「サイバー攻撃、能動的防御は独立機関が必須 宍戸常寿氏」日経・経済教室

株式会社網屋様「Security Blaze 2024」で「能動的サイバー防御が与える民間への影響」と題してお話をします。

そこで、まずは、日本における2024年9月の段階での「能動的サイバー防御」をめぐる議論を押さえておくことにします。そのためには、まずもって、このブログでの「能動的サイバー防御」のスタンスをまとめておきます。ちょうど、日経新聞の経済教室で、上原先生、猪俣先生のあと、宍戸常寿先生が原稿を寄稿しておられますので、その原稿も読んでいきたいと考えています。

宍戸先生には、「通信の秘密の数奇な運命」の書論文を再発見していただいたり(「通信の秘密について」季刊企業と法創造35 号14-29頁(2013年2月))、ブロッキングの有識者会議で、「高橋郁夫先生の御論文というのは大変有名な論文でございまして、通信の秘密について立ち入った議論をしている方というと高橋先生という感じで、私もよく勉強させていただいているのですが、ここで議論の前提になっているのは、やはり通信主権をどう確保するか。その観点から、国内通信と国際通信を分けるか、分けないか、非常に大きな論点がここに潜んでいた上での高橋先生の御見解であり、利益衡量だと思っております。 」とおほめいただいたり(「インターネット上の海賊版対策に関する検討会議」6回議事録 ブログ)、と非常に感謝いたしています。(ご無沙汰しています)

1 このブログでのいままでの議論

1.1 これまでの議論のおさらい

このブログでの今までの議論を纏めるとこんな感じです。

まずは前提としては、安全保障3文書にうたわれている

  1. (日本は、)重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。
  2.  (日本は、)国内の通信事業者が役務提供する通信に係る情報(information on communications services provided by domestic telecommunications providers.)を活用し、攻撃者による悪用が疑われるサーバ等を検知(detect servers and others suspected of being abused by attackers)するために、所要の取組を進める。
  3.  国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化(penetrate and neutralize attacker’s servers and others )ができるよう、政府に対し必要な権限が付与されるようにする。

という概念のうち、どれを議論するのかをきちんとしないと意味がないということをいっています。(これらの部分は、英語のほうがわかりやすいというのが、私の意見だったりします)(あと、国内法と国際法を両方の次元をながめながら国内法として論じないといけいなよね、ということもありますが、今回は、省略)

そして、2と3の活動については、

  • 状況がどのような場合であるのか(平時か有事か)
  • 誰が
  • どのような行為をするのか

というのに注目して議論を整理しないといけないということをいってきました。で、今回のブログにおいては、2の活動にフォーカスして、検討することにしたいと思います。

1.2 ISP情報の活動について

素直に文言を読んでみるときに、それでも?が頭をよぎったりします。Network Security Forum(2024年2月2日)で私がふれた点は、

  1. これは、武力攻撃に至る場合、いたらない場合とも(even if they do not amount to an armed attack))に、どのような仕組みを準備しようというのか
  2. ISPがトラフィックの状況を分析するのは、当然だろう。そして、それが、通信秩序を侵害する場合に対応するのは当然/国家と共有できるのは当然だろう-憲法違反という学者/メディアはでるだろう。
  3. 海外の事業者の取扱中にかかる通信についても検知できるはず-それが除かれているのはなぜか?

だったりします。

これらの疑問の内容について、ちょっと砕いてみます。

有事と平時の区別と秘密の保護

有事というのは、武力紛争時、もしくは、ぞれに近接する時点ということになるかと思います。国内法的な次元では、「武力攻撃事態」とは、武力攻撃が発生した事態又は武力攻撃が発生する明白な危険が切迫していると認められるに至った事態をいい、「武力攻撃予測事態」とは、武力攻撃事態には至っていないが、事態が緊迫し、武力攻撃が予測されるに至った事態をいうとされています(武力攻撃事態対処法2条)。

ここで、「秘密の保護」(電気通信事業法4条)を考えた場合に、上述の有事と平時では、異なった制約の枠組を考えうるのではないか、という気がしていたりします。

たとえば、韓国の電気通信事業法85条(業務の制限や停⽌)とかを見てみると、

科学技術情報通信部⻑官は、展⽰・事変及び天災地変またはこれに準ずる国家⾮常事態が発⽣したり、発⽣するおそれがある場合やその他のやむを得ない事由がある場合に重要通信を確保するために必要な場合、 ⼤統領令で定めるところにより、 電気通信事業者に電気通信業務の全部⼜は部を制限したり、 停⽌することを命ずることができる。

