「サイバー攻撃「国家のリスク」 政府、インフラ防護重点 秋にも新戦略」という日経の記事がでています(5月14日付けは、こちら)
記事の内容は、
政府は今秋にもまとめる新たなサイバーセキュリティ戦略で、サイバー攻撃への危機感を打ち出す。サイバー攻撃を国家のリスクと位置づけ、重要インフラを防護する必要性を訴える。
ということだそうです。
5月13日の「サイバーセキュリティ戦略本部」の会合の資料は、こちらからです。
プレスリリースによると
- 1.次 期 サ イ バ ー セ キ ュ リ テ ィ 戦 略 の 骨 子 に つ い て ( 討 議 )
- 2.サイバーセキュリティ研究開発戦略(一部改 訂 案)について(決定)
- 3.サイバーセキュリティ協議会の取組状況について(報告)
- 4.2021 年サイバーセキュリティ月間について(報告)
が議論されたということです。
でもって、「次期サイバーセキュリティ戦略の骨子」が発表になっています。
それで、資料1-2は、「次期サイバーセキュリティ戦略 骨子 」です。この骨子の内容について、上の日経の記事でふれているところと、法的に興味深いところをみていきます。
骨子は、
1 2020年代を迎えた⽇本をとりまく時代認識
2 基本的な考え
- 2-1 確保すべきサイバー空間は「⾃由、公正かつ安全な空間」
- 2-2 基本原則は従来の戦略で掲げた5つの原則を堅持(情報の⾃由な流通の確保、法の⽀配、開放性、⾃律性、多様な主体の連携)
3 サイバー空間をとりまく課題認識
3-1 サイバー空間におけるリスクの増⼤
- 新たな技術⾰新の浸透と依存度の⾼まり
- クラウドサービス利⽤拡⼤と境界型セキュリティの限界
- サイバー空間を構成するシステムのサプライチェーンの複雑化
- リテラシー差異や⼈材不⾜・偏在など攻撃者から狙われ得る弱点の顕在化
- サイバー空間を巡る国際情勢
3-2 突き付けられている課題と⽅向性 〜Cybersecurity for All〜
- デジタル改⾰を踏まえたDXとサイバーセキュリティの同時推進
- 公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安⼼の確保
- 安全保障の観点からの取組強化
4 ⽬的達成のための施策
-
経済社会の活⼒の向上及び持続的発展
-
国⺠が安全で安⼼して暮らせるデジタル社会の実現
-
国際社会の平和・安定及び我が国の安全保障への寄与
5 推進体制
サイバーセキュリティ政策により、⾃由、公正かつ安全なサイバー空間を確保するためには、政府⼀体となった推進体制が必要。 デジタル庁が司令塔として推進するデジタル改⾰に寄与するとともに、公的機関が限られたリソースを活⽤しその役割を果たせるよう、関係機関の⼀層の対応能⼒強化・連携強化を図る。
という構成です。日経新聞では、いままでとの違いについて
サイバー攻撃で「国家や民主主義の根幹を揺るがすような重大な事態が生じ、国家安全保障上の課題へと発展していくリスクをはらんでいる」と書き込んだ。
としています。この部分は、5ページの3.1.2 国際情勢からみたリスクで
重要インフラの機能停止、国民情報や知的財産の窃取、民主プロセスへの干渉など国家の関与が疑われるものをはじめとする組織化・洗練化されたサイバー攻撃の脅威の増大がみられる。
・こうしたサイバー攻撃の増大は、経済社会のデジタル化が広範かつ急速に進展する中、国民の安全・安心、国家や民主主義の根幹を揺るがすような重大な事態が生じ、国家安全保障上の課題へと発展していくリスクをはらんでいる。サイバー攻撃者の秘匿、偽装等が巧妙化しているが、特に国家の関与が疑われるサイバー活動として、中国は軍事関連企業、先端技術保有企業等の情報窃取のため、ロシアは軍事的及び政治的目的の達成に向けて影響力を行使するため、北朝鮮は政治目標の達成や外貨獲得のため、サイバー攻撃等を行っているとみられている。また、これらの国において、軍をはじめとする各種機関の能力構築が引き続き行われているとみられている
とされているところに対応しています。
この部分についてみれば、「民主プロセスへの干渉」をあげ、「民主主義の根幹を揺るがすような重大な事態」という事態認識が上がっているということは、興味深いです。情報工作について私のブログで検討した流れとも対応します。
日経新聞が新戦略の骨子についてまとめています。
