能動的サイバー防御批判(「国家安全保障戦略」における記述について)

本稿の続編があります。「能動的サイバー防御批判(「国家防衛戦略」と「防衛力整備計画」を中心に)」

Table of Contents

• 1. はじめに
• 2. 安防防衛3文書における記述
  • 2.1. 巧妙な9条外し
  • 2.2. 「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除」とは、どのようなことか。
  • 2.3. 軍事安全保障状況の客観的な判断の難しさ
• 3. 能動的サイバー防御の登場

1. はじめに

安保・防衛3文書のなかで言及されている「能動的サイバー防御」という文言が、敵基地攻撃能力との関連も含めて注目されている。最初に確認しておくべきことは、これら3文書は、憲法9条と密接に関わる領域についての基本文書であるにもかかわらず、9条への言及はないという点だ。つまり、9条の縛りを無視し、武力行使を念頭に戦略をたてる、というのが基本的な立ち位置だ。この点を忘れてはならないだろう。その上で、このブログでは、これまで正面から取り上げてこなかった安保・防衛3文書における能動的サイバー防御を中心に取り上げる。

「能動的サイバー防御」という概念は、定義がなされないまま使用されており、今後いかようにも政府の都合で意味内容を組み換えることができるので、この概念についての政府による定義を詮索することはできない。だから、この文言が示されている文脈から、この文言の含意を探る必要がある。結論を先取りすれば、能動的サイバー防御とは、「防御」という文言にもかかわらず、攻撃を含む概念だと理解する以外になく、このことは「能動的」という形容詞が端的に示している。しかも、この防御=攻撃の主体は、自衛隊とは限らない。むしろサイバー領域で実質的にネットワークの管理に関わる政府機関や民間企業の協力なしには「サイバー防御」は達成できない、という点からすると、従来の捉え方からすれば武力行使や武器とは直接関わりをもたない民間企業―とりわけ情報通信関連企業―が「攻撃」の主体になりうるばかりか、ウクライナのサイバー軍のように、世界中から一般の市民をボランティアのサイバー軍兵士として動員するような事態に示されているように、パソコンやスマホを持ってさえいれば「攻撃」の主体になりうるような状況が現実に起きている。この点は後に具体的な事例で説明する。

同時に、サイバー領域に明確な国境線を引くことはできず、国内と国外の区別は曖昧であり、サイバー攻撃の手法、対象などは、いわゆる「サイバー犯罪」との区別も曖昧であって、この意味で、警察とも密接な関係をもつことになる。いわゆる軍事の警察化、警察の軍事化である。そして対テロ戦争以降、米国が率先してとってきた自国民をもターゲットにした「攻撃」を正当化する枠組が、戦争の様相を一変させてきており、これら様々な要因からなる従来にはなかった新たな「戦争状態」が出現しつつある。この点で、戦争と平和についての再定義が必須になっている。

2. 安防防衛3文書における記述

2.1. 巧妙な9条外し

サイバー攻撃に関する記述のなかでとくに、「能動的サイバー防御」に関連する箇所についてみておく。国家安全保障戦略(以下「戦略」と略記)のなかの第IV章「我が国が優先する戦略的なアプローチ」の「２ 戦略的なアプローチとそれを構成する主な方策」の「(4)我が国を全方位でシームレスに守るための取組の強化」に、ある程度まとまった記述がある。やや長いが引用する。

サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の 安全等を確保するために、サイバー安全保障分野での対応能力を欧米 主要国と同等以上に向上させる。

具体的には、まずは、最新のサイバー脅威に常に対応できるように するため、政府機関のシステムを常時評価し、政府機関等の脅威対策 やシステムの脆弱性等を随時是正するための仕組みを構築する。その 一環として、サイバーセキュリティに関する世界最先端の概念・技術 等を常に積極的に活用する。そのことにより、外交・防衛・情報の分 野を始めとする政府機関等のシステムの導入から廃棄までのライフサ イクルを通じた防御の強化、政府内外の人材の育成・活用の促進等を 引き続き図る。