とあったりします。なので、後述の有識者会議の議題として、そのような考え方が入るのか、という疑問があったりしたわけです(NSFは、2月なので、有識者会議の前)。

通信秩序侵害時におけるISPの分析結果の国家の共有の権限について

これは、「ドイツにおける通信の秘密についての適法性確認規定および政府によるプロバイダーへの情報共有・対処命令」 のエントリで触れたところです。まさにこの第5C条の

(1) 連邦情報セキュリティ局は、第3条第1項第1文第1号、第2号、第14号、第17号または第18号に基づく法定義務を履行するため、電気通信法第3条第6号に基づくインベントリデータおよび電気通信法第172条(電気通信法第174条第1項第1文)に基づき収集されたデータに関する情報を、電気通信サービスを商業ベースで提供しまたは提供に参加する者に対して要求することができる。

情報技術システムのセキュリティまたは機能の障害を防止するために、第1文に基づく情報は、第2条第10パラ・第2文号1の分野における住民の供給または公共の安全を保護するためにのみ要求することができる。

という条項のほうが問題なのではないか?ということです。

あと、具体的なアクションとしては、電気通信法第169条第6項および第7項に規定される措置 もありうると考えます。これは、ネットワーク利用制限や、場合によってはボット武装解除もあるので、これらの措置のほうが現実的に思えます。

そもそも、企業であれば、企業秩序維持の疑いがある場合に、その調査権限は当然に認められます(例えば、富士重工原水禁事情聴取事件・最高裁昭和52年12月13日判決・判タ357号133頁、なお、ビジネスローヤーズ・ブログ「会社のデータを保存した私物のパソコン、スマートフォン(電子端末)を調査するうえでの考え方」)から、そのような活動を国家がISPに命じるというのも当然に正当化されるような気がするのですが、その点はどうなのでしょうか、という感じもしてたわけです。

でもって、そのような基本的な疑問を抱いて、有識者会議がはじまるわけです。

2 有識者会議の議論(通信の秘密部分)

この有識者会議の最初の段階については、能動的サイバー防御と「通信の秘密」の関係-有識者会議・「数奇な運命」三部作・国会審議(2024年6月) のエントリで分析しました。 その資料のページは、こちらです。

2.1 中間とりまとめまでの経緯

その後、7月8日、8月6日と会議が開催され、また、その有識者会議については、テーマ別会合が開催されています。通信の秘密部分については、「通信情報の利用に関するテーマ別会合資料(令和6年6月19日、20日)」と「通信情報の利用に関するテーマ別会合資料(令和6年7月26日)」とが、公表されており、具体的には、3日にわたって検討された模様です。

令和6年6月19日、20日

通信情報の利用に関するテーマ別会合資料(令和6年6月19日、20日)の資料については、「ドイツにおける通信の秘密についての適法性確認規定および政府によるプロバイダーへの情報共有・対処命令」で紹介しています。

  • 御議論いただきたい事項(資料5-1)
  • 事務局資料(資料5-2)
  • 能動的サイバー防御に関連する論点(土屋大洋)(資料5-3)
  • 参考資料(サイバー攻撃の情勢とこれまでの政府の取組)(資料5-4)
  • 英国調査権限法2016(資料5-5)
  • 「通信の秘密」の日独比較(資料5-6)

令和6年7月26日

この資料は、

という感じです。6月の検討に比較すると、議論のまとめという感じで、ふれてほしい論点については、具体的な仕組みが見えないような形の議論にあえてしているようにおもいます。

2.2 中間とりまとめの内容

ということで、令和6年8月7日内閣官房 サイバー安全保障体制整備準備室サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理」(以下、議論の整理といいます)がでているので、 読んでみます。

議論の整理では、その7ページ以降が、「通信情報の利用」です。が、箇条書きで、定義もなされておらず、議論がそのまま、整理されずに、記載されています。項目としては

  1.  攻撃実態解明のための通信情報利用の必要性
  2. 通信情報の利用の範囲及び方式
  3. 通信の秘密との関係

にわけて論じられています。

通信情報の利用の範囲及び方式

この部分ですが、では、「通信情報」って何なのというと

①電気通信設備等を識別する情報、②コンピュータ等に一定の動作をするよう指令を与える情報、③その他機械的な情報、④個人のコミュニケーションの本質的内容に関わる情報、に主に分類できるが、

とされていますが、定義は、載っていません。私の「通信データ」の分類からいくとアカウント情報は、はいっているのかな? この分類が、英国や米国における分類とのズレを感じてしまうところです。

