安全保障関連3文書と能動的サイバー防御-Beyond Barbershop talk(12月21日修正)

政府は、令和4年12月16日、国家安全保障会議及び閣議において国家安全保障に関する基本方針である「国家安全保障戦略」等を決定しています。安全保障関連3文書といわれていて、

  • 国家安全保障戦略
  • 国家防衛戦略
  • 防衛力整備計画

だそうです。これらについては、内閣官房のこのページからみることができます。

従前から、新聞報道がなされています。直近ですと「能動的サイバー防衛 攻撃、事前に検知し対策-日本は法律の制約も」(日経新聞)がでています。また、キーワードとして「能動的サイバー防衛」が政治的なキャッチフレーズとしてでてきたあたりから、私のブログでも

と取り上げています。

いいたいことは、「能動的サイバー防御」について、

具体的にどのようなオペレーションであるかを明らかにすることなしに、雰囲気で論じるのはいいかげんにしなさい

ということでした。さて、具体的に、これらの三文書においてどのように記載されているのか、

具体的にどのようなオペレーションであるかを明らかにするほどに定義が整備されているのか

はたまた、

具体的なオペレーションが特定されているのか

というのをみたいと思います。

1 国家安全保障戦略

最初は、国家安全保障戦略です。文書としては、こちら。

能動的サイバー防御については、21頁。

具体的には、

武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入

という記載があります。

そして、具体的なオペレーションとしては、

(イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。

(ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。

という二つのオペレーションがあがっています。(なお、1月18日追加-(ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。というのは、オペレーションとはいえないので落としています。ただし、このために攻撃者からの脆弱性情報取得・共有をするところまでいれるとオペレーションということがいえそうです。今後検討します)

なお、(2)として

「アクティブサイバー防御をめぐる比較法的検討」InfoCom reviewのご紹介( 2022年9月13日)で、ふれたように

主体手法 から考えないといけない

としました。これを示した図を、サイド、あげておきます。

まず、従来からの報道においては、何をしたいかがはっきりしていなかったのに対して、具体的なオペレーションを特定しようという方向性が見えるのは、好感がもてます。

そして、ここで議論されているのは、

武力攻撃に至らない

場合の議論であることがポイントです。これについては、続・アクティブサイバーディフェンスの概念(9月19日) で見ておきました。

もっとも、具体的に主体手法 から考える場合に、何がいえるかということになります。

2023年1月18日追加、英語だと

even if they do not amount to an armed attack

となっています。

1.1 オペレーション(イ)

これは、

  • 国内の通信事業者が
  • 国が(12月21日版)
  • 攻撃者による悪用が疑われるサーバ等を検知するために、
  • 国内の通信業者が役務提供する通信に係る情報を活用
  • 所要の取組

を進める、という要素があります。

まず、主体と手法という観点から考えたときに、

国内の通信事業者

が主体として特定されているという点が特徴があります。上の図でしめされているように通常でいえば、法執行機関もしくは軍(military force)が、「防衛」の任にあたるわけですが、国内の通信事業者の活動を安全保障戦略のなかに組み込むといういちづけをしているというのが特徴です。

(12月21日版)最初に読んだときは、主体として「電気通信事業者」が行う行為を安全保障のための行為として位置づけるという趣旨と読みました。ただし、英語版だと

Japan will take necessary actions to detect servers and others suspected of being abused by attackers by utilizing information on communications services provided by domestic telecommunications providers.

となっているので、むしろ、国が、国内の通信業者が役務提供する通信に係る情報を活用できるというという趣旨であると解しました。英語のほうが正確に理解できたということになります。国は、電気通信事業者から具体的な通信データ部分をもとめることができるでしょうし、また、通信事業者は、国に提供することもできるということになるのだろうと思います。これは、NISC 改組とも関係するものと考えます。サイバー情報機関的な仕組みとして整備する方向性が示されるのではないかという感じがします。(12月21日版ここまで)

それは、さておき、これについては、「手法」についての特定がなされていません。もっとも「目的」において「サーバ等を検知」するということが規定されています。

なので、通信を分析するというオペレーションを指しているのではないかと考えられます。「アクティブサイバー防御をめぐる比較法的検討」InfoCom reviewのご紹介( 2022年9月13日)であげていた

  • アクセスによる調査行為
  • デバイススキャン・クローラー
  • ビーコン
  • ボットネットテイクダウン
  • シンクホール
  • ボットネット乗っ取り
  • ハックバック

によるオペレーションを考えたときに、「シンクホール」やハニーポット、もしくは、政府機関等を擬したデコイによるオぺレーションあたりがこの手法として念頭におかれているように思います。

