積極的サイバー防御の「司令塔」新設へ…自衛隊や警察庁の指揮・民間ハッカー登用も検討

サイバーセキュリティの司令塔機能・ディスインフォメーション対策・ファイブ・アイズへの加入に向けた法整備がサイバーセキュリティをめぐる論点として議論されるようになっています。R4.10.28 衆議院内閣委員会(平将明 vs 後藤茂之 経済財政政策担当大臣、谷公一 国家公安委員長)の議論が参考になります。(youtubeはこちらです

平議員は、まず最初にハイブリッド戦争の話をして、五輪担当大臣と兼務だったときから、デジタル担当大臣と兼務に替り、現在では、現在は、サイバーセキュリティ担当大臣が、国家公安委員長と兼務のところに移ったのはなぜか、という質問でした。

これに対しての 谷公一 国家公安委員長は、人事のことだからわからないという回答がなされる一方で、サイバー空間の脅威が高まっている増大している(ランサムウエアの増大)ことがあげられています。

次にアクティブディフェンスの議論に移っています。そして、政府全体のセサイバーセキュリティの司令塔はどうなっているのかという質問がなされました。

これに対しては、谷氏は、新たな国家安全保障体制の整備においてあらゆる可能性をふまえて検討するという回答がなされました。これに対して平議員は、安全保障を含めて検討していただきたいという希望を述べているところです。

次は、ディスインフォメーション対策について議論が移行します(1135あたり)。

社会の分断・世論への影響を与えようとする目的での誤情報の発信拡散行為、もしくは、「悪意のある偽情報」と定義しているようです(加納こうじ内閣審議官)。それに対しては、

海外の内政干渉から防がなければならないという意識をもっています

という懸念を明らかにしています。そこで、このような対策については、政府のどこが担当しているのかという質問がなされました。

これに対しては、加納審議官は、影響工作などの非軍事的手段が用いられているという認識が明らかにされています。これに対して、新たな国家安全保障体制の整備において検討するということになり、具体的な回答としては、多岐に渡るということで明言が避けられているところです。

また、ファイブ・アイズとの関係も議論されており、日本が孤立しているのではないか、サイバーだと共同して対応できないのではないか、という議論がなされています。そして、立法者が難易度の高い法律を作らなければならないのではないかという質問がなされています。

これに対しては、情報収集・分析能力の向上を図るべきという認識が明らかにされています。(近いうちに議事録が公表されるでしょうから、その歳にアップデートします)

また、これらの議論にシンクロするように東京⼤学創発戦略研究オープンラボ(ROLES)有志による「国家安全保障戦略改訂に向けた提⾔-我が国の安全保障を強化するための三つの方策」(以下、安保戦略改訂への提言」といいます)が公表されています。提言1以下では、戦争という言葉が断りなく出てくるとおりに、法的な観点は、全くと言っていいほど、考慮されていないように思いますが、それはそれとして、影響力の強い人たちが以下の論点に対してどのようにいっているかというのを見るのは、有意義だろうと思います。

以下、論点ごとにみていきます。

1 サイバーセキュリティの司令塔機能

サイバーセキュリティの司令塔機能については、「積極的サイバー防御の「司令塔」新設へ…自衛隊や警察庁の指揮・民間ハッカー登用も検討」という記事(読売新聞)が出ています。

内閣サイバーセキュリティセンター(NISC)の機能を吸収し、規模や権限を拡大して対処力の強化を図る。新組織には攻撃の兆候の探知や発信元の特定を行う「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)を指揮する役割も付与する方向

