能動的サイバー防御をめぐる議論

「サイバー安全保障分野での対応能力の向上に向けた有識者会議」（第１回）議事要旨 より

1. 日時 令和 6 年 6 月 7 日（金）8 時 35 分から 9 時 35 分までの間
2. 場所 内閣総理大臣官邸２階 大ホール
参考資料

岸田首相挨拶

・国家 安全保障戦略では、サイバー安全保障分野での対応能力を欧米主要国と同等以上に 向上させることを目標に掲げ、その柱として能動的サイバー防御を導入することとなった。
・この会議は、能動的サイバー防御の実現を始めとする我が国のサイバー安全保障分野での対応能力の向上をいかにして実現するか議論してもらうため、河野大臣の下に幅広い分野から１７名の有識者に集まってもらった。

河野国務大臣挨拶

・能動的サイバー防御に 関する法制の検討を進めていが、国家安全保障戦略に掲げられている次の３つの観点について重点的な議論をお願いしたい
1）官民の情報共有の強化、民間に対する支援の強化
2）通信情報に関する情報を活用した攻撃者によ る悪用が疑われているサーバをいかに検知していくか
3）重大なサイバー攻撃を未然に防ぐために政府に対する必要な権限の付与
・今後数か月以内、なるべく早く法案を取りまとめたい

全体的な意見

・サイバー空間の日本の防御態勢は現在のところ脆弱
・サイバー攻撃を防ぐ目的で、能動的サイバー防御は不可欠
・できるだけ具体的に分かりやすい議論を進めて、透明なプロセスを確保することで、十分な実効性、国民理解の両方を得ていくことを目指すべき
・日本の価値創造力の基盤であり既に我々のライフラインになっているサイバー空間のプラットフォームを強固にし、日本の安心安全な生活と、高い価値創造を支えるということ
・サイバー空間はこれまでの概念が全く通用しない。有事と平事の線引きは難しく、何を持って危機的な状況かというところも分からない。何が危機なのかをまず把握し、対応することが非常に重要

官民の情報共有・民間支援に関する意見

・企業の数で９０％以上の割合を占めている中小企業を含めたレジリエンスを強化しない限り、日本のレジリエンスの強化にならない。なぜなら、中小企業を含むサプライチェーンを介して、日本の価値を作り上げているから
・国際社会における日本の立ち位置を考えると、一国の力で十分なレジリエンス力の構築は難しく、情報共有を含めた国家間でのレジリエンス力強化のコラボレーションを強化することが必須
・ゴールは重要インフラがライフラインとしての機能を維持し続けるということがとても重要なのであり、サイバーセキュリティは守るということだけ
でなく、サービスの持続性を担保する
・重要インフラは、相互につながっていくが、鉄道など、サプライチェーンも含めて主な担い手は監督官庁ではなく民間
・サービスが国民のために持続される、続けられるためにどこがバックアップするのかと考えると、どうしても国の関わりが必要になる
・サイバーの守る対象について、インフラ、特に電力を含めて、優先度をどう付けるのか
・企業が情報セキュリティ事故に遭った際の対応に関する情報の共有がなかなかされない。それは被害企業側に共有するメリットがないためであり、それを感じられる仕組を国の立場から作っていく必要がある
・これまでの情報窃取型だけではなく、システムを停止させるタイプの攻撃が増えてきている。重要インフラ事業者を含め民間事業者にとって、サイバーリスクは事業継続を損なうリスクになりつつある。このリスクの深刻度は自然災害と同程度ともいえる。発生頻度の点から見ると自然災害とは比較にならないほどの高頻度でサイバー攻撃が加えられている。民間事業者個社での対応には限界がある
・我々が防御側と攻撃側の両方の研究又はそうした安全保障に資するような研究の有効活用をできるようにするというのが大学や官民連携の中で重要なこと

