top of page
検索

日本における能動的サイバー防御の制度設計と各国比較

  • 山崎行政書士事務所
  • 7月26日
  • 読了時間: 42分

~能動的サイバー防御に関する国際制度比較と日本の法制度提言~

ree

はじめに

近年サイバー攻撃の脅威が増大・高度化する中、「能動的サイバー防御(Active Cyber Defense, ACD)」への関心が高まっています。従来の受動的な防御(防御壁の構築など)だけでは攻撃を防ぎきれず、攻撃者の特定や排除を通じて被害発生を未然に防ぐ積極策が求められているためです。日本でも2022年末の国家安全保障戦略でACDの検討が盛り込まれ、有識者会議により法制度整備の提言が行われました。本稿では、日本の能動的サイバー防御に関する現行法制上の制約と最新の制度動向を整理した上で、米国・イスラエル・エストニア・ロシア各国の枠組み(国家レベルの体制、民間企業の役割、官民連携など)を比較します。その比較から得られる知見に基づき、日本における制度設計・法改正への提言を技術面・法制度面の双方から論じます。

日本:現行法制度の制約と新たな動き

現行法制上の制約

日本では、他者のコンピュータへの「攻撃的」な措置(いわゆるハッキング返し)は法律上厳しく制限されています。まず不正アクセス禁止法があり、他人のID・パスワードを無断使用したアクセスや、許可なく他人のコンピュータに侵入する行為は禁止されます。1999年の同法施行以来、他人のシステムへの不正侵入やデータ窃取・改ざん行為は犯罪として処罰対象であり、2011年の刑法改正でもウイルス作成やデータ破壊行為の処罰規定が整備されています。そのため、仮に自社がサイバー攻撃を受けても、攻撃元のシステムに無断で侵入し反撃・無力化することは現行法上**「不正アクセス行為」**となり処罰リスクがあります。被害者による一方的なハッキング返しは現行法の下では許容されないのが原則です。 次に通信傍受や監視に関する規制です。日本国憲法第21条2項は「通信の秘密」を保障しており、公権力による通信傍受や検閲は厳格に制限されています。また電気通信事業法でも、電気通信事業者に通信の秘密保護義務を課し、正当な理由なく通信内容を漏洩・監視することを禁じています。したがって、通信の秘密の壁により、仮に重大なサイバー攻撃の予兆を検知する目的でも、国や民間企業が平時から他人間の通信内容を覗き見たり、傍受したりすることは許されません。たとえばISP(通信事業者)が自網を流れるトラフィックを解析して攻撃指令サーバーとの通信を探知・遮断したい場合でも、現行法上は通信当事者の同意や法律の特別な根拠なしに内容を見ることはできず、消極的なフィルタリング(既知の不正サイトへのアクセス遮断など)に留まります。この憲法上の制約はイスラエルなど他国に比べ極めて厳格であり(イスラエルには成文憲法がなく捜査上の検閲手続きも比較的柔軟です)、日本で能動的防御を制度化する上で最大のハードルとなっています。 さらに電波法も制約になります。電波法第59条では、特定の相手に対する無線通信を傍受し内容を漏らすことを禁じており、無線LANや無線通信を介した攻撃(例:Wi-Fi経由の不正アクセス)に対し、防御側が攻撃者の無線通信を無断傍受・解析すると電波法違反となる可能性があります。また、刑法上も他人の財産や業務を妨害する行為、データ破壊行為は犯罪です。たとえば攻撃元サーバーにマルウェアを送り込み機能停止させる行為は、たとえ防御目的でも刑法上の器物損壊罪や業務妨害罪、または不正指令電磁的記録供用罪などに該当し得ます。総じて、日本の法制度下では民間の現場のセキュリティエンジニアが「攻撃者への反撃」や「積極的な追跡」を独自に行うことは、法的リスクが非常に高い状況でした。

