2015年6月16日

サイバーセキュリティ対策に関して

 年金情報が外部からの攻撃によって流出した、という事実は大きな社会問題として取り上げられています。さらに、東京商工会議所でも、コンピューターウイルスを介した感染により、会員情報が外部に漏れるという事件も生じています。そこで今回は、我が国のITセキュリティはどうなっているのか、論じることにします。
こうした、「情報」に対する攻撃は、インターネットが普及しだした1990年代から増え始め、現在では、攻撃の手段も巧妙化しています。ITネットワークに対する攻撃は、個人のみならず、企業、団体、ひいては国家の脅威となっており、国家レベルの攻撃に及んだ場合、サイバーテロと呼ばれます。警察庁はこれを以下のように説明しています。
“サイバーテロとは、重要インフラの基幹システムに対する電子的攻撃又は重要インフラの基幹システムにおける重大な障害で電子的攻撃による可能性が高いものとされており、一般的にはコンピュータ・システムに侵入し、データを破壊、改ざんするなどの手段により、国家又は社会の重要な基盤を機能不全に陥れる行為をいい、サイバー犯罪の中でも最も甚大で深刻な被害を及ぼす危険があると考えられています” http://www.keishicho.metro.tokyo.jp/haiteku/cyber/cyber.htm
 
 世界にサイバー攻撃の重要性を認識させたのが2009年に起こった、米韓政府に対するサイバーテロでした。我が国は2005年に情報セキュリティ保護に帰するため、NISC(National center of Incident readiness and Strategy for Cybersecurity:内閣サイバーセキュリティ)を発足させました。しかし、2011年、防衛産業の一角を担う三菱重工票がサイバー攻撃を受け、大きく報道されました。この事件後、衆議院議員のパスワードが盗まれていた可能性や、外務省の在外公館のコンピューターにウイルス攻撃にあったことなどが、明らかになりました。時代が進むにつれ、サイバー攻撃も進化し、DDOS(Distribute Denial of Service:分散サービス拒否)から、より重篤な標的型攻撃へと変わって行きました。国際社会はサイバーセキュリティの問題に対しては早くから反応しており、2001年にサイバー犯罪条約を採決しています。日本では欧米に遅れて、2012年に正式批准されました。

 情報に関しての重要性は、フランシス・ベーコンの「知は力なり」という言葉に集約されています。経験論と科学的方法を主体とした考えは、近代の情報戦の基礎となりました。米国国防省の情報認知局(Information Awareness Office)は そのロゴに、scientia est potentia(knowledge is power)を用いていることからも、現代の国防に情報はもっとも重要なものであることがわかります。実際、米国が大戦で日本に圧倒的に勝利したのも、日本の暗号化された情報を、ほぼすべて把握した事が大きく影響している、といわれています。こうした苦い経験を持つ我が国のサイバーセキュリティは十分かと言われれば、そうとは言えないのが現状です。

 第一に予算の問題です。アメリカ合衆国と日本の国家予算は国民一人あたりについていえば、それほど変わりません(2015年人口はアメリカ:日本は、約2.4;1)。しかしながら情報セキュリティに係る日本の予算は、585億円(2016年)です。これに比して米国は140億ドル(約1.7兆円)という2016年大統領予算を示しています。

我が国では、2015年から2016年にこの分野の予算は100億円以上の増加を示しており、政府として重要視している分野であることは確かです。しかし、様々な目的に使われる予算の中で、どの分野に予算を多くあてるかは、国がその部分をどれだけ重要視しているかの現れですから、依然として存在する両国間の大きな差は一目瞭然と言えるでしょう。