もっとも、国際通信についてのフォーカスは、興味深いです。

外国が関係する通信については、国外に日本の国家権力が及ばないこともあり、分析する必要が特にあると考えられる。

とか

• 日本を経由して伝送される外国から外国への通信である「トランジット」の通信を分析してよいかについては、先進主要国と同等の方法の分析をできるようにしておく必要があるのではないか。

とか、いわれています。もっとも、具体的なこの攻撃について、どのようなものを考えているのか?というのが、どうもつかめません。D-Dos的なものであれば、トランジットがどうの、というのは、ちょっと違うようにおもいます。

通信の秘密との関係

ここで、議論されているのは、憲法なのか、電気通信事業法なのか、?なので、議論の大雑把さを示しているようにおもいます。憲法だとしたときに、国がどうかかわるのか、というのを具体的に論じないと議論にならないかとおもいます。その意味で、この議論の整理は、原則論を述べただけ、というような気がします(これは、宍戸先生の原稿のところで、再度、ふれます)。

最後のところに

通信の秘密の制限に対する通信当事者の有効な同意がある場合の通信情報の利用は、そもそも憲法上許容されると考えられる。その場合の同意の在り方は更に検討していく必要があるが、制度により規格化された内容による同意が方法として考えられるのではないか。

となっています。「通信の秘密」の世界では、「当事者」というのは、「両」当事者なのか、例外はどうか、という突っ込みがあるのですが、「制度による規格化」ということで、一方当事者で足りるというあたりで、「能動的サイバー防御」の制度を整えましたということになるのでしょうか。個人的には、この話は、2004年からしているのですが、そろそろ疲れたかな、というのが本当のところです。

3 宍戸教授の日経・経済教室を読む

日経新聞の経済教室のサイバーセキュリティに関するシリーズで、

のトリになっています。

3.1 寄稿の内容

宍戸先生のポイントとしては、

○通信の秘密の保障は自由な社会に不可欠
○サイバー防衛での制限は合理的な範囲で
○情報漏洩や乱用を防ぐ実効的な歯止めを

ということだそうです。有識者会議での有力メンバーという立場からの寄稿ということかと思いますので、なかなか難しい立場の原稿かと思いますが、それはそれとして、読んでいきたいと思います。

まずは、イントロとして

憲法21条は第1項で表現の自由を保障し、第2項で検閲の禁止と並んで通信の秘密の保障を宣言する。その対象には通信の内容(メッセージ)だけではなく、電話番号やIPアドレス、通信日時などのメタデータ(属性情報)をも含む。これらの情報を、通信を成立させる以外の目的で取得・利用・提供することは通信の秘密の制限に当たる。

としています。この部分の記述については

  • 憲法の解釈として論じていること
  • 「通信」についての解釈は、明確ではいないが、遠隔通信としているように思えること
  • 保障の対照としてメタデータ含まれていること

ということを指摘できるかと思います。

メタデータを通信の秘密の範囲から外すといった「解釈変更」はとるべき道ではない。

としています。個人的には、「意思伝達」(Communication)って、Contentsの意味だよね、解釈変更したのは、日本の学者だよね、という感じもしますが、別に深く突っ込みません。

「機械が処理するだけで人間が目視しなければ通信の秘密の侵害に当たらない」といった解釈も適切ではない。

ともしています。これは、個人情報保護法の解釈論点で同様の論点があったはずですね。

ここで

犯罪捜査目的での通信傍受の仕組みと同じく、通信の秘密の制限があることを正面から認めた上で、それが公共の福祉のために必要かつ合理的なものかどうかを検討すべきだ。

ということです。「公共の福祉」論ということになるのでしょうか。ただし、それは、現代の「公共の福祉」論で

制度の目的や方法、通信の秘密の制限の程度に即した比較衡量が求められる。

とされます。

#Public Welfareだと、社会の富の生産量とその価格とで、計算ができそうですが、さすがにそういうことはいわないんでしょうね。「公共の福祉」と訳さずに「公の厚生」とか訳していたら、もうすこし憲法の解釈も変わっていたかもしれません。

世界のリベラルデモクラシーの国々は、オンラインプライバシー、データ保護、通信の秘密などと表現は違っても、人々が通信サービスを利用して安全・安心に情報を送受信できる環境を法的に保障しようとしてきた。

だからといって、日本のような上述の解釈が同一か、というと全く違うわけで、これは、レトリックといっていい(リベラルデモクラシーの国々でおこなわれているそれらの法的な保障に関する実務との解釈の違いを無視して、こういうときだけリベラルデモクラシーの国々はというのは、反則だとおもいます-英国では、IPA2016の適用範囲などが議論されますよね-英国ってリベラルデモクラシーの国ですよね、ということ)と思います。