新法(サイバー対処能力強化法)の概要

こうした制約を踏まえ、日本政府は**「サイバー対処能力強化法」**等による能動的サイバー防御の法整備に着手しました。同法(二法案から成る)は2025年5月に成立し、重要インフラ防護を中心に官民の新たな取り組みを可能にする枠組みを定めています。新法のポイントは大きく4つに整理できます。 (1) 官民連携の強化: 重要インフラ事業者にはサイバー攻撃インシデントの強制報告義務が課され、機器導入時の事前届出も求められます。政府は重要インフラ事業者や関連ITベンダーとの間で**「当事者協定」を締結し、平時からサイバー脅威情報の双方向共有体制を構築します。協定に基づき、政府は重要インフラ企業が当事者である通信のうち国外から国内に入るもの(外内通信)のデータ提供を受け、攻撃兆候の分析を行ってフィードバックできる仕組みです。これにより民間企業ネットワークへの高度な監視が可能になりますが、通信の秘密への配慮として情報提供は協定に基づく任意協力とされ(協議には基本応じねばならないが協定締結自体は任意)、得られた通信情報の取扱いには独立の「サイバー通信情報監理委員会」**による監督を受けます。委員会は情報収集・分析・保存廃棄のプロセスをチェックし、国会への定期報告も義務付けられました。通信傍受の濫用防止策として、令状主義によらない新制度である点を踏まえ厳格なガバナンスが盛り込まれています。 (2) 通信情報の積極的利用: 上記協定や監視制度により、政府はサイバー攻撃が具体化する前段階からネット上の兆候を収集・分析できるようになります。これは従来の犯罪捜査とは別枠の予防的措置であり、憲法の通信秘密を損ねない範囲で制度設計することが求められました。新法では「通信の秘密やプライバシーに十分配慮しつつも必要な情報収集を可能にする」旨が掲げられ、衆議院修正で「国民の権利自由を不当に制限してはならない」ことが明記されています。また通信事業者が協力した際に生じる利用者利便性低下や訴訟リスクに対処する措置も検討するとされています。 (3) 攻撃者サーバーへのアクセス・無害化: 政府機関(主に警察や自衛隊サイバー部隊と想定)が、重大なサイバー攻撃を未然に防ぐために、攻撃に用いられるサーバ等へ侵入してマルウェアを無効化したり機能停止させたりする権限を付与する規定が設けられました。これにより、いわゆる「ハッキング防御(ハックバック)」が限定的に可能となります。措置の対象は国家安全保障に関わる国や重要インフラ等への深刻な攻撃に限定され、緊急時に迅速対応できる柔軟な発動要件が検討されています。他国領域に所在する攻撃元サーバーにもアクセスが及ぶ可能性があるため、実施に当たっては国際法との整合性を十分に考慮することが求められています。提言でも「国境を越えて実施され得る」措置について国際法上の位置付け整理が必要と指摘されています。この「アクセス・無害化」措置は日本の専守防衛との関係でも慎重な議論がなされましたが、国内における犯罪捜査手法(例えば遠隔地にあるボットネット用サーバーへの踏み込み)の延長線上にあるものとして位置付けられています。 (4) 組織・体制整備: 政府内に新たな司令塔組織を整備し(国家サイバー監視・分析センター的な機能)、有事には警察・自衛隊・関係機関からなる統合的なサイバー対処部隊を編成する計画です。官民合同の「協議会」設置も規定され、重要インフラ事業者やISP、セキュリティ企業が参加して平時から情報共有や演習を行う場となります。人的リソース強化のためにホワイトハッカー人材の確保・育成策も盛り込まれました。また新制度は3年経過時点で効果や運用状況を検証し、必要に応じ見直す条項も置かれています。 以上のように、日本は現行法の制約を踏まえて慎重な設計を行いながらも、官主導で能動的サイバー防御を実現する第一歩を踏み出しました。ただしこの法律は国家機関と一部重要インフラに焦点を当てており、一般企業が自ら攻撃者に対抗措置を取ることまで認めたものではありません。引き続き民間側の役割や裁量範囲をどうするかは課題として残ります。本稿後半では、この点も視野に入れつつ各国の状況を比較し、日本への示唆を検討します。

