【ブックレビュー】能動的サイバー防御
2023年頃からにわかにニュースで聴くようになった「能動的サイバー防御」。今年の春に衆議院・参議院ともに可決されました。2027年の施行を予定しています。
参議院:能動的サイバー防御法案等を議決 内閣官房:サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた検討など)
政府がサイバーセキュリティにおいて連呼しているトピックとなっていますが、これはいったいどういうものなのでしょうか。この本はまず、この言葉について解説します。 名前から分かるよう、受動的ではなく、自発的にサイバー防御を行うというイメージが想像できます。しかし情報処理安全確保支援士(登録セキスぺ)のオンライン研修でさんざん言われているように、サイバー攻撃を先制で行う、あるいはやり返す(ハックバック)ことは厳しく禁止されています。しかし能動的サイバー防御は、今までのような攻撃に対する情報収集やファイアウォールのような防衛から1つ先に踏み込み、攻撃側のサーバへの侵入と攻撃の無効化を試みるとされます。そしてそのために民間企業と政府が連携して対応することがアナウンスされています。きれいごとだけでは社会を守ることはできない、残念ですがそれが現実のようです。
そして能動的サイバー防御の歴史について語ります。その背景は国際的にサイバー攻撃が増加していることとがあります。一部の趣味ハッカーではなく、今ではサイバー攻撃の背景に国家が存在するため、レベルも相当に高く、既にサイバー防御は国家安全保障の領域に達していることが挙げられます。外国のサイバー防御にレベルを合わせなければ、と日本も活動を始めましたが、元々諜報機関などがメインとして発展してきた外国のサイバー安全保障と、民間が主体となって発展してきた日本のサイバー安全保障は現状に差異があります。また憲法9条の存在が原因の一部と思われますが、専守防衛の思想の強い日本のサイバー安全保障における攻撃能力は国際的には低いようです。その一方で平和外交を主体とした外国とのサイバー外交については高く評価されています。次の章に書かれているようにサイバー防衛には国際協調が欠かせません。これは日本の大きな強みと言えるでしょう。
国際社会ではサイバー攻撃に対する国際的な取り組みを協調して行おう、という動きはあるものの、各国の思惑もあり一筋縄ではいかないようです。アメリカでは10年以上前からサイバー戦略をパッシブからプロアクティブに変遷してきました。日本がアメリカより10年遅れている、とは昔から言われていましたが、サイバー安全保障についても同じようです。先ほど登録セキスぺではハックバックを禁止していると書きましたが、アメリカでは議論を積み重ねた結果、悪意あるサイバー作戦やキャンペーンの対応であればボットのテイクダウンやハックバック、攻撃側の機器の破壊までやってよい、と踏み込んでいます。そのうち登録セキスぺの研修も変わっていくのでしょうか。 とはいえ「大いなる力には、大いなる責任が伴う」この”悪意あるサイバー作戦に対する正当な防衛・報復”が、国家や権力者に恣意的に取りあげられるリスクはもちろんあるでしょう。実際その名前の下に国民を監視検閲下に置いている国もあるはず。
次に各国が行っているサイバー戦能力を紹介。まずはアメリカ。アメリカ含む多国籍軍がISに対して行ったサイバー戦は単に攻撃側のサーバをテイクダウンするだけではなく、ソーシャルネットワークで離間策をしかけたりもしています。ロシアがウクライナに対し、戦争が起こる前からサイバー戦を支援していることも分かりました。アメリカはサイバー戦においても先を行っていて、状況の変化に応じその戦略も変化させています。その骨子はドキュメントとして公開されており、特に2023年に発表されたサイバーセキュリティ戦略は5本の柱で構成されていて非常に具体的です。サイバーセキュリティに対する予算も年々増加し、現在全国防費の10%に達しています。以前紹介した本「サイバー戦争」では、ロシアによるアメリカに対する主にソーシャルネットワークを使った世論操作のサイバー攻撃が紹介されていましたが、これに対する激しい防諜作業も行われているのでしょうね。イギリスもサイバー分野に対し大幅に予算を増額しています。 中国とロシアについては日本の隣国、そして昨今の国際情勢を考えるとどのような能力を持っているかは重要な関心です。中国に関してはアメリカと同レベルの戦略と技術を持っていると思われます。対外的にはサイバーセキュリティに対する国際協調を訴えていますが、そもそも国家体制として、国内の組織に対してデータの国内保存と考案への協力を要求しているところです。さすが中国、独裁体制、と言いたくなる人もいるでしょうが、先日のアップルに対する英国政府のバックドア作成要求でもあったように、自由主義国家でも暗号化されたデータの中身を閲覧したいという願望はあることは知っておくべきでしょう。 