「能動的サイバー防御」時代の幕開け　重要インフラ企業が知るべき法的課題と脅威インテリジェンス活用戦略

国家安全保障戦略で導入された「能動的サイバー防御」の概念

高橋郁夫氏：みなさんこんにちは。弁護士の高橋郁夫です。本日は「能動的サイバー防御が与える民間への影響」というタイトルの下、お話ししたいと思います。

最初に、本日のお話の内容ですが、初めに能動的サイバー防御の概念ということで、能動的サイバー防御とはどういうことなのかについて簡単に触れたいと思います。その後、現時点における議論についてです。

これは2つありまして、1つは、プロバイダーの通信に係る情報の活用に関する活動です。もう1つは、攻撃者のサーバーなどへの侵入・無害化の活動について、現在どのような議論がなされているかを見ていきたいと思います。

その後、民間企業に対してこうした議論がどのような意味を持っているのかについてお話ししていきたいと思います。

能動的サイバー防御の3つの具体的な取り組み

では、さっそく初めの能動的サイバー防御の概念について話をしていきます。この能動的サイバー防御という考え方は令和4年の12月16日に国家安全保障戦略で公表されました。

基本的には、この安全保障関連3文書が国家安全保障会議と閣議によって決定されました。この3文書は「国家安全保障戦略」「国家防衛戦略」「防衛力整備計画」で、（能動的サイバー防御というのは）国家安全保障戦略の中でうたわれている概念です。

この安全保障戦略の中で、「能動的サイバー防御を導入します」と記載されていますが、具体的にどのようなものなのかを見ていきたいと思います。



この国家安全保障戦略の言葉の中には、「武力攻撃に至らないものの、国、重要インフラなどに対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、またはこのようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入します」ということが書いてあります。

ここのところに、ちょっと英語の表現も付け加えていますが（これは）むしろこの英語の表現と併せて読むことによって、問題点がわかるのかなと考えていることによります。

「武力攻撃に至らないものの」と。武力攻撃というのは1つの法的な考え方でして、まさに人の生命、身体をその性質上害するようなものが武器になるわけです。その武器を全面的に駆使して、国家の主権を侵害するような行為が武力攻撃となります。

そのような武力攻撃に至らない場合であったとしても、こういう能動的サイバー防御を考えるのが、このテーマの1つになります。

では逆に、「武力攻撃の場合について能動的サイバー防御も考えるの？」というのが1つの論点にもなってきます。ここに「even if」と入っていて、英語で読んだ人だと、この武力攻撃の場合も能動的サイバー防御を考えなきゃならない状況に入るんだろうな、と思い浮かぶということです。

この点は後でまた触れることにして、「じゃあ具体的に、この導入するとされている能動的サイバー防御って、この国家安全保障戦略の中ではどういうことなのか」ということについて見ていきたいと思います。

動的サイバー防御が挑む「通信の秘密」との法的課題

この国家安全保障戦略の中での能動的サイバー防御という考え方は、3つの具体的な活動と言いましょうか、取り組みとして表されているというところがポイントです。

1つは、国家安全保障戦略ということになりますから、「日本の国がどういうことをするんですか？」と（いう問いに対して）、「日本はこういう取り組みを進める」というようなかたちで書かれています。

最初の話は、重要インフラ分野を含めて、民間事業者がサイバー攻撃を受けた場合などの政府への情報共有。また、政府から民間事業者に対しての対処を調整する。また、支援などの取り組みを強化するといった取り組みを進めるのが最初の1つになります。

次は、国内の通信事業者が役務提供する通信に係る情報を活用して、攻撃者による悪用が疑われるサーバーなどを検知するために所要の取り組みを進めることです。

3番目が、国、重要インフラなどに対する安全保障上の懸念を生じさせる重大なサイバー攻撃。このサイバー攻撃について、可能な限り未然に攻撃者のサーバーなどへの侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにすると。この3つの活動、オペレーションが考えられています。



「この、能動的サイバー防御という概念というのはどういうことなんですか？」と。特徴といいましょうか、例えばこの3つのオペレーションについて、例えば（ウ）のオペレーションであれば、この攻撃者側に対して何らかの積極的な行動をするんだろうとわかりますが、これはディフェンスという表現にふさわしいかなというところもあります。