その上で、武力攻撃に至らないものの、国、重要インフラ等に対す る安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある 場合、これを未然に排除し、また、このようなサイバー攻撃が発生し た場合の被害の拡大を防止するために能動的サイバー防御を導入する。

この箇所から問題点を拾い出してみよう。「戦略」の上の箇所では「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上」と述べている。諸外国の「対応能力」には当然のこととして、武力攻撃による対応が含意されているから、当然武力行使や威嚇による対応が視野に入らざるをえない。諸外国と同じ軍事体制を前提にして、その優劣を比較していることは、現行憲法9条からは容認できない立場であることを忘れてはならない。専守防衛という従来の見解を前提にしたばあいであっても、これは取るべきではないスタンスである。いわゆる護憲派の主流の考え方では専守防衛までは合憲とするわけだが、こうした立場をとる人達が「サイバー安全保障分野での対応能力」をどう解釈しているのだろうか。この文言のなかに専守防衛を越える内容が含意されているということを見抜くことができているだろうか。付言すれば、私は、たとえ憲法9条が改悪されたとしても、一切の武力行使を容認するつもりはないし、私は専守防衛=合憲論には与しない。いかなる武力行使も否定する立場をとる。本稿ではこの点には深くは言及できない。(こちらを参照してください)

2.2. 「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除」とは、どのようなことか。

能動的サイバー防御を実行に移すまでの経過についての「戦略」の想定について、もう少し詳しくみてみよう。上に引用した文章のなかに、「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除」とあり。これは、端的にいえば敵の攻撃がなされる前に先制攻撃を仕掛けることを企図した文言だ。

ここで言及されている「武力攻撃に至らないものの…」の「武力攻撃」とは、実空間での武力攻撃¹とサイバー空間における武力攻撃の両方を指すものと解釈できるのではないかと思う。サイバー空間にける武力攻撃を明示していないので、武力攻撃をサイバー領域に拡張して解釈していいのかどうかについては異論がありうるかもしれない。しかし、攻撃の手法をサイバー空間に対する場合と実空間で展開する場合の両方を含めて考えることが、現実に起きているサイバー戦争を理解する上で重要になると思う。言い換えれば、サイバー戦争という実空間から切り離された独自の戦争領域が存在するわけではなく、常に実空間との関連のなかでサイバー空間が攻撃のための媒介、手段、目標になる。この意味で、「戦略」では明言されていないが、サイバー空間における武力攻撃を含むものと解釈したい。実空間攻撃とサイバー攻撃の関係には二つのパターンがある。

(1)実空間攻撃を最終目標としつつその前段として敵の情報通信網などを遮断したり攪乱するためにサイバー攻撃を用いる場合がある。

(2)敵の情報通信網の攪乱を最終目標としてサイバー攻撃を仕掛かける場合もあり、この場合は実空間攻撃とは直接連動しない。

この区分けは機械的なもので現実には、「戦争」全体の戦略のなかで、実空間攻撃とサイバー攻撃は常に間接的な相互関係が存在するとみていいだろう。

たとえば、上の「戦略」の文言における「武力攻撃に至らないものの…」の「武力攻撃」を実空間攻撃として仮定してみよう。日本の原発が標的になる…などという場合だ。実際に原発への攻撃は実行されてはいないが日本政府が「原発に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれ」がある、と判断する場合だ。この場合は、たとえば、原発への攻撃に先立って日本の防空システムや原発施設のテロ対策防御システムを機能不全に陥らせるなどの行動を「敵」側―攻撃が現実に存在しないばあい、「敵」という認定そのものも疑問に付されるべきだが―がサイバー領域を通じて展開するという「おそれ」などとして考えられるかもしれない。しかし、重要な観点は、これはあくまで「おそれ」であって、実際のサイバー攻撃がなされているわけではない、という点だ。「敵」が、軍事演習として、原発のシステムへのサイバー攻撃というシナリオを作成して実施するということがあった場合、これは単なる「演習」なのか、「戦略」にいうところの「おそれ」とみなしうるのか。こうした微妙な事例において、政府が誤認し能動的サイバー防御を実施することで、戦争の引き金を引くことは大いに考えられることだ。