また、MITREのような”脆弱性の世界的な情報共有”という思想と相反する”中国国内で発見された脆弱性に関しては当局の調査が完了するまで公表を禁止する”脆弱性管理規定も制定されており、これが何を意味するかは言うまでもありません。中国にも脆弱性を収集・公表する組織がありますが、リスクの高い脆弱性を意図的に公表を遅らせることもしており、国家安全部との関係性は明らかです。中国が高い性能のAIを作り「使ってもいいよ」としても簡単に普及しないのは、このような国家の影が見えるからでしょう。また、台湾統一のための情報戦やネットワークインフラの妨害・物理的切断や監視カメラによる分析など、国内外に対して攻撃的な施策を行う一方、防御防衛に対してはまだ経験不足、という評価もあるようです。 ロシアに関しては「サイバー戦争」で紹介されたサイバー攻撃が恒常的に国外に対して行われており、国内のインターネットは検閲・監視されています。自分はロシアに行ったことはありませんが、中国に旅行する際にはGoogleもLINEも使えないことに苦労しました。日本にだけいると、インターネットは自由な世界と思いがちですが海外に目を向けると必ずしもそうではないということですね。2022年から始まり今なお続いているロシア・ウクライナ戦争では。脆弱性を突いたインフラへのサイバー攻撃や、ディープフェイクと言われる偽映像を用いたゼレンスキー大統領の降伏動画など、私たちはリアルタイムでロシアのサイバー戦を見せつけられています。
次にサイバー戦略の枠組みについて解説。従来の戦車や核兵器といった戦争における戦略と、サイバー戦略とでは共通する部分もありますが、大きな違いとして、サイバー空間は物理的な空間ではなく仮想的で、常に変化することや、地理的条件がないこと、さらにいえば平時と有事(戦争と平和)の区別があいまいとなり、常時攻撃している、常時防衛しているような状態であることが解説されています。また、サイバー戦略においては抑止力ではなく、脆弱性を懐に抱えた持続的な優勢状態を維持するほうが強いとされているそうです。この本ではサイバー攻撃を行うために用いられる、ヒト・モノについても良く分析・紹介されています。
最終章は「日本の転換」というタイトルでサイバー政策における日本の対応について解説します。日本は先ほど紹介されてきたような海外とは異なり、自分達からの攻撃を憲法が認めていません。しかし能動的サイバー防衛は自分達から相手のサーバーに攻撃を仕掛けたり、ネットワークを物理的・論理的に切断することを可能とします。自衛権発動の三要件、日本が武力行使による自衛措置をとるための憲法上の解釈である
- 我が国に対する急迫不正の侵害があること
- この場合にこれを排除するために他の適当な手段がないこと
- 必要最小限度の実力行使にとどまるべきこと に該当するのかを過去の政治家は言質を取られることは無かったのですが(判断するには責任が重すぎるのかも)、2010年代より周辺国家の紛争におけるサイバー攻撃の重要性に影響されたのでしょうか、日本の政治家も能動的サイバー防御が現行憲法下でも可能である、と踏み込むようになりました。 日本にとってアメリカとの同盟は重要です。もちろん、核の傘のような軍事力もありますが、アメリカの先進的なサイバー政策の恩恵を受けています。日本も2000年代は情報共有、2010年代はサイバー防衛という形で同盟国として協力しています。ということは、2020年代はこれまで良好な関係を築いてきたアメリカ、ヨーロッパやアジア各国と共に多国籍軍として能動的サイバー防御という名の先制攻撃を行う可能性もあります。 日本におけるサイバー防衛の組織は、自衛隊には現在約2000人程度のサイバー防衛隊があり、2027年には4000人に増加を目標としています。そして民間のサイバー要員は20000人必要と試算しています。民間企業が保有する個人情報や企業秘密は敵にとってはぜひ手に入れたい情報であり、国家間のサイバー戦争は行政・民間を分けません。「セキュリティ人材が足りない」と言われ続けているのは、国も国家防衛のために民間の力が必要と考えているからにほかなりません。僕らセキュリティ専門家が組織の中でやるべき仕事を果たすだけで日本のサイバー安全保障に貢献できるといえます。ならばもう少し立場をですね(略
最後に。国際政治を知らなくして昨今のサイバー防衛は語れません。この本にあったように、アメリカは長い間サイバー防衛に巨額の資金を投下し、この分野をリードしてきました。しかし先日の記事で紹介したようにトランプ政権になったことでアメリカがセキュリティに対してコストカットをしているというニュースも出ています。この先も目が離せない状況です。