幻想の「サイバー・パールハーバー」と戦い、負け続けたアメリカの30年
ニューズウィークに寄稿した記事「中国の知財ハッキングやロシアのネット世論操作にアメリカがうまく対処できない理由」(https://www.newsweekjapan.jp/ichida/2022/01/post-32.php)におさまらなかったForeign Affairsの1月/2月号の特集「Digital Disorder」のくわしい内容紹介プラスアルファです。
追記 日本語版「フォーリン・アフェアーズ・リポート 2022年2月号」でも読むことができます。
過去に想定されていた「サイバー・パールハーバー」のような大規模かつ壊滅的な攻撃とは異なる形で安全保障上の脅威がサイバー空間で発生しており、アメリカは適切に対処できていないとしている。脅威の具体的内容と対処を紹介している。アメリカのサイバー戦略の失敗、信用喪失による社会基盤毀損のリスク、国際規範の重要性、地政学的問題は技術には解決不能の4つの記事で構成されており、要約すると下記のようになる。
1.2012年にレオン・パネッタ国防長官が「サイバー・パールハーバー」の可能性について警告を発した。しかし、「サイバー・パールハーバー」が実際に起こることはなかった代わりに、サイバー空間における脅威は幅広い分野にわたる身近で複雑な問題となった。サイバー攻撃は、戦闘状態と平和状態というわかりやすい2つの状態ではなく、あいまいなグラデーションになっている。その結果、アメリカ政府は効果的な対処を行うことができず、コストが増加している。情報戦と非国家アクターを考慮しなかったことは致命的だった。
2.サイバー空間は他の安全保障上の脅威と同様に、総合的地政学的に対応する必要がある。単純にサイバー攻撃に対して、サイバー空間の防御で対応するのは有効ではない。過去30年間のほとんどで、アメリカのサイバー戦略の多くは、サイバー攻撃の原因に対処するよりも、サイバー空間のアクターからの防衛や狭義の抑止を通じて、サイバー攻撃の影響を対処する対症療法に終始してきた。しかし、サイバー空間は非対称であり、攻撃者側が圧倒的に有利である。アメリカ政府の防御がいかに効果的になったとしても、敵対国からの高度なサイバー攻撃をすべてかわすのは不可能だ。アメリカの対応にもかかわらず、中国、イラン、北朝鮮、ロシアの4カ国が攻撃を継続していることから対処が有効ではないのは明らかだ。
3.もっとも危険な脅威は「信用」の毀損である。国家、経済、貨幣などに対する信用が失われれば社会の基盤が破壊される。サイバー脅威に対するアメリカの解決策は、問題となる部分=標的を攻撃するサイバー脅威を阻止し、防御し、打ち負かすことに焦点を合わせてきた。しかし、このアプローチは小規模な攻撃の繰り返しには役に立たない。侵入を阻止するのではなく、侵入してくる攻撃に耐えられるシステムを構築することが重要なのだ。技術的にも人的にもレジリエンスを高めなければ、サイバー攻撃の連鎖とそれがもたらす不信感が、⺠主主義社会の基盤を脅かし続けることになる。
4.国際的な規範はサイバー空間でのアナーキーな脅威の抑制に効果がある。アメリカは石を投げるのは得意だが、ガラスの家に住んでいるのだ。石は相手に被害を与えるかもしれないが、同時に自分の家も破壊する危険がある。攻撃には慎重にならなければいけない。
5.もっとも重要なことは現状の実態を把握、分析することである。
この特集では4人の筆者がそれぞれ独自の視点から寄稿している。それぞれの立ち位置は異なるので、同じ事象についても見解が異なる。また、この問題を網羅的に扱っているわけでもないので、とりこぼしもある。
たとえば個人的には下記の点での補遺が必要そうと感じた。
・非国家アクターの重要性と今後の見通し
現在、サイバー脅威は国家そのものが行うもの以外のものが増えている。ランサムウェアグループや、ネット世論操作を代行する企業や組織の存在がそれである。これらによって、脅威の規模は拡大し、さらに正体をみきわめにくくなっている。国際規範の重要性についての記事では、18世紀の私掠船のように扱いにくくなって国際的に禁止されると予想している。
しかし、サイバー空間では非対称であり、攻撃者が絶対有利かつ正体を隠すことが容易だ。私掠船と異なり、密かに活動を継続しやすい。たとえば、RBN(ロシアン・ビジネス・ネットワーク)は国際的な規制やロシア政府の取り締まりが厳しくなった後、世界に拡散した。サイバー空間では私掠船は異なる展開を見せる可能性がある。RBNについては、世界的サイバーセキュリティジャーナリストBrian Krebsの『Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door』(英語)がくわしい。また、日本語では『新しい世界を生きるためのサイバー社会用語集』に紹介記事がある。