 二番目の問題は、体制に関することです。20097月、米国と韓国政府は同時攻撃を受けました。韓国のサイバーテロ対応は、政府部門、民間部門、軍事部門の3つに分けられています。この3部門の総括をするのが国家サイバー安全戦略会議です。この安全会議は、2004年大統領令によって発足され、その議長となる国家情報院長には絶大な権限が付与されています。2009年のサイバー攻撃以降、その体制は強化され、実効的なガバナンス機能を有するモデルと言われています。我が国のNISCは当初のNational Information Security CenterからNational center of Incident readiness and Strategy for Cybersecurityと名前を変え、国家の危機管理組織として成長を遂げています。しかし、NICSstake holdersとして、警察庁、防衛省、総務省、外務省、経産省など多数の組織が関わり、予算立ても各々によって別立てです。こうした仕組みでは、どこが責任母体なのか曖昧になり、効率性を欠くことになります。クリントン政権時代、初代FEMA Federal Emergency Management Agency:アメリカ合衆国連邦緊急事態管理庁)長官を務めたジェームズ・ウイット氏は、講演で、我が国の危機管理体制について以下のように言及しています。「日本においては、多くの異なる省庁が異なる責任をもっているようである(中略)どこが総括的な計画をもっているのか、どうやって一緒に協力していくか、どうやって資源を調節するのか。中央のレベルから実際の地方のレベルまでどのように協力し、どうやって一定の資源から最大の効果を引き出すのか。資源は限定されており、いかにむだを省くかなど計画はあるのかがはっきりしない」サイバー攻撃対する対応についても、この言葉が当てはまるといってよいでしょう。国家の危機にあたっては、各省庁間の枠を取り払い、迅速かつ効率的、効果的な活動ができるようにすることが緊急の課題と言えます。
 最後の大きな問題はsecurity clearanceです。各国のサイバーセキュリティ対策はインテリジェンス(諜報機関)が主導で行われているため、政府、民間を問わず、秘密保持制度が整備されています。我が国にはインテリジェンス部門をどこが担当しているのか明らかになっていません。2010年の尖閣諸島に関する画像流出問題をうけて、特定機密の保護に関する法律を成立させました。しかし、今回の年金流出問題から、これほど重要な個人情報保護に関与している職員が、単なる国家公務員法違反のみによって処分されるだけで、刑法などには抵触することがないことからも、そのセキュリティクリアランスの認識が十分でなく、それ故法整備を含めた対策が、他の先進諸国と比して遅れをとっているのが現状ではないか、と思います。情報がその国の存亡を左右することから、今後抜本的な意識改革が求められる分野だと考えます。

 また、事件が起きた際、その状況を認識し、原因解明を行うととともに、その背景に関する想像力が必要です。今回の個人情報流出に関して、ある特定の国の関与が取りざたされています。その国の関与の有り無しは別にして、もしそうであった場合のその国や、周辺国の意図、今後の影響や再び同様の事件が起こらないか、などの討議が徹底化されるべきであると考えます。この部分が我が国のもっとも弱いところであり、力を注ぐことが重要でしょう。

2015年6月11日

MERSウイルス感染症、韓国流行をうけて(2)

韓国の医療機関で発生しているMERSコロナウイルス感染症を巡って、台湾が韓国への渡航制限を打ち出しました。
こうした中、日本でも、韓国への渡航が縮小してきているとのことです。こうした措置が感染拡大をどの程度防げるのかは、定かではありません。それは、渡航制限や国境閉鎖などに代表される、所謂水際作戦によって、完全に封じ込められた感染症は、今までに存在しないからです。特に口や鼻からウイルスが入ることによって感染する、呼吸器感染症に関しては、こうした封じ込めが効果を示すという根拠は、その感染形式からも考えにくいのです。

14世紀から15世にかけて猛威を振るったペスト流行の際、ヨーロッパの国々は、流行地から来た船を40日間停めおきました。これが検疫(Quarantine)の語源となっています。しかし、結果的にペストから免れた国はありませんでした。また、呼吸器感染症として多くの命の奪ったスペイン風邪(インフルエンザ)に対しても、輸送機関の停止、国境閉鎖、集会の禁止などが行われましたが、その効果に関しては定かではありません。

感染症には潜伏期間という、無症状の時期があり、多くの感染症はその無症状期にも、他の人に感染します。ですので、どんなに国境(空港)でシャットアウトしようとしても、すり抜ける人は出てきます。実際、2009年の新型インフルエンザ(当時)流行の際も、他省庁、国立病院の医師などを巻き込んだ検疫強化が実施されました。しかし、初発例は国内で見つかった高校生でした。

