報告書・米国出張でブログを書く時間がとれませんでした。でもって、遅くなりましたが、日経コンピュータ9月28日号の「安全保障の新戦略 能動的サイバー防御」の記事にコメントが掲載されています。
表紙は、こちら。
記事は、「安全保障の新戦略 能動的サイバー防御」で、42頁からになります。
記事の内容は、
- 国家安全保障戦略のインパクト
- Active Cyber Defenseと能動的サイバー防御の違い
- 具体的な対抗措置
- 法的に可能なのか
という内容になります。
私のコメントが掲載されているのは、「Active Cyber Defenseと能動的サイバー防御の違い」のところで、
組織や人によって定義が異なる
というところと法的に可能なのか というところで
作成実施する主体ごとに権限・要件・効果・安全措置
を定めるべきという趣旨のコメントが掲載されています。
ここで、
自衛隊が実行部隊になる場合には
となっているのがポイントだったりします。この点についてわが国の法制を見ていくと、武力紛争時なのか、武力紛争の閾値未満の場合なのか、で法的な位置づけが変わります。ただし、わが国の議論では、自衛隊が、実行部隊であることが「当然の前提」として語られていたりします。
むしろ、諸国では、サイバーコマンド(サイバー部隊)が行う場合もあるし、法執行機関が裁判所の許可を得て、オペレーションを行ったりします。英国については、
で紹介しています。
メディアでは、もっぱら、自衛隊が、行うのが当然、という表現がなされていますけど、個人的には、果してそうなのかなと思っていたりします。
カナダでは、通信保安機構法(CSE法)が、2019年6月に成立しています。そこで、受動的なサイバー作戦(18条)も能動的なサイバー作戦(19条)も行えると定義が与えられていたりします。
日本ですと、既存の組織が、そのまま、作戦を行える(ROEもなしで)というような議論がなされることがありますが、外国との関係もあるので、作戦の責任の主体や手続き、また、技術のコントロール(たとえば、ホワイトワームからコラテラルダメージが生じないようにどのように確保するか)とかの論点もあるようにおもいます。各国の法制を具体的に確認して、どのようなコントロールがなされているのか、という議論がなされなければならないことになります。
そして、Codeblueで、この議論をしたのですが、その議論の内容については、別のエントリでふれたいと思います。
