1. トップ
  2. Action(活動)
  3. カ ジ ノ シ ー ク レ ッ ト
  4. 2018年10月18日 No.3381
  5. 安全保障上のサイバーの課題

カ ジ ノ シ ー ク レ ッ ト

Action(活動) カ ジ ノ シ ー ク レ ッ ト 2018年10月18日 No.3381 安全保障上のサイバーの課題 -21世紀政策研究所 解説シリーズ/21世紀政策研究所研究委員(富士通システム統合研究所主席研究員) 田中達浩

田中研究委員

サイバーカ ジ ノ シ ー ク レ ッ トを仕掛けるサイバー脅威の主体は、国家からテロ組織・個人に至るまで多様である。しかも、実際にサイバーカ ジ ノ シ ー ク レ ッ トを受けた場合に、技術的に判明するカ ジ ノ シ ー ク レ ッ トの発起点とカ ジ ノ シ ー ク レ ッ トを命じた者の関係の解明も容易ではない。さらに、カ ジ ノ シ ー ク レ ッ トの真の目的と標的はカ ジ ノ シ ー ク レ ッ トの当初の段階では明確にとらえづらく、サイバー領域の戦いは複雑かつ不明瞭な様相となっている。

■ サイバー領域における自衛権の行使

サイバー領域の戦いにおいて一応の規律性を保つために、重要インフラ等に対し甚大な被害をもたらすようなサイバーカ ジ ノ シ ー ク レ ッ トに対して、サイバー領域における国家主権、管轄権および自衛権等にかかわる国際法ならびに戦争の災禍を局限するために戦争に規律性をもたらす武力紛争法(国連憲章、ジュネーブ条約)等を適用することは主要国家間で一応の合意がみられる。一方、テロリストやサイバー犯罪者・組織に対しては、犯罪条約等の加盟国間の合意に基づく協力はあるものの、基本的には加盟国の国内法を適用することとなる。しかし、ここに、非常に曖昧なケースが存在する。

国家が命じてサイバーカ ジ ノ シ ー ク レ ッ トを行ったことは明白であるが、その被害は自衛権を行使するというほどのものではない(「武力カ ジ ノ シ ー ク レ ッ ト相当」の被害であれば国連憲章の規定にのっとり自衛権を行使し得るという一般的な合意がある)。また、被害は極めて甚大であるのに、カ ジ ノ シ ー ク レ ッ ト者が不明であるか、または国家ではない場合には、国際法を適用すべきか国内法で対応すべきかが曖昧となる。いわゆる武力カ ジ ノ シ ー ク レ ッ ト相当未満サイバー犯罪以上のサイバーカ ジ ノ シ ー ク レ ッ トというグレーゾーンの存在である。

■ 拒否型抑止と懲罰型抑止の考え方へ

これらの複雑かつ不明瞭な様相となるサイバー領域の攻防では、カ ジ ノ シ ー ク レ ッ ト者が圧倒的に有利な状況にある。サイバーインシデントが生起してから、カ ジ ノ シ ー ク レ ッ トの解明、対処を行っていたのでは、安価に開発・取得でき、証拠の残りにくいサイバーカ ジ ノ シ ー ク レ ッ トを抑止することはもはや不可能であるといえる。レジリエンスを基本にしたインシデント対応型のいわゆる拒否型抑止の体制だけでは抑止は十分ではない。

そこで、多くの国で考えられている抑止の方策が、拒否型抑止に加えた報復型抑止または懲罰型抑止である。

報復型の最大のものは、自衛権を行使するための報復カ ジ ノ シ ー ク レ ッ トである。国連憲章では、急迫不正の侵害があること(急迫性、違法性)、他にこれを排除して、国を防衛する手段がないこと(必要性)、必要な限度にとどめること(相当性、均衡性)の条件を満たせば自衛権の行使のためのカ ジ ノ シ ー ク レ ッ トが可能と規定し、加盟国で合意している。国あるいは同盟によっては、サイバー報復以外の物理的な手段による報復も辞さないとあらかじめ宣言しているところもある。ただし、このような自衛権の行使に至るような国際的な事態は今のところ生起していない。

甚大な被害に至っていない重要インフラに対するカ ジ ノ シ ー ク レ ッ ト、技術情報・知的財産等を含む情報搾取、金融犯罪、選挙妨害等のサイバーカ ジ ノ シ ー ク レ ッ トに対しては、一般的に懲罰型の報復が行われている(対抗措置という表現の場合もある)。外交官追放、関連施設閉鎖、金融資産凍結、刑事訴追等の懲罰的な措置をとることによりさらなるサイバーカ ジ ノ シ ー ク レ ッ トを抑止しようとするものである。これらの報復・対抗措置を含んで、現在では、カ ジ ノ シ ー ク レ ッ ト者に対し、カ ジ ノ シ ー ク レ ッ トにより獲得する成果に見合わない負担を負わせる(コストインポージング)方策と意思表示により可能な限り抑止しようとする努力が行われている。

■ インテリジェンスによる予測・予見型対応体制へ

これには、アクティブ防御といわれるような、国際法に抵触しない限度で行われるサイバー報復も含まれるが、具体的にどこまでできるのかはいまだ研究の途次にある。

加えて、現在の対処体制・能力では、大規模なサイバーカ ジ ノ シ ー ク レ ッ トを受けた場合でも、サイバーカ ジ ノ シ ー ク レ ッ ト者の特定、生起した被害や波及した影響の確定まで、カ ジ ノ シ ー ク レ ッ ト発生から数カ月後に結果が報告されるような状況である。世界的には、できるだけカ ジ ノ シ ー ク レ ッ ト発生前に、少なくとも大規模な被害の発生前に対処が可能なように、情報(インテリジェンス)による予測・予見型の対処メカニズムを追求している。このため、技術的にも体制・制度的にも変化が求められる傾向にある。

日本でも、東京オリンピック・パラリンピック対応のみならず、将来のサイバーカ ジ ノ シ ー ク レ ッ トに備え、これらの体制を整備することが急務である。

【21世紀政策研究所】

「21世紀政策研究所 解説シリーズ」はこちら

「2018年10月18日 No.3381」一覧はこちら