続・アクティブサイバーディフェンスの概念

「「アクティブサイバー防御をめぐる比較法的検討」InfoCom reviewのご紹介」というエントリで、「アクティブサイバー防御」という概念をきちんと定義して、きちんと論じる必要があることを論じました。

読売新聞の記事は、何をもってアクティブとしているのか、また、議論されている状況がわからないので、「床屋談義」レベルではないか、という感想をもったところです。

新聞記者とかに影響のありそうなものに政治家のコラムがあるだろうとおもったところ、高市早苗「日本の国防⑥ サイバー分野」がありました。リンクは、こちらです。

高市早苗コラム

ここでは、

岸田内閣には、自民党提言の「アクティブ・サイバー・ディフェンス」を受け入れるか否かの判断も含めて、早期に方針を固めて頂き、必要な法制度整備に着手していただきたいと、切望します。

とされています。そこでは、「アクティブ・サイバー・ディフェンス」を

一般に、受動的な対策にとどまらず、反撃を含む能動的な防御策により攻撃者の目的達成を阻止することを意図した情報収集も含む各種活動

としています。果たして、このような表現が、具体的に何を「アクティブ・サイバー・ディフェンス」というのか、という点に関して議論がなりたっているのか、というのを読んでいきます。

高市コラムでは、

  • 『新たな国家安全保障戦略等の策定に向けた提言』
  • サイバーセキュリティ・インフラセキュリティ庁(CISA)」の高官の「ハイブリッド戦」への言及

を触れた上で国防分野では(有事とおもわれるが明言はしていません)

「アクティブ・サイバー・ディフェンス」として、「相手のサーバに大量の接続要求を送信して、相手のサーバを使用できなくすること」や「日本政府の機密情報を窃取した相手のサーバに対して不正アクセスをすることによって、窃取された情報を消去する」といった作戦を実行する場合、現行の法制度では、実行は困難だと考えます。

としています。後者は俗にハックバックといわれている行為です。

有事においては、

有事の「反撃力」として、「相手の指揮統制機能を無力化」する為にサイバー攻撃を行おうとしても、そのような行動を担保する法律や、実行する権限を持つ行政機関は、日本にはありません。

としています。

また、平時から

平時からサイバー空間の動きを探知して、敵性情報の収集をしておくことが不可欠です

『日本国憲法』第21条の2は「検閲は、これをしてはならない。通信の秘密は、これを侵してはならない」と規定しています。 これに基づいて、「通信の秘密」を定めた『電気通信事業法』があります。

『不正アクセス禁止法』により、許可なく相手の設備には入れません。

としています。

平時についてみると「敵性情報の収集をしておくことが不可欠です」ということで、国によるモニタリングができないということになるかとおもいます。例えば、国が、国の機関の端末をセンサーとして、それを分析して、集約した場合に、「電気通信事業者の取扱中にかかる」とはいわないので、通信の秘密の問題にならないはずです。その意味で、この部分を問題にするのは、ピントがずれています。モニタリングを越えて、情報取得/分析を主張するのであれば、そのように表現しないといけないところです。

また、国境をまたぐ通信について「通信の秘密」(ましてやパケット通信)がどの程度保護されるのかという問題があります。もっとも、この部分は、非常に曖昧で、国で、脅威インテリジェンスの設備を使って、分析したとしても、他の民間企業がアクセスしうる情報にアクセスして分析する以上、電気通信事業法違反になるともおもえないところです。総務省が、国際的な通信についての研究会でも開いて整理すれば済むようにおもいます。ただし、このような話は、メディアが、変なバイアスをつけて報道するところですし、法律家の先生も変なことをいいだしかねないところです。また、論点として提起したとしても、だれも興味をもってとりあげてくれないところです。

あと

『刑法』の「ウイルス作成罪」や「ウイルス保管罪」について、「国防や犯罪捜査に必要な場合」の例外規定を置くなどの方法が考えられます

という表現があります。捜査当局が、ボットネットがある場合に、ホワイトワームを使って、ボットネットを解毒するということが許されるのか、という問題があります。そのような問題を論じているとすれば、それは、それとして、貴重な問題提起だろうとおもいます。ただし、刑法において、防衛のためのマルウエアの作成が罪になるとも思えず、どんなアドバイスをうけているのだろうとおもったりします。

しかしながら、根本的に、あまりにも法的な位置づけが異なる行為をひとつの概念の中に入れようとする点で、根本的な問題を抱えているというべきでしょう。

ハックバック等について「国防分野では」という表現は、もしかすると、有事でなくても、准軍事的行為として、攻撃的サイバー作戦を行えるようにすべきであるという提案かもしれません。そうだとすると、それは、そのように限定しないと立法論にもならないとおもいます。