（ア）に関していうと、情報共有とか対処調整ということで、これをディフェンスというのか、普通のサイバーセキュリティの活動といった場合でもあんまり違わない話になるわけですし、この（イ）の活動に関していうと、いわゆる日本でよく言われる通信の秘密との関係を整備しますよとなります。

そういった意味で、このアクティブサイバー防御という概念は、ある意味で日本的な文脈の下で使われている用語なんだろうと言われています。

この能動的サイバー防御という言葉に関しては、この安全保障戦略が出た直後、「Active Cyber Defense」と（呼ばれてきています）。これはまさに先ほど紹介した英語の仮訳の中でも、そういう概念が用いられてきたことにもよります。

これが、新しいActive Cyber Defenseがうたわれて、そうだとすると「このActive Cyber Defenseってどういうことなんでしょうね？」ということで、アメリカやイギリスの概念を紹介して、こういうポイントがありますなどという説明がされたこともあります。

このように具体的に見ていくと、このActive Cyber Defenseという概念と能動的サイバー防御という概念は、かなり異なっています。

例えば、まさに英語と言いましょうか、Active Cyber Defenseという言葉で言ったとしても、イギリスをベースにする、まさに「英語」の部分と、アメリカの文化の下で語られるActive Cyber Defense、「米語」となるのかもしれませんが、その言葉自体もまた異なってきます。

私の個人的な考え方としては、安全保障戦略の3つの概念、これにフォーカスして議論しないと、議論がとにかく散漫になるだろうなと考えています。

ISP通信情報を武器にDDoS攻撃とボットネットを撃退せよ

では、この特徴として、まず3つの活動のうち2番目の、悪用が疑われるサーバーなどを検知するとどのようなことになるのかについてです。

ここで図で示したのは、日本の経済活動というか、主権に対して影響を及ぼすような、例えば国外からのいろいろなサイバー的な手法による攻撃についてです。

この攻撃によって、実際に日本の経済活動、もしくは実際にほかの国から侵害されてはならないようなキーとなる活動、これが妨害されたとすると、それはまさに重要な話になってきます。

そのような攻撃にはどのようなものがあるか。特定の国の積極的な活動っていいましょうか、例えばDDoS攻撃によっていろいろな通信が使えなくなると、日々の活動にどれだけ影響が出るのかはみなさんも十分おわかりのことかと思いますけれども、そのようなDDoS攻撃によって影響が及ぶこともあるかと思います。

また、場合によっては、国民のかなりの人たちが使っているようなソフトウェア、もしくは例えば官公庁で多く使われているようなソフトウェアをアップデートしますよというようなサーバーがあるとします。そのサーバーにマルウェアを仕込んでおく、もしくはリモートからコントロールするようなツールを仕込んでおく、なんてこともなされる可能性があるかもしれません。

また、ここの図の関係で言うと、そういう攻撃がいわゆるボットネットというようなかたちで、攻撃がされることもあり得るわけです。



このような場合に、「誰が、どこからどのような攻撃をしているのか」。これを、このISPが持っている通信に関する情報を活用して、どのようなことが悪用されているのか、どのようなサーバーなどが悪用されているのかを調べましょう、というのがこの2つ目の話になってきます。

そういう悪意のあるサーバーなどから、例えばボットネットからもDDoS（攻撃）がされていますよ、という話が出てくるかもしれませんし、場合によっては、国の重要な情報が漏洩していますよ、ということもあるかもしれません。

そのようなことに対してどう対応していくのかというと。場合によっては、本当に、先ほど武力攻撃の場合にどうなるのかというような話もありましたけれども、そのような武力攻撃の事態になってくると、この通信インフラを守ります、というようなかたちで同盟国からの支援もあるかもしれません。

そのようなことをなし得るための環境を整備していかなきゃならないのではないかというのが、たぶんこの悪用が疑われるサーバーなどを検知する活動の実際上の問題なんだろうと思います。

