「評価機1台」から始まる防衛技術流出——評価・流通・研究のグレーゾーン

　スパイ映画といえば新作の公開が噂される「007」。あるいは、日本でスパイ作品といえば アニメでも知られる「SPY×FAMILY」を思い浮かべる人も多いであろう。作品の中でスパイは、国家の秘密を奪い、協力者を作り、情報戦を勝ち抜く。しかし現実の技術流出は、もっと地味である。技術情報であれば、紙の書類を盗まずとも、評価機の解析で設計の癖や脆弱性なども見抜ける場合がある。しかも入口は、取引、評価、保守、研究といった「一般的な商取引」が利用される。ここに、産業スパイ対策のグレーゾーンがある。

スパイは「違法」より先に「合法の顔」を持つ

　産業スパイと聞けば、半導体や製造業の事件が想起されがちである。直近では韓国検察がサムスン元幹部らを先端半導体技術を中国へ流出したとして起訴したことが報じられたばかりだ¹。対策としては、情報の持ち出し防止、端末管理、入退室管理、委託先管理などが定番である。しかし現場で苦しいのは「どこまでを、どの根拠で、どのくらいのコストでやるか」である。締めれば開発や営業の速度が落ちるし、緩めれば機微情報が抜かれる。

　対策の難しさを増幅させるのは、「相手が最初から盗みに来る」とは限らない点である。対象製品・技術の購入の他にも評価契約、試用、保守、共同研究などいずれも正当な商行為で接近してくる。これだけなら、企業も一定の注意を払うことができる。ところが、ここに代理が混じると話が変わる。名義は国内民間、実益は外国政府や軍、あるいは関連企業へ、という形が成立する。意図の立証も、受益者の特定も難しくなる。

　近年、国内のサイバーセキュリティ製品やネットワーク機器の脆弱性が注目されている。これらの製品は、いまや各国の諜報活動の一端を担うサイバー活動の要衝となるため、その脆弱性の注目度は非常に高い。

「本質的にデュアルユース」になりやすいサイバーセキュリティ製品

　見落とされがちだが、産業スパイに狙われるのは先端技術だけではない。サイバーセキュリティ製品も、しばしば輸出入の制限や調達の制約に巻き込まれる。例えば、米国商務省産業安全保障局が運用する貿易上の取引制限リスト（Entity List）に中国のセキュリティベンダー「奇虎360」が掲載された例がある²。また報道によれば、中国が米国およびイスラエルの一部サイバー企業の製品利用を禁じる通達を出したとされる³。

　理由は単純である。同じ技術が「防御」と「攻撃」の両方に使えるからである。脆弱性スキャナや模擬侵入ツールは、管理や監査、研究に有益だが、サイバー攻撃者の侵入前の偵察や標的システムへの侵入行為にも転用できる。加えて、暗号、監視、解析の領域においても同様だ。あまり知られていないが、解析や監視を目的としたツールの一部には攻撃に悪用可能な機能を有するものがある。そのため、通常兵器・デュアルユースの国際的な輸出管理体制であるワッセナー・アレンジメント⁴の管理リストなどは、これらツールを輸出管理の対象としている⁵⁶。つまり、一般にサイバーセキュリティ製品は、技術的に「本質的なデュアルユース」と理解されているのである。

　ただし、ここで誤解が生まれやすい。輸出管理や多国間レジームの議論に触れると、「サイバー製品はまとめて規制対象である」と解釈されやすいからである。実際には、議論の焦点は製品や技術の名称そのものというより、「どの機能が、どの条件で、どの用途に転用されるか」に置かれている。具体的には、暗号ソフトウェア、ネットワーク監視、侵入ソフトと連携するコマンド＆コントロールシステム、エクスプロイト配信プラットフォームといった侵入行為への悪用が懸念される技術に注目されている。たびたび耳にする「海外製の有名模擬攻撃ツールが日本から購入できない」、といった事象はこういった輸出管理により制限されている。