そこでは、新戦略の骨子は
現状認識は、「国家間の競争の場に」
対策は、「外交安保上の優先度を高める」
というところがポイントであるとされています。ちなみに日経の記事だと対策について従来の「法の支配を推進」というものから「外交安保上の優先度を高める」へと変わったとしていますが、これは、ちょっと誇張があります。
新戦略でも、
基本原則は従来の戦略で掲げた5つの原則を堅持(情報の⾃由な流通の確保、法の⽀配、開放性、⾃律性、多様な主体の連携)
になるので、法の支配の推進という原則を越えるわけではありません。
また、日経の記事は、
サイバー攻撃は国際法上、武力攻撃とみなせる場合があるとされる。
を強調しているのですが、これは、従来からの政府の見解なわけで、これを協調するのはミスリーディングといえる(報告書22ページの注19でちゃんと「G7 伊勢志摩サミット サイバーに関する G7 の原則と行動(2016 年 5 月)」を引用しています)しょう。
サイバーセキュリティーを日本の外交・安保戦略の一環として位置づけている点も特徴
としています。戦略案の「4.3 国際社会の平和・安定及び我が国の安全保障への寄与 」の部分は、非常に詳細に記載されているので、その点を強調した表現ということかと思います。その意味で特徴として取り上げる価値があるということかと思います。
むしろ、日経の記事以外にも、法的な観点から、いろいろと面白い記述があるというのが私の感想です。以下、ページごとで、ピックアップしてみます
5ページでは、
サイバー空間に関する国際ルール等をめぐる対立が顕在化する中、一部の国が主張するように、国家によるサイバー空間の管理・統制の強化が国際ルール等の潮流となれば、我が国の安全保障にも資する「自由、公正かつ安全なサイバー空間」や従うべき基本原則の確保が脅かされる。
というように、自由・公正・安全なサイバー空間と国のあり方という論点に踏み込んでいる点、
システムのサプライチェーン複雑化やグローバル化を通じ、サプライチェーンの過程で製品に不正機能等が埋め込まれるリスクや政治経済情勢による機器・サービスの供給途絶など、サイバー空間自体の信頼性や供給安定性に係るリスク(サプライチェーン・リスク)が顕在化している。(6ページ)
と、一般的なサプライチェーン・リスクにふれている点(今までは、サプライチェーンの会社に対する標的型攻撃みたいなリスクをいうことが多かったです。もっとも、このあたりの用語感覚は、従来型の用語法もありますね-10ページ)。
自衛隊をはじめとした政府機関等の能力強化により、国家の強靭性を確保するなどして防御力を強化し、攻撃者を特定し責任を負わせるためにサイバー攻撃を検知・調査・分析する能力を引き続き高め、抑止力を強化する。また、サイバー脅威に対しては、同盟国・同志国と連携をして、政治・経済・技術・法律・外交その他の採り得る全ての有効な手段と能力を活用し、断固たる対応をとる。(8ページ)
一般の国家のサイバー攻撃に対する検知・調査・分析能力向上のために自衛隊を端目として政府機関等の能力強化が必要としている点(?-一般のネットワークの防御を自衛隊の任務としているようにもみえるかもしれません)。
国は関係主体と連携しつつ、サイバー空間を構成する財・サービスや主体間の関係性及びその潜在するリスクを把握可能とするトレーサビリティ(追跡可能性)や可視化を高める取組を進め(13ページ)
これは、クラウドのパーツやそのデータセンタの所在地の明確化とかに発展するのでしょうか(フランスの戦略も参照ですね)。
攻撃者の視点も踏まえ、持ち得る全ての手段を活用して包括的なサイバー防御を講じる(13ページ)
「攻撃者の視点も踏まえ」というのが、攻撃されたことを契機として、積極的に攻撃者に対して証拠収集・抑止行為を行うということを検討するという趣旨まで含むのでしたら、是非とも、当社に「アクティブ・サイバー防御」の法的調査のご用命をお願いします。>関係者さま(特に、入札では、本命が有利なようになったようですしね)
国民の個人情報や国際競争力の源泉となる知的財産に関する情報は、国として防護すべき重要な対象であり、サイバー攻撃を通じたこれらの不正な窃取は、国民の安全・安心や公正な経済取引を損なうものである(13ページ)