ここでは、日本政府が「おそれ」を予測するばあいに、建前としては、二つの前提条件が必要になる。

• 実空間攻撃について、「武力攻撃に至らないものの」その攻撃が近い将来確実に起ることを予測できる客観的な事実を把握していること
• 実空間攻撃と連動した重大なサイバー攻撃についても近い将来確実に起ることを予測できる客観的な事実を把握していること

しかし上の二つの条件以外により重要なことは、政府が戦争を企図している場合と、何とかして回避しようと努力している場合で、将来予測は大きく変りうる、という点だ。敵への(先制)攻撃の糸口を掴みたい場合、事実に基づくデータであったとしても、これを意図的に敵の武力攻撃の兆候として「解釈」される可能性がある。より悪質な場合――残念ながら歴史的な教訓からは、この悪質な場合が頻繁に起きるのだが――には、事実の捏造によって戦争を正当化することも充分考えられる。つまり「おそれ」とは、一般に、日本政府が戦争についてどのような物語を構築するのか、という問題そのものである。極悪非道で交渉の余地のない敵国へのイメージが戦争以外の選択肢を全て排除し、その上で、あらゆる敵国の動静を武力攻撃の兆候として解釈する一連の組み立てが、つねに戦争にはつきまとう。

「戦略」には、武力紛争の外交的解決についての文言はあっても、その具体的な戦略は一切記述されていない。下に引用したように、外交は日本の軍事力を背景にした威嚇の誇示の手段にすぎず、軍事に従属する機能になりさがっている。「戦略」では、外交の選択肢を事実上排除し、一足飛びに「能動的サイバー防御」を唯一の対処方法として論じているといっていい。国家安全保障の戦略としては、余りに好戦的なのだ。

防衛力の抜本的強化を始め として、最悪の事態をも見据えた備えを盤石なものとし、我が国の平和と安 全、繁栄、国民の安全、国際社会との共存共栄を含む我が国の国益を守って いかなければならない。そのために、我が国はまず、我が国に望ましい安全 保障環境を能動的に創出するための力強い外交を展開する。そして、自分の 国は自分で守り抜ける防衛力を持つことは、そのような外交の地歩を固める ものとなる。

抜本的に強化される防衛力 は、我が国に望ましい安全保障環境を能動的に創出するための外交の地 歩を固めるもの

いずれも、防衛力=軍事力の強化が外交の前提となっており、軍事力に依存しない外交のパラダイムが一切示されていない。政治が軍を統制する明確な枠組みが存在していない。これは9条の副作用とでもいうべきもので、憲法に軍の規定がないにもかかわらず、事実上の軍が存在しているということは、こうした意味での軍を政治の統治機構が承認しているために、軍が、憲法の統治機構の枠の外に、あるいは憲法を超越して存在する、ということが事実上正当化されているという側面がある、ということだ。この意味で、日本は、憲法を最高法規とする法治国家としての実体を逸脱している。

上に引用した箇所で想定されている状況をもういちど箇条書きで整理してみよう。

• 現に武力攻撃は存在していない(事実)
• 近い将来武力攻撃がありうる「懸念」「おそれ」(判断)
• 安全保障上の懸念に該当し、かつ攻撃の規模が「重大」である(判断)
• この判断を根拠に「未然に排除」する行動をとる(実行行為)

問題は、いくつもあるが、こうした武力攻撃があるかもしれない、という未だ起きてはいないが、近い将来起きうる事態である、という推測の妥当性を、私たちが判断できるのかどうか、である。軍事安全保障の分野で、判断材料の根拠となる証拠が明かになる可能性は低い。こうした証拠の是非について、安全保障上の機密情報などという理由を持ち出して判断の妥当性の検証が妨げられる一方で、政府や自衛隊の判断を「鵜呑み」にすることを強いられる。むしろ政府は、疑問視すること自体を敵対的な対応だとして(誤情報とか偽旗作戦などのレッテルを貼る)メディア報道やSNSの発信を規制しつつ、政府情報を一方的に拡散する可能性がある。

