サイバー攻撃の抑止は可能か

　サイバー戦における攻撃と防御、どちらの側が有利か。それは攻撃側です。開発が容易でコストが低い。証拠が残りにくいため、実行を命ずる政治的閾値が低い。ゆえに、サイバー攻撃を抑止することはできないと考えられてきました。しかし、そうだとしても、重大なサイバー攻撃を抑止しなければならないと私は考えます。
　2016年5月、オバマ米国大統領（当時）が広島の原爆被災地を訪問した際、こう述べました。「科学によって人間は、海を越えて通信し、雲の上を飛び、病を治し、宇宙を理解することができるようになりました。しかし、こうした同じ発見を、これまで以上に効率的な殺人マシンに転用することもできます」。「原子の分裂を可能にした科学の革命には、倫理的な革命も必要なのです」。「私たちは歴史を真っ向から見据え、このような苦しみが二度と起きないようにするために、どのように行動を変えればいいのかを考える責任を共有しています」――。
　サイバーの領域においても同様のことが言えます。サイバー攻撃は甚大な被害を人類に及ぼしえます。「われわれは、サイバー攻撃による悲劇を回避するために、共有すべき責任がある」。「その責任を果たすためには、サイバーセキュリティについて、サイバー空間内の悪意ある行動とその対処だけの視点を超えて、国家安全保障あるいは国際安全保障の視点から『国家の戦い』のレベルにおけるサイバー戦をとらえ、いかに対処すべきかを考える必要がある」のです。
　私は、防衛省統合幕僚会議事務局で軍備管理班長を務めていた1996年、アメリカにJoint Task Force-Computer Network Defense (JTF-CND)が登場し、更に、2002年度から運用が開始された防衛情報通信基盤（DII：. Defense Information Infrastructure）の立ち上げに関わる過程で、サイバー戦を意識するようになりました。サイバー安全保障の研究を本格化させたのは、2009 年に防衛省を退職した後で、ハーバード大学で論文を執筆する機会に深堀りするようになりました。こうした経験から、今日は、サイバー抑止の理論と実効的なサイバー抑止の方策についてお話しします。

抑止効果の理論的考察

　サイバー攻撃の効果は、心理的インパクト（政治的な効果）と物理的インパクト（システム等効果）の要素で決まります。
　何を狙ってサイバー攻撃を行うかといえば、システムの破壊、あるいはシステムが支援をするものからの情報の窃取といった物理的インパクトと、心理的インパクトを与えることです。
　例えば、原子力発電所の破壊などの「大規模システム・重要インフラの破壊」は物理的にも心理的にもインパクトが大きい。それと比較すると、「大規模金融システムの妨害」は、金融という特定の分野なので物理的インパクトは若干小さくなるけれど、システム障害が持続すると経済的混乱が生じるので、心理的インパクトとしては同等に大きい。このように、攻撃の大きさを相対化することができます。
　他方、サイバー攻撃を抑止する側はどうでしょうか。
　サイバー抑止には、拒否型と報復（懲罰）型との二つのタイプがあります。前者は、脆弱性の除去、被害局限、レジリエンスによるサイバー防護などによる抑止、後者は、攻撃者に、攻撃の成果に見合わないコストを負担させることによる抑止です。先に述べたように、攻撃側が圧倒的に有利なので、拒否型の抑止効果は限定的です。そこで、報復（懲罰）型抑止について考えてみます。
　報復型（懲罰）抑止の効果も、攻撃の効果と同様、心理的インパクトと物理的インパクトが重要ですが、加えて時間的インパクトが関係します。時間的インパクトとは、報復のタイミングです。報復する際にゆっくり時間をかけることがあります。かなり深いところまで攻撃されたときに、確実に攻撃者を突き止めて、国際法上の措置を考慮しながらなんらかの方法をとるような場合です。逆に、攻撃を受けたら、例えばDDos攻撃などですぐさま反撃することもある。手段によってタイミングの取り方が異なるので時間の要素を入れています。時間をかけずに報復するほうがより大きなインパクトを生み出します。つまり、次のような式が考えられます。
P(Psychological Impact) x S(Physical Impact) x P' x 1/T(Timing)