となっています。

そして、

政令に基づき設置されたNISCと異なり、権限が強い新組織は法律で設置を定める方針。早ければ来年秋の臨時国会への関連法案の提出を目指す。

だそうです。

ここで、NISC の設置の根拠が出てきています。この経過等については、こちらです。

内閣官房組織令に基づき、情報セキュリティセンターを改組し、内閣官房に「内閣サイバーセキュリティセンター(NISC)」が設置されました。

とのことです。

内部組織)
第一条 内閣官房に、次の三室及び内閣サイバーセキュリティセンターを置く。

内閣総務官室
内閣広報室
内閣情報調査室

とあり、

(内閣サイバーセキュリティセンター)
第四条の二 内閣サイバーセキュリティセンターにおいては、次の事務をつかさどる。
一 情報通信ネットワーク又は電磁的記録媒体(電子的方式、磁気的方式その他人の知覚によつては認識することができない方式で作られる記録であつて、電子計算機による情報処理の用に供されるものに係る記録媒体をいう。)を通じて行われる行政各部の情報システムに対する不正な活動の監視及び分析に関すること。
二 行政各部におけるサイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。以下この項において同じ。)の確保に支障を及ぼし、又は及ぼすおそれがある重大な事象の原因究明のための調査に関すること(内閣情報調査室においてつかさどるものを除く。)。
三 行政各部におけるサイバーセキュリティの確保に関し必要な助言、情報の提供その他の援助に関すること。
四 行政各部におけるサイバーセキュリティの確保に関し必要な監査に関すること。
五 前各号に掲げるもののほか、行政各部の施策に関するその統一保持上必要な企画及び立案並びに総合調整に関する事務のうちサイバーセキュリティの確保に関するもの(国家安全保障局、内閣広報室及び内閣情報調査室においてつかさどるものを除く。)
2 内閣サイバーセキュリティセンターに、内閣サイバーセキュリティセンター長一人を置く。
3 内閣サイバーセキュリティセンター長は、内閣官房長官、内閣官房副長官及び内閣危機管理監を助け、内閣サイバーセキュリティセンターの事務を掌理するものとし、内閣総理大臣が内閣官房副長官補の中から指名する者をもつて充てる。

となっています。サイバーセキュリティの司令塔機能については、読売新聞では、図示がなされています。それを、法的な観点からみるとこんな感じかと思います。

警察や自衛隊に対して

実働部隊を指揮

となっていますが、実働部隊がどのような権限でどのような行為をなすべきかということが全く考えられていないように思われます。

2 アクティブディフェンスをめぐる議論

まずアクティブサイバー防御という言葉がイメージだけで、何をいっているのかがよくわからないということがあります。これについては、

「アクティブサイバー防御をめぐる比較法的検討」InfoCom reviewのご紹介 や続・アクティブサイバーディフェンスの概念 て論じておきました。

これについては、攻撃のレベルに応じて、防御のための法的な位置づけが変わります。それを示したのは、

という感じです。

武力攻撃事態等の場合

武力攻撃事態等というのは、「武力攻撃事態及び武力攻撃予測事態」と定義されています。これらの場合においては、内閣総理大臣は、我が国を防衛するため必要があると認める場合には、自衛隊の全部又は一部の出動を命ずることができます(自衛隊法76条1項)。自衛隊に防衛出動が命じられた場合においては、自衛隊は、武力を行使しうるとされています(同法88条1項)。この場合においては、国際の法規及び慣例によるべき場合にあっては、これを遵守し、かつ、事態に応じ合理的に必要と判断される限度をこえてはならないものとされています(同条2項)。

武力攻撃事態/武力攻撃予測事態にいたらない事態

B国からのサイバー作戦によって、わが国の国民の生命、身体または財産に重大な被害が生じ、または、生じるおそれがある場合において、わが国は、B国に対して、何らかの影響を及ぼしうるでしょうか。また、B国からのサイバー作戦がわが国における通信インフラを用いてなされている場合に、そのわが国の通信インフラに対して何かをなしうるでしょうか。ここで、「影響」といったのは、強制的契機を有する場合も、そのような契機を有しない場合をも含むからです。具体的に、それをわけて論じることにしましょう。

a  防御として強制力を行使する場合

影響力を与えうる具体的な作戦としては、B国所在の作戦の実行者の意思に反する行為によって、攻撃行為の停止、妨害、抑止を行うことが考えられます(強制力を行使する行為と呼びます)。また、同様の行為によって証拠を取得するなどの情報収集行為を行うことが考えられます。
これらの行為が、わが国の法体系のもとで、どのような組織が、どのような根拠法のもとで、なすことができるのか、ということになります。この問題については、わが国では、抽象的には、議論されていたとしても、具体的には、議論されていない問題ということができるでしょう(世界的にも、ほとんど議論されていません)。
抽象論とししては「政府としては、専守防衛を堅持しつつ、サイバー空間の特性も踏まえ、有事において相手方によるサイバー空間の利用を妨げる能力を整備することなどにより、サイバー防衛能力を抜本的に強化し、国民の命と平和な暮らしを守り抜くため、万全を期していく考えです。」という国会での回答がなされており、何らかの強制力を行使しうる作戦を考えうる余地が示唆されています 。