これに対して、国がこれを使用しますよとなった時に、法律上の問題点としては、憲法21条2項の通信の秘密、「通信の秘密はこれを侵してはならない」もありますし、電気通信事業法4条の中で、秘密の保護の1項のところで、「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない」というようなかたちで（ありますが）、それはどのような内容なんだと。

じゃあ国がこれを取得したい、例えば共有しなさいと命じることになると、果たしてこういう条文との関係はどうなるのかが問題になるというのがこの論点になります。

政府の新権限で攻撃者サーバーを制圧する侵入・無害化作戦

次の（ウ）の活動になってきますと、これは未然に攻撃者のサーバーなどへの侵入・無害化になります。

これは基本的に先ほども触れたように、安全保障上の懸念を生じさせる重大なサイバー攻撃に対して、攻撃者のサーバーなどに対して対応するんだと。じゃあ、これは政府に対して必要な権限が付与されることになるわけですけども、「政府ってそもそも何？」となるわけです。「そのための手続というのはどういうことなの？」となるわけです。

実際にこのような、場合によってはオフェンシブな攻撃というか、攻撃者側（によって）、このサーバーなどに対して影響を及ぼすということであれば、こういうことをなし得るのは警察もしくは自衛隊なんだろうと思います。「じゃあ、具体的にどういう活動になるんでしょうか？」ということが1つの問題になってくるんだろうと思います。

また、この「サーバーなど」と書いてあって、「この『など』って何よ？」という話になってくるわけです。

これでちょっとおもしろいのが、アメリカですと、感染しているいろいろなサーバーがあると。それは別に悪意があるわけではなくて、これからそういうマルウェアが広がるための潜在的な可能性があるところで、ただし脆弱性が残っているとなると、それを裁判所の許可を得て直しましょうという活動もなされたことがあるわけです。

この感染しているクライアントも、この「サーバーなど」の「など」という文言の中に入ってくるのかな、と考えなくてはいけないことになります。

能動的サイバー防御の「英語」と「米語」における国際的解釈の相違

このように見ていくと、非常にこのActive Cyber Defenseと英語で言った場合の話も含めて、非常にこの「能動的サイバー防御」は広い概念であると。しかも「英語」と「米語」とも違うんだということがポイントになってくるんだろうと思います。

「では、この能動的サイバー防御に関してどのような議論がされていますか？」ということを見ていくと、これに関しては我が国で、「サイバー安全保障分野での対応能力の向上に向けた有識者会議」が開催されています。現在までに3回の有識者会議が開かれており、先ほどの3つのオペレーションに関して、それぞれテーマ別会合が開かれています。

本日はその中で、先ほどの通信の秘密、秘密の保護に関するテーマ別会合と、サーバーに対する侵入・無害化に関するテーマ別会合に関してちょっと見ていきたいと思います。それぞれこの有識者会議の中では通信情報の利用に関するテーマ別会合とか、アクセス・無害化措置に関するテーマ別会合と呼ばれています。

また、この有識者会議では、令和6年8月7日に有識者会議の「これまでの議論の整理」という1つの報告書案が公表されています。この「議論の整理」という報告書案をもって、今までの議論の到達点と認識できるのではないかと考えておりますので、その点についても見ていきたいと思います。

有識者会議が描くサイバー安全保障の未来像

では、通信情報の利用に関する有識者会議での議論ですが、先ほども触れましたけれども、「武力攻撃事態の場合について考えるんですか？」とか、「これは、じゃあ、どういう場合を言っているんだ？」とか。プロバイダーとの関係で、例えばプロバイダーの情報を提出しなさいというような話になるのかを考えているのか、いや逆に、例えば国家の情報機関、イギリスでいうとMI6とかそのようなかたちを考えているのか（はっきりしないところです）。

そういったかたちで常にその国に対する通信を観測しているようなものなのかと。どのような仕組みを念頭に置いているのかがちょっとよくわからないよねと。

先ほどの例で挙げましたけど、国際的な通信が問題になって、「それに関して憲法がどう関わってくるんだろうね？」とか「電気通信事業法ってどう関わってくるんでしょうね？」というようなかたちになってくるのですが、この有識者会議の「議論の整理」を見ていくと、そこでは論点が整理されています。