それはさておき

能動的サイバー防御においては、サイバー攻撃による被害が生じてから遡って原因を究明するのではなく、平時から一定量の通信情報を収集分析することが必要となる。

となって、上の私の疑問である平時からの観測行為(サーベイランス)活動が、「能動的サイバー防御」(通信の秘密編)の議論の対象であることが明らかにされています。

そして

  • 第1にサイバーセキュリティーのための通信の秘密の制限は、目的達成のために合理的で必要な限度にとどまることが求められる
  • 第2に、取得した情報が漏洩したり、他の目的で乱用されたりしないための実効的な歯止めが求められる。
  • 第3に、通信情報を利用する根拠として、重要インフラ事業者など通信当事者の同意を得る場面でも当てはまる。

として

通信情報が利用される範囲や方法が定まっていること、そしてその規律が確保されるガバナンスの仕組みが必要であるという点は、同意の有無にかかわらず要請される。

としています。

3.2 寄稿の特徴

座長という立場のもと、そして、日経新聞というマス相手の媒体での論考ということかとおもいますが、この論考については

  1. 憲法論のみの議論であること
  2. ネットワーク観測(サーベイランス)について、具体的な制度設計にはふれないで、一般的な限界を論じるだけであること
  3. 一般の解釈論を前提に、(現代的な)「公共の福祉」論を進めていること
  4. 解釈論としての議論になりそうなところはふれていないこと

という特徴があるようにおもいます。

そもそもは、立法論としては、電気通信事業法の改正論として議論されるべきであるでしょうし、その場合は、そのような改正が立法の裁量として支持しうるのかという方向での議論がなされるのが筋であるようにおもいます。上でのCodeblueのパネルのYoutube(2023年11月) では、

というようなスライドで、憲法に違反するとはいえないだろうというような議論になった(曽我部先生、ご迷惑おかけしました)わけですが、そのような具体的なものではなく、政府のモニタリング組織(というか情報機関か?)を念頭に、その比例原則・チェック体制を語るもので、何か、抽象論すぎる感じがします。これは、有識者委員会の事務局における焦点が絞りきれているのかという根本的な疑問を抱かせるものであったりします。

3.3 役に立つのか?

個人的には、来るべき有事の際に、米国におけるハント・フォワード作戦(これについては、 「CyCon memo Day 1-HuntForward・集団的対抗措置・Black Box標的判断」でふれました)が、日本の法規制のおかげでできませんでした、ということにならないようにと懸念しています。そこでもふれたのですが

  • サイバー司令部では、ハント・フォワード作戦を「パートナー国の要請に応じて米国サイバー司令部(USCYBERCOM)が実施する、厳格な防御を目的としたサイバー作戦」 と定義していること
  • サイバー司令部のチームがパートナー国から招へいされた場合、彼らは「ホスト国のネットワーク上で悪意のあるサイバー活動を監視・検知する」 ために展開されること。
  • サイバー司令部は、ハント・フォワード作戦は「国土防衛を強化し、共有ネットワークのサイバー脅威に対する回復力を高める洞察を生み出す」 と報告していること

となっています。米国サイバー司令部の要員を日本のネットワーク上で、展開する、ということを考えた場合に、果たして、(自転車のパンク修理パッチのような?)「重要インフラ」の同意で、必要な活動が可能になるのか、疑問だと思っています。

そもそもは、「公共の福祉」論というのでいくよりは、

  • 憲法と事業法の違い
  • コミュケーションの定義
  • 憲法の適用範囲(立法管轄)

を前提に、主体をふまえての具体的な立法論が展開されるべきだったとおもいます。この場合、ハント・フォワード作戦の実行のための安保条約等の定めの整備という論点がおこりますね。(米国関係者から調査費用をいただかないと検討は難しそうですが)

重要インフラの同意ということで、関係者(特にドメスティックMIC)をまるくおさめましょうということなんでしょう。

何か、省庁が残って国破れるみたいな未来にならないといいなあと思っていたりしますね

関連記事

  1. CyConX travel report Day One Key…
  2. 「責任共有モデル」という前に
  3. 金融・電力などサイバー攻撃報告義務…政府素案
  4. サイバースペースにおける責任ある国家行為を推進する共同声明
  5. RFC9116 セキュリティ脆弱性開示支援のためのファイルフォー…
  6. Cycon 2019 travel memo day2 (1)
  7. Cycon 2019 travel memo day3 (1 )…
  8. CyConX travel report Day -Zero C…
PAGE TOP