ニッポン放送「飯田浩司のOK! Cozy up!」（10月11日放送）に国際政治学者で慶應義塾大学教授の神保謙が出演。政府が閣議決定した「サイバーセキュリティ戦略」について解説した。

ニッポン放送「飯田浩司のOK! Cozy up!」

サイバーセキュリティ戦略

政府は9月28日、サイバー分野の安全確保に関する今後3年間の目標や対処方針を示した「サイバーセキュリティ戦略」を閣議決定した。「国家の関与が疑われるサイバー活動」として、中国、ロシア、北朝鮮を初めて明記。「すべての有効な手段と能力を活用し、断固たる対応を取る」と強調した。

飯田）9月28日の閣議で、改訂版が決定されたという形になりました。どのようなところに注目したらよいのでしょうか？

神保）サイバーセキュリティ戦略自体は、確か2013年に最初につくられて、それが数年おきに改定されています。今回はかなり気合いが入っていると思います。戦略として書いてあることは、方針としては明確で、「いまサイバー空間がどのような状況になっているのか」、「そのなかでどのような対応をして行かなければいけないのか」ということが論理的に書かれており、いい戦略ができたなと思います。

DXが加速するなかで安全なサイバー空間をどのように守るか

神保）また、デジタル庁ができて、日本国内でのデジタルトランスフォーメーション（DX）が加速するなかで、企業も個人もそうなのですが、当然、サイバー上の脆弱性リスクは高まっています。そのような状況の変化を踏まえながら、安全なサイバー空間をどのように守るのかということです。

安全保障政策とサイバー政策を密接に組み合わせてサイバー戦略をつくるべき

神保）もう1つは中国、ロシアを含めたハイブリッド的な安全保障空間のなかで、安全保障政策とサイバー政策をより密接に組み合わせてサイバー戦略をつくらなければいけない、ということが強く意識された内容になったのではないかと思います。

日本の防衛政策やサイバー政策は旅館の増改築工事に似ている　～リデザインが難しい

飯田）安全保障を考えると、自衛隊のなかにもサイバー防衛隊のようなものはありますが、それは彼らのシステムを守ることを主目的としている。国民や社会を守るためには、どのように統合して行くかということが今後の課題になりますか？

神保）これは日本特有なのですが、例えば旅館があるではないですか。リニューアルする度に増改築工事をして、「この段差は何だ？」という問題が大きくなって行くことがあります。

飯田）「隣の2階がこちらだと3階になるのか」というようなことですね。

神保）日本の防衛政策やサイバー政策は増改築工事に似ていて、対象が増えて機能も増えるのですが、全体をリデザインするということが難しい状態なのです。今回も戦略が優れていると先ほど申し上げた通り、いろいろ書いてあります。

サイバーセキュリティのために行う3つのこと　～問題は「そのようなことができるのか」ということ

神保）サイバーセキュリティのために、3つやることがあります。1つはサイバー空間の状況の把握。「いま何が起こっているのか」を把握しなければいけない。2つ目は、仮に攻撃が生じた際、政府や企業、個人の機能保証を守る。これは防御です。そして3つ目は、場合によっては攻撃者に対して働きかけ、彼らが日本人や日本企業、個人に攻撃をしたとしても、攻撃のコストやハードルが高く、「それならばやめようかな」と思わせるような抑止をかけて行く。この3つが大事だと言っています。

飯田）この3つが大事。

神保）これだけ聞くと「そうだよな」と思うではないですか。問題は「そのようなことができるのか」ということと、この3つを「誰がどのような権限で担うのか」ということが大きなポイントです。一応、今回の戦略はいろいろな事態の性質によって、主幹となる官庁のようなものを例示しています。複数あるのですが、それによってたくさんの協力体制を示しています。内閣サイバーセキュリティセンター（NISC）と、法曹を司る総務省、捜査を司る警察庁。あとは経済情報の経産省、防衛省など、たくさんの省庁名が書かれていて、要は「みんなでやりましょう」と言っているのです。しかし、この「みんなでやりましょうモデル」は「誰がやるのか？」ということになってしまい、上手く行かないのです。