この通信情報の利用に関しては、通信情報を利用することが必要ですよと書かれており、通信情報にはいろいろなかたちで、このような種類の情報があります。その中で特に国際通信との関係で議論が出てきます。通信の秘密との関係を整理しなくてはいけませんとなっています。

この論点に関しては、特に東京大学の宍戸（常寿）教授が、新聞の中でこの通信の秘密との関係について説明するという論考を発表していて、たぶんそれがこの有識者会議での、共通の理解になっているのかなと思います。その整理でいくと、憲法上の通信の秘密の「公共の福祉のために必要かつ合理的なものかどうか」という観点から考えられると。

そして、さらにその通信の秘密、憲法上の規定との関係では、通信当事者の有効な同意がある場合の通信情報の利用は憲法上許容されるんだと、このようなかたちでこの部分が整理されてくるんだろうと考えられます。

一方そうすると、このスライドで、こんな点でいろいろ問題あるよねと議論をピックアップしました。「憲法が国際的な通信との関係でどこまで規制しているのか？」とか、「電気通信事業法の規定との関係はどうなるんだろうか？」という点については、この「議論の整理」の中では論じられていないことが、1つの特徴になってくるのかなと思います。

警察官職務執行法に学ぶサイバー空間での新たな権限行使

では次、このアクセス・無害化措置と言われているところに関していうと、これに関しては、このサーバーなどへの侵入・無害化について、「どういうアプローチが取られるべきなんでしょうね？」と。

そもそもこういう攻撃者のサーバーなどへの侵入・無害化と言っていますが、侵入・無害化ということでなされる、実際のオペレーションとしてどのようなものがあるのかと。あと、これに対する国際法の枠組みはどうなのかということが検討されなきゃならないんだろうなと思います。

「議論の整理」の論点では、実際にこのアクセス・無害化措置は、法律上の整理として、権限の執行法として整理されるべきとされています。

これは要するに、いろいろな行政組織において、「その組織はこういうことをし得る」というようなことを、組織法と表現しますが、そういうものではなくて。そういうものの整理も当然必要になってきますが、「実際に、ではどのような権限をどのようなタイミングでどのような要件の下になし得るんだ？」という権限執行法として整理しなくちゃいけませんねと言われています。

その中で挙げられている、警察官の職務執行法とその職務執行制度の一連のプロセスが特に参考になります。このような権限執行の仕方としては、行政権がその命令によって発令するようなことであるとか、例えば司法・準司法手続のようなかたちで、令状で権限を行使するという場合。

あと、警察官職務執行法の下で、避難の方法であるとか排除するような権限が許されていて、そのようなかたちを整理すべきではないのかということがあるわけです。

この中で、その警察官職務執行法に基づいて、整理されていくべきだろうと提案されているわけで、「具体的に、じゃあ、どうなのか？」ということに関しては「議論の整理」としては、具体的な記述はされていません。また、このような活動に関しては、国際法に準拠するかたちで考えられなくてはなりません、というかたちが触れられています。

国際法で読み解くサイバー防御活動の主権侵害とエスピオナージの境界

この点で、私の私見になりますが、基本的には実際に影響がどの程度出るのか（をもとに整理すべきと考えます）。

そこで、1つ具体的なポイントとなるオペレーションを例に挙げて、それが他国の主権を侵害しているレベルになるのかどうかということ。逆に言うと主権を侵害していない（場合には）例えばいわゆるエスピオナージ、情報の取得というレベルであれば、国際法の主権侵害との関係では問題にならないですから、その点に関しての配慮は要らないかたちで枠組みを作っていくべきであろうと（思います）。

一方、逆に攻撃者側によってそのような組織に実際の被害が出るということだったりすると、それは国際法上許されるのかと。それが許される活動はどういう場合で、それは国内法として警察官職務執行法の下でどのような要件・効果でいくんだろうかと。場合によってはそれは海外への影響も出てくることになりますから、そのようなかたちで外務大臣がどのように関与してくるのかとか、そのような枠組みというのが定められなくてはならないんだろうと考えるわけです。

