(前編「激化するサイバー戦 ウクライナで何が起きたのか」から続く)
2013年に初めて策定された国家安全保障戦略において「国家の関与が疑われる場合を含むサイバー攻撃から我が国の重要な社会システムを防護する」ことが言及された。
国全体としてサイバー空間の防護およびサイバー攻撃への対応能力の一層の強化を図ることとされ、内閣サイバーセキュリティセンター(NISC)や警察、防衛省・自衛隊など個々の能力強化は図られたものの、国家規模での対応能力や関係法令の整備といった分野は低調であった。
新たな国家安全保障戦略ではサイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させることや、能動的サイバー防御(ACD)を導入することなどが掲げられ、新たな取り組みの実現のために法制度の整備、運用の強化を図ることが盛り込まれるなど、より積極的で総合的な取り組みの方針が示された。
「サイバー安全保障分野での対応能力を
欧米主要国と同等以上に向上」
2021年にイギリスの国際戦略研究所(IISS)が公表した各国のサイバー空間における能力と国力の評価「Cyber Capabilities and National Power」では、対象となった15カ国の中で、日本は三階に区分された階層の中で最下層に位置付けられており、第一階層のアメリカ、第二階層のヨーロッパ諸国や中国、ロシア、イスラエルなどとの能力差は大きい。
欧米諸国においては、平素からサイバー攻撃者の動向を探り、対処を行うACDが採用されている。ACDは、「サイバー攻撃の監視(モニタリング)」、「攻撃の帰属(アトリビューション)の特定」、「攻撃への対応措置」を一連の活動として行うことであり、我が国もサイバー安全保障を確保するための対応能力を欧米主要国と同等以上に向上させるのであれば、このような活動を平素から行える体制と権限(法律の制定など)を定めなければならない。
「重大なサイバー攻撃のおそれがある場合、
これを未然に排除」
国家安全保障戦略では、可能な限り未然に攻撃者のサーバーなどへの侵入・無害化ができるよう、政府に必要な権限を付与するとしている。「おそれ」を察知し、「未然」に排除するためには平素からの情報収集とデータの蓄積・分析が不可欠である。
我が国ではNISCがサイバーセキュリティに関する政策調整、政府機関などに対する脅威の検知・監視などを担ってきたが、政府内部での調整機能しか保有せず、重大なサイバー攻撃に対する対処能力や民間企業に対する指導・統制などの権限はなかった。
このため国家安全保障戦略ではNISCを発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する組織を新設することとし、内閣官房に「サイバー安全保障体制整備準備室」を設置した。
サイバー攻撃を未然に防止するためには、我が国に対するサイバー攻撃全体を常時監視しなければならない。たとえばアメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)が発出した「拘束力のある運用指令」は、連邦政府機関(Federal Civilian Executive Branch)に対しIT資産と脆弱性に対する可視化と脆弱性検知の改善を義務付けるもので、サイバー攻撃の検知や、防止、対応能力の向上のための具体的な方策が書かれている。対象は連邦政府機関に限られるが、民間企業や州政府などにも同様の改善を推奨している。
我が国においても2015年に施行されたサイバーセキュリティ基本法に基づいて策定されたサイバーセキュリティ戦略において、サイバー攻撃の流れを「平時~大規模サイバー攻撃事態~武力攻撃事態」と想定し、事態のエスカレーションにもシームレスに移行することで迅速に事態に対処するとしている。