も悪い面もある。入局すると、友人たちは皆CIA内部の友人になる。なぜなら、自分は秘密の世界にいるからだ。その世界の外の人々と接することも普通ではなくなる。家族のことやその他のことなど、話せることと話せないことがある。そしてCIAの職員は24時間体制で働くことを期待されているだけでなく、自ら喜んでそうする。任務を愛するようになるのだ。 私も、家から仕事に行くのに玄関ドアを開けたくないと思った日は一日もなかった。だから、とても中毒性があると言える。ただその中毒性はメリットだと言える。逆にデメリットを聞かれれば、ビジネスの世界でよく話題になるワークライフバランスが、状況次第になってしまう、ということだ。とにかく、通常の勤務時間とは異なる。 私が思い出せる限りで言えば、プライベートな生活と仕事の生活が均等に満たされていた日は一日もなかった。何年もの間、仕事に専念しなければならなかったために、誕生日や記念日などを何度逃したか思い出せない。それは出張に出ていることがあるだけでなく、仕事が常に24時間体制だからだ。 子どもと野球の試合に行きたいと思っても、「この任務には君が必要だ」と言われれば、仕事に行く。どんな予定があったとしても、仕事を優先する。 これは、ビジネスとそれほど違いはないのではないだろうか。コツは、できる限り個人的な時間も取ることを忘れないことだ。さもなければ、後々になって個人的に代償を払うことになる。ビジネスでもそうだが、常に働き詰めで、他のことには一切時間を使わない人たちがいる。人は、自分の人生を生きなければならないので、バランスを取るべきだと今は考えている。 長期的には、他のことにも時間を割くほうが健康的だと思う。心と体を休ませる必要があるが、常にコミットしている世界から一歩踏み出すことは、精神にとって良いことだ。 CIAの職員たちは、2001年にニューヨークで発生した911同時多発テロ以降、すべてを出し切ったと言える。CIAの関係者は、何年も休暇も何もなく過ごした。国際テロ組織アルカイダの最高指導者だったウサマ・ビンラディンを追跡した人々は、何年も献身した。職員に大きな負担をかけたことは言うまでもない。肉体的に疲労困憊し、精神的に疲弊し、感情的に消耗する。海外への出張や、戦争地域への移動などは、非常に厳しいものだ。 それを乗り切るためには、ある程度のタフさが必要だ。CIAで成功したいなら、一生懸命、長時間、懸命に働く必要がある。そして、それ以外に方法はない。ずるをしたり、手を抜いたりすることはできない。なぜなら、人々の命がかかっているからだ。 CIAで、素晴らしい人々と共に奉仕し、任務として国に奉仕する機会を得たことは、大きな光栄であり特権であった。 仕事では何度も失敗をした。何度も失敗を経験した。失敗からは最高の教訓を学ぶことができる。ただそのためには、失敗が大きすぎてはいけないが、失敗を許容できる上司が必要である。しかし、失敗から学ぶことは大きい。私がCIAでリーダーを務めていたときは、もしすべてがうまく運んだら、逆に、何かが間違っているのではないかと考えていた。つまり、失敗のような、何らかの「出来事」は必ず起こるということだ。だが、失敗には適応できなければならない。適応できる唯一の方法は、頭の中で物事を予行演習し、訓練し、準備をし、状況に適応することだ。そして、それには経験が必要だ。そして最高の経験とは、失敗をすることだ。 ただ失敗しないようにすべてのシナリオを考える。例えば外国の役人と会うとしよう。国のために働いているような人だ。その人と会って、テロ対策について話す。その会議で何が起こる可能性があるか? 私の目標は何か? 彼の目標は何か? ビジネスも同じだ。何が起こるかを予測し、会議の内容がまったく異なる方向に進む可能性があることに備える。自分が何も知らないことが起こるかもしれない。それにどう対処するか? スパイなどと取引する際には非常に困難が伴う。しかし、テーブルの向こう側に座っている「人間」と取引しているのだから、何が起きるかわからない。さまざまな想定をしておくべきだ。 嘘や欺瞞に長けている人がいるが、一般的な対策としては、相手から提供された情報をしっかり確認すること。その情報が自分の知っている事実と異なる場合、それについてしっかり考えるべきだ。 例えば、ある話題について話しをしたいとする。またテロを例にすると、彼がある特定のグループに問題が生じていると言っているとする。それが自分の理解と一致しない場合、何か少しずれている可能性がある。それは相手が欺いているという意味ではなく、単に理解が異なるだけかもしれない。したがって、人々と接する際には常に情報の再確認が必要だ。実際の現場は、スパイ映画とは違う。映画ではすべてがとても速く進むが、実際はそうはならない。