検疫に代表される水際作戦の基本は、“国内にウイルスが侵入することを食い止める”ことです。このこと自体、極めて困難なことが、前述した歴史が物語っています。今2009年のインフルエンザ流行時、また今回の韓国におけるMERS流行に際しても、WHO(世界保健機関)は渡航制限などをかけてはいません。それは、水際作戦には限界があるとともに、海外封鎖を行うことは、人の流れを止め、経済活動に大きな影響を与えるからです。

我が国には感染症に係る法律が2つあります。それはすなわち、検疫法と感染症法です。検疫法に従って検疫強化がされますが、ひとたび国内発生が認められれば、感染症法が主流となり、実働は国から地方自治体に移ります。見方をかえれば、国内に入るまでは国家公務員である検疫官(厚労省職員)が主動であるため、国としては力を注ぎますが、国内に入れば検疫法は適応されないため、実働は国家公務員ではなく地方公務員や、医療機関になります。この状況では、国は通知文書などで、地方自治体に指導することが主な仕事となり、自ら防護服に身を包んで動き回る、という事もしなくなります。

この2つの感染症にかかる法律の棲み分けが、大きな問題となっています。すなわち、国は自らが活動する場面である”水際対策“に力を注ぐあまり、国内対応に対する関与が極めて希薄になっているのです。国内で発生した場合は、その地方自治体、ひいては患者が収容された医療機関が責任の受け皿となります。

MERSコロナウイルス感染症は、感染症法で、第2類感染症に分類されています。法律上は、特定感染症指定医療機関、第一種感染症指定医療機関の他、第二種感染症指定医療機関でも入院して診ることができます。

第一種と第二種指定医療機関の大きな違いは、空気感染を想定するかしないかです。すなわち、第一種(特殊も含む)感染症指定医療機関には陰圧設備があり、ウイルスに汚染した空気が外にでないようになっていますが、第二種感染症指定医療機関で、このような空調設備は必要とされていません。第二種感染症指定医療機関の総ベッド数は1716床(335医療機関)ですが、そのうち陰圧設備を備えているのは529床というデータがあります。

MERSコロナウイルスは2類感染症に分類されているため、第二種指定感染症指定医療機関に収容可能です。もし、MERS感染者が陰圧室のない医療機関を受診したとしたら、ウイルスで汚染した空気が院内に循環する確率が(第一種指定医療機関と比して)高くなることは想像に難くありません。第二種指定医療機関には感染症の患者さんだけが入院しているわけではなく、がんなどで免疫能が低下した人が多くいます。それ故、このような医療機関にMERS感染症を受け入れることは、法律上は問題なくとも、医療上大きな問題をはらんでいることになります。

全国には17万以上の医療機関があり、感染症指定医療機関と言われるのは、この中のごく一部にすぎません。また、医療機関ごとに、MERSや感染症に関する意識もまちまちです。韓国の症例でも明らかになったように、MERS感染者は、「自分はMERSに罹っている」と申告して医療機関を受診するわけではありません。風邪、インフルエンザに似た症状を示すことから、個々の医療機関が、自分のところにMERS患者が来るかもしれないという意識を持つことが、院内感染に対する重要な予防手段だと思います。また、そうした意識の定着と、この新たな感染症に対する知識を広げるために、国、地方自治体、学会など、医療機関に向けた徹底的な啓発活動が、何よりも早急に行わなければならないことだと思います。


繰り返しますが、検疫による水際食い止めに力を注ぐあまり、国内対応がおろそかになることは絶対に避けなければなりません。国は国家国民を守る使命があることを、再確認することが必要です。

2015年6月9日

MERSウイルス感染症、韓国流行をうけて

MERS(Middle East Respiratory Syndrome Corona-virus:中東呼吸器症候群が韓国の医療機関で流行しています。
あまり聞きなれない名前ですが、2012年にサウジアラビアで初めてみつかった、新しいウイルスで、2002年から2003年に流行したSARS(重症呼吸器症候群)と同じ、コロナウイルスというグループに属します。