・ロシアや中国の閉鎖化
ロシアや中国はネットの閉鎖化を進めている。国家をまるごとインターネットから遮断するもので、サイバー脅威における非対称性をさらに1歩推し進める。
この影響について触れられていないので、そこは補遺がほしいと思った。
以下、特集のそれぞれの内容を紹介してゆく。
2012年から2014年にかけて、国家安全保障会議は大規模なサイバー攻撃に対応するための会合を何度も持ち、サイバー攻撃に関する大統領政策指令20を起草した。また、国防総省もサイバー攻撃への対処のプロトコルを策定した。
これら一連の対応にはいくつかの致命的なミスがあった。サイバー戦争が旧来の戦争に発展する可能性を過大に評価したこと、情報戦を実施しなかったこと、非国家アクターへの対応を考慮しなかったことなどがあげられる。2013年にロシア軍のニコライ・マカロフ将軍は、「破壊する対象はネットワークではなく、国家だ」と語り、そのために欠かせない要素である情報戦を考慮しないアメリカは愚かだと嘲笑した。
「サイバー・パールハーバー」のような壊滅的な事態は起きなかった。その代わりに社会基盤や信用などを毀損するための攻撃が行われ、アメリカはうまく対処できなかった。
たとえばISISにうまく対処できなかったのは、組織と能力が国家を想定したものだったためであり、テロ組織のような非国家アクターは想定外だったためだ。
ロシアがウクライナに干渉した際、オバマは手をこまねいて見ていただけだった。このことは2016年の大統領選に干渉しても報復されることはないとロシアに確信させた。
また、中国のハッキングに対しても有効な手を打たなかったため、知的財産や機密情報が中国に盗まれた。オバマは2015年9月にようやく習近平と会合を持ち、これらの問題に対処するための外交ワーキンググループを設置した。トランプはオバマに比べると強硬な姿勢を取ったものの、ロシアに対しては弱腰だったため事態は改善されなかった。
オウンゴールとも呼ぶべき事件も発生していた。2013年に起きたスノーデンの暴露が同盟国との関係を毀損し、世界的なサイバーセキュリティの脅威はアメリカであるという認識が広まった。また、NSAから盗まれたエクスプロイトEternalBlueはランサムウェアWannaCryやサイバー攻撃NotPetyaを始めとして世界的に悪用されることになった。せっかく開発した武器を盗まれて悪用されたことはアメリカの安全保障の仕組みそのもの問題点を浮き彫りにしている。
バイデン政権が優先すべきことは、データ保護施策の拡充である。アメリカは先進国で唯一データ保護に関する法律がない。その結果、各州がそれぞれデータ保護に関する規則を制定し、複雑で非効率のものとなってしまった。
次にサイバー攻撃に対してサイバー防御あるいはサイバー攻撃で対抗すべきではない。フォレンジック技術の発達によって、サイバー攻撃を受けた際の攻撃元の特定が可能となっているので、通常の軍事力や経済力などによって相手を抑止すべきである。
今後のサイバー防衛体制は、サイバーセキュリティ・インフラストラクチャセキュリティ庁(Cybersecurity and Infrastructure Security Agency)を中心にすべきで、そのために予算もNSAと同等まで増加させなければならない。
法執行機関や軍もサイバー時代に適応して変化する必要がある。
課題は多いが自由主義諸国はアメリカのリーダーシップを求めている。その中心は国連やNATOではなく、二国間協定が望ましい。
●信用喪失による社会基盤毀損のリスク
https://www.foreignaffairs.com/articles/world/2021-12-14/world-without-trust
「サイバー・パールハーバー」の呪縛は広い範囲に影響を与えた。従来の物理的脅威になぞらえていたことから、サイバー空間の特殊性に気づくのが遅れた。その間に政府、市場、国民の信用が大きく毀損された。信用が失われれば社会は不信感を募らせ、混乱と不安を引き起こし、ヘイトとフェイクニュースが蔓延することになった。