現在のいわゆる「台湾有事」や朝鮮によるミサイル試射をめぐる議論に典型的なように、まず不安が煽られ、事態を軍事的な解決という選択肢一択へと促すような政府やメディアの報道に包囲される状況のなかで、更に不安感情が煽られ敵意が醸成されてゆく。私たちが冷静な判断をすることが非常に難しい事態に追い込まれる。平和運動のなかの自衛隊容認論、とくに専守防衛を合憲とする主流の平和運動への切り崩しが起きる。残念ながら、9条護憲を支持し改憲に反対する人々のなかにも「台湾有事」などを煽る政府とウクライナへのロシアの侵略を経験して、動揺する人達がいることは事実だ。共産党が自衛隊による武力行使を容認する立場をとったことはその象徴ともいえる。平和運動が被害者運動である限り、この弱点を克服することはできない。問題の核心にあるのは、暴力による問題の解決という方法それ自体に含まれる不合理な判断そのものを否定する論理が平和運動では次第に後退してしまっている、ということにある。(この件についてもここではこれ以上立ち入らない。以前のわたしの記事を参照)

2.3. 軍事安全保障状況の客観的な判断の難しさ

武力行使に関わる事実については、歴史を振り返ると、武力行使を正当化するために持ち出された根拠が、後になって事実性を否定され、政府の意図的な誤情報の拡散であったり、逆に情報の隠蔽によって世論の判断を歪めるといった事態が、繰り返されてきた。² 戦争状態や戦争を見据えた平時における情報環境においては、政府などの公式見解は事実を反映しているとは限らない。だから、国際法などの法制度を政府や軍が遵守しているという前提を置くべきではない。

安保防衛3文書についても、書いてあることを批判しても、それが現実の国家組織の行動を適確に批判したことにはならない。敵とみなす相手国の動向に対して何らかの実力を行使するという判断は、国内法や国際的な規範に縛られて決まるわけではない。諜報活動。同盟国との関係など、秘密にされる事柄が多いことも念頭に置いておく必要がある。実際にどのようなことが起きるのか、その出来事がどのような意味をもつのかは、法だけでなく、世論の動向、政権の政治的な判断、外交関係、予測のシュミレーションなど様々な要因によって決まる。実空間での武力行使が適法かどうかは、適法であるように説明可能な物語を構築する政治権力の力にかかっている。この点では、戦争を支える物語が、法の支配を超越する国家権力と結びつく、という事態が生み出されることに注意する必要がある。この事態では、法の支配と呼ばれる「法」そのものの効果を国家権力が自らの利害に合わせて作り替える力を有していることを見逃さないようにする必要がある。この権力の超越的な力の行使の「物語」を人々に受け入れさせるための、メディア戦略が重要になる。現代では、この領域の大半はサイバー領域(コンピュータが介在する情報通信領域)が担うことになり、これが「情報戦」とか「ハイブリッド」とか「偽旗作戦」などと呼ばれて固有の戦争状態を構成することになる。これらが能動的サイバー防御なのか、そうとはいえない―たとえば受動的サイバー防御など―対処なのかの判断それ自体が議論になるが、どのような理解をとるにしても、能動的サイバー防御の背後にあってサイバー領域における攻撃を側面から掩護する役割を担うことは間違いない。後にみるように、この文脈のなかで、ネットを利用する私たち一人一人が否応無く戦争に巻き込まれる構造も作られることになる。

「戦略」で想定されている攻撃に至らない状況では、近い将来武力攻撃がありうる「懸念」「おそれ」という判断や、安全保障上の懸念に該当し、かつ攻撃の規模が「重大」だという判断を下すことができなければならないことが前提にある。こうした判断を下すためには、それ相当の情報収集が必要になる。サイバー領域を含む武力行使を予定した情報収集とはいかなるものになるのか、とくに日本ではどのようなものになるのかについては、自衛隊であれ、その他の国家の情報機関であれ、ほとんど情報がない。

