「能動的サイバー防御」の出所を探る旅①
動機
最近流行りの「能動的サイバー防御(Active Cyber Diffence)」(以下ACD)は
どんな定義づけがされている行動なのか
いったいどこからやってきたのだろうか
の二つが知りたかったから。
仮説
うーん。。。国家安全保障戦略か防衛力整備計画にあると信じたい。
たぶんNISTのどこかの文書。もしそこになければ、National Security Strategyにある。
結論
1.定義・・・公的な定義なし。ただ、今のところは「官民の情報共有により、事案の未然防止、対処支援強化すること」「確認された攻撃サーバ等に対し、必要に応じて無害化すること」という定義
2.出所・・・調査中
検証
定義
まずは安保3文書を確認する。
「国家安全保障戦略」を見に行くことにする。
武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の(ア)から(ウ)までを含む必要な措置の実現に向け検討を進める。
(ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。
(イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。
(ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター(NISC)を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。そして、これらのサイバー安全保障分野における新たな取組の実現のために法制度の整備、運用の強化を図る。これらの取組は総合的な防衛体制の強化に資するものとなる。
結局定義はわからず。
ただ、ACD実施の目的として、
武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するため
があることがわかった。
次に見に行くのは「国家防衛戦略」
サイバー領域では、防衛省・自衛隊において、能動的サイバー防御を含むサ イバー安全保障分野における政府全体での取組と連携していくこととする。
これは、実質何も記載がなかったと同義だ。
最後に「防衛力整備計画」には「能動的サイバー防御」の文字すらない。つまり、昨今これだけACDを実施すると騒いでおきながら、具体的な整備もしておらず、そもそも何をすることがACDなのか定められていないのではないかという不安がよぎる。(令和4年時点)
では、まだ文書に取りまとめられてはいないが、直近の有識者会議(サイバー安全保障分野での対応能力の向上に向けた有識者会議)議事録等より、能動的サイバー防御とは何のことを指しているのか読み取ることにする。
サイバー攻撃を防ぐ目的で、能動的サイバー防御は不可欠である。世論調査でも、攻撃を受けた民間企業と政府が情報共有することに賛成とする意見が89%、攻撃者のシステムに侵入して無害化することへの賛成は82%であった。
お・・・いいのがありそう。
「攻撃を受けた民間企業と政府が情報共有すること」「攻撃者のシステムに侵入して無害化すること」が該当しそう。
ACDと聞くと後者を想像しそうだが、前者も入るのが驚き。
今のところのACDの定義は大きく2つ
官民の情報共有により、事案の未然防止、対処支援強化
確認された攻撃サーバ等に対し、必要に応じて無害化
出所
ちょっと疲れたので、出所は②に回したいと思う。
調べながら思ったこと
「サイバー安全保障分野での対応能力の向上に向けた有識者会議」
めちゃめちゃいい話してるじゃん!!という感想。
例えば、
通信情報は、①電気通信設備等を識別する情報、②コンピュータ等に一定の動作をするよう指令を与える情報、③その他機械的な情報、④個人のコミュニケーションの本質的内容に関わる情報、に主に分類できるが、このうち④は特に分析する必要があるとまでは言えないのではないか。
憲法上規定されている「通信の秘密」を守りながらどうやって攻撃者の通信を探していくかの落としどころになりそうだ。
また、これまでのようなキネティックな戦争とは違う側面についても言及されており、政治の世界で事態認定を行ってから、下達される命令に従った武力の行使という従来型の防衛方式では遅いといったことも具体的に挙げられていた。とはいえ、実力部隊の一人歩きはシビリアンコントロールの原則に反するのでは、、、と思っていたところ「政治によるマイクロマネジメントと権限行使の主体への白紙委任の双方を避ける」とまで踏み込んで記載されており、実現性の高い政策になるのではないかと感じた。
平時と有事の境がなく、事象の原因究明が困難な中で急激なエスカレートが想定されるなどのサイバー攻撃の特性から、事態を細かく区切り事態を認定するという従来の事態認定の方式ではなく、平素から我が国を全方位でシームレスに守るための制度の構築が必要ではないか。
個別のアクセス・無害化措置のオペレーションは、政治が個別に確認・承認するというものではないと思料。サイバー攻撃における緊急性・切迫性を踏まえると、様々な分野における専門家が、チームでオペレーションを回していく必要。他方、政治によるマイクロマネジメントと権限行使の主体への白紙委任の双方を避ける観点から、適切な「ポリシー」の下で専門家集団がオペレーションを回せるようにする必要があるのではないか。