周回遅れ｢能動的サイバー防御｣で日本は変わるか 攻撃を未然に防ぐのにこれから必要なこと

日本では、通信の内容や宛先を第三者に知られたり、漏洩されたりしない権利を定めた憲法21条が「通信の秘密は、これを侵してはならない」と定めている。

この規定を受けて電気通信事業法が「通信の秘密」を保護していることから、政府が通信事業者から情報提供を受けて対処することはできないと主張され、インテリジェンスは問題視されがちであるが、同報告書の中では、インテリジェンスは低インパクト／リスクに分類されている。

日本が遅れを取り戻すために

日本のサイバーセキュリティが欧米諸国、中国、ロシアなどから大きく遅れたのは、日本の議論の中心がそれら国々と異なるからだ。

非常に大雑把に言えば、ほかの国々は、洗練されたサイバー攻撃の脅威が急速に高まる状況を分析し、対応するために達成すべき目標を設定し、目標達成のための行動を決定する。その際に、課題をどのように克服すべきかを検討する。

一方の日本は、「何をしてはいけないか」という課題に議論が集中する傾向にある。その結果、日本ではサイバーセキュリティも種々の制限で縛られることになり、政府機関の権限や取りうる手段が極めて限定されている。

また、日本では、能動的サイバー防御だけが切り出されて議論されているように見受けられる。しかし、能動的サイバー防御が実現すればサイバー空間の安全が保障されるわけではない。

サイバーセキュリティ全体の枠組みの中で議論を

先述のとおり、能動的サイバー防御は、一連のサイバーセキュリティ活動・手段の一部にすぎない。

十分に強力なアーキテクチャーやパッシブ・サイバー・ディフェンスがあって初めて効果を発し、オフェンシブ・サイバーにスムーズに移行することによって攻撃の起点を潰し、攻撃を無効化できる。

ほかのカテゴリーと緊密に連携させるために、能動的サイバー防御もサイバーセキュリティ全体の枠組みの中で議論されるべきなのである。

2021年、アメリカの大統領令は連邦政府に対し、「大胆な変革と多額の投資」を行い、ゼロトラストを用いてサイバーセキュリティを近代化するよう指示した。

2022年に発表されたアメリカ国防総省の"Zero Trust Reference Architecture"は、「ゼロトラストとは、静的なネットワークベースの境界線から、ユーザー、資産、リソースに焦点を当てた防御に移行する、進化する一連のサイバーセキュリティ・パラダイムを指す言葉である」としている。ネットワーク中心からデータ中心へのパラダイム・シフトであるとも言える。

日本でも、単なるITソリューションではないとされるゼロトラストを理解してサイバーセキュリティ全体の枠組みを計画的に構築し、その中で能動的サイバー防御の活動を議論することによって、欧米諸国と協力できるまでに自らのサイバーセキュリティ能力を向上させることができるだろう。

小原 凡司：笹川平和財団上席フェロー