3. 能動的サイバー防御の登場

「戦略」の上に引用した文章のすぐ後ろで「能動的サイバー防御」という言葉が登場する。

サイバー安全保障分野における情報収集・分析能力を強 化するとともに、能動的サイバー防御の実施のための体制を整備する こととし、以下の（ア）から（ウ）までを含む必要な措置の実現に向 け検討を進める。
(ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた 場合等の政府への情報共有や、政府から民間事業者等への対処調整、 支援等の取組を強化するなどの取組を進める。
(イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃 者による悪用が疑われるサーバ等を検知するために、所要の取組を 進める。
(ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大 なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への 侵入・無害化ができるよう、政府に対し必要な権限が付与されるよ うにする。
能動的サイバー防御を含むこれらの取組を実現・促進するために、 内閣サイバーセキュリティセンター（ＮＩＳＣ）を発展的に改組し、 サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設 置する。そして、これらのサイバー安全保障分野における新たな取組 の実現のために法制度の整備、運用の強化を図る。これらの取組は総 合的な防衛体制の強化に資するものとなる。

「戦略」では、ここで唐突に「能動的サイバー防御」の文言が登場し、しかも明確な定義がない。「能動的サイバー防御の実施のための体制を整備」という文言は、

• 能動的サイバー防御の実施そのもの
• 能動的サイバー防御の実施を可能にする体制

という二つに分けて考えておく必要がある。

後者の実施を可能にする体制のなかに、上述した諜報活動などが含まれるだろうが、それだけでなく、サイバー領域を担う民間の情報通信事業者、官民のセキュリティ関連団体、警察など、かなり広範囲にわたる「体制」が必要になる。その理由は、サイバー領域は政府が独占的に管理する空間ではないこと、いわゆる戦争の一環としてのサイバー攻撃と警察が犯罪とみなして対処すべき事案との区別が明確ではないこと、など、自衛隊だけでは対処できず、対応を完結できないことが様々ある。このことが後に述べるように、戦争を私たちの日常的なコミュニケーション領域に浸透させ、結果として国家安全保障の観点から私たちの市民的自由を規制する「体制」をもたらすことにもなる。

より細かくみてみると上の(ア)では、民間事業者がサイバー攻撃を受けた、という事実が発生したことを前提に、政府と民間事業者との間の情報共有と政府による民間事業者への「対処調整」、つまりある種の指示や命令に属するような行動が想定されている。(イ)は、政府が民間事業者の保有するデータを活用して、攻撃者が利用しているサーバなどの特定を可能にする取り組みが想定されている。これはサイバー攻撃が既遂の場合に、攻撃者を特定するための取り組みのようにみえるが、そうとは限らない。(ウ)は、実際には攻撃が存在しない状況にあって、その「懸念」があるばあいに、未然に阻止するために「攻撃者のサーバ等への侵入・無害化」を、相手の攻撃に先立って実施できるような「権限」を政府に与えることが企図されている。(ウ)の体制の前提になっているのは、(イ)で言及されているような民間事業者のデータの政府による利用を可能にするような法制度と技術的な対処の構築だ。

つまり、能動的サイバー防御の前提には、民間の通信事業者のサービス(役務)に関するデータを政府が「活用」できる体制構築を足掛かりとして、この体制を用いて、実際にサイバー攻撃があった場合への対処と「懸念」の段階での先制攻撃の両方に対処できる体制を整備することが必要だ、という考え方がとられている。言うまでもなく、未だ攻撃がない段階での対処は、そもそも攻撃そのものが存在しないのだから、既遂の場合の対処とは根本的に異なる。