a-1 防御のために強制力を行使することの国際法的な位置づけ

攻撃行為の停止、妨害、抑止にしても、また、証拠を取得する行為にしても、法執行の文脈で考えることが妥当だと考えられます。国際法的には(B国の国家責任が認められる場合において)、国際的違法行為に対する対応として、後述するような対抗措置をとることは議論されていますが、このような強制力を行使しうるか、という点も考えるべきことになります。
国際法的には、国連の国家責任条文(草案)50条においては、対抗措置であっても、武力による威嚇や行使を利用してよいことにはならないし、また、復仇をおこなっていいということにはならないとされています。もっとも、国際法の見解はどうか、という点については、武力の行使が全面的に禁止されるという見解は、すべての国が一致しているわけではありません。限定的な武力の行使は、対抗措置としてというか、マイナーな自衛権の行使としてというかという問題がありますが、許容されるという見解も有力であるということがいえるでしょう。

a-2 防御のために強制力を行使することの国内法的な位置づけ

理論的には、強制力の行使がなされうるとして、攻撃行為の停止、妨害、抑止行為や証拠を取得する行為が、国内法的に、どのような根拠法に基づいてなされうるのか、という問題が生じます。
この問題については

という図で示される論点がでてくることになります。

「実働部隊」という表現がありますが、警察官職務執行法において、サイバーに関してなしうる警察官の権限が何かというのは全く議論がなされていません。

アクティブサイバー防御というと何かカッコイイことをいっているように思えるのはいいかもしれませんが、犯罪の予防および制止(同法5条)、立入(同6条)、武器の使用(同7条)そのそれぞれの行為にサイバーが含まれるのか、もし含まれないのであれば、含むように同法を改正するというあたりが、もっと地に足のついた議論ではないかと考えています。

「安保戦略改訂への提言」の分析

安保戦略改訂への提言においては、、直接、アクティブサイバー防御という用語はでていません。もっとも「能動的防御能力の保有」という項目で

具体的には、指揮通信拠点、物資集積拠点、艦艇・航空機の運⽤インフラ等を無⼒化・妨害できる⻑距離攻撃⼿段や電磁波作戦能⼒の保有を⽬指す。

とされています。ここで留意すべきなのは、指揮通信拠点、物資集積拠点、艦艇・航空機の運⽤インフラ等を無⼒化・妨害できる「手段」ということを意味しているとすれば、それは、もはや、アクティブサイバー防御という用語の範囲を越えるものであり、攻撃的サイバー(Offensive Cyber)j呼ばれるものになるということだろうと思います。「防御のために強制力を行使すること」ということになり、有事の場合であると平時の場合であると、国内法の整備がきわめて重要な意味をもってくるということになります。

というか、ここらへんに法的な専門家をいれない提言って、どうなのよ?という感覚がしてくるところです。

3 ディスインフォメーション対策

この問題について筆者が興味をもっているのは、総務省のプラットフォーム研究会における議論です。同報告書においては、検討対象を政治・選挙に係る情報に限らず、災害、健康・医療情報に係る情報なども広く含めて対象とするほか、「偽情報(disinformation)」(=何らかの意図性を持った虚偽の情報)及び「誤情報(misinformation)」(=単なる誤った情報)を含め、また、ニュースの形式を持たない情報や、部分的に不正確、根拠が不明、ミスリードな情報も含めるとして非常に広い範囲について検討をしている点が特徴になります。

これに対しては、上の国会審議でも、偽情報は、安全保障上も脅威をもたらすものという認識が明らかにされています。そして、対応は重要であると認識していることが明らかにされています。もっとも、具体的にどこがしているのか、という点については、明言されていないのは、上でみたとおりです。体系的にどこまでスコープを広げるかというのは、まだであるということが明らかにされているところことかと思います。

我が国では、自主的スキームの尊重として、民間による自主的な取組を尊重し、その取組状況を注視していくことが適当である。特に、プラットフォーム事業者による情報の削除等の対応など、個別のコンテンツの内容判断に関わるものについては、表現の自由の確保などの観点から、政府の介入は極めて慎重であるべきである、としています。また、対応にあたっては、偽情報への対応に当たっては、多面的な解決策を検討していくことが必要であるとして、その際には、プラットフォーム事業者のみならず、産学官民の多様なステークホルダーによる協力関係の構築を図り、対話の枠組みを設けることが重要と考えられるとしています。
その他、プラットフォーム事業者による適切な対応及び透明性・アカウンタビリティの確保、.利用者情報を活用した情報配信への対応、ファクトチェックの推進などが、対応のための方法として上げられています。