(12月21日版)国内の通信事業者からすると、事業者が取り扱っている通信について、国に対して提供するということになります。電気通信事業法における「秘密の保護」の規定が、秘密たる通信について積極的な取得・漏えい・窃用を禁じていることから、それらの規定との調整を図る必要があります。(12月21日版ここまで)

これについては、「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」(6版)、(なお、「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定について」)が基本的な論点をまとめています。

ただし、このガイドラインは、基本的に、国際的な通信によって、わが国の通信秩序に対して脅威があたえられているという場合について考えられているのかという根本的な疑問があります。具体的には、プロバイダーが自己の財産に対する具体的な危険を明らかにしえないながらも、「わが国の通信秩序に対する脅威」が存在するような場合に対してどのように考えるのか、とういことになるかと思います。

例えば、

「自社契約者から特定の ISP 別へのトラヒック及びその通信種別情報」及び「特定の ISP 別から自社契約者へのトラヒック及びその通信種別情報」等を取得して作成した統計処理したデータに基づき、攻撃通信を分析し、その分析結果に基づいて攻撃通信の特性に合致する通信を遮断することは、通信の秘密の侵害(窃用等)に当たりうる(なお、統計処理したデータの取得自体については(6)を参照)。

というのか基本的なスタンスです(同ガイドライン10頁)。個人的には、構成要件該当性でもって、批判するような(「ブロッキング反対論者」みたいな)ことはしたくないのですが、むしろ、このような解釈は、企業秩序とそれに基づく調査権限という最高裁判所の判決(富士重工業事件最高裁判決、最三小判昭52年12月13日労判287号7頁)との関係を考慮していないのではないか、という疑問を感じています。通信秩序という考えをした場合に、その通信秩序侵害しているという合理的な疑いがある場合には、これを調査して、秩序を守ることは当然ということがいえるかと思います。

 なお、富士重工業事件最高裁判決というのは、(前提論ですが)

使用者は、「企業秩序は、企業の存立と事業の円滑な運営の維持のために必要不可欠なものであり、企業は、この企業秩序を維持確保するため、これに必要な諸事項を規則をもつて一般的に定め、あるいは具体的に労働者に指示、命令することができ、また、企業秩序に違反する行為があつた場合には、その違反行為の内容、態様、程度等を明らかにして、乱された企業秩序の回復に必要な業務上の指示、命令を発し、又は違反者に対し制裁として懲戒処分を行うため、事実関係の調査をすることができることは、当然のことといわなければならない。」

です。

同ガイドライン10頁は、受信者の同意の場合は、正当化事由としてあげられていますが、これは、あまりにも限定的過ぎますし、経済的な安全保障という観点もないわけです。そもそも、国外からくる通信は、電気通信事業者の取扱中の通信ではなかったのに、なぜ、国内で伝達されたとたんに完全なる保護を受けるのかと思うのですが、消費者行政課2課は、マジシャン的な解釈ができるわけです。

「通信の秘密」の保護は、一般的には、電気通信事業法の「秘密の保護」の解釈としてなされています。制定法上は、電気通信事業者の取扱中の通信に関する秘密の規定なので、宅内の通信は、この規定で保護されるわけではないです。それと同様に外国の通信事業者で伝達されている通信も保護されないとかんがえているのですが、その通信は国内で通信されるとなぜか国内通信と同じで保護されると解釈されているのてず。

なかったものが生じる

ので、Mr. マリックさんもびっくりレベルの解釈ということなるなあとずっと思っているのですが、誰も私の話を取り上げてくれません。

(12月21日版)法改正によってわが国の通信秩序に対する脅威が存在すると合理的に信じうる場合には、国に提供したとしても、上記の富士重工業事件最高裁判決の趣旨からいって、その分析のために国に提供して、国からの適切な対応を要求したとしても、電気通信事業者が文句をいわれる筋合いはないわけです。むしろ、そのような行為は、推奨されるべきことですし、

  • 積極的な取得(Acquire)
  • 漏えい(Leak or Divulge)
  • 窃用(Misuse)

などの構成要件には、該当しないでしょう。現在の解釈が、上の三つの行為について、アクセス・開示・利用というように解しているところがそもそものボタンの掛け違いをうんでいるような気がします。(12月21日版ここまで)

これから先の話は、きちんとした枠組(予算ともいう)が準備されたら、深く検討したいと思います。

1.2 オペレーション(ウ)

4要件について

これは、

  • 政府の
  • 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃
  • 可能な限り未然に
  • 攻撃者のサーバ等への侵入・無害化をする

