能動的サイバー防御をめぐる議論(その3-⑤)「アクセス・無害化措置」
今回は、サイバー安全保障分野での対応能力の向上に向けた有識者会議(第3回)の資料から、有識者会議とは別に個別のテーマを深堀りしている別会合のうち、「アクセス・無害化措置」に関するテーマ別会合(第1回)の内容を見ていく。(資料7-1から7-8)
※ボリュームが多いため、2回目については次回とする。
サイバー安全保障における「アクセス・無害化措置」とは…
「 サイバー攻撃を未然に防ぐために攻撃者のサーバに事前に「アクセス」して「無害化」する 」
という話で
これを国としてやっていく件を議論をしているのがこの「アクセス・無害化」会合である。
・有識者会議(第3回)の資料構成はこちらの記事のとおり。
・テーマ別会合についてはこちらの記事のとおり。
・テーマ別会合「官民連携」についてはこちらの記事のとおり。
・テーマ別会合「通信情報の利用」についてはこちらの記事のとおり。
😎「アクセス・無害化措置」会合概要
第1回:令和6年7月1日(月) 10時00分~12時00分 オンライン開催
有識者会議構成員のうち、「アクセス・無害化措置」に関する会合の参加者は次のとおり
なお、これら構成員とは別に河野国務大臣は毎回参加し、挨拶をしている。
📚第1回会合まとめ
1 サイバー攻撃の現状と対策
初めに、事務局からサイバー攻撃の現状と対策について説明。(資料7-2)
それに対して有識者から次の意見が出た。
「攻撃インフラ」の構成要素として、一般利用者の通信機器からなる「ボットネット」もあるが、クラウド、ホスティングサービスの悪用も非常に多いと思う。その際、漏洩したクレジットカード情報を使って契約されている事例もあると承知。
間に色々なホストを介して通信するためのプロキシサーバが存在。レジデンシャルプロキシと呼ばれる、家庭用インターネット回線を提供するサービスもあるが、実は侵害した家庭用機器を使ってサービスを提供しているケースもある。また、侵入行為により窃取したアクセス権限を別の攻撃者に売るアクセスブローカーと呼ばれる存在もあると理解。
このように攻撃者のインフラは、攻撃者が直接的に管理・運用するコア部分に加え、それを取り巻く関連のリソース、サービスからなる多重的なものと理解。そのため、攻撃者とそれ以外という二値でなく、その間にサービスの悪用やずさんな管理のサービスなどの中間地帯があると思われ、このような中間地帯での攻防も重要。
攻撃グループのアトリビューションが必要。攻撃者も国家が背後にあるものから小遣い稼ぎまで様々。早い段階でそういうものを区別することは、適切な運用に資する。
アクセス・無害化措置の実施主体には、相当な情報と権限が集約されることとなるため、その活動妥当性や正当性を厳しく審査、判断する別組織が必要。
2 警察・防衛省の取り組み
続いて警察庁及び防衛省から、これまでの取組等について次の通りプレゼンテーションがなされた。
警察庁からは、警察の体制や取組事例、無害化措置ができれば被害防止につながる可能性のある事例の紹介。(資料7-3)
防衛省からは、サイバー空間での安全保障や、それに対応する体制・教育について紹介。(資料7-4)
それに対して有識者から次の意見が出た。
公開情報のみによる情報収集には限界があり、例えば政府によるダークウェブでの情報収集やゼロデイ脆弱性の購入等にも踏み込まなければ欧米主要国と同等という目標達成は難しいのでは。
アクセス・無害化措置には、予防的作用から事後作用まで幅広い措置が含まれ得るもの。制度整備の方向性としては、①要件を書き切り、命令により実施、②許可・令状の仕組みを導入して実施、③警職法のように即時に実施等があり得るのではないか
3 国際法との関係
早稲田大学法学学術院酒井教授より国際法との関係について説明(資料7-5)
能動的サイバー防御が国際法上違法なのか(他国の主権の侵害や干渉にあたるのか)等について解説。
結論から言うと、措置による被害の程度により国際法上適法とされる場合もあれば、国際違法行為とされる場合もあるとのこと。(国際的な基準は不明確)
4 討議
これまでのプレゼン等に対して、有識者から次の意見が出た。
サイバー空間では、通信を中継するものも存在。サイバー攻撃を実施する国の特定には不確実性をはらむため、中継ネットワークが所在する国との連携が重要
国民の懸念として、財産権やプライバシー権の侵害が挙げられるのでは。技術的にできること・できないこと、 できることのうち、すること・しないことを整理し、わかりやすい具体的な事例で検討することが重要
現場の視点から、何を実施することが理想か、具体的に何がしたいかを明確化・具体化する必要
「アクセス」と「無害化措置」は本質的に異なるのでは。
対処すべき事案としては、国際法上の緊急避難と見なされるような事例、すなわち、重要インフラに対する 妨害や破壊工作といったものが当てはまるもののではないか
サイバー空間において、連続するプロセスにおいて段階的な権限行使をしていく中で、無害化措置をどう位置付け、どう正当性を担保していくのか、前後の一連のプロセスとして議論していくべき。その際、警察官職 務執行法は、様々な制度を背景としつつ、これまで、現実空間において実際の実力行使を可能とする法的仕 組みであるため、非常に参考になるのではないか
🫠感想
攻撃側のインフラについても多様な形態があり、それを前提として議論を始めているのは好感が持てた。おそらく、議論として国家の攻撃も犯罪者の攻撃も区別はしていないのも、国民のインフラを守る、という目的がしっかりしているからだと感じた。
サイバーセキュリティ界隈ではよくある話のダークウェブからの情報収集やゼロデイ脆弱性の購入について、「日本政府」という主語となると急にドキドキしてくる…。何だか現実味がないが、それが必要な時期に来ているという事だと思う。今までの政府のサイバー空間へのからっきしな対応を考えると、こういう議論が今交わされているという事が、私たち日本人にとっては大きな前進なのではないだろうか。
国際法的にも明確な基準はないとの事だが、法的な部分を決めていくにあたり、トラブルを恐れてあまりに手前側で線を引いてほしくない、とは思う。「国民をサイバー攻撃から守る」という気概でもって取り組んでもらいたい。
議事要旨や資料を見ていて思うのは、目標としている西側先進国に比べるとゼロにも等しい地点からのスタートとなるが、結構ギリギリなタイミングの議論なのではないか、という事だ。
今はまだ、サイバー攻撃による発電所の停止など、国民に直接の影響こそ受けていないが、名古屋港湾ターミナルへのサイバー攻撃など、間接的な生活への影響が目立つようになってきた。ランサムウェアの被害などもはや日常茶飯事となっている。
世界が次第にきな臭くなってきている中で、遅まきながら我が国のサイバー安全保障の議論が進んできていることに、少し安堵を覚えつつも、これからどう議論が進んでゆくのか、しっかりと見守ってゆきたい。