度重なる確認作業を行う。そして、ほとんどの仕事は、骨の折れる作業、調査、理解、そして問題に対する深い理解が必要になる。 だから、映画の主人公である「ジョン・ウィック」のように会議に参加して、必要な答えが得られなければ誰かを撃つということはあり得ない。ジェームズ・ボンドも然り。諜報活動ではリポートにまとめることが重要な仕事であり、かなり多く文書を書いてまとめる。おそらく、どんな仕事よりも多く「書く」ことが必要になる。ジェームズ・ボンドがタイプライターを使っているのを見たことはないだろう。諜報機関における書く作業は、ジャーナリズムのようなものだが、CIAの作戦官は私が思いつく中で最も厳密に文書化を求められる職業だ。諜報員らはすべてを書き留める。すべてを、だ。そしてその内容にすべての責任を負う。その理由は、何が起こったのかの正確な記録を残したいからだ。後任者がその記録を読んで、何が起こったのかを理解し、次に進めるようにしたいからだ。なぜなら、多くの場合、同じ問題や同じ人物を複数の人が扱っているからだ。だから、そしてそれは絶対的な正直さを必要とする。
- 元CIAベテランが語る地政学リスクに日本企業はどう対応すべきか。
元CIAベテランが語る地政学リスクに日本企業はどう対応すべきか。
レアアース(希少土)など中国との貿易摩擦や、ベネズエラでの米作戦、グリーンランドを巡る米欧の攻防など、企業や組織は日々、「予測不能な不測事態」に直面している。さらに報道などを見ていてもスパイ活動も各地で確認されている。 多くの予測不能なセキュリティ上の不測事態は、技術的、人為的、物理的の三つに分類され、企業スパイ活動はこのすべてにまたがる。技術的攻撃は、ソフトウェア、インフラ、システム設計の欠陥を突く。人為的脅威は、過失であれ意図的であれ、欺瞞、強要、内部アクセスを利用する。物理的攻撃は施設、設備、環境依存関係を標的とし、統制と境界がより明確なため、管理が最も容易なことが多い。 組織はますます、サイバー攻撃、第三者障害の連鎖、サイバー・フィジカルな混乱といった形で、これらのベクトルが融合した不測事態に直面している。静的で予防一辺倒の統制は、もはや十分ではない。これらが「予測不能」と呼ばれるのは、想像できないからではなく、従来のリスク登録簿や一度きりの施策では想定できない形で、急速かつ複合的に出現するからである。 レジリエンスは、技術・人・物理のリスク信号を個別に管理するのではなく、継続的に相関させることから生まれる。統合的視点は、複合脅威の早期検知、より一貫した対応、インシデント進行中の運用統制の改善を可能にする。 2026年1月14日の全米規模のVerizon通信障害は、この現実を浮き彫りにした。敵対的サイバー攻撃ではなかったが、根底にあるパターンと結果は同じだった。重要プロバイダーにおける技術的・人為的失敗である。意図の有無にかかわらず、顧客にとっての結果は同じであり、混乱と評判への影響を通じて、動機よりもオペレーショナル・レディネスの方が結果を左右することを示した。 現代の不測事態には、乗っ取られたオープンソース部品によるソフトウェア・サプライチェーン侵害、ゼロデイやインフラの大規模悪用、基幹業務を停止させるランサムウェア、侵害された建物・産業システムからのサイバー・フィジカル波及、第三者・クラウド集中リスク、そしてフィッシング、認証情報窃取、AI支援型詐欺、内部不正といった持続的な人為・社会技術的失敗モードが含まれる。 これらのリスクに対処するには、セキュリティを全社的な規律として扱う必要がある。すなわち、事業に整合した継続的リスク管理を採用し、インテリジェンス、監視、演習による動的リスク特定に移行し、セグメンテーションと検証済み復旧によるレジリエンス設計を行い、デジタルおよびベンダーのサプライチェーンを強化・検証し、サイバーと物理セキュリティ運用を統合し、インシデント対応と危機リーダーシップを訓練し、コンプライアンス主導ではなく真にリスク認識のある文化を構築することである。 今後6〜12か月で、組織はIT、OT、クラウド、ベンダーにまたがる重要依存関係をマッピングし、基本的なセグメンテーションとフィッシング耐性認証を導入し、多段階混乱を想定した部門横断演習を少なくとも1回実施すべきである。トリップワイヤーは現実世界の出来事や経済シグナルに結びつけつつ、新興脅威に目を向けた前向きな姿勢を保つ必要がある。 運用上の備えが整った組織にとって、不測のセキュリティ事態は異常ではない。それらはストレス下にある複雑系の予測可能な帰結となり、プレイブックに想定され、実践の中で封じ込められる。完全な安全は非現実的だが、持続的即応文化は手の届く範囲にあり、それは偏執ではなく準備を反映するものである。