米国:政府主導の前方防衛と法的枠組み

米国はサイバー分野でも軍事・捜査機関が大きな役割を果たし、「前方防衛(Defend Forward)」戦略の下で国外における脅威源への先制的な対処を進めています。一方で民間企業が独自にハッキングで反撃することは法律上禁止されており、全般に国家主導・官民協調によるサイバー防御が特徴です。

法制度と認可手続

米国のコンピュータ不正アクセス関連の基本法は**コンピュータ不正行為防止法 (CFAA)**です。CFAAでは「権限なく他人のコンピュータにアクセスすること」が犯罪とされ、被害を受けた企業であっても相手のシステムに無断侵入してデータを取得・改竄するような行為は違法となります。したがって、民間による「ハッキングし返し(Hack Back)」は現行法では明確に禁止されており、政府当局の関与なしに私企業が攻撃元コンピュータへ侵入・操作することは許されません。実際、米国土安全保障省なども「被害組織は自ら相手システムにアクセス・改変してはならない」との指針を示してきました。これは日本の不正アクセス禁止法と同様の考え方です。 しかし近年、企業側から「一定の条件下で攻撃者への積極対抗策を認めるべきだ」との声も上がり、連邦議会に**「Active Cyber Defense Certainty Act (ACDC)」いわゆる「Hack Back法案」が繰り返し提出されました。この法案(2017年初提出)はCFAAを改正し、継続的なサイバー攻撃被害に直面する企がFBIへの事前届出・認可を条件に、攻撃者に対する限定的な「能動防御」措置を実行できるようにする内容でした。具体策として「ビーコン」と呼ばれる隠れたコードを自社データに埋め込み、盗み出したハッカーのコンピュータ上で作動させて所在情報等を取得する手段などが想定され、発動にはFBI傘下の国家サイバー捜査タスクフォース(NCIJTF)への通知と認可取得を要件とするものです。このように厳格な条件付きであれば企業側のハッキングも許容しようという試みでしが、ACDC法案はいまだ成立に至っておらず、民間による積極策解禁には慎重論が根強い状況です。結局のところ米国では現在も、民間は予防策強化と被害発生後の法的措置(訴訟や捜査当局への通報)**に専念すべきだという立場が維持されています。 一方、政府当局には強力な権限が与えられ、国内外で能動的サイバー対処を実施しています。捜査面では、主要なサイバー脅威に対する一次対応機関は**連邦捜査局(FBI)です。FBIは国土安全保障省や国防総省を含む30以上の機関で構成される国家サイバー捜査合同タスクフォース(NCIJTF)**を主導し、サイバー脅威情報の統合・調整ハブとなっています。FBIは裁判所の令状を取得してボットネットの一斉テイクダウン作戦などを実施しており、その法的根拠は連邦刑事訴訟規則Rule 41(捜索・押収手続)の2016年改正によるものです。Rule 41改正で、被害マシンが全米多数に分散するようなケースでは、一つの令状でFBIが遠隔から複数のコンピュータに侵入しマルウェア除去等を行うことが可能になりました。実際に2010年代後半から、FBIは世界的なボットネット(侵害されたPCの大量ネットワーク)に対しC2サーバー差押えやマルウェア削除命令の執行を次々と成功させています。これは「攻撃に極めて近い能動的防御措置」と位置付けられ、国内法整備によって政府が民間PC上のウイルスを遠隔駆除できる仕組みが実現した好例です。 軍事面では**米軍サイバー軍(USCYBERCOM)が2018年以降、“Defend Forward”(前方で防衛)および“Persistent Engagement”(持続的関与)戦略を掲げ、平時から海外ネットワーク上で敵対的サイバー活動を探知・妨害する作戦を展開しています。法的には2019年度国防権限法(NDAA 2019)やトランプ政権の大統領国家安全保障覚書(NSPM-13)により、武力攻撃に至らないサイバー作戦については大統領個別承認なしで国防総省が積極措置を取れるよう権限が拡大されました。この結果、サイバー軍は選挙インフラに干渉する外国ハッカー集団への先制攻撃や、国際的なボットネットの無力化(同盟国と連携した作戦)などを遂行しています。またサイバー軍傘下の国家ミッション部隊(CNMF)**は国外の脅威阻止だけでなく、国内での重大サイバー事件対応においてFBI等を技術面で支援することもあります。このように米国は民間のハッキング返しを安易に認める代わりに、官の専門機関が迅速に動ける体制を整備しつつあります。

