最近、サイバー攻撃と自衛権に関する政府関係者の発言が目立つ。
2018年11月29日、衆議院の安全保障委員会において中谷元委員(元防衛大臣)の「日本が大規模なサイバー攻撃を受けたときに、どんな事態が起これば、国家としての戦争行為、武力攻撃事態とみなされ、自衛権が発動されるのか」と質問。
これに対し、岩屋毅防衛大臣は「武力行使の3要件を満たすようなサイバー攻撃があった場合には、憲法上、自衛の措置として武力の行使が許される」と答弁している。
これら政府関係者の発言は、制裁的抑止に通底するものである。
制裁的抑止とは、報復力により、耐えられない制裁を加えるという脅しによって、攻撃を自制させることである。
米国は2011年5月、「国連憲章に基づき、国家はサイバー空間におけるある種の攻撃的行為に対する固有の自衛権を有しているとして、サイバー攻撃に軍事力を含むあらゆる手段で対応する」ことを宣言した。
米国が制裁的抑止力を保有していることは疑いの余地がない。他方、日本は制裁的抑止力を保有しているとは思えない。
本年4月19日、ワシントンで開催された外務・防衛担当閣僚会合(2プラス2)において、日本に対するサイバー攻撃に、米国による日本防衛義務を定めた日米安全保障条約第5条が適用される場合があり得ることを初めて確認したという報道があった。
これは、武力攻撃に適用される第5条をサイバー攻撃にも適用しようとするものである。
この報道は、日本がサイバー空間において米国の制裁的抑止力を期待しているとも見て取れる。
サイバー攻撃と自衛権に関する政府見解と異なる
政府関係者の各種発言
上記の衆院安全保障委員会(昨年11月29日)における岩屋防衛大臣の発言は、「武力攻撃と同様の被害をもたらすサイバー攻撃を受けた場合、国家は同等の規模であれば自衛権を行使してもよい」とするタリン・マニュアル(2013年、タリン・マニュアル・プロジェクト)や「サイバー空間において国際人権法(国際連合憲章,慣習国際法及び関連する条約を含む)が適用されることを再確認する」とするG7(ルッカ)宣言(2017年G7外相会合)などを踏まえてのことであろう。
国際的な基準で言えば、同大臣の発言は何ら問題ない。しかし、我が国では国際法と憲法のどちらが優位するかはさておき、憲法解釈が重視されていることは間違いない。
現行の政府見解は、「他国のサイバー攻撃に対して、武力攻撃の一環としてサイバー攻撃が行われた場合には、自衛権を発動して対処し得る」(2015年2月24日衆議院議員緒方林太郎君提出サイバー攻撃と自衛権との関係に関する質問に対する答弁書」)としている。
さらに、サイバー攻撃がどの程度であれば、自衛権が発動されるのかについては、「個別の状況に応じて判断すべきものである」(2016年12月9日衆議院議員逢坂誠二君提出防衛省へのサイバー攻撃に関する質問に対する答弁書」)としている。
従って同大臣の発言は、これらの政府見解と一部異なっていることを指摘したい。
一つは、同大臣は、「武力行使の3要件を満たすようなサイバー攻撃があった場合」には、自衛の措置として武力の行使が許されるとしているが、政府見解は「武力攻撃の一環としてサイバー攻撃が行われた場合」である。
もう一つは、同大臣は「自衛の措置として武力の行使が許される」と発言しているが、現憲法第9条のもとで許容されるのは必要最小限度の「武力の行使」である。
戦闘機やミサイルで報復することが必要最小限度の「武力の行使」であるか否かは憲法解釈を待たなければならない。
また、岩屋防衛大臣は、本年4月26日の記者会見で、日本がサイバー攻撃を受けた際の武力攻撃の認定について、「米国において、原発のメルトダウンを引き起こすようなサイバー攻撃、あるいは、人口密集地域の上のダムを決壊させるようなサイバー攻撃、あるいは、航空管制システムの不具合をもたらして、航空機の墜落につながりかねないというサイバー攻撃等は、そういう武力攻撃に当たり得るということを、米国は示している」(防衛省HP)と述べている。
しかし、筆者は寡聞にしてこれらの例を挙げている米国の政策文書などを知らなかった。
そこで、インターネットで調べたところ、2012年7月のワシントンポスト紙が、国務省の司法顧問ハロルド・コー(Harold Koh)氏が上記の例に言及している記事を掲載していた。
従って当該例示については、同氏の個人的見解なのか、または米政府の公式見解なのか不明である。
我が国の行動を決定するかもしれない基準が、個人的見解なのか、あるいは米政府の公式見解化なのか、は極めて重要なことである。
日本は制裁的抑止力を保有していない
筆者は、日本は大規模サイバー攻撃に制裁的抑止でなく拒否的抑止で対応すべきであると考えている。
その理由は、日本は現時点で制裁的抑止力は不十分であるというより全く保有していないからである。
まず、制裁的抑止を行うには、サイバー攻撃を仕かけている実行者を特定し国家責任を追及できる能力がなければ抑止の信憑性は得られない。
サイバー空間の攻撃の特徴の一つに、実行者の特定が困難という性質がある。これは、「帰属問題(attribution problem)」と呼ばれる。
大規模なサイバー攻撃を、民間のハッカー集団などの非国家主体が実施することも可能であり、踏み台攻撃などにより第3国を経由した攻撃も可能である。
そのため、実行者を正確に特定することは、技術的に非常に困難である。
さらに、実行者が特定できたとしても残る問題がある。
当該サイバー攻撃にかかる国家責任を問うためには、その行為が国家に帰属することを証明しなければならない。すなわち、実行者(攻撃者)の政治・社会的属性の特定である。
実行者が単なる単独犯であるのか、それとも背後に特定の国家や組織が存在し、その指示や支援を受けて攻撃を行っているのかを断定しなければならない。
