世界的にサイバー攻撃の脅威が増し、中国軍のハッカーが3年前に日本の防衛機密を扱うネットワークに侵入したと報じられました。こうしたなか政府は重大なサイバー攻撃による被害を未然に防ぐ能動的サイバー防御の導入に向けて、新たに有識者会議を設置して検討を急ぐことにしています。今までと何が変わるのか、導入の背景や課題を考えます。
【能動的サイバー防御】
政府は去年12月の国家安全保障戦略で従来の受動的な対応にとどまらない能動的サイバー防御の導入を初めて打ち出しました。
現在の法制度や解釈では、武力攻撃の一環としてサイバー攻撃を受けた場合には自衛権を発動できます。そして防衛省・自衛隊の防護対象は自らのネットワークとされています。
一方の能動的サイバー防御です。国がサイバー空間を常時監視して情報を収集し、武力攻撃に至らないものの、政府機関や重要インフラに対する重大なサイバー攻撃のおそれがある場合、被害を未然に防ぐとしています。武力攻撃に至らないいわゆるグレーゾーンのサイバー攻撃であっても未然に攻撃者のサーバーに侵入・無害化することが想定されています。
【導入の背景】
導入の背景には何があるのでしょうか。
ことしの防衛白書は「諸外国の政府機関や軍隊のみならず民間企業や学術機関などに対するサイバー攻撃が多発」しているとして、アメリカが最も懸念するのはロシア、中国、北朝鮮などとしています。
ウクライナではロシアが侵攻前後に政府機関、通信や電力といった重要インフラにサイバー攻撃を仕掛けたとみられています。またワシントン・ポストは7日、中国軍のハッカーが2020年に日本の防衛機密を扱うネットワークに侵入し、これをアメリカ政府が把握し日本側に伝えていたと報じました。
この報道について、サイバーセキュリティーに詳しい慶應義塾大学の土屋大洋教授は、「大きなショックだ」としたうえで、「岸田政権が能動的サイバー防御の導入に踏み込んだのはウクライナの影響が大きいと思っていたが、背景に中国軍のサイバー攻撃に関する日米間のやりとりもあったとすれば納得できる」としています。
一方去年10月には、北朝鮮当局の下部組織とされる「ラザルス」と呼ばれるサイバー攻撃グループが暗号資産に関連する日本の企業を標的にしていると警察庁などが異例の注意喚起を行いました。北朝鮮が盗んだ暗号資産を核・ミサイル開発の資金源にしているという指摘もあります。
こうしたサイバー脅威を踏まえ、自民党は従来の受動的な防御には限界があり、能動的な防御によらなければ到底対抗できないと政府に提言しています。
サイバー安全保障体制整備準備室の小柳誠二室長は「近年のサイバー空間における厳しい情勢を踏まえると、国や重要インフラなどに対する重大なサイバー攻撃が行われるおそれがある。これを可能な限り未然に排除するとともに、発生してしまった場合には被害の拡大を防止する必要がある」としています。
【今後の動き】
政府は新たに有識者会議を設置し、民間の通信事業者、サイバーセキュリティーや法律の専門家などが参加し、法的な課題の精査などを行う見通しです。
また体制については、内閣サイバーセキュリティセンター(NISC)を改組し、サイバー安全保障の司令塔組織を新設する方針です。
準備室の小柳室長は「体制を整備するとともに、法制度の整備や運用の強化を図ることとしており、スピード感を持って具体化に向けた議論を行っていく予定だ」と述べ、喫緊の課題だとしています。
政府は来年の通常国会に必要な改正案などの提出を目指すものとみられます。
【導入に向けた課題① 憲法や法律との整理】
導入に向けた課題を考えます。
まずは法的に、憲法や現在の法律との整理が課題となります。
憲法21条は「通信の秘密は、これを侵してはならない」と定めています。この規定を受け、電気通信事業法は「通信の秘密」を保護し、現状では政府は通信事業者から情報提供を受けて対処することはできません。また不正アクセス禁止法はアクセス権限のないサーバーなどに侵入することを禁じています。
能動的サイバー防御の導入にあたっては、攻撃者による悪用が疑われるサーバーなどを検知するため国内の通信事業者の情報を活用することや、攻撃者の情報の収集・監視、サーバーへの侵入を可能にすることが検討されるものとみられます。
また自衛隊法をめぐって、未然に攻撃者のサーバーなどに侵入・無害化する権限を持たせることや、防護対象を民間のネットワークなどにも広げることが課題となるほか、体制強化などのために新たな法律を検討する可能性もあります。
こうした課題について、立憲民主党の長妻政務調査会長は先月、サイバー攻撃への対処の必要性に理解を示しつつ、「国民のプライバシーと権利を侵害するしない、公共の福祉の範囲をバランスよくみながら議論していく必要がある。国の暴走を止めるのが憲法だ」としています。
サイバー攻撃を察知するために通信事業者の情報も活用してネットワークや通信を監視することなどは個人情報やプライバシーの保護との衝突も生じかねないだけに国民の理解が重要です。
土屋教授は「通信の秘密やプライバシーを守ることは重要な一方、サイバー攻撃から国民の生命財産を守ることも政府の大きな役割でバランスをとらなければいけない。政府は議論を尽くして何をやろうとしているのか説明する必要がある」と述べています。
【導入に向けた課題② 人材の確保や育成】
次に人材の確保や育成の課題です。
政府は防衛力整備計画で、自衛隊のサイバー関連部隊を2027年度をめどに2022年度末の4倍以上の4000人に拡充するとしています。しかし民間企業でもサイバー人材は不足し、奪い合いが生じています。自衛隊関係者は能動的サイバー防御を担う人材を確保できなければ絵に描いた餅になりかねないと指摘します。
こうした状況を踏まえ、防衛省や自衛隊、総務省の元幹部らは、人材育成に官民が連携して取り組むための団体の設立を検討しています。
【導入に向けた課題③ 民間との連携】
さらに運用にあたっても民間との連携が課題となります。
政府は民間企業がサイバー攻撃を受けた場合の情報共有や、民間への支援を重視しています。経済界としてはサイバー攻撃へのレジリエンス・耐性や回復力が増すことを期待しています。ただ民間企業は顧客情報をはじめ企業秘密にかかわる被害情報の共有には慎重です。経済界からは情報を吸い上げられても政府側からのフィードバックが十分でなければ報告の負担ばかりが増えかねないと懸念する声も聞かれます。
【導入に向けた課題④ 同盟国などとの連携】
また18日の日米韓首脳会談でも、北朝鮮のサイバー脅威を念頭に3か国の連携強化が話し合われる見通しで、同盟国などとの連携も課題となります。
【透明性のある議論を丁寧に】
サイバー攻撃は国の安全保障や国民生活を揺るがしかねない脅威となっています。ただ、能動的サイバー防御の導入は憲法が保障する基本的な国民の権利にもかかわるだけに、政府は法的な課題について透明性のある議論を丁寧に進めることが求められます。またサイバー対策にあたっては民間企業の協力や理解が欠かせず、経済界などとも十分に意思疎通をはかり信頼関係を築いていけるかも問われることになります。
この委員の記事一覧はこちら