　そして、報復型（懲罰）抑止の効果も、さきほどの攻撃の効果と同様に、どんな手段をとれば、相手にどの程度の物理的インパクトと心理的インパクトを与えることができるかを相対化できます。さらに時間的インパクトを加味すると効果の大きさがわかるということです。
　報復型（懲罰）抑止は、情報戦であり心理戦です。核の相互確証破壊と同様のイメージです。報復するには、まずは報復する能力と意思があること、そして世論の支持、同盟国・友好国の支持があることが重要です。この四つの要素を用いて相手に「不確実性(uncertainty)」、つまり不安を与える。大きな報復がなされるのではないかと思わせる。それによって相手に攻撃を躊躇、あるいは停止させる。不確実性とは究極の心理戦兵器なのです。

あいまいで厄介な戦いの時代

　冷戦期とそれ以降で、国家の戦いは変化してきています。サイバー戦とはどう位置づけられるでしょうか。
　冷戦期には、国家の戦いには、蓋然性の高い、つまり起こる可能性の高い順に、国内騒擾事態・犯罪、テロとの戦い、非対称戦争、通常戦争、核戦争がありました。
　では、冷戦後から現在にかけてはどうでしょうか。
　「国内騒擾事態・犯罪」は国家が戦い続けなければならないものですから、冷戦期もいまも蓋然性は高いままです。そして、テロとの戦い、非対称戦争。次に、新たに「ハイブリッド戦争」が入ってきます。
　ハイブリッド戦争とは、国際法事態か国内法事態かがあいまいな紛争です。国家間の戦争は国際法により規定されます。しかし、2014年にロシアがクリミア半島に侵攻した際には、宣戦布告をせず、非正規軍を送り込んで制圧し、併合しました。ロシアはロシア軍ではなく、義勇兵の行動でありロシア政府は関与していないと主張しました。したがって国際法は適用されないという立場です。どう見ても正規軍に見えるのにもかかわらず、です。こうした場合に国際法が適用できるのかどうかという難しい問題が提起されました。
　次に、冷戦期に比して蓋然性は大幅に低下しましたが、通常戦争。そして、核戦争です。
　テロや非対象戦、ハイブリッドの戦いが常態となる。そして、すべての戦いに、サイバー戦、電子（EW）攻撃、情報戦、心理戦が絡んでいる。今までの枠組みでは解決できない、あいまいで厄介な戦いの領域が中心になります。ここではサイバー攻撃の発起点、命じた人・組織（attribution）の情報が重要になります。それがわからなければ、国際法を適用して自衛権を行使していいのか、国内法で取り締まる相手なのかが見えません。