実空間攻撃とは違い、能動的サイバー防御を遂行する場合の主体が誰になるのかについては、いくつかの可能性が考えられる。実際の能動的サイバー防御、つまりサイバー攻撃を実行する組織が自衛隊だとしても、この攻撃を可能にするための情報通信インフラの体制の整備には、攻撃に必要なソフトウェアやプログラムの開発も含めて民間の通信事業者や専門家の協力が欠かせない。それだけでなく、攻撃の実行行為者が民間の事業者になる場合もありうるかもしれない。たぶん、最もありうる可能性は、官民が一体となって攻撃を分担する場合だろう。この場合には、平時においても、政府の関係省庁、自衛隊、民間の情報通信インフラ業者や重要インフラ業者との連携についての法的、制度的な枠組み構築が必須であり、同時に、こうした制度は、国家安全保障を口実にして、自由に関する人権やプライバシーの権利などを大幅に制約する例外領域を必要とすることになる。

警察官や自衛官が武器を携行したり使用することを合法とする法制度があるように、サイバー攻撃の手段や目的もまた合法とする制度的な保証が必要になる。すでに危惧されているように、こうした攻撃に必要な情報収集において民間の通信事業者に協力させるばあい、通信の秘密による保護に関して、国家安全保障上の理由がある場合には、例外を認めて、通信の秘密に該当するデータを政府等に提供したり、事業者間で共有するなど、サイバー攻撃に必要な措置がれるような制度を構築する必要がある。しかも、「懸念」段階での先制攻撃を認める場合、国家安全保障上の例外は歯止めなく拡大され、表向き例外とされならが実際には、これが通則になる危険性がある。

「懸念」→「防御」という名の攻撃という流れのなかで、「懸念」という物語を構築する上で必要な事前の情報収集と、この情報収集を支える対外的な状況認識が重要な意味をもつ。サイバー領域における攻撃と防御についての議論では、そもそも受動的防御と能動的防御をめぐる定義上の議論を踏まえた上で、これをサイバー領域にどのように適用するのかが検討・議論される必要があるが、こうした議論すらなく、唐突に能動的サイバー防御だけが突出して登場している。受動的サイバー防御では不十分であることが明確に立証されなければ軽々に能動的サイバー防御を発動すべきではない、という議論すらない。

戦争放棄の観点からは、実空間における保持すべきでない戦力の範囲を可能な限り大きく捉える必要があるが、「戦略」の文書をはじめとするサイバー領域をめぐる議論については、この可能な限り幅広く把握すること自体が非常に難しい。私たちがコミュニケーションの必需品として用いているスマホやパソコンそれ自体が武器に転用可能であり、私たちの不用意なSNSでの発信が「情報戦」のなかで戦争に加担することにもなる。実空間の武力行使とは違って、限りなく非軍事的な日常の領域に浸透しているために、直感的あるいは経験的な判断に委ねることのできない多くの問題を抱えることになる。実空間においても、武力行使の規模、目的、行為主体のイデオロギーなどを総合的に判断して、犯罪なのかテロリズムなのか、あるいは武力攻撃なのかを判断することは容易ではないように、サイバー空間においても、単なる犯罪なのか、武力行使の一環なのかの判断は難しいし、意図的に難読化される傾向が強まっている。こうしたなかで、サイバー領域における「攻撃」に対して、戦争放棄の立場に立つためには、従来の戦争概念を根本的に見直し、報復の攻撃をサイバー領域であれ実空間であれ、行うべきではないという観点を根拠づける基本的な理解の構築そのものから始めなければならない。「能動的サイバー防御」を批判することが、サイバー空間の平和のための基盤形成にとっての大前提になるだけに、この課題は重要だ。(続く)

Footnotes:

¹

一般に、軍事用語としては、サイバー空間と対比して実空間をキネティックと表現するが、 本稿ではよりわかりやすいように実空間と表現する。

²

たとえば、以下を参照。ジェレミー・スケイヒル『アメリカの卑劣な戦争』、横山啓明訳、柏書房、ラムゼイ・クラーク編著『アメリカの戦争犯罪』、戦争犯罪を告発する会、柏書房、グレイグ・ウィットロック『アフgアニスタン・ペーパーズ』、河野純治訳、岩波書店。

Author: toshi

Created: 2023-08-20 日 16:01

Validate