はじめに
サイバー領域は、近年の安全保障環境で最も注目度が上昇している領域の1つである。特にロシアによるウクライナ侵攻は、その重要性を大きく知らしめることとなった。ウクライナには2014年のクリミア併合、2015年、2016年の大規模停電などサイバー環境の脆弱性が要因となり大きな損害を被った過去がある。そのため2022年2月24日の軍事侵攻以前、ウクライナはロシアによるサイバー攻撃により大きな混乱に陥ると予測されていた。しかし、過去の損害を教訓としたウクライナは平時より官民共同での取り組みやアメリカをはじめとした諸外国の援助を受けながら地道にサイバー防御態勢を強化しており、結果的に損害をある程度抑えることに成功するとともに多大な犠牲を払いながらも今日に至るまでロシアと戦い続けている。
このようにサイバー防御態勢の強化は安全保障態勢の強化に繋がると言えるが、日本のそれは大きな遅れを取っている。確かに日本も2022年に改定された国家安全保障戦略で能動的サイバー防御(ACD:Active Cyber Defense)の導入を明記し、「武力攻撃に至らない」事態すなわち平時においてもサイバー攻撃に因る被害を未然に防ぐあるいは、最小限に抑える方針を示している。しかしながら現状は、サイバー攻撃の検知すら他国からの指摘で発覚するなど技術力不足が否めないことに加え、官民での連携も進んでいない。
本稿では、ACD導入をはじめとした日本のサイバー防御態勢の強化策における官民および諸外国との連携の重要性について、ウクライナの事例を交えて論じていく。
1.ウクライナはどのようにサイバー防御態勢を強化したのか
(官民連携、アメリカの援助)
先述の通り、ウクライナは2014年のクリミア侵攻においてサイバー防御態勢の脆弱性をロシアに突かれ、大きな損害を被った。これを受けてウクライナは、2016年に国内初となるサイバーセキュリティ戦略を策定する。この戦略では、脅威としてロシアを挙げた上で重要インフラの防衛、官民連携及び国際協力の強化が盛り込まれている。こうした方針の下でサイバー防御態勢を強化していくことになったウクライナは、通信インフラの分散化など独自で態勢強化に取り組んだが、国際連携も積極的に行っていた。中でも2022年に始まったウクライナ侵攻以前、同国の態勢強化に大きな役割を担ったのがアメリカである。
ロシアのワイパー(システムやデータを消去するマルウェアの一種)がウクライナへの侵攻開始と同時に効果を発揮することを危惧していたアメリカは、2021年秋に同陸軍と民間企業による専門チームをウクライナに派遣し、ウクライナの重要インフラ企業を中心にロシアによるワイパーの有無などを確認した。専門チームはその中で、ウクライナの鉄道システムの中にワイパーが仕掛けられていることを発見、削除し、ウクライナの輸送インフラの停止を未然に防いだ。ウクライナ侵攻が始まった直後、多くのウクライナ国民が駅に集まる映像は大変印象的であったが、ロシアの思惑通りワイパーが作動していた場合、大混乱に陥っていたことが予想される。
このほかにもアメリカは、ウクライナにサイバー防御の専門部隊を派遣しワイパーをはじめとしたロシアによる妨害型サイバー攻撃が機能しないようウクライナ国内のネットワークを調査したほか、マイクロソフトやアマゾンウェブサービスなど、民間企業もウクライナのサイバー防御態勢の強化に大きく貢献した。
もちろんウクライナ側も官民が連携し、サイバー防御態勢を強めていた。ロシアによる侵攻が始まる数か月前、ウクライナのハッカーチームが重要インフラ企業に対して疑似的に攻撃を行うことで、組織のサイバー防御態勢の見直しを図った。加えて、ウクライナの民間企業も通信事業者を中心として独自に迫りくる侵攻への準備を進めていた。例えば、キーウスターは有事における様々なシナリオを想定し、通信チャンネルの確保など約数百万ドル規模の対策を行った。
以上のようにウクライナはクリミア併合以降、長い年月をかけて政府のみならず、官民及び国際連携によってサイバー防御態勢の強化を成し遂げたと言える。
2.侵攻開始後のウクライナ
(インフラ企業への被攻撃、諸外国への発信)
2022年2月24日、ロシアによるウクライナ侵攻が始まる。ウクライナは、多数のサイバー攻撃により政府系サイトや銀行システムがダウンするなどの損害を受けることになるが、本節ではサイバー攻撃に因る実害ではなく、インフラ企業への物理的な攻撃や暴力という点と戦時におけるウクライナの国際的な立ち回りに焦点を当てたい。
