既に、18年の『サイバーセキュリティ戦略』で、ACDに類似する「積極的サイバー防御」(proactive cyber defense: PCD)という政策が掲げられていた。しかし、同戦略の詳細や後の年次報告を読む限り、PCDは「攻撃的サイバー能力」や「逆ハック」を含まないと明言し、主に脅威情報の活用といった意味合いが強い。
今回のACDがどこまで〝能動的〟な措置を含むかは明らかではないものの、既に述べた通りACDは自己(政府)の管理外のネットワークや情報資産上での活動が含まれる。なぜなら、「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」ことを目標に、国内通信事業者が提供する「通信」関連情報の活用、攻撃に用いられたサーバ等への侵入・無害化といった措置を視野に入れているからだ。今後の争点の一つは、ACDが日本国内に限定されるのか、国境を越えるのか、である。
さらにいえば、ACDは「武力攻撃に至らない」重大なサイバー攻撃を未然に排除し、攻撃が発生した場合には被害極小化を目指す。18年防衛大綱にいう「相手方によるサイバー空間の利用を妨げる能力」が本格有事でのサイバー攻撃対処能力だとすれば、22年安保戦略にいうACDはサイバー空間の「グレーゾーン」事態への対処能力だ。
脅威を「未然に排除」するためには、平時からの常時継続的オペレーションが不可欠だ。脅威インテリジェンスの収集と活用、通信のモニタリング、警戒監視・偵察活動によって、重大なサイバー攻撃の兆候を見逃さないということだ。こうした活動は、攻撃者が用いるインフラや情報資産にダメージを与える、攻撃手法・戦術や利用インフラの変更を余儀なくさせるという意味で、常時継続的なコスト賦課戦略とも呼べる。このようなACDを目指すとすれば、その実現には自衛隊、インテリジェンス機関、法執行機関といった多様な主体の関与が必要だろう。
日本は変われるのか
日本のサイバー安全保障戦略は大きな転換点を迎えている。その端緒はワシントン・ポスト紙が報じた事案だったのかもしれない。しかし、転換の端緒は問題ではない。
米国もサイバー軍創設の経緯は米軍の機密ネットワークが侵害されたことだった。大事件や「敗北」を端緒に新たな戦略が生まれるのはよくあることだ。
問題は今後、戦略を如何に実現させるか。それも、進化する中国のサイバー能力向上のスピードを上回る形で、である。