評価

まず、アクティブサイバーディフェンスの定義/概念としては、やはり、「能動的な防御策」とか「情報収集も含む」という定義を用いている点で、やはり明確性として観点からは十分とはいえないとおもいます。言葉の使い方で、意識しているのか意識していないのかはわかりませんが、非常に曖昧なところがあって、分析に困るコラムではあります。むしろ

攻撃者の目的達成を阻止することを意図した含むサイバー作戦であって、情報収集、反撃を含む能動的な活動一切

とするとすれば、その概念は、きわめて広範であり議論が拡散するというデメリットはあるものの、問題提起としては、有意義でしょう。

善意に解釈しようとすると、有事/グレイ/平時にわけて問題提起をしている点は押さえておくべき問題提起だろうと考えています。表にするとこんな感じです。

ただし、あまりに多様な文脈での多様な行為を論じているのであって、結局、読売新聞の出来が悪いのではなく、政治家の主張している話が筋が悪かったということだとおもいます。

床屋の総本山であったということになるとおもいます。床屋も迷惑ですね。

英国の整理

英国の整理をみていきます。

アクティブサイバー防衛のプログラム(NCSC)

NCSCにおいては、アクティブサイバー防衛について、

国家のレジリエンスを改善するためのサイバー攻撃に対する比較的自動化された、大規模な、プログラム

と認識しています。この全体像は、以下のインフォグラフィックで明らかにされています。

この戦略の全体像については、“Active Cyber Defence – tackling cyber attacks on the UK”というブログにおいて、分析されています。また、NCSCのホームページで説明されています。

そこでは、アクティブサイバー防衛は、比較的自動的な方法によって、英国を攻撃するサイバー 攻撃にたいして、対抗しようとする意図されたプログラムである。ここで、自動的というのは、よりスケールが大きくなれば、うまくいくという意味である。

具体的なものとしては、

  • インフラのプロトコルの修正、
  • 電子メールの信頼回復、
  • テイクダウンの実行、
  • インパクト管理のためのDNSフィルタリング、
  • 英国のソフトウェアのエコシステムの改善、
  • 政府の職員の支援、
  • 識別・認証のためのイノブーティブな選択肢の支援、
  • 重要インフラの所有者・運営者のために支援の増大

などがあり、それらについて内容が紹介されています。

攻撃的サイバー-国家攻撃的サイバープログラム(NOCP)

攻撃的サイバーとは、

 ①サイバー攻撃ののちに報告する能力
②標的の通信もしくは兵器システムを妨害し、破滅し、または、用なしにする能力(サイバー攻撃の源をシャットダウンしたり、より伝統的な軍事活動に備えたりすることを含む)
③広範囲のシステムやインフラに対して攻撃する(現実世界へのダメージまで拡張される)能力

をカバーする概念です。

NOCPのプログラムは、2014年に設立されており、「効果的な抑止」に役立つものと位置づけられています。

体系的な解説はなされていませんが、前述の国家サイバーセキュリティ戦略と議会の諜報および安全委員会の報告書(以下、諜報安全委員会報告書)から、概要的なものが明らかになっています。従来は、「主権能力の充実拡充-攻撃的サイバー」という項目において記載されていました。

現在は、国家サイバーセキュリティ戦略(2022)においては、

私たちは、まず国家攻撃型サイバー計画、そして最近では国家サイバー軍(NCF)の設立を通じて、攻撃型サイバー能力に多大な投資を行ってきました。NCFは、政府通信本部(GCHQ)、国防省(MOD)、秘密情報局(SIS、別名MI6)、国防科学技術研究所から人員を集め、初めて一つの統合司令部の下に置かれた。国の安全を守り、国内外における英国の利益を保護・促進するために、サイバースペースで、そしてサイバースペースを通じて活動しています。

とされています。

米国のDefending Forwardのコンセプト

2018年3月に、米国は、サイバーコマンド・ビィジョンにおいて、”Defend forward”という概念を明らかにしています。

この概念は、

敵対者の起点にできるだけ近いところで前方に防御(Defend forward)する活動によって、私達は、その範囲を広げて、敵対者の弱点を明らかにし、彼らの意図と能力を学び、そして彼らの起源に近い攻撃に対抗しうる。 継続的に従事することによって(persistent engagement)、敵対者に戦術的な摩擦と戦略的なコストを課し、防御にリソースを移し、攻撃を減らすことを強いる。

というものです(同6頁)。

2018年サイバーコマンドニュースレターで、Defend forward戦略は、

侵略者の自身と能力に集中し、武力攻撃未満の実際になされている戦略的キャンペーンに対し、対抗し、争う防衛活動である継続的従事戦略(persistent engagement strategy)

のひとつであるともされています。

これは、明らかに、武力攻撃の閾値以下の場合の活動を意味しているのですが、むしろ、主権侵害にならない場合も含まれるように考えられます。この「forward」は、時間的に、敵が、攻撃を実施する前に、という意味と、地理的に、防御地ではなく、作戦の実行者よりの場所で、という意味が含まれているように思えます。