2012年から2013年には、中東を中心に、世界で流行しました。その際、中東からの滞在者からの感染がほとんどでした。ラクダの感染症と考えられていましたが、2013年にフランスとイギリスでの症例については、限局的なヒトヒト感染によると報告されています。ヒト、ラクダの他、ブタ、コウモリなどでも感染が確認されていますが、何分新しいウイルスですので、不明なところも多いのが現状です。MERS ウイルスの生体外での安定性については、低温で低湿度の場合、48時間程、安定性(生存性)が持続するとの報告があります。http://www.eurosurveillance.org/images/dynamic/EE/V18N38/art20590.pdf

典型的なMERSの症状は、発熱、咳で、下痢などの消化器症状もみられます。重症化すると、肺炎、敗血症、臓器不全(特に腎不全)などを併発し、命を落とすこともあります。乳幼児、高齢者、また、糖尿病、慢性肺疾患、がんなどで免疫能が落ちている人は重症化しやすいので、注意が必要です。WHOによれば致死率は27%程度ということです。

前述したとおり、2012年に発見された新しいウイルスですが、今までの知見に関してまとめてみたいと思います。

もともと、通常のコロナウイルスは、決して人に感染しやすいウイルスではありません。
それはMERSウイルスに関しても同様です。しかし、今回の韓国の例からわかるように、医療機関内では、ヒトからヒトへの感染が、一般集団と比して起こりやすいことはあきらかです。それは、医療施設内には免疫能が落ちた患者さんがいるからで、こうした状態の人は容易にウイルスのターゲットになりやすいからです。過去の報告でも、 一部の小児肺炎ではその原因ウイルスになっているとされており、乳幼児についての注意喚起も必要なところです。

それでは、同じコロナウイルスであるSARS とは、広がりやすさ、重症化しやすさにおいて、異なっているのでしょうか。2002年~2003年のSARS流行から、風邪症候群を引き起こすウイルスと同じように飛まつ感染という形式で広がりを見せることがわかりました。飛まつ感染とは、咳やくしゃみなどの”しぶき“内にあるウイルスが、他人の口や鼻の粘膜から入り込み、ウイルスが増殖をはじめることです。この感染症式に関しては、MERSウイルスもSARSウイルスも同じです。重症化のしやすさを示す一つの指標である致死率は、SARSが9.4%と報告されていますので、MERS の方が現状では高いことになります。
MERSは、ヒト、ブタそしてコウモリ等の間で、種を超えて容易に感染することが明らかにされており、SARSのコロナウイルスが、流行時にすでにコウモリに対する感染力を失っていたことと比較し、この点で大きな違いがあります。何を意味するかというと、仮にヒトでの流行が収束した後でも、他の動物の間で感染が受け継がれ、数年を経て、再度、ヒトに感染する可能性があるということです。

それでは、ヒトへの広がりやすさはどうでしょうか。
医学雑誌The Lancetの2014年1月号に掲載された論文では、MERS ウイルスが、患者1人が感染させる強さ(Reproductive number、Ro)は、0.8~1.3価の範囲内であり、1価(1人の患者が、別の1人に感染させる力価)を大きく上回ることはないと結論付けて、感染力がそれ程強くないと評価していました。この値はSARSもほぼ同様と報告されています。

しかし、2014年12月に発表された論文では、Roについて、もう少し高めの評価となっており、致死率も考慮すると、SARSウイルスに匹敵するか、もしくは、それ以上広がりと重症化を想定する必要があると結論されています。


また、MERSの場合の感染拡大の場としては、今回の韓国での流行と同様、医療機関での患者との接触、医療従事者を介した感染というのが、今までの例でも指摘されています。それ故、我が国でも、医療機関での感染拡大に関して、十分に備える必要があります。

現状の対策下では、検疫所による水際強化が主ですが、以上の知見を見る限り、国内発生に備えて、医療機関に対する注意喚起の徹底など、国内体制の構築を早急に進める必要がある事を、痛切に感じます。