自衛権の行使は可能か

　さて、サイバー攻撃を受けた際の自衛権の行使、あるいは明らかに攻撃されることがわかった際の先制攻撃は可能でしょうか。
　国連憲章2条4項で、国の領土保全または政治的独立を侵害する武力による威嚇または武力の行使は禁止されています。そして51条で、自衛権の範囲として以下の３つの要件が明記されています。①急迫不正の侵害があること（急迫性、違法性）、②他にこれを排除して国を防衛する手段がないこと（必要性）、③必要な限度にとどめること（相当性、均衡性）。
　つまり、これらの要件を満たせば、自衛権を行使し、報復することができるということです。また、これらの要件を満たし、明らかに攻撃されることがわかれば、先制攻撃をすることが可能だと一般的には理解されています。
　では、サイバー領域における自衛権の範囲はどう考えられるでしょうか。
　一般的に領域は、自国領域、中立領域、相手国領域の３つに区分されます。物理的交戦域はこの３つをまたがります。サイバー戦を考えるうえでは自国領域と相手国領域、そしてサイバー空間内とサイバー空間外とで区分します。
　サイバー空間内の領域には、受動的に防御する自国領域と、自衛権の行使によるサイバー攻撃を行う相手国領域とがあります。自国領域での自己防護の手だてには、IPS（侵入阻止）、IDS（侵入検知）、アクセスコントロール、対ウィルス、ファイアウォールなどがあります。自衛権の行使による攻撃あるいは報復の手だてとしては、サイバー攻撃や、物理的攻撃を仕掛けることが考えられます。
　サイバー空間外領域には、重要インフラの制御系、海底ケーブル等の物理システムを含むサーバー、ルーター等の管理施設があります。自国領域内のそれらは自己防衛すべき対象ですし、相手国領域のそれらは、物理的に報復（先制）攻撃する対象になります。
　アメリカは数年前から、「甚大な被害を及ぼすサイバー攻撃を受けた場合、物理的な破壊力で報復する」と宣言しています。ここで問題になるのは、甚大な被害の定義です。国際法では「武力行使に相当するサイバー攻撃」と定義されています。アメリカは、1つ目に原子力発電所の破壊、2つ目に大規模なダムの破壊、3つ目に航空機の管制の乗っ取りは明らかな武力攻撃相当の攻撃と見なして、物理的な報復をすると明言しています。これらの攻撃が明確に予見できれば当然、先制攻撃もできるとしています。

サイバー領域のグレーゾーン

　武力紛争法など国際法のサイバー空間への適用に関しては、大きな課題があります。国家主体の行うサイバー攻撃は、武力攻撃と同等の被害が生じるような攻撃に対しては国際法を根拠に報復や自衛権の行使ができると認識されています。国家主体が行うサイバー攻撃であっても、スパイ活動は国際法に対しては律する規定がないので、被害国が国内法で裁くことになります。
　しかしながら、サイバー領域には国内法事態か国際法事態かがあいまいな事態、グレーゾーンが存在します。それにどう対応すべきかが難問です。例えば、国家主体によるサイバー攻撃ではあるけれども、武力攻撃相当とは認定できない程度の攻撃や、主体が不明の武力攻撃相当の攻撃などです。
　サイバー領域では、国家主体が行う重大なサイバー攻撃をいかに抑止するか、そして現状の国際法で対応できない事態、グレーゾーンがあり、そこの攻撃をいかに阻止するのかが課題です。