民間企業の役割と官民連携

民間企業は直接ハッキングで反撃はできないものの、官民連携を通じて能動防御に貢献しています。まず情報共有の仕組みとして、金融・エネルギーなど各産業セクターでISAC(情報共有分析センター)が設立され、企業間および政府とのリアルタイムな脅威情報交換が行われています。また政府主導でJCDC(Joint Cyber Defense Collaborative)のような官民協働体制も構築されつつあり、大規模インシデント時には主要IT企業の専門家が政府チームに協力して防御策を講じる取り組みも始まっています。さらに大手IT企業は自発的にボットネット対策などで政府と協働しています(例:マイクロソフトは裁判所命令を得てボットネットのドメインを差押え、FBIと協力してマルウェア無効化を実施)。民間のセキュリティ企業も、政府契約の下で攻撃追跡調査や犯人特定(アトリビューション)分析に従事するケースが増えています。 他方、民間企業が独自に行える「積極防御」は限定的です。ネットワーク内にハニーポット(おとりサーバー)を設置して攻撃者の手口を観察したり、盗まれたデータに追跡用のタグ(ビーコン)を仕込んでおく程度は違法ではなく盛んに行われています。しかし攻撃者のサーバーに向けて能動的に働きかける行為(例えばDDoS攻撃を仕掛けて逆に相手サーバーをダウンさせる等)は、たとえ防御目的でも現在の法律では企業自らは実施できません。したがって企業は、攻撃を受けた際はまず被害の封じ込め(通信遮断やシステム隔離)に集中し、証拠を保全した上で捜査当局に引き渡す、という対応に止まります。その後の報復措置は訴訟など**事後的手段(ex post facto)**に委ねられ、能動的サイバー防御は基本的に政府の許認可する範囲内でのみ行われる建前です。

米国の特徴と課題

米国の制度は「攻撃は政府が行い、防御強化は民間も参加」という役割分担が明確です。法的にも政府は幅広いアクションを正当化する根拠を整備してきました。他方で懸念も指摘されています。例えばFBIによる大規模な遠隔アクセス捜査(Rule 41下でのマスハッキング)は、市民のプライバシーや濫用の危険を孕むとして監督の重要性が強調されています。また仮にハッキング返しを民間に認めれば、エスカレーションや誤爆による外交問題が生じる恐れがあります。実際、もし米企業が許可を得て外国のサーバーに侵入すれば、それが国家間サイバー戦争の引き金になりかねないとの指摘もあります。米国自身、政府が行う海外サイバー作戦については国際法上の正当化(主権や不干渉原則との関係)を明確にしないまま実施している面があり、国際議論の途上です。 総じて米国は強力な官主導で能動的防御を進めつつ、民間防衛力との連携で総合的なサイバー防衛体制を築いています。ただしそれは同時に「攻撃的措置の行使は国家の責任下で」という前提に立っており、民間主体の反撃は引き続き法の枠外に置かれています。このモデルは日本にとって、安全保障分野における官の役割強化と民間の位置付けを考える上で示唆に富みます。

イスラエル:国家主導の積極防御と民間活用

イスラエルはサイバーセキュリティにおいて攻撃的能力を含めた国家主導の積極防御を取る国として知られます。中東情勢で常に深刻な脅威に晒されてきた背景から、「攻撃は最大の防御」とばかりに平時から敵対勢力のサイバー基盤へ先制的措置を講じることも辞さない姿勢です。例えば2019年には、ハマスによるサイバー攻撃に対しイスラエル軍が直後にハッカー拠点を空爆した事案も報じられており、物理・サイバー一体で脅威除去に当たっています(これは極端な例ですが、イスラエルの積極性を象徴する出来事です)。