　では、それ以外の技術は懸念国からの標的とならないのかというと、そうではない。実際のところ、特に暗号技術を用いているセキュアファイル転送機器や不正プログラム検知ツールなどはグレーゾーンと言わざるを得ない。前者は頻繁にサイバー攻撃の標的となっていることは報道の通りだ。後者は攻撃検知の回避手法が発見されることで、安全保障そのものが脅威に晒されることになる。つまり、これらのグレーゾーンの扱いとなっている技術の流出が、今後の安全保障を検討する上で重要な点となると考えられる。

　では、その運用を誰が、どの論理で、どの優先度で統制するのか。ここで効いてくるのが、サイバーセキュリティ産業の「置き場」の差である。サイバーセキュリティ企業やサイバーセキュリティ技術を、①防衛産業基盤の一部として扱うのか、②情報通信産業政策の一部として扱うのか、③国家安全の法体系の下で協力を前提にするのか、である。この整理により、同産業の流通や研究における「線引き」と「実装手段」が変わる。

国によって異なる「サイバーセキュリティ企業の立ち位置」

　なぜ国によってサイバーセキュリティ技術の認識に差が出るのか。筆者は「どの制度の中に、サイバーセキュリティ企業が組み込まれているか」が一因だと見ている。例えば、米国や中国、EU、イスラエルと日本を比較するとその違いは明らかだ。端的に言えば、日本以外はサイバーセキュリティ産業を防衛産業に寄せて設計している。

　「防衛調達の要件」で縛るモデル：米国（CMMC等で契約要件化）
　「法の協力義務」＋「軍民融合」で寄せるモデル：中国
　「依存低減」＋「防衛産業の底上げ」で寄せるモデル：EU
　「国家主導の運用連携」が濃いモデル：イスラエル
　「総合調整（NCO）」＋「産業政策（経済産業省）」中心のモデル：日本

　どのモデルが正しい、という話ではない。だが業界の「立ち位置」の違いは、製品・技術評価や流通の統制の作り方、官民の協力の作法、資金と情報の流れ方に影響する。つまり同じ製品でも、国家安全保障関連ツールとして見られる国と、産業ツールとして見られる国があり、その差が、グレーゾーン対策の設計にも影響する。

　グレーゾーンの代表例は「評価」「流通」「研究」である。抜け道は概ね三つに集約される。

　第一に、評価の穴である。評価機の貸与、持ち出し、再貸与、所在不明。評価用に出したログやデバッグ情報が、そのまま技術情報になる。評価の名目で、解析に必要な手がかりが揃ってしまう。懸念国企業がたびたび用いる手口の一つ。

　第二に、流通の穴である。代理店、再販、迂回購入、買収後の管理不全。名義が分散し、最終的な受益者が見えにくくなる。「売らない」という意思だけでは、流通の分岐点を塞げない。安全保障に関わるような販売先が制限された商品に対して用いられる。

　第三に、研究の顔である。正当な検証に見える解析、脆弱性調査、技術情報の持ち帰り。違法の侵入ではなく、契約や研究の枠で起きる。国内企業において事例も確認されているため、個人的にはここが最も厄介であると考える。まさにスパイだ。

　そして重要なのは、これらの情報流出のスキームは単発で終わらない点である。評価→不正解析→知見の蓄積、という循環が回ると、流出はもはや「事件」ではなく「手続き」になる。ちなみに、日本でこの循環から組織を守るには担当者が気づくしかない。

　輸出管理でいう「転用・転売」対策の考え方は、ここで参考になる。需要者確認、用途確認、記録保存、疑義時の相談など、こうした基本動作は、まさにグレーゾーン対策の骨格である⁷。