米国の抑止戦略

　抑止には国家主体に対する抑止と非国家主体に対する抑止があります。
　まず、国家主体に対する抑止戦略、報復型（懲罰）抑止戦略を考えます。
　2017年2月、アメリカで「サイバー抑止に関するDSBタスクフォースの最終報告書（Final Report of the Defense Science Board [DSB] Task Force on Cyber Deterrence）」が出されました。このタスクフォースに対する要求は、米国と米国の同盟国／パートナーに対する潜在的なサイバー攻撃の全面的抑止のための要件を検討すること、高度なサイバー能力を有する敵に対する抑止、戦いおよびエスカレーション制御を支援する重要な能力（サイバーとサイバー以外）を明らかにすることです。これらをテーマに、下記の抑止態勢強化のための包括的な３つのイニシアティブが明記されています。
（１）カスタマイズされた抑止キャンペーンの計画と実施
（２）重要な米国の打撃システムのサイバーレジリエントな「Thin Line」の創出
        ・米国打撃システム：サイバー、核、非核
        ・大規模攻撃においても攻撃者へ受け入れがたいコストを負わせる。
        ・主要脅威国による大きな攻撃の抑止を請け負うため第２撃を持つ。
（３）基盤的能力の強化
　上記のほか、Cyber Attribution、統合部隊の広範なサイバー抗堪性、重要インフラ防護のための革新的な技術等の強化が重要。
　さらに、「サイバー大国による大規模・奇襲的なサイバー攻撃においても反撃を確実にし、抑止を保証するサイバーレジリエントな第二撃能力を創造せよ」と付言しています。サイバー抑止というと、サイバー空間のみを見てしまいがちですが、アメリカは抑止の手段、第二撃能力に核を含め広く見ている。サイバー空間のレジリエンスを軍事力の中で確保できないと、抑止そのものが成り立たないことを自覚しているのです。
　このように全体で見ると、「自国領域における犯罪・テロ拠点の摘発・攻撃」、「自国領域に入ってくる情報や自国領域から出ていく情報を活用する活動」、さらに「合法的な範囲での相手国領域におけるサイバー偵察・情報活動」などの防御も可能です。これらは自国領域における受動的防御（自己防衛）と相手国領域への自衛権を行使してのサイバー攻撃との間、グレーゾーンに位置づけられる「アクティブ防御」です。
　2016年11月、ジョージワシントン大学から発刊されたInto the Gray Zoneでは、このグレーゾーンにおけるアクティブ防御の方策が明記されています。米国の情報機関を率いたデニス・ブレア氏をはじめ、国防総省出身者などによりまとめられた報告書です。
　グレーゾーンにおけるアクティブ防御は、より高い影響力・リスクをもたらす方策とより低い影響力・リスクをもたらす方策との二種類に分けて記されています。より高い影響力・リスクとあるのは、効果が大きい反面逆襲がありうるからです。
　より高い影響力・リスクをもたらす方策には、資産回復のための救助任務（敵のコンピューターに侵入して窃取された情報を無効化するか回収する）、ホワイトハット・ランサムウェア（マルウェアを使用して窃取された情報を暗号化する）、経済制裁、ボットネットの強制的な無効化の技術操作などが挙げられています。それぞれの施策について、国家が早めに防御をし、法的措置をとるよう意見具申されています。
　より低い影響力・リスクをもたらす方策には、Deep Web/Dark Netでの情報収集、外部ネットワーク情報の供給あるいは盗難の場合は所有者に通報するビーコン、ハンティング、拒否および欺瞞 、Tarpits（遅延技術）、情報共有などが挙げられています。
　全体で見たときの、対抗措置（報復・懲罰的）にはどのようなものがあるでしょうか。アメリカにFlexible Deterrence Options (FDOs)という考え方があります。これを参考にすると以下の措置が考えられます。物理的インパクトと心理的インパクトが共に高い措置の例としては、サイバー攻撃の発信源および重要インフラに対するエネルギー兵器による報復。心理的インパクトは高いけれども、物理的インパクトは小さい措置の例としては、敵対国家の国民および政治に対する心理戦/宣伝戦/情報戦のような非殺傷手段。心理的インパクトは高く、物理的インパクトは中くらいの措置としては、通信システム/衛星システム/等への制裁が考えられます。
　また、FDOsには、情勢緊迫の過程（危機～緊迫）で、直接的な武力衝突にエスカレートさせないためにとりうる、政治、経済、外交、軍事、情報など各分野での措置も明記されています。例えば、軍事分野では、偵察活動増加、予備役招集手続き開始、示威行動の開始、事前配置装備の訓練、CVBGまたはSAGの地域への展開などです。
　以上、「サイバー抑止に関するDSBタスクフォースの最終報告書」の報復型（懲罰）抑止、第二撃能力、報復の手段、Into the Gray Zoneのアクティブ防御、FDOsなどを参考に、われわれも実際に重大なサイバー攻撃を受ける以前にどのような対抗措置をとりうるのかを具体的に考えておかないと、抑止できません。