ウクライナ国内の通信事業者をはじめとした重要インフラ企業は、ロシアによる様々な暴力にさらされている。第一に挙げられるのが、重要インフラ施設への物理的攻撃である。ウクライナは、ミサイル攻撃をはじめとしたロシアによる攻撃で国内の通信基地局の破壊や光ケーブルの破損などの被害を受けており、多くの技術者が勇敢にも復旧作業に当たっている。また、復旧作業の背景には軍や交通・エネルギーインフラ業界の人々が存在していることも抑えておく必要があるだろう。
次に挙げられるのが、占領地域における重要インフラ企業従業員への暴力である。ロシアは、ウクライナの通信網を自国の支配下に置くことを目論んでおり、その達成のためにウクライナの重要インフラ企業に勤める人々に暴行を加え、通信の切り替えを迫っている。実際に、こうした脅しに屈しロシア側の要求を呑まざるを得ない事例も少なくないようである。死と隣り合わせの脅迫を受けている以上、民間人である従業員に脅しに屈するなということは難しいと言える。
以上のように、有事においてはサイバー攻撃のほかにも重要インフラ企業への物理的攻撃、あるいはそこに勤める人々への暴力など、政府の取り組みではカバーしきれないことが多く起こることは念頭に置くべきである。
他方で、1節にて論じたようにウクライナが各国から多くの支援を得られている要因は同国の国際的な立ち回り、具体的に言えば彼らの発信力にあると言える。そもそもサイバー防御に関する情報は、その国の防御態勢の手の内を明かすことになり、協力元となる国に利点が無ければ支援は行われない。では、ウクライナへ支援する国が享受できるものは何であろうか。
先述の通り、ウクライナはロシアから執拗にサイバー攻撃を受け、多大な損害を被ってきた。これはウクライナにとって悲劇的なことではあるが、同時にロシアによるサイバー攻撃の手段をはじめとした様々な知見を得ることに繋がった。ウクライナは、こうして得た豊富な知見を積極的に発信していくことで、国際的なサイバー防御態勢の強化へ貢献しており、アメリカを中心に国際社会から大きな称賛を受けている。
このようにウクライナは、自国がロシアから執拗な攻撃を受ける中で得た知見を発信することで、自国のサイバー防御態勢の強化を目指す諸外国からの支援を受けることができていると考えられる。
3.日本の取り組みと課題
(ACDの導入、連携、訓練不足、目的の不明確さ)
ウクライナでは官民の連携や国際協力によってサイバー防御態勢が強化され、現在は強化されたそれをもとにロシアとの戦争を戦い続けている。一方で、日本のサイバー防御態勢はどのように強化されようとしているのだろうか。
日本は2022年に改定された国家安全保障戦略において、サイバー防御態勢を欧米主要国と同等以上にするとした上で、「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止する」という目的でACDの導入を明記している。現在、受動的なサイバー防御態勢となっている日本にとって、このACDの導入は大きな転換点であるが、ここで着目したいのは、武力攻撃に至らない、言い換えれば平時におけるサイバー攻撃もACDの対象となっている点である。サイバー領域においては、どこからが武力攻撃に至るものであるのか不明確である。したがって、平時における攻撃もACDの対象とする点は意味のあるものといえるだろう。また、日本は、こうした態勢の整備のために情報収集、分析能力の強化を掲げたほか、政府から民間事業者等への対処調整、支援など様々な取り組みを強化することに加えて、政府に必要な権限が付与されることを検討していくとしている。
これらを踏まえるとACDの導入に当たっては、官民の連携が必須となってくるが、日本は官民の連携態勢は脆弱であり、これから作り上げていく段階である。具体的に言えば、現在の日本は重要インフラ企業がサイバー攻撃を受けた際、攻撃を受けた企業が所管官庁に報告を行い、内閣サイバーセキュリティセンター(NISC)に集約されることとなっているものの、企業側に報告の義務がなく、官民間での情報共有が成り立たないという懸念がある。これを受けて政府は、重要インフラ企業に対して報告義務を課する方針を打ち出している。他方、重要インフラ企業にとって報告の義務化は、本来復旧作業に向かうはずのリソースが政府への報告の方へと割かれ、復旧が滞るという側面がある。したがって、ACDの導入に当たっては、重要インフラ企業に過度な負担がかからない制度設計の必要性という課題が生じる。
また、サイバー領域においては平時と有事の境が曖昧となっており、攻撃手段も多様であることから1つの機関が対処可能な範囲が限られる。さらに、有事の際には重要インフラ企業への攻撃など、政府(官庁)だけでは対応しきれない事態が起こり得る。したがって、官民による担当領域の策定が求められるとともに、それを円滑に遂行するための演習も併せて必要となるが、現状の日本にはそうした計画がなく、演習の経験も浅い。これも日本のサイバー防御態勢強化に当たっての課題といえるだろう。