これらの活動の国際法上における位置づけについては、まだ明確な議論がないように思われます。なお、Kosseff教授の分析を紹介しているのに、「CyCon 2019 travel memo day1 (3)」があります。

その他の記事等

私が論文を公表した2019年当時とは異なり、アクティブサイバーディフェンスという用語は、いろいろなところで議論されているようです。目についてところを

松原実穂子 「波紋を広げる「アクティブ・ディフェンス」解釈論争とサイバー攻撃者の暗殺」

ここでは、概念自体が

そもそも英語圏においても曖昧な定義のまま多々使用されており、混乱を招きやすい

としています

米教育機関「SANS」や米国防総省の下にある国家安全保障局(NSA)は、サイバー空間のアクティブ・ディフェンスに攻撃要素が含まれるのを否定する。

としています。

SANSの用語法は、“SEC550: Cyber Deception – Attack Detection, Disruption and Active Defense”を意味しているのかとおもいます。Deception(偽計)を中心とする概念ですが、あまりにも狭いようにもおもえます。

NSA の定義は、こちらです。

アクティブ・サイバー・ディフェンス(ACD)は、国防総省(DoD)の防御的なサイバー作戦に対する全体的なアプローチの一要素である。ACDは、国防総省と情報機関のための防御的なサイバーセキュリティ能力の強化にとどまりません。ACDで定義された能力とプロセスは、連邦、州、および地方の政府機関および組織、防衛請負業者、重要インフラストラクチャー部門、および産業をサポートするために採用することができます。脅威の情報や分析、サイバー活動の警告、対応策を迅速かつ自動的に共有し理解する能力は、高度なサイバー攻撃の検知と防御を成功させるための努力の統一を可能にするために重要です。

となっています。

これに対して

全ての攻撃者が堅牢な防御だけで諦めるわけではない。安全保障に打撃を与えるサイバー攻撃に対しては、懲罰的抑止として政府が一歩踏み込んで反撃すべきとの考えのもと、「アクティブ・ディフェンス=反撃能力」と解釈する人たちもいる。サイバー攻撃を受けたら攻撃し返す、あるいは先手を打って、相手のITインフラに攻撃を仕掛け、相手のサイバー攻撃能力を奪ってしまおうとする考え方だ。ただ、攻撃は民間には許されないため、この解釈は政府にしか適用できない。

としています。

その他のメディア

ただし、この報告書においては、ACDの定義について

の実施主体のあり方や実施内容については、今後の笹川平和財団の事業において引き続き調査・研究、議論を深め、適宜発信していく考えである

としていて、不明確です。

サイバー攻撃を受けるのを待つのではなく、攻撃者に対し、サイバー攻撃が効果的ではなく、成功確率が非常に低く、なによりも攻撃者の目的やTTPsが知られてしまうと思わせる能動的な防御策により攻撃者の目的達成を阻止するだけではなく、諦めさせるセキュリティ対策です。

偽計、Moving Target Defense技術、ファイル無害化技術(マクロウイルスまで除去)、攻撃早期監視技術などを指しているようにおもえます。反撃は含んでいません。

  • 2022年9月14日 プライムニュースのなかでの議論

自民党安保調査会長・元防衛相・小野寺五典「今回の自民党の提言の中で最も悩ましかったのが、アクティブサイバーディフェンスという言葉にしたが、実際サイバー攻撃を受けた、防衛省、自衛隊もそうだが当然中ではやられたらやり返すという演習をしている。

まとめ

要するに、わが国で議論されているアクティブサイバーディフェンスという概念は、政府(自衛隊、法執行機関、その他)が、攻撃者に対して抑止目的のためになす行為はすべて入ることが議論されているということできるとおもいます。

それをきちんと分類して、法的な枠組に整理して、その実現可能性/法的障害を整理するのが大事ということになります。

まあ身も蓋もない結論に達するわけですが、この世界は、概念を明らかにしないで論じる人が多すぎるので、いい反省材料なのだろうとおもいます。

関連記事

  1. 経済安保2.0?-経済安保の担当役員設置、政府が主要企業に要請へ…
  2. 脅威インテリジェンスサービスの利用とコンプライアンス(1)
  3. ENISA 「トラストがあり、サイバーセキュアな欧州のための新戦…
  4. ホワイトハウス報道官のJBSへのサイバー攻撃についてのやりとり
  5. ニュージーランド政府のサイバー空間における国際法の適用に関する声…
  6. 映画会社とアクティブ防衛
  7. GCSCスタビリティ報告書 分析9
  8. 紫のライトセーバーと台湾の「科技偵查法草案」(とくに14条)をめ…
PAGE TOP