通信情報の利用に関する意見

・我が国の現行の法制度というのは、能動的なサイバー防御、さらに言えば、能動的なインテリジェンス活動や情報活動というのを明示的には認めていないかもしれない。しかし、国民の生命・財産を守るために必要な政府の行為が絶対的に禁止されているとも考えられない
・今回議論されることになる能動的なサイバー防御は、その中でも最も重要かつ中核的な活動であるシギント、シグナル・インテリジェンスの要になるもの
・サイバー安全保障において重要な点というのは、平時と有事が連続的につながっているということ
・能動的サイバー防御に必要なデータとは何なのか、何が必要なもので何が不要なのか、具体的に明確にしていくべき
・公共の福祉の観点に照らして必要やむを得ない限度を超えた濫用が行われないように、独立した第三者機関の設置も、当然検討されるべき
・能動的サイバー防御というものをまとめて通信の秘密に反するとか反しないとか抽象的に最初に議論して終わるということではなく、具体的な制度設計の各場面において、通信の秘密との関係を考慮しつつ、丁寧な検討を進めることが適切
・１つの侵入や無害化措置を行うためには、千の情報収集や分析が必要である
・攻撃側の動向を把握するときには、ダークウェブや、テレグラムといった SNSにおける情報収集、潜入捜査的な情報収集が必要となるが、海外の脅威インテリジェンスに頼っている面があると思うため、我が国での独自のインテリジェンス収集が必要
・行政や民間の法解釈に委ねるのではなく、必要な法の整備を実施するとともに、国民の理解を得ながら、国の責任で取り組む必要がある
・現状の価値を守るために今回の検討をするということは、今までの優先順位を変更するということ。優先順位をつける議論の経過を、透明性をもって発表していただくことが重要。

攻撃者のサーバ等の無害化に関する意見

・今回議論される法律が、単なる理念法や理念法的な組織法のレベルにとどまるものではなく、関係組織、関係主体の具体的な権限執行法として構想されることを強く願う
・諸外国の無害化措置の実行・運用主体が軍、法執行機関、インテリジェンス機関であることを考慮すると、日本国内においては防衛省や自衛隊、警察等が保有する能力を活用すること、その能力を高度化することが極めて重要
・特に能力構築の初期段階では、無害化措置に関するリソースやキャパシテ
ィが限られることが想定されるため、何を優先的に守るかという優先順位付けが必要である。重要インフラ、基幹インフラというだけでは非常に幅広く、その中でも対象を絞る必要があるかもしれない
・無害化措置そのものや優先順位付けに不可欠なのがインテリジェンスである
・関係国内措置と他国の国家管轄権との関係を精査したり、能動的サイバ
ー防御が国際法上の適合性を有するための条件などといったことを検討するとともに、現行の国際法規則が、サイバー攻撃を防ぐ国内的な手段・手続にどこまで適用され、整備されているか、またどこからが国際法上未整備な分野なのかということを検討した上で、これを国内法制に反映していくことが必要であろうと思う。その際にはサイバー空間という「公共空間」の法的措置について、国内法の観点からだけではなく、国際法の観点からの接近も求められる

人材育成に関する意見

・官と民の人材交流による人材育成が、非常に重要な領域になってくる
・交流することによって民間にも国家的視点が入ってくるということは、国家としてのレジリエンス力を考えるうえでとても重要
・セキュリティクリアランス制度を上手く使うことによって積極的に行っていきたい
・高度な情報収集・分析・対策・対処を行うための人材の育成、短時間では困難である。その提供源の１つとなる大学で、当該分野の研究を行っている優秀な学生は、必ずしもサイバーセキュリティ分野をキャリアパスとして選んでいない
・この分野のニーズやキャリアの将来像、社会に求められる重要な人材であ
るということが学生たちに十分に伝わっていないものと思われる。また、企業の組織の経営層においても当該分野の人材の重要性が十分に理解されていないのではないか
・サイバーセキュリティ人材の待遇改善や長期のキャリアパスの提示、人材
の重要性の周知、企業等の組織への当該分野人材採用の支援策なども必要になると思われる
・人材育成について、色々なところで教育機関、NPO やっているが、非常にバラバラでどれぐらいの人々にどういう影響が起こっているのか非常に分かりにくいので、これを中央でちゃんと見ていただきたい

テーマ別会合の開催について

意見交換の後、佐々江座長からの提案により３つのテーマ（官民の情報共有・民間支援、通信情報の利用、攻撃者のサーバ等の無害化）について議論を深めるため、有識者会議の各回の間に、これらのテーマに関するテーマ別会合を開催し、その結果を有識者会議に報告することとされた

感想

　前回も書いたが、構成員の選定理由は明記されていないので、どんな感じなのかなと思ったが、構成員がそれぞれ思いを持って発言をしているように思えた。（議事要旨は無記名のため、誰がどれだけ発言しているかは分からないが）。それぞれの専門領域を持ちつつ、要旨を読む限りはよいものを作っていこう、という前向きな議論の滑り出しだと感じた。
　これらの有識者会議によって何がどう決まるのか、という結果ももちろん重要だが、どういう流れでそうなったのか、という課程に注目している。国としての施策を決めていくものであり、非常に重要でありながら、それでも中々思うようにならない事も十分にあり得る。そういう中で、一体どんな力学でどう変わっていったのかが分かれば、それは”次を考える”時に生きてくると思う。
　引き続き「サイバー安全保障分野での対応能力の向上に向けた有識者会議」についてウォッチしていきたい。