他の国がこれらの情報を収集することは、インテリジェンス活動として(国際法上)放任されるべき行為という認識ではなく、むしろ、国家の侵されざるべき領域(ドメイン・レザベdomaine réservé-reserved domain)に対する干渉であるという文章に読めます。(そうすると内政不干渉の原則違反となる) この点は、すみません。まだ、きちんと研究していません。-この部分も研究資金募集中ですね。
深刻なサイバー攻撃への対処を実効たらしめる脆弱性対策等の「積極的サイバー防御 」に係る諸施策(15ページ)
「積極的サイバー防御 」という用語自体がアンブレラであることは、いうまでもありません。脆弱性対策(ちなみに枠組については、このエントリをどうぞ)がそのなかで、ひとつの重要な手法であることをいうまでもないです。では、この脆弱性対策「等」の「等」がなにを指すのでしょうか。「積極的サイバー防御」という概念は、2019年でピックアップされたわけですね。その外延と可能性というのは、やはり興味を引くものといえます。
4.2.7 大規模サイバー攻撃事態等への対処態勢の強化
・サイバー空間と実空間の一体化が増々進展し、インシデントの影響が広範囲に伝播するおそれがあることなどを踏まえ、平時から大規模サイバー攻撃事態等へのエスカレーションを念頭に、国が一丸となったシームレスな対処態勢を強化する。(19ページ)
「大規模サイバー攻撃事態等へのエスカレーションを念頭に」という記載があります。この点について、国際会議で、危機管理のなされる事態は、武力攻撃事態、武力攻撃予測事態、緊急対処事態、その他の緊急事態にわけることができるだろうということを論じたことがあります(Cyber Norms – Legal Challenges from two dimensions)。この点については、再度、きちんと考察したいと考えています。
サイバー空間をめぐる情勢は純然たる平時でも有事でもない様相を呈しており、社会のデジタル化が広範かつ急速に進展する中、重大な事態へと急速に発展していくリスクをはらんでいる。(19ページ)
「純然たる平時でも有事でもない様相」これは、良くいわれることですが、法的にみた場合に、意味がないマスコミ的な用語と捉えるべきなのか、あたら棚問題提起を含むのかというのは、面白い問題かと思います。この点については、またの機会に考えてみたいと思います。
サイバー空間を利用した影響工作や、主体、被害等の把握が困難なサイバー攻撃等は、ときに軍事活動と複合的に組み合わされることにより、武力攻撃に至らない形での現状変更の試みに利用されうる(19ページ)
ハイブリッド戦というとになるのでしょうか。一般的にいわれる事項ですが、サイバーセキュリティ戦略にこれだけ明確論じられるとそれはそれで意味がでてきますね。
ら安全保障に係る取組に関しては、内閣官房国家安全保障局による全体取りまとめの下、防御は内閣サイバーセキュリティセンターを中心として官民を問わず全ての関係機関・主体、抑止は対応措置を担う省庁、状況把握は情報収集・調査を担う機関が、平素から緊密に連携して進める。また必要な場合には、国家安全保障会議で議論・決定を行う。(21ページ)
この部分が体系的に明らかになっているのは、興味を引きました。サイバーにおける情報収集・調査の重要性が出ているというような気もします。
それ以外でも、
民間における情報共有に係る国際連携も拡大するとともに、国際場裡で我が国の立場を主張できる官民の人材を確保し、他国への人材派遣や国際会議への参加等を通じて育成する。(23ページ)
とか
CERT 間連携や国際サイバー演習への参加のみならず、我が国が国際サイバー演習等を主導して連携対処のための信頼関係を構築するとともに、情報のハブとなり、サイバーコミュニティにおける国際的なプレゼンスの向上を図る(23ページ)
とか、興味深い記述がたくさんありますね。
逆に、抜け落ちている視点はどうか、というと、セキュリィ戦略としては、特にみあたらないかなという感じです。重要インフラに対する攻撃情報の脅威インテリジェンスを具体的にどのようにすすめるべきか、情報の取得・共有、自動化、というのが念頭に置かれて進んでいくといいのだろうな、とう感じです。方向性としては、この戦略の延長線上なわけですね。
むしろ、交錯する論点としての経済安保(特に、対外インテリジェンスとデータの場所/アクセスの可否)という視点があり、それは、また、別の観点から整理されたほうがいいのだろうなという感じで読んでみました。