飯田）「向こうがやるでしょう」と思ってしまったり。

9月発足のデジタル庁が入る民間ビル＝東京都千代田（ちよだ）区　写真提供：共同通信社

サイバーセキュリティ戦略を実行するだけの体制に至っていない

神保）攻撃が来たときに、捜査情報であれば警察庁でやる。オリンピック・パラリンピック委員会に対する攻撃はたくさんあったのですが、今年（2021年）に入って警察庁はNISCと協力し、「これは誰々がやった」というような情報を出しているのです。アトリビューションと言うのですが、これをやると相手を晒して、「日本にはこのぐらいの能力があるのだから、場合によっては法的手段やいろいろな物理的手段に発展するかも知れないぞ」という脅しをかけるわけです。

飯田）「俺たちは見ているのだぞ」と。

神保）それはいいのですが、実際に相手に対してどう働きかけるのか。仮にサイバーディフェンス、アクティブディフェンスとも言いますが、相手のネットワークに侵入して相手の業務を阻害したり、場合によっては相手の機材を乗っ取ったり、ネットワークに対していろいろな情報を流布したりするようなオペレーションまでは、全然到達していないと思うのです。

飯田）相手のネットワークに侵入して。

神保）これは法的基盤も大事ですし、部隊の育成も大事で、仮にサイバーセキュリティ戦略にいいことが書いてあったとしても、「それを実行するだけの体制に至っていない」というところが大きなポイントだと思います。

米コロニアル・パイプラインがハッキングされた際、バイデン政権は相手のブロックチェーンのキーを操作し、身代金の大半を回収

飯田）いま例示していただいただけでも、6つくらいの省庁が出て来ました。有り体に言えば、そこに横串を刺さなければならないということですか？

神保）アメリカの東海岸でコロニアル・パイプラインが、ロシアのランサムウェアのハッキングを受けて、ガス供給が停止するという事態が起きました。

飯田）ありましたね。

神保）重要インフラがやられるという案件で、非常に深刻なのですが、バイデン政権はホワイトハウスのなかにタスクフォースをつくり、専門家とサイバー関連の省庁が集まって、この問題に対応しました。そして、コロニアル・パイプライン社がビットコインで実際に払った身代金の大半を回収したのです。

飯田）大半を。

神保）アクティブディフェンスのなかで相手の懐にもぐり込み、ブロックチェーンのキーを操作することによって、ビットコインの情報を取り戻すということをやったのです。このぐらい迫力あるオペレーションを、官邸や国家安全保障局、NISCの内部につくらなければならないのです。

タスクフォースのつくり方を真剣に考えるべき時期に来ている日本

神保）もし相手のネットワークに入って相手の機能を破壊し、向こうがそれを日本による武力行使だとみなした場合、軍事的な領域になるではないですか。それを「警察庁がやるのか、総務省がやるのか」という話になるのです。防衛省の責任でエスカレーション管理をして行くという場合は、タスクフォースのつくり方を真剣に考えるべき時期に来ていると思います。

飯田）こちら側からやるということができるのか、相手のやって来たことを武力行使としてみなすのか。そのときの主体は国なのかどうか、というところが、それこそ憲法9条まで含めて、日本としては国内の法律のなかで引っかかるところがありますよね。

神保）国際法的には「タリン・マニュアル」という、国際規範のようなところで、「人命に著しく損害を受けるようなサイバー攻撃は、武力攻撃と同等にみなす」という考え方があります。

実行部隊が相手の内部に入って行くことをどのように捉えるのか

神保）安倍政権の時代に国会答弁で、日本としても、その考え方を準用するというようなことは言っているのです。自衛権の考え方は、日本では比較的整理されていて、法律改正の必要はないとも言えます。問題は防衛省なりNISCなり、「実行部隊が相手の内部に入って行くことをどのように捉えるのか」ということなのです。

飯田）実行部隊が。

神保）自衛権の発動要件は、ひっ迫している状況で初めてということになると、それをどのように認定するのか。また、自衛権の行使について、日本は「必要最小限」という立場ですが、国際法的に言うと「比例原則」があります。「相手の攻撃の対応に合わせて自衛できる」という国際法上の規範があるのならば、サイバー領域で考えられる比例とはどこなのか。日本の言う必要最小限とはどこなのか、という問題はかなり難しいですよね。この辺りを整理して、日本の実行部隊にどのように実装して行くのかということが、これからの課題だと思います。