サイバー対策の要「ACD」
「通信の秘密」との衝突は必至
住田 台湾有事において、中国軍はサイバー領域でも熾烈な攻撃を仕掛けてくるだろう。まず一つが情報戦だ。SNSなどを通じた情報操作を行うことで、戦争反対や日米離間の世論の醸成を狙ってくるだろう。
一方、SNSに比べると目に見えにくいが、国家・自衛隊の機能を阻害するための直接的なサイバー攻撃も十分考えられるだろう。その際に攻撃の対象となるのは、政府機関、そして金融・通信・電力・交通といった重要インフラ企業だ。そうしたところに被害が出れば国民生活に大きな影響を与えるし、情報戦における戦争反対の世論醸成にも相乗効果をもたらすだろう。
大澤 今年7月に名古屋港のコンテナターミナルがサイバー攻撃を受け、約3日間にわたってコンテナ搬入搬出が停止した事件があった。名古屋港は効率化のためコンテナ管理作業のデジタルトランスフォーメーション(DX)を進めていたのだが、そこが狙われた形だ。昨今、社会のさまざまな面でDXが進展しているが、DXが進むとサイバー攻撃に対して思わぬ「弱点」を抱えることになりかねない。そして、そうした「弱点」を一つ突かれただけで、企業のサプライチェーン全体が麻痺しかねないリスクが高まっている。
また平時でも、半導体関連を筆頭とする企業の知財情報や政府の政策情報の窃取、情報操作による選挙などの民主主義プロセスへの干渉も大きな問題だ。米国でも、ロシアのサイバー攻撃によって大きな影響を受けた2016年の大統領選挙の教訓から、毅然とした対抗措置の必要性が認識されている。日本でもこうした観点から、これまでの受け身のサイバー対策では限界があるとして、サイバー攻撃者に対して積極的に妨害や反撃を行う「能動的サイバー防御(ACD)」の導入が「国家安全保障戦略」でもうたわれている。
住田 ただ、ACDを行うには、平素から通信記録などを通じて敵対的なハッカーについての情報を収集したり、彼らの機器に侵入して情報を窃取したり、さらにはそこにいざという時に発動できるウイルスを仕込んでおいたりする必要がある。だが、情報収集ひとつ取っても民間通信企業からの情報提供は必須であるが、それは憲法から始まる電気通信事業法、電波法など各法令の「通信の秘密」保護の規定と衝突しかねない。民間の通信事業者はこの規定に従って仕事をしているのだから、彼らに通信記録の提供を求めるには、きちんと法律の改正などを行っていく必要がある。
また、情報を入手できたとしても、誰がACDを実行するのかという問題もある。現在の内閣サイバーセキュリティセンター(NISC)には調整機能はあっても、実働部隊はいない。
昨年新編された自衛隊のサイバー防衛隊も、防衛省・自衛隊の枠外まで防衛範囲を広げるというのが政府の方針だが、そのためには自衛隊法の改正が必要になるし、何より人員が足りない。法と能力、双方の改革が必要であろう。
また、ウクライナではマイクロソフト、メタ、グーグルなどがサイバー防御の一翼を担っており、国内外のIT企業との連携も必須となる。
渡邊 民間企業が関与してくるとなると、無人兵器におけるCOCOの件と同様に、サイバーにおいても国際法上の戦闘員と文民の境界線は問われることになるのではないか。
大澤 ロシアへのサイバー攻撃を行っているウクライナの「IT義勇軍」に、日本人が参加しているという話もある。民間人が戦時に相手国のインフラをサイバー攻撃するような、かなり戦闘行為に近い事例は、今後増えていくのではないか。既存の戦場ではルールは定まっているが、サイバー空間や民間人によるドローン偵察など、「新領域」の戦場における国際法の適用はまだ定まっていない部分が多い。事実、北大西洋条約機構(NATO)サイバー防衛センターで専門家委員会がまとめた『タリン・マニュアル』(サイバー空間に対する国際法適用についての学説集)が参照されているのが現状だ。
住田 自衛隊でも、たとえばサイバー技術の高度な部分や、通信を担保する海底ケーブルなどは民間頼みなのが実態だ。平時にACDを行う際、かなりの部分を民間に依存することになるだろう。だが、日本政府としては、自衛隊による有事の際のサイバー攻撃は法理的には可能だと整理しているが、そこに民間人の関与は想定していない。つまり、平時から有事に切り替わった瞬間に民間をきれいに切り離す必要があるが、そのようなことは不可能だろう。この線引きの問題を整理し、民間の支援を確保していく必要がある。