他方で、国家安全保障戦略にはサイバー防御態勢の強化に当たり、同盟国、同志国との連携強化も盛り込まれている。ウクライナでは、国際的な官民連携がサイバー防御態勢の強化に繋がったことから、日本のサイバー防御態勢の強化においてもこの視点は重要である。しかし、日本のみならず連携先にも旨味が無ければ、大々的な連携は期待できない。現状の日本は、中国による防衛ネットワークへの侵入がアメリカの指摘で発覚するなどサイバー防御能力がそれほど高くないという現実を突きつけられている。ウクライナはロシアのサイバー攻撃の手段などを発信することで国際的な技術支援を得たが、日本にこうした連携を強化するための知見があるのかという点も課題といえるだろう。
最後に、日本のサイバー防御に関する考え方の甘さについても指摘をしたい。日本は、サイバー防御を考える際、組織を守ることに偏重しており、組織内の何を守るのかという具体性が欠けている。前述のキーウスターが様々なシナリオをもとに優先事項を策定したように、日本においても何をどのように守るのかをサプライチェーンの隅々まで総合的に検討することが求められる。
以上をまとめると、日本はACDの導入をはじめとして抜本的なサイバー防御態勢の強化を図っているが、官民の連携が発展途上であることや実践不足という課題がある。また、国際的な連携においても、日本に有益な態勢を築くことができるのかという課題が残る。加えて、そもそも日本のサイバー防御は目的が不明確であり総合的な計画の策定についても検討の余地がある。
おわりに–日本はどのように行動すべきか–
ここまで論じてきたように、日本のサイバー防御態勢はACDの導入など新たな1歩を踏み出したところであり、当然課題が山積している。しかしながら、日本が巻き込まれうる台湾有事は2027年までに起こるとされており、状況が変わる可能性があるにせよ日本に残された猶予はさほどないと言わざるを得ない。言い換えれば、ウクライナがクリミア併合から8年かけて作り上げた態勢を日本は3年弱で作り上げなければならない。そのためにまず必要となるのが、サイバー防御に関する意識改革となるだろう。日本をあるいは組織を守るではなく、日本の、組織の何を守っていくのかを明確にし、それをもとに戦略を練っていくことが肝要となる。
その上で、今回の日本のサイバー防御態勢の強化において目玉となるACDの導入には官民の連携が重要となる。官民の連携を巡っては、重要インフラ企業に過剰な負担がかからない情報共有システムの構築、官民での役割分担の策定、演習不足という課題を挙げた。情報共有システムと役割分担の策定に当たっては、政府と民間事業者の間で互いに利点を感じられる枠組みを早急に策定する必要がある。この枠組みによる利点を双方で理解するそして、信頼関係を構築するために定期的な演習を実施することも必要となる。これらがそろって初めて官民連携の態勢が構築されると筆者は考える。
国際連携の面では、日本がサイバー領域において国際社会に知見を発信できるのかという点を課題として挙げた。確かに、日本のサイバー防御能力は高いとは言えない。しかし日本は、ランサムウェアによる身代金の支払い額が国際的に比較して低いことに加え、度重なる自然災害に遭っても安定した通信環境を提供し続けることができているという強みを持っている。こうした日本の強みを国際社会に対して発信していくことが、諸外国との連携で必須となると筆者は考える。
本稿では、官民及び国際連携に絞って論じたが、日本のサイバー防御態勢の強化、特にACDの導入に当たっては、法令上の障壁や技術者の待遇など乗り越えなくてはならない課題がまだまだ多い。政府におかれては、残された時間がもはやないということを肝に銘じて、対応していただきたい。
橋谷田 洋介
参考文献
松原実穂子『ウクライナのサイバー戦争』新潮新書、2023年。
読売新聞「中国軍 防衛機密侵入 20年秋 米、日本に警告 米紙報道」
2023年8月9日。
読売新聞【サイバー情報 官民共有 「能動的防御」 協議体新設へ】2024年5月21日。
読売新聞【[スキャナー]官民 情報共有カギ 能動サイバー防御 協力体制の構築急務】2024年7月9日。
内閣官房「国家安全保障戦略」2022年12月16日、
https://www.cas.go.jp/jp/siryou/221216anzenhoshou/nss-j.pdf
日経XTECH【ランサムウェア被害の15カ国調査で判明、日本は「身代金の支払い渋りで被害減少」】2023年5月20日、https://xtech.nikkei.com/atcl/nxt/column/18/00001/09289/
コメント