それらは極めて困難なことである。サイバー攻撃に限らないが国外からの脅威から、国家と国民を守るためには、国外におけるインテリジェンス活動が不可欠である。
特に、相手国に大規模なサイバー攻撃を実施する意図・能力・組織があるかを事前に察知しておかなければ、当該サイバー攻撃にかかる国家責任を問うことはできないであろう。
ちなみに、サイバー攻撃にかかる国家責任を問うことに成功した事例が1つある。
2014年5月、米司法省は、商業利益のために、米国の企業および労働者団体に対して、サイバースパイ活動を行った5人の中国軍のハッカーを起訴した。
国家主体のハッカーが、不正アクセス(ハッキング)の罪で刑事訴訟されたのはこれが初めてである。
そして、米国は2015年9月の米中首脳会談において、これらの事実を中国に突きつけ、中国から譲歩を引き出すことに成功した。
次に、報復力を保有していなければ、抑止の信憑性は得られない。
報復力には物理的報復力とサイバー報復力がある。我が国は、必要ならば行使することができる物理的報復力を保有している。しかし、その使用には憲法上の制約がある。
他方、サイバー報復力については現時点では保有していない。
このような状況の中で、昨年末に策定された防衛大綱と中期防衛力整備計画には、「有事において、我が国への攻撃に際して当該攻撃に用いられる相手方によるサイバー空間の利用を妨げる能力」の保持が明記された。
「政府は、日本の安全保障を揺るがすようなサイバー攻撃を受けた場合に反撃するとして、防衛省でコンピューターウイルスを作成、保有する方針を固めた」
「相手の情報通信ネットワークを妨害するためのウイルスを防衛装備品として保有するのは初めて。インターネットがつくり出すサイバー空間における新たな対処策となる。2019年度内に作成を終える。政府筋が29日、明らかにした」
新聞などでは「反撃能力」の保持と報じられた。また、報道によると当該反撃能力の使用は有事が想定されているとされる。
有事(防衛出動下令時)に反撃することは当然のことである。平時において、大きな被害もたらすサイバー攻撃を阻止しなければ、国民の生命も重要インフラも防護できない。
従って、例えば「弾道ミサイル等に対する破壊措置」のように、自衛隊法を改正し、平時における自衛権の発動、すなわち「サイバー空間での反撃」を容認すべきである。
当該反撃とは、当該国のサイバー能力をサイバー空間を通じて妨害または無力化することである。
日本の拒否的抑止力の向上に向けて
次に、拒否的抑止力を向上するための施策について簡単に述べる。
拒否的抑止とは、攻撃者の特定の目的達成を拒否する能力を持つことにより、目的達成が不可能であることを認識させ、攻撃の意図を起こさせないことである。
拒否的抑止力を向上するための施策は、奇をてらったものである必要はない。計画などで定められた基本的事項を着実に実施することである。
政府は、事業者や所管省庁が適切なサイバーテロ対策が講じられるようにまとめた「重要インフラのサイバーテロ対策に係る特別行動計画」(2000年情報セキュリティ対策推進会議)を策定している。
本特別行動計画は、国民生活や社会経済活動の混乱、国民の生命の危険などの重大な被害が生ずるおそれがある情報通信ネットワークや情報システムを利用した電子的な攻撃(サイバー攻撃)、いわゆるサイバーテロなどから、重要インフラを防護することを目的に、次の5つの施策を掲げている。
(1)被害の予防(セキュリティ水準の向上)
(2)官民の連絡・連携体制の確立・強化(警報情報の共有など)
(3)官民連携によるサイバー攻撃の検知と緊急対処(緊急時対応計画の策定など)
(4)情報セキュリティ基盤の構築(人材の育成、研究開発、普及啓発、法制度の整備など)
(5)国際連携
ここで、筆者はインシデント対応力を向上させるための演習と、テスト対象の組織に各種のサイバー攻撃を仕かけて、当該組織のセキュリティレベルや対処力を検証するペネトレーションテストの重要性を強調したい。
特に、ペネトレーションテストは無警告で予告なしで実施することが肝要である。
上記の施策などを確実に実施すれば、サイバー攻撃を阻止し、万一、攻撃が発生しても被害や影響を最小限にとどめる態勢を構築することができるであろう。
しかし、我が国のサイバーテロ対策は、狭義のサイバー攻撃、すなわち「ネットワークを通じた電子的攻撃」への対応に偏重している。
軍隊のシステムあるいは民間の重要インフラの制御系システムは、インターネットなど外部のネットワークに接続していないクローズ系コンピューターネットワークである。
クローズ系コンピューターネットワークに対するサイバー攻撃方法には、ICTサプライチェーン攻撃、インサイダー攻撃、スパイによる攻撃などがある。
スパイによるサイバー攻撃には、標的であるコンピューターシステムに直接マルウエアを挿入する、標的の施設内の伝送路からマルウエアを挿入する、あるいは伝送路を切断するなどが想定できる。
従って、サイバーテロ対策には、情報通信機器に関する調達制度、採用時の適格性確認制度、情報・保全機能(スパイ対策等)など様々な分野が関連している。
拒否的抑止能力を向上するためには、これらのすべての分野において施策が講じられなければならない。
最後に付言するが、拒否的抑止を有効に機能させるには「相手国の判断に依存せざるを得ない側面」がある。
従って、現状に自己満足せず、拒否的抑止力を強化する努力を不断に継続し、相手国に「日本のサイバー(防護)能力の強大さ」を「感じさせ続ける」ことが肝要である。
[もっと知りたい!続けてお読みください →] サイバー脅威を自分たちの問題だと自覚せよ!
[関連記事]
コメント