「サイバー安全保障と能動的サイバー防御(ACD)」研究プロジェクトにレポートを掲載
能動的サイバー防御の課題:対処プロセス、リスク推定、効果測定
東京海上ディーアール株式会社は、2025年4月から調査研究プロジェクトである「サイバー安全保障と能動的サイバー防御(ACD)」を開始し、このたび研究成果として、「能動的サイバー防御の課題:対処プロセス、リスク推定、効果測定」を発行いたしました。詳細は調査研究プロジェクトの概要ページをご覧ください。
レポート概要
本稿では、日本版能動的サイバー防御における課題を指摘する。具体的には、対処プロセスの確立、サイバー攻撃被害のリスク推定、そして対処の効果測定である。能動的サイバー防御とは、サイバー攻撃による被害を防ぐために、注意喚起等をはじめとする複数の対象を組み合わせる防御手法である。
なかでもアクセス・無害化措置は、日本政府の対処手段を拡大する新たな措置である。2025年5月に成立した重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律(サイバー対処能力強化法整備法)により、政府は被害が顕在化する前に、民間事業者が管理するコンピュータへ対処できるようになった。
しかし、国際的にアクセス・無害化措置は、防御側が取り得る最後の手段と位置付けられている。そのため政府は、実施前にその適切性を慎重に判断し、対象となるコンピュータの数を絞り込み、実施後には対処が適切であったことを説明しなければならない。
以上をふまえ、本稿ではまず対処プロセス確立の必要性を指摘する。攻撃兆候の認知からアクセス・無害化措置に至る一連の対処プロセスを確立すれば、政府は対処の適切性を判断しやすくなる。なぜなら、複数の対処を実施する際、「いつ」「誰が」「どんな基準で」対処するかを明確にしておくことが、対処をエスカレートさせる際に不可欠だからである。
また、政府が事前に対処プロセスを確立すれば、政府内で共通認識が醸成され、迅速な対処につながる。この共通認識があれば、各省庁は対処の段階的なエスカレーションを相互に把握し、対処期間を有効活用できるようになる。
第二に、サイバー攻撃被害のリスク推定の必要性を指摘する。政府は日本にとっての「重大な危害」を認定する際、どのような指標を用いるべきかを検討し、定量化する必要がある。一般的に、サイバー攻撃に伴うリスクは定性的・定量的な観点から分析する。しかし、サイバー対処能力強化法整備法における「重大な危害」の定義は明確ではない。
新法では、「国家及び国民の安全を著しく損なう事態」や「特定侵害事象」という概念を示しているものの、定量化は難しい。そのため、サイバー攻撃被害が重大な危害に該当するかを判断できる定量的な指標が必要である。
また、対処の適切性について国内的な観点からみれば、政府による対処の対象は、基幹インフラに設置された重要電子計算機を狙う規模の大きいサイバー攻撃である。国際的な観点からみれば、サイバー対処能力強化法整備法は海外のコンピュータへの対処も認めているため、政府は国際法上の正当性も検討しなければならない。
国際法の基準からみれば、アクセス・無害化措置が正当と認められるのは、領土の一体性、政府の統治機能、国家の本質的な利益が損なわれた場合である。また、2015年の国連政府専門家会合の報告書では重要インフラに対する攻撃をしてはならないと結論しており、他国による日本の重要インフラへの攻撃を国際法違反と指摘できる可能性もある。
国会での審議にもあったとおり、アクセス・無害化措置を海外のコンピュータに対して実施する場合、緊急状態(緊急避難、Necessity)と対抗措置(Countermeasures)として位置付けることができる。例えば、2024年に米国が実施したボルトタイフーンへの対処では、初期段階は通信インフラで利用される機器への攻撃という差し迫ったリスクへの対応であり、緊急避難に近かった。その後、米国は攻撃への中国政府の関与を認定し、対抗措置(制裁、外交的抗議、継続的テイクダウン)へ移行した。
第三に、サイバー攻撃キャンペーンへの対処には、事前の適切性と事後の有効性を評価する効果測定が必要である。攻撃者の戦術変化等によって想定した効果が得られない場合、措置が数か月、場合によっては1年以上続く可能性がある。こうした長期化に対応するため、措置の継続や方針転換を判断する効果測定が必要である。さらに、日本のサイバー対処能力強化法整備法においても、独立機関による監査、措置期間の延長に承認が必要なこと、国会に対する報告が定められている。措置の延長を判断する基準や国会への報告という観点からも、効果測定を検討すべきである。
「サイバー安全保障と能動的サイバー防御(ACD)」研究プロジェクト概要
日本のサイバー安全保障戦略・政策は大きな転換点にあります。具体的には、「国家安全保障戦略」(2022年12月)で示された「能動的サイバー防御(active cyber defense: ACD)」を実現するための制度整備・能力構築が進展していることです。本研究プロジェクトは、日本を代表する専門家とともに、日本のサイバー安全保障の確保と能動的サイバー防御(ACD)の実現のために必要な研究および政策提言を行います。このページでは、その検討結果の一部を公開します。