我々の社会は社会システムに対する信用によって成り立っているため、それが毀損されることは社会システムや国際関係を不安定にする。たとえば、2021年5月、DarkSideと呼ばれる犯罪組織にアメリカの石油供給会社コロニアル・パイプラインがランサムウェア攻撃を受けた時、石油供給能力への影響は限定的であったにもかかわらず、人々はパニックに陥り、石油タンクやビニール袋を持ってガソリンスタンドに殺到し、給油所で人為的に不足する事態を招いた。このような不信感とそれが引き起こす混乱は、デジタル経済のみならず、経済全体の基盤を脅かす。
中国は米国の防衛産業基盤の研究を盗み出し、航空機やミサイルの技術を模倣した。このような攻撃が大規模かつ巧妙になればなるほど企業は研究開発への投資が利益につながるということを信じられなくなり、知識集約型経済を破壊する。そして、オンラインバンキングの利用者が自分のデジタルデータとお金が守られることを信じられなくなったら、複雑な現代の金融システム全体が崩壊する可能性があり ます。逆に、暗号通貨への移行は、そのほとんどが政府保証のないものであるため、デジタル情報の価値に対する信用がより一層重要になる。
政府の信用の喪失は民主主義そのものの脅威となる。
兵器も同じく深刻だ。スマートな武器、ネットワーク化されたセンサー、自律型プラットフォームがハッキングや予期せぬバグで指示通りに動かない、あるいは暴走したり、相手の命令に従うようになる可能性がある。何度か実際にこうした攻撃があれば、兵器への信用は失われる。
これまでサイバー脅威に対するアメリカの解決策は、問題となる部分=標的を攻撃するサイバー脅威を阻止し、防御し、打ち負かすことに焦点を合わせてきた。サイバー攻撃は増加の一途をたどり、抑止の効果がないことはわかってきた。アメリカ風の攻撃的なアプローチでは小規模な攻撃の繰り返しには役に立たないのだ。最近のSolarWinds社のネットワーク管理ソフトウェアやMicrosoft Exchange Serverの電子メールソフトウェアのハッキングのような大規模な攻撃は、アメリカのサイバー防衛の失敗というより、そもそも標的となるシステムがどのように構想され構築されたかに起因する症状であると言えるでしょう。侵入を阻止するのではなく、侵入してくる攻撃に耐えられるシステムを構築することが重要なのだ。別にこれは新しい教訓ではない。14世紀から15世紀にかけてヨーロッパで大砲や火薬が登場したとき、都市は新たな火力の猛威を前にして苦戦を強いられた。大砲の火を止めるのではなく、包囲攻撃に耐えられる都市を作るという発想の防御を行った。最高の要塞は積極的な防御を可能にするために設計され、反撃が都市の外に残っている軍隊を倒すことができるまで攻撃者を消耗させる。
⺠主主義国家と近代経済諸国は、電力網、銀行、学校、投票機、メディアなど、社会を動かしているシステムに対する信用を築くことを優先させなければならない。つまり、バックアッププランとフェイルセーフの構築、オンラインやデジタルにすべきものとアナログや物理的に残すべきものの戦略的判断、そして1つのノードが攻撃されても生き残れるネットワークをオンラインと社会の両方で構築しなければならない。技術的にも人的にもレジリエンスを高めなければ、サイバー攻撃の連鎖とそれがもたらす不信感が、⺠主主義社会の基盤を脅かし続けることになる。
●国際規範の重要性
https://www.foreignaffairs.com/articles/world/2021-12-14/end-cyber-anarchy
サイバー空間でルールを作ることが可能だという発想は懐疑的に受け止められる傾向がある。サイバース空間の基本的な特性は、いかなる規範も強制はもちろん、それが侵害されているかどうかを知ることさえ不可能だという考え方である。たとえば2015年12月、ロシアは国連総会で出された拘束力のない国際的なサイバー規範の作成に協力し、署名した。同月、ロシアはウクライナの電力網に対してサイバー攻撃を行い、およそ22万5000人が数時間にわたって電力を失う事態に陥ったほか、2016年の米国大統領選挙への干渉工作も行った。
核攻撃は一回限りの出来事であり、核抑止の目標はその発生を防ぐことである。それに対して、サイバー攻撃は数が多く、繰り返し高頻度で発生するものであり、その抑止は通常の犯罪の抑止に似ているのだ。
近年、アメリカ政府は、国内のネットワーク防衛の強化に加え、「defend forward」や「persistent engagement」と名づけたドクトリンを採用しているが、敵対者のネットワークに侵入して混乱させることは、エスカレートする危険性があり、慎重に管理する必要がある。