法的認識と制度

イスラエル国内法も基本的には不正アクセスや通信傍受を禁じています。主要なサイバー関連法は1995年制定のコンピュータ法で、不正アクセス(無許可のコンピュータ資料へのアクセス)やデータ損壊、妨害行為などを犯罪と定めています。また1979年の盗聴法で不正な通信傍受を禁じており、これらは日本の不正アクセス禁止法や通信傍受法に相当します。したがって形式上は民間人が勝手にハッキングを行えばイスラエルでも違法です。ただし法執行面では、日本と異なり憲法上の強い制約がないため、必要に応じて国家安全保障のための監視・検閲的措置が取りやすい土壌があります。イスラエルには成文憲法が存在せず、検閲やプライバシー権も基本法レベルの規定に留まるため、例えば警察当局が特定個人のスマートフォンをハッキングする場合でも、所定の手続(裁判所の許可など)はあるものの憲法違反の問題は生じません。日本が通信の秘密を絶対視するのとは対照的に、イスラエルでは安全保障を理由とした監視措置を法的に位置付けやすいと言えます。この違いは能動的サイバー防御の制度設計に大きく影響します。 イスラエルではサイバー防衛の主管が軍・諜報機関と民間当局に分かれています。国防軍IDFの8200部隊はサイバー空間の諜報・攻撃を担う精鋭部隊で、敵対勢力のネットワークへの侵入やサイバー作戦を遂行しています。一方、国内の民間領域防衛は**国家サイバー局(INCD)**が担当します。2018年にはサイバー局と情報機関(シャバック=イスラエル安全保障庁)が協力し、重要インフラ防護に関する法整備を進める政府決定がなされました。現在「サイバー局の権限と任務」に関する包括的なサイバー法案が準備中であり、民間セクターへの規制や支援の枠組みを定める見通しです。 緊急時には特別措置も発動されます。2023年10月の紛争(ハマスによる攻撃)に際しては、政府が**「重大なサイバー攻撃への対処に関する一時的規則(Iron Swords)**」を制定し、デジタルサービス提供企業に対し強制的なセキュリティ措置を命じる権限を拡大しました。この規定では、シャバック(ISA)やサイバー局、国防軍サイバー防衛部門の長が協議の上「重大なサイバー攻撃発生の宣言」を行い、クラウド事業者等に対して攻撃の検知・防止・遮断を即時実行するよう命令できます。事業者が従わない場合、当局職員が直接そのシステムにアクセスしてソフトウェアやデータのコピー提出を求めたり、特定のサイバー対策を実行させたりできる規定もあります。その際、当局者は事業者や第三者のプライバシー権に配慮し経済的影響も勘案するとされていますが、実質的には国家安全保障を最優先に私企業のシステムにも介入可能です。このように有事法制下では極めて強力な官の介入権限が認められており、国家総力でサイバー攻撃に対処する体制となっています。


民間の役割と官民連携

イスラエルの官民関係は非常に密接です。そもそも国防軍サイバー部隊で育成された人材が除隊後サイバーセキュリティ企業を起業・就職する例が多く、民間セクター全体が国家の「サイバー予備軍」のような様相を呈しています。国家サイバー局(INCD)は民間企業に対しガイドラインや脅威情報を積極提供し、重要インフラ企業にはサイバー防衛措置の遵守を義務付けています。また官民の人的ネットワークも強固で、危機の際には民間の専門家が当局に協力することが当然視されています。たとえば2020年の大手保険会社サイバー攻撃事件では、政府機関が直ちに調査チームを編成し、民間のホワイトハッカーを招集して原因解明と被害拡大防止を図りました。平時からサイバー演習に民間企業を参加させる取り組みも活発です。 他方、一部では民間が独自に「敵対ハッカー集団への反撃」を試みる例も報じられています。2023年にはあるイスラエル企業のCEOが、反イスラエル的なハッカーによる攻撃に対抗するため海外の攻撃者集団を雇って報復ハッキングを行わせたとの報道がありました(DarkReading, 2023年7月)。これは異例であり、本来は違法行為ですが、国家的危機状況下では黙認された可能性があります。しかし原則としてイスラエルでも民間企業が単独で敵システムに攻撃を仕掛けることは許されず、そうしたアクションは当局が秘密裏に調整または承認していると考えるべきです。イスラエル政府自体がサイバー空間で非常に攻撃的に活動しているため、民間の出る幕が少ないとも言えます。むしろ民間は自社防御と情報提供に徹し、必要な「敵への一撃」は諜報機関や軍が行う、という役割分担になっています。