ボットネット武装解除などの最先端サイバー防御手法に挑戦

そうすると具体的に、実際にこのような防御のために使われる手法を考えることができるのかということがありまして、その中で具体的な（方法としては）、アクセスをするのみの行為であったりとかビーコンを仕込んでおくとか、シンクホールを使用するとか（が考えられます）。

あと、特にこのような有識者会議で議論されているのが、このシンクホールの中に、ボットネットを解毒するようなプログラムを仕込んでおいて、そのプログラムでもって、ボットネットを武装解除する、というようなことが議論されていて、このようなことがそもそも許されるのかといったことも出てきます。



このように具体的なオペレーションごとに検討していかなくてはいけないんだろうというのが、今後考えられるべき事項なのかなと思います。

警察官職務執行法のサイバー空間への適用で犯罪予防に挑む

具体的に考えられるべき警察官職務執行法は、この資料で挙げたとおり、避難などの措置ということになるのか、（それとも）犯罪の予防および防止ということになるのかどうか（が議論されると思われます）。

これが、このまま今の条文のままだとなかなか適用は難しいだろうとなるので、これが裁判に応じたかたちで発展するだろうと私としては考えています。



結局現時点においては、ある程度の議論の整理はされていますが、一般論として、何か具体的に今後役に立つような議論を整理したとは言えない。単なる一般論のままだと私としては考えています。今後、この議論の発展を待ちたいなと考えています。

能動的サイバー防御時代における重要インフラ企業の新責務

では、「このようなかたちでの議論が、民間企業に対してどのような影響を及ぼすんだろうか？」について考えていきたいと思います。

この能動的サイバー防御という考え方は、今まで見たことでわかるように、基本的には国家が安全保障といった観点から何をすべきなのか、そのための制度を整えるためにはどうしたらいいかという概念です。

では民間企業は、先ほど具体的に挙げたようなオペレーションができるかとなると、攻撃側に影響を及ぼすというような行為は国家が独占しているんだと一般的に考えられているわけです。なので、民間企業は、そのような何らかの防御活動をなし得るものでもないと、むしろ認識していただきたいと思います。

しかし、この重要インフラ企業においては、このサイバーセキュリティ防御が極めて重要な責務になっています。先ほども触れたように、「この通信の秘密との関係で同意が必要になるんじゃないか？」みたいなことが議論されていますし、そんなかたちで重要インフラ企業がこの能動的サイバー防御の枠組みの中で触れてくるだろうというのもあります。

また、実際に「重要インフラのサイバーセキュリティに係る行動計画」というのが議論されているところでもありますし、このような義務が、サイバーセキュリティの義務が法律で定められる動向もあることについては、注意する必要もあると思います。

サイバー脅威インテリジェンスで攻撃者の頭脳を読み解く防御革新

さらに大きく考えていくと、攻撃側の情報をきちっと知った上で防御の対策を講じていくことの重要性を示していると。これがたぶん能動的サイバー防御の議論の一番のレッスンになるのかと思います。

このような考え方がサイバー脅威インテリジェンス（CTI）と言われており、攻撃者の動機、標的、攻撃行動を理解するために、そういう情報をちゃんと仕入れて、それをベースに防御すると言われる考え方です。

このインテリジェンスは、そういうプロバイダーによって提供されます。具体的な手法は、先ほどのオペレーションのように、いろいろな手法があります。

ただ、これを実際にインテリジェンスを購入するというかたちで、企業が関わってくることになると、経営者としてはある意味で法的なコンプライアンスに対して決断をする必要があります。

例えば、この、「ダークマーケットに自分の会社の情報があります」となると、それを仕入れるために、いわば日本的な表現でいくと反社勢力にお金を払って情報を手に入れることになりますから、「そのようなものに関してはどのように考えるんだ？」ということは、企業さんの中できちっと位置付けていかなくてはならないかと思います。

しかしながら、サイバーセキュリティの重要性というのは、日に日に大きくなるばかりですから、このような脅威のインテリジェンスを有効活用することが企業に求められてきていると私としては考えます。



私の話としては以上になります。どうもご清聴ありがとうございました。