オペレーションを意味します。

主体的要件

オペレーション(ウ)は、(イ)と異なり、主体が「政府」すなわち、法執行機関もしくは軍(military force)であることがポイントです。

状況の要件

これは、前提の状況として、

  • 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃

がなされている状態が前提となります。ここで、「国、重要インフラ等に対する安全保障上の懸念」というのは、通信の秘密の数奇な運命(国際的な側面)と「国力としての防衛力を総合的に考える有識者会議」報告書(同11月24日) でふれたように、いわゆる

わが国のドメイン・レザベに対して影響を与えよう

という場合であるわけです。「主権侵害」もしくは、「内政干渉禁止原則」違反の行為がなされている場合ということになります。(この争いについては、主権侵害・デューディリジェンス・自衛権-「サイバー行動と国際法についての日本政府の基本的な立場」を読む で検討しています)

行為要件

行為要件としては、「攻撃者のサーバ等への侵入・無害化をする」とされていますが、これについては、さらに客体の要件として「サーバ等」とされています。これについては、攻撃者のサーバ(例えば、指令を出しているハーダが主たる例)もあれば、いわゆるボットネット(一般の人のパソコンがウイルスに感染して攻撃主体となっている場合もある)もあるでしょう。

行為自体については、「侵入・無害化」があげられています。

「侵入」についていえば、侵入により証拠取得であれば、侵入者が国家支援行為者である場合については、国際法的に、それ自体、強制的な契機をもたないので、問題はないだろうと思います。では、国内法的には、どうか、これは、「アクティブサイバー防御をめぐる比較法的検討」InfoCom reviewのご紹介( 2022年9月13日)で検討しました。 警察官職務執行法自体の見直しは必要になるはずだとろうと考えています。

無害化についてはどうでしょう。いわゆるホワイトワーム作戦になります。これも国際法・国内法的に検討することになるだろうと思いますが、基本的には、侵入について考えたことと同様です。

2 国家防衛戦略

国家防衛戦略のリンクは、こちらです。

能動的サイバーについては19頁で

サイバー領域では、防衛省・自衛隊において、能動的サイバー防御を含むサイバー安全保障分野における政府全体での取組と連携していくこととする。

としています。また、23頁でも

防衛省・自衛隊においては、能動的サイバー防御を含むサイバー安全保障分野に係る政府の取組も踏まえつつ、我が国全体のサイバーセキュリティに貢献する体制を抜本的に強化することとする。

とされています。具体的には、取り上げていることはないように思います。

3 防衛力整備計画について

防衛力整備計画のリンクは、こちらです。

ちなみに、「能動的サイバー」という用語は使われていません。むしろ、具体的な整備というよりも枠組をはっきりさせるというのが当面のタスクという理解になるのかなあと思います。ただし、サイバーで検索すると

  • 境界型セキュリティのみでネットワーク内部を安全に保ち得るという従来の発想から脱却し、もはや安全なネットワークは存在しないとの前提に立ち、サイバー領域の能力強化の取組を進める
  • ネットワーク内部に脅威が既に侵入していることも想定し、当該脅威を早期に検知するためのサイバー・スレット・ハンティング機能を強化する。
  • 陸上自衛隊通信学校を陸上自衛隊システム通信・サイバー学校に改編
  • サイバー領域における更なる能力向上のため、防衛省・自衛隊のシステム・ネットワークを常時継続的に監視するとともに、我が国へのサイバー攻撃に際して当該攻撃に用いられる相手方によるサイバー空間の利用を妨げる能力等、サイバー防衛能力を抜本的に強化し得るよう、共同の部隊としてサイバー防衛部隊を保持する。

などの興味深い記述があります。

4 ボトムライン

オリジナルの文献をあたるときちんと用語が注意を払って準備されていることがわかります。しかしながら、具体的な検討は、これからというのも、十分にわかるところでした。まあ、

昔からいっていることでしょ

という突っ込みはしないで、何か機会がありましたら、私も、安全保障をめぐる議論にお役にたてるといいなあなどと考えています。

 

関連記事

  1. CyCon 2019 travel memo day1 (1)
  2. Cycon 2019 travel memo day3 (2)…
  3. ホワイトハウス報道官のJBSへのサイバー攻撃についてのやりとり
  4. 脅威インテリジェンスサービスの利用とコンプライアンス(3)
  5. パイプライン攻撃事件の法的論点(国家責任・デューディリジェンス)…
  6. トラストサービスフォーラムinベルリン Day2 その1前半
  7. 対ボットネットの法律問題の総合的考察 その3
  8. CSI:サイバーで学ぶ情報セキュリティ・ シーズン1 
PAGE TOP