官民連携の実施形態と国家の責任範囲

イスラエルでは国家の責任範囲が広く、サイバー防衛も「基本的に政府が面倒を見る」という姿勢です。重要インフラ分野(エネルギー、水、金融等)はシャバックが中心となりセキュリティ基準の策定や監査を行ってきましたが、近年INCDへ権限移譲が進んでいます。サイバー防衛に関する法的認可手続きは内部規定が多く外部には見えませんが、例えば国防軍が国外標的へのサイバー作戦を実施する場合、政府の安全保障内閣の承認を得ていると推測されます。民間企業については、前述の緊急規則のように政府が強制力を行使できる場合を除き、基本的には「要請ベースの協力」が一般的です。ただし要請を拒むことは現実的に困難であり、半ば公的義務のように機能しています。 イスラエルの制度の特徴は、「攻撃的サイバー」を国家防衛手段の一部と明確に位置づけている点です。有事にはサイバー攻撃はロケット攻撃などと並ぶ敵対行為とみなし、必要なら先制的に相手のサーバーやインフラを破壊することも辞さないとの国家意思を示しています。他国領域であっても自国防衛のためのサイバー攻撃は正当化し得るとの立場であり、国際法上は主権侵害との綱渡りをしつつも実力で国益を守る姿勢です。これは専守防衛を掲げ他国インフラへの侵入には慎重な日本とは対照的と言えます。 もっともイスラエルも乱用を避けるための抑制策は持っています。国家監察官やクネセト(国会)の外務防衛委員会が諜報機関の活動を定期的にレビューしており、緊急規則にも7か月限定の時限措置や報告義務が課されています。人権尊重の観点から、一般市民に無関係な通信まで無差別監視することは避けられているようです。しかし総じて言えば、イスラエルでは「国家の生存に関わるなら積極的サイバー手段も許容される」という社会的合意があり、その下で官民が緊密に協力し合っています。

エストニア:全社会的防衛モデルと国際協調

エストニアは2007年に大規模なサイバー攻撃(ロシア発とされる)を受けた経験から、サイバー防衛体制を国家総力戦的に構築してきました。特徴は**「全社会的アプローチ」であり、政府・民間・国民が一体となってサイバーセキュリティに取り組むモデルです。エストニアは電子政府先進国として社会のデジタル化が進んでおり、その分サイバー攻撃の影響も国家存立に直結します。したがって能動的サイバー防御も、単に政府機関だけでなく民間有志の力まで結集**して行われる点に特色があります。