抑止戦略は総合安全保障戦略の一部として

　最後に、サイバー軍備管理についても触れたいと思います。
　安全保障、特に軍備管理の専門家は、「サイバー軍備管理は難しい」といいます。サイバー兵器はカウントできないからです。なので、サイバー軍備の管理ではなく、サイバーに関する軍備管理による国際的抑止および非国家主体に対する抑止について考えてみます。
　どのような方策が考えられるか。まずは、国家のサイバー軍の保有・存在を互いに確認すること。通常戦力と同等の取り扱いをするということです。そして、国際法、国際規範の適用について国家主体間で合意すること。
　次に、非国家主体を孤立させる。例えば、非国家主体の組織および攻撃の管理に関する国際的な合意の形成、非国家主体の活動等の情報共有などによって、非国家主体のサイバー攻撃を抑止する。
　そして、サイバー空間における国際的な秩序を構築すること。サイバー抑止、予防外交、信頼醸成、軍備管理（技術等拡散防止）などです。将来のサイバー災禍を回避するためには、国際的な規範（枠組みと合意）が主要国および多数の国家間で形成されることが必要です。
　以上を踏まえると、日本のサイバー抑止戦略には以下のことが必要です。
　まず、サイバー領域は、戦争の領域であることを政治的に宣言すること。重大なサイバー攻撃（武力攻撃相当）に対しては自衛権を行使すると宣言すること。ただし、自衛権を行使するほどの重大なサイバー攻撃について独自に定義する必要があります。相当な議論を重ねる必要があるでしょうが、それを欠いては攻撃され放題、抑止はきかなくなるので重要なことです。
　二つ目に、レジリエントな国家全体としてのサイバーフィジカルシステムの安全を確保すること。これは拒否型抑止です。政府全体のシステムの防護強化、重要インフラ等の防護強化と政府の支援（情報共有、対策、人材育成等）、そしてサイバー戦、電磁波戦、物理破壊攻撃に対する防護などです。
　三つ目に、報復型（懲罰型）抑止のための実効的な準備。自衛権行使の手段（対抗措置等）の保持。能力をもっていなければ、抑止はききません。そして、対抗措置等の準備。つまり、国内法による司法、行政上の対応、グレーゾーンにおける対抗措置の準備と合法化、武力攻撃相当の重大なサイバー攻撃の定義と報復の準備などです。
　四つ目に、情報力の強化。Attribution、予知・予見情報能力。いまや攻撃を受けたときに、何が起こったのかを時間をかけて調べるような時代ではありません。早期警戒情報を出して、守り固めて実害が出ないようにしていく。それから、小さな兆候を見逃さないこと。情報収集や偵察行動などの小さな兆候をまとめてみると、大きな目的が見えることがあります。小さな情報を積み重ね、情報共有、情報の分析評価をする仕組みをつくる。
　そして最後に、国際協力・サイバー軍備管理。非国家主体の攻撃抑止、国際規範合意の推進。ここは日本の得意分野なので、力を入れていくべきです。
　抑止戦略は、サイバー領域だけの抑止ではない。国家の総合力をもって抑止を実効性あるものにするための総合安全保障戦略の一部です。安全保障戦略の抑止戦略部分は、こうした考え方に基づいて策定されるべきです。その際には、多岐にわたる分野の専門家が集結し、議論を重ねていく必要がある。相応のプロジェクトチームが必要です。

講演者プロフィール
田中達浩氏（富士通システム統合研究所主席研究員、元陸上自衛隊通信学校長）

１９７５年防衛大学校卒業、陸上自衛隊入隊。統合幕僚会議事務局（以下統幕）３室（運用）日米共同統合指揮所演習企画担当、統幕５室（防衛政策・計画）軍備管理班長、陸自研究本部第３研究課長（装備体系担当、初代）、統幕３室防衛情報通信基盤管理運営室長（初代）、陸上自衛隊幹部学校教育部長、第２師団副師団長兼旭川駐屯地司令の勤務を経て、通信学校長兼久里浜駐屯地司令を最後に退職、元陸将補。米国海兵隊指揮幕僚大学留学（１９９０湾岸戦争時）のほか、米国スティムソンセンター（９．１１直後）、ハーバード大学アジアセンター（２０１２～２０１４）において国家安全保障及びサイバー安全保障の研究に従事。２０１７年８月現在、内閣府総合科学技術・イノベーション会議　重要課題専門調査会「地域における人とくらしのワーキンググループ」の専門構成員として活動中