　法は最後の砦である。現場で効くのは、さらに手前の運用と契約である。グレーゾーン対策は「罰する」より先に「起こりにくくする」設計が重要だ。

産業スパイに効く、四つの“手前”の手当て

　ジャストアイデアで恐縮だが、本稿では４つの提案を考えてみた。いずれも「輸出同等」という発想で統制を強め、しかも現場が回る形に寄せている。

1. 評価機・貸与を「輸出同等」で扱う運用
   返却義務、評価機の所在追跡、再貸与禁止、国外持ち出し禁止、違反時の解除・回収を標準化する。評価機は「製品」ではなく「技術の塊」である。評価を軽く扱うほど、抜け道は太くなる。
2. 販売店・代理店に対する遵守要件の制度化
   需要者確認、用途確認、記録保存、疑義時の報告。代理店は売上の拡大装置であると同時に、迂回の入口にもなる。ここを管理せずに「売らない」だけを唱えても限界がある。
3. 「技術提供」の最小化
   評価はブラックボックス化（リモート評価、限定機能、ログ粒度の制限）を基本にし、「出力データ」を営業秘密として管理する。解析に必要な情報は全部出さない。厄介な点はファームウェアを吸い出す強者も少なくないことだ。
4. 疑義取引の早期相談
   疑わしい取引は現場が最初に気づく。相談の導線が細いと、判断が遅れ、結果として通ってしまう。懸念情報の共有を前提にした相談の導線は太くしておくべきだ。

派手な摘発より、地味な塞ぎ込み

　ここまで述べた対策は、大きな法制度の完成を待たずに実装できる。むしろ、実装すべきである。産業スパイのグレーゾーンは、政治や法体系の整備を待ってくれない。これらのグレーゾーン領域を利用して流出する技術情報は、サイバー攻撃をはじめとした安全保障に影響する不正行為に悪用される恐れがある。

　技術を守るのは、劇的な摘発ではなく、地味な運用である。評価機1台の統制から始める。代理店の記録から始める。ログの出力制限から始める。抜け道は同じ場所に何度も開く。塞ぐ側も、同じ場所から塞いでいくべきである。

　007のようなスパイは潜入や銃で秘密を奪う。現実はもっと地味であり、紙の書類は盗まれなくても、評価機、ログ、解析などから設計の癖や弱点を見抜く。入口はいつも、「取引」「評価」「保守」「研究」という、ごく普通の商取引の中にある。

　報道によれば、日本でもスパイ防止法について検討されるという。同法の対象外であることは重々承知しているが、有識者会議では国家安全保障を前提として、包括的な議論がなされることを期待したい。

　防衛技術流出の抜け道は、「評価機1台」から始まるのである。

注

1. 「先端半導体技術を中国へ流出したサムスン元幹部らを起訴　被害額は数兆円＝韓国検察」（金泰均　2025年12月23日）
   https://jp.yna.co.kr/view/AJP20251223003000882 ↩︎
2. 「Addition of Entities to the Entity List, Revision of Certain Entries on the Entity List」（米国商務省産業安全保障局による規則　2020年6月5日）
   https://www.federalregister.gov/documents/2020/06/05/2020-10869/addition-of-entities-to-the-entity-list-revision-of-certain-entries-on-the-entity-list ↩︎
3. 「China Bans Cybersecurity Products From Top US, Israeli Firms」（Jane Lanhee Lee　2026年1月15日）
   https://www.bloomberg.com/news/articles/2026-01-14/china-bans-cyber-products-from-top-us-israeli-security-firms ↩︎
4. 「通常兵器及び関連汎用品・技術の輸出管理に関するワッセナー・アレンジメント」（外務省　2020年11月26日）
   https://www.mofa.go.jp/mofaj/gaiko/arms/wa/index.html ↩︎
5. 「Multilateral Export Control Regimes」（米国商務省産業安全保障局　）
   https://www.bis.gov/guidance-frequently-asked-questions/multilateral-export-control-regimes ↩︎
6. 「The EU’s dual-use export control and human rights risks: the case of cyber surveillance technology」（Machiko Kanetake）
   https://journals.uclpress.co.uk/ewlr/article/pubid/EWLR-3-3 ↩︎
7. 「Deterring Diversion of Export Controlled Items」
   https://www.ctp-inc.com/articles/deterring-diversion-of-export-controlled-items ↩︎