アメリカは石を投げるのは得意だが、ガラスの家に住んでいるのだ。石は相手に被害を与えるかもしれないが、同時に自分の家も破壊する危険がある。他の項で見たようにアメリカは何度も致命的なオウンゴールを決めている前科がある。
サイバー空間に関する国際規範や外交上の努力は、サイバー防衛に比べると派手さはないが、重要な役割を果たす可能性がある。過去の歴史をみても、たとえば、一部の国は国連海洋法条約を批准していないが、領海に関する紛争に関しては、すべての国が12マイルの制限を守っている。そもそもインターネットの仕組みの多くは利用者の規範の遵守に依存している。1962年のキューバ・ミサイル危機の際、超大国が核戦争の瀬戶際に立たされたが、その1年後限定的核実験禁止条約が結ばれた。
サイバー空間では非国家アクターが活発であり、政府がプロキシや⺠間人を使ってサイバー攻撃を行っている。同様のことが18世紀に起きた。シーレーンを自国の海軍で守り切れなくなった国家は、敵国の船からの略奪を許可する免許を交付し始めた。しかし、後に私掠船を管理するのが困難になったため、1856年のパリ宣言で禁止された。サイバー空間の領域でも同様のことが起こることが予想される。
さまざまな困難が予想されるものの、規範の策定はサイバー空間においても重要である。
●地政学的問題は技術には解決不能
https://www.foreignaffairs.com/articles/united-states/2021-12-14/case-cyber-realism
2015年9月、バラク・オバマ米大統領はホワイトハウスのローズガーデンで中国の習近平と、サイバー関連の経済スパイを抑制するための歴史的な協定を発表した。米国はもともと情報機関が⺠間企業の利益のために経済スパイを行うことを禁じていたためが、10年以上にわたってアメリカの知的財産と国家機密を盗んできた中国にとっては画期的な協定となった。中国政府系グループからの侵入は、2016年に過去10年以上の最低水準まで低下した。
この合意は、サイバー脅威に対処するための有望なモデルを提供している。最近まで、アメリカはサイバー空間に関する問題を狭い範囲の防御と抑止による技術的問題としてアプローチしていた。防御的な取り組みとしては、技術の近代化に対する資金援助、重要インフラに関わる産業への規制、政府と産業界の連携と情報共有の改善などがあった。抑止力としては、法執行機関による懲罰的措置や、個々の加害者やその関係する軍事・情報機関に対する制裁が一般的である。
しかし、サイバー攻撃の根底にあるのは、より広範な地政学的問題であり、地政学的解決策、すなわちすべての当事者 が納得できる合意を追求するための敵国とのハイレベルな交渉が必要なのだ。サイバー脅威を地政学的、国家安全保障上の優先事項として扱うべきなのだ。
過去30年間の大半、アメリカのサイバーセキュリティ政策とサイバー戦略は、サイバー攻撃を世界の安全保障秩序を構成する地政学的な対立や競争とは無関係な独立した問題として扱ってきた。その結果、アメリカのサイバー戦略の多くは、サイバー攻撃の原因に対処するよりも、サイバー空間のアクターからの防衛や狭義の抑止を通じて、サイバー攻撃の影響を対処する対症療法に終始してきた。
しかし、サイバー空間は非対称であり、攻撃者側が圧倒的に有利である。アメリカ政府の防御がいかに効果的になったとしても、敵対国からの高度なサイバー攻撃をすべてかわすのは不可能だ。
従来から行われている抑止力も、同様にサイバー攻撃の防止には効果がない。過去4年間、アメリカ政府は 4つの主要な敵対国すべての政府高官と請負業者を制裁し、起訴している。しかし、これらの国はこのような措置のコストを比較的小さいものと考え、絶え間ないペースでサイバー攻撃を実行または容認している。
アメリカ企業に対するサイバー攻撃の大部分は、犯罪集団であれ政府であれ、中国、イラン、北朝鮮、ロシアの4カ国から発信されている。これらの国は、米国にとって通常の軍事的脅威としても最大の脅威となっている。これらの国々からのサイバー脅威に効果的に対抗するためには、アメリカ政府はこれらの国々の地政学的な目標をより幅広く考慮する必要がある。
補足(2022年1月3日) アメリカの対応が遅れたのは変化の認識が共有されていなかったためですが、なぜそうなった=「見えなかった」理由については(もしかしたら)今年上梓する本で整理できるかもしれません。詳しくは、別記事「ネット世論操作定番本企画 チャート化してみた」をご覧ください。
本noteではサポートを受け付けております。よろしくお願いいたします。