「サイバーセキュリティ」から「サイバー安全保障」へ――日本は能動的サイバー防御をどう定義するか：土屋大洋 | 無極化する世界と日本の生存戦略 | 新潮社　Foresight(フォーサイト)

「サイバーセキュリティ」から「サイバー安全保障」へ――日本は能動的サイバー防御をどう定義するか

日本は常にサイバー攻撃にさらされている［165金融機関が参加した金融庁のサイバーセキュリティー演習＝2023年10月19日、東京都千代田区の同庁］（C）時事

2022年の防衛三文書改訂では、サイバーセキュリティについても注目すべき論点が打ち出されている。特に国家安全保障戦略において、被害を「未然に排除」する「能動的サイバー防御」の導入が書き込まれたのは大幅かつ画期的な転換を意味するだろう。国民のプライバシー保護との関係で慎重な議論が必要だが、グローバルなサイバースペースの脅威に対応する法制度の確立は喫緊の課題だ。

　2023年11月末、宇宙航空研究開発機構（JAXA）がまたもやサイバー攻撃を受けたと報道された。いや、むしろ、ずっと受け続けており、今回はそれが成功したことが発覚したというべきだろう。2015年に日本年金機構がサイバー攻撃を受け、年金情報等が取られたときには、同時に日本国内の政府省庁、企業、大学等1000機関が同時にサイバー攻撃を受けていたことが後になって判明した。日本は常にサイバー攻撃にさらされ、攻撃に成功したもののうち、さらに一部だけが報道されている。そう考えるべきだろう。

　サイバーセキュリティに関して言えば、もはや有事も平時もない。サイバー防衛は盆暮れもなく、24時間365日行われなくてはならない。むしろ、気が緩む日本の盆暮れこそが狙い目というのがサイバー攻撃者の常識だろう。元日は休んでも1月2日から通常の仕事に戻る国が多い中、日本は年末から長期の休みに入ってしまう。その間に秘密裏にサイバー攻撃が行われ、十分に時間をかけてデータが抜かれ、それに気づくのにも遅れてしまう。毎年11月末の感謝祭からクリスマスまで、断続的ながら休みモードに入ってしまう北米も似たようなものだろう。家族サービスに追われる季節、サイバー防衛への注意は下がってしまう。

「active」はいつから、どのように議論されてきたのか

　休む間もないサイバー防衛に携わる人たちが行うべき取り組みが、能動的サイバー防御（Active Cyber Defense：ACD）である。

　能動的防衛（active defense）という言葉がサイバーセキュリティの世界で使われ始めたのは、筆者の記憶では遅くとも2011年頃である。ある自衛隊員から「米国のアクティブ・ディフェンスをどう思うか」と聞かれたことを記憶している。その当時は「サイバー」という言葉は「アクティブ」と「ディフェンス」の間に入っていなかった。おそらく、米軍の中ではそれより前から議論されており、それが自衛隊を通じて日本にも入ってきたのだろう。

　筆者は「平成31年度以降に係る防衛計画の大綱について」、いわゆる「30大綱」を議論するための「安全保障と防衛力に関する懇談会 ¹」に参加した。2018年9月21日に行われた第2回会合において筆者は「サイバーに関する安全保障上の課題」について報告し、「アクティブ・ディフェンスの検討：攻撃と防衛は表裏一体」という一行を資料に入れた ²。その頃には、日本のサイバーセキュリティ関係者の間でも、アクティブ・ディフェンスはすでに議論されていたということである。

　2018年12月に閣議決定された30大綱においては、アクティブ・ディフェンスやそれに類する言葉は入らなかった。しかし、いわゆる「妨げる能力」が取り入れられた。つまり、「有事において、我が国への攻撃に際して当該攻撃に用いられる相手方によるサイバー空間の利用を妨げる能力等、サイバー防衛能力の抜本的強化を図る」という一文である。

　この「妨げる能力」が何を意味するかは、具体的には示されなかった。しかし、サイバーセキュリティにおいて「やられっぱなし」の防衛一辺倒ではなく、相手のサイバー能力を妨げる能力を保持して良いとされたことは、日本のサイバーセキュリティ能力の向上において一歩前進であった。

　2020年6月5日、閣議後の記者会見で新型コロナウイルスの感染拡大を受けて国家安全保障戦略の見直しが必要かと聞かれた菅義偉官房長官（当時）は、「基本方針は容易に変わるものでなく、現時点で戦略を見直す必要があるとは考えていない」と答えた ³。しかし、同月半ばになると、いわゆる「敵基地攻撃能力」を検討するために安倍晋三首相（当時）が国家安全保障戦略見直しの意向を示し始め、6月19日の記者会見で菅官房長官は、「憲法の範囲内で、専守防衛という考え方のもとでしっかりと議論していきたい」と語り、見直しへの動きが始まった ⁴。そして、安倍首相の退陣を受けて2020年9月に就任した菅首相も国家安全保障戦略の見直しの意向を示した。2021年6月の時点では、国家安全保障戦略だけでなく、防衛計画の大綱、中期防衛力整備計画も含めた三つの文書を同時に見直すことも検討されていた ⁵。

　2021年10月に菅首相が退陣すると、それを受け継いだ岸田文雄首相は、最初の所信表明演説の中で「国家安全保障戦略、防衛大綱、中期防衛力整備計画の改定に取り組みます」と明言した。ここから三文書改訂をめぐる議論がスタートするが、それを大きく揺さぶることになったのが、2022年2月24日に始まったロシアによるウクライナ侵攻であった。

　ロシアは地上軍を侵攻させるおよそ1カ月前からサイバー攻撃を展開していた。それは、軍事侵攻の前触れとして認識され、ウクライナ側は一気に防衛体制を高めた。そもそもウクライナは、2014年のロシアによるクリミア半島の一方的併合以来、こうした事態を想定し、サイバーセキュリティにおいても周到に準備を重ねていた。2019年5月にヴォロディミル・ゼレンスキー大統領が就任してからは、情報技術（IT）業界の面々が大統領やミハイロ・フェドロフ副首相兼デジタル化担当大臣に面会するとともに、重要インフラ産業の防護についての措置が講じられた。その甲斐あり、2022年にはロシアのサイバー攻撃を含むハイブリッド戦は、想定されていたような成果を挙げることができず、むしろ、ウクライナのアンチ・ハイブリッド戦が成果を挙げた。