その一方で、他国が、意図的に民主制に対して、影響を及ぼしてくるという観点からの検討はされてないように思います。

そもそも、国民主権の観点からは、民主主義の根幹である選挙は、公正に行われなければならないということがいえるとともに、憲法15条において「公務員を選定し、及びこれを罷免することは、国民固有の権利である」と定められていることから、他国民の影響からも自由であり、自律的なものでなさればならないということがいえるでしょう。一般論として、外国人の選挙運動に関して、法は、これを禁止していないとしても、上記15条と正面から衝突するような外国の国家行為としての干渉行為は、また、別であり、むしろ、そのような干渉行為を禁止する国内法の整備は、きわめて重要であると考えます。

以下、ちょっと古い論文の抜粋—-

このような観点からみるときに、政治的広告の透明性の確保の観点からいえば、もともと米国では、公表者(ラジオ、テレビ等)が、連邦取引委員会(FTC)の規制のもとにあり、消費者に対して、ミスリードする場合には、その規制の対象になりえます。また、放送局にたいしては、放送のデマ情報に関する規制が適用されることもありえます。これをインターネットに開示するべきではないかという動きがあります。例として、連邦議会において、「正直広告法(Honest Ads Act)」[1]が提案されています。

この法律は、連邦選挙運動法(Federal Election Campaign Act)における公共通信の定義を拡大し、それらについての選挙広告についての資金源を明らかにするように義務づけ、それらの記録を開示するように義務づけようとするものです。現時点においては、また、具体的に議会を通過はしていませんが、今後の動向が注目されます。

外国勢力の選挙に対する干渉の禁止の観点からは、2018年9月12日に定められたI「アメリカ合衆国内の選挙への外国の干渉が発生した場合に一定の制裁を課す大統領令(Executive Order on Imposing Certain Sanctions in the  Event of Foreign Interference in a United States Election)」(大統領令13848)[2]が注目されます。これは、海外からのサイバー空間を利用した態様を含めた選挙干渉に対し、連邦政府(Director of National Intelligence,国家情報長官)が調査を行うことを義務づけたもので、もし、干渉が明らかになった場合には、経済制裁措置を発動することを規定したものです。

[1] https://www.congress.gov/116/bills/s1356/BILLS-116s1356is.pdf

[2] https://www.treasury.gov/resource-center/sanctions/Programs/Documents/election_eo_13848.pdf


ということで、米国でのこれらの議論かどのように進展しているのかを調査したいところです。予算希望です。例によって>関係者様。

「安保戦略改訂への提言」の分析

安保戦略改訂への提言3は、闘争空間としての認知領域、古典的戦争と認知領域作戦として、

  • 認知領域の安全保障に関する取り組み強化
  • 政府の情報発信(戦略的コミュニケーション)および偽情報対策シミュレーションを開始する。
  • 偽情報対策と情報発信の司令塔を定める。
  • 平時から有事における認知領域作戦の最新動向についての知⾒を常時⼊⼿できる態勢を作る
  • マスメディアやプラットフォーマーとの協⼒態勢のあり⽅について検討を開始する。

などの提言とともに

また、情報発信元の開⽰を容易にすることで、情報の真偽性を国⺠が確認しやすくするための法整備を進める。

という法整備の提言がなされています。

これは、どのようなことを考えているのか、上の有志のメンバー構成を考えたときに、どの程度考えているのかは?ではありますが、興味深い提言だと思います。

4 ファイブ・アイズへの加入に向けた法整備

これについては、また、エントリを改めて検討します。

関連記事

  1. 「ワナクライ」サイバー攻撃に北朝鮮が関与と米政府=報道
  2. 医療機器・ヘルスソフトウエアの前提知識
  3. 専門家風の用語の落とし穴「アトリビューション」
  4. 北條先生の「サイバー対策 法見直し必要」の続き
  5. 日航偽メール3億8000万被害-メールは、ハガキですよ
  6. ウイルス罪、有罪と無罪の境界はどこにあるのか (下)
  7. 動的IPアドレスと個人データ保護とサイバーセキュリティ
  8. SolarWinds作戦の国際法的分析について
PAGE TOP