法制度と民間の裁量範囲

エストニアはEU加盟国でもあり、不正アクセスやサイバー犯罪に関する法整備はEU基準(ブダペスト条約など)に則っています。2008年にはサイバー犯罪法制を強化し、不正アクセス・システム妨害・データ破壊といった行為を処罰する法律を整備しました。また2018年施行のサイバーセキュリティ法では、重要サービス事業者に対しセキュリティインシデント発生時のCERT報告義務などを定め、迅速な情報共有を法的に担保しています。これらの法律により、民間企業であっても重大インシデントは国家当局と共有し協力することが義務付けられています。 もっともエストニアには日本や米国のように民間企業が独自行う「反撃ハッキング」を明示的に認める法律はありません。民間人が他人のコンピュータに侵入すれば、たとえ攻撃元であっても原則違法です。エストニア政府も民間企業に「自力でハッカーを無力化せよ」とは求めていません。その代わり、国家がその役割を引き受ける枠組みを用意しています。 一つ象徴的なのがエストニア防衛同盟(エストニア国防連盟)内のサイバー防衛ユニットの存在です。これは法律に基づき編成されたボランティア予備役組織で、サイバー分野の専門家である民間人が多数参加しています。2007年の攻撃後、「サイバー戦の最前線で国を守りたい」という民間技術者らの意志を受け、2008年に国防連盟法を改正してサイバー防衛部門を設置しました。法律上、このサイバー防衛ユニット(CDU)の隊員は有事の際にエストニア国軍サイバー司令部の指揮下に入り、防衛作戦に従事できることが明記されています。平時でも、隊員らは定期的に訓練・教育活動を行い、行政機関や重要インフラ企業に対するセキュリティ評価や訓練支援(演習協力など)を任務としています。このように法的に民間人が**「サイバー予備役」**として組織化され、国家防衛に参加できる体制は世界的にも珍しく、エストニアの官民連携の核となっています。 国家機関としては、経済通信省管轄の情報システム庁(RIA)が民間分野のサイバーセキュリティ主管です。RIAには国際的に有名なCERT-EE(コンピュータ緊急対応チーム)が置かれ、国内のインシデント対応や予兆監視に当たっています。RIAは重要インフラ企業にネットワーク監視システムを提供し、24/7で異常検知を行っています。また必要に応じて防衛同盟の専門家に協力を要請することもできます。このように平時から民間・ボランティアと行政が一体となって防衛網を築いているため、いざ大規模攻撃が起きても**「誰に連絡すればよいか分からない」**という混乱はなく、決められたネットワークで即座に情報共有・対策実行がなされます。 エストニアは国の規模が小さいことも功を奏し、サイバーコミュニティが緊密です。政府内のサイバー担当者と主要企業のセキュリティ担当者は顔見知りであり、いざという時は電話一本で連携できる信頼関係があります。これは法律の条文以上に大きな強みです。

官民連携と国家・民間の責任分界

エストニアでは民間のセキュリティ組織の裁量は、基本的には自社システムの防御と政府への協力に限定されます。企業がハニーポットを設置したり、自社ネットワークへのスキャンを行うのは自由ですが、それ以上に踏み込んで攻撃者側を操作することはありません。その代わり、国家の責任範囲として自国へのサイバー攻撃への報復・無力化措置はNATOなど同盟国との連携も含め政府が対処します。エストニア自身は単独で他国に攻撃的サイバー作戦を仕掛けたとは公表していませんが、例えば2017年以降エストニアは米欧と共同でロシアのサイバー攻撃インフラに対抗する制裁や摘発を進めています。法的にはエストニアも国際法を遵守する立場で、他国領域へのハッキングは主権侵害となるため慎重です。よって国として対外的な能動サイバー対処を行う場合は、NATOの集団防衛メカニズムや欧州連合のサイバー制裁フレームワークを通じて行動しています。また国際社会でのサイバー法のルール作りにも積極関与しており、タリンに設置されたNATO CCDCOE(サイバー防衛協力センター)はタリン・マニュアル2.0の策定など国際法上の解釈指針を示す役割を果たしました。 官民連携の形態として特筆すべきは、サイバー防衛ユニットの制度です。政府は民間の専門家集団を公式に防衛体制に組み込み、彼らの知見を活用しています。例えば2022年に発生したロシアからのDDoS攻撃増大時には、防衛同盟サイバーユニットのメンバーが一斉に招集され、政府機関サイトのトラフィック防御や代替サービス確保に尽力しました。その際メンバーは法的には「国家の一時公務員」として行動し、正当防衛の範囲で攻撃遮断措置を講じました。このように有事には民間人が公的権限の下でサイバー防衛活動を行える点がエストニアの制度の要諦です。 民間セキュリティ企業も、政府との契約で国外の脅威諜報(Threat Intelligence)提供やマルウェア分析協力を行っています。エストニアにとってロシアからの脅威は日常的であり、国内の通信事業者や銀行も独自にロシアからの不審通信を監視し、当局と情報を突き合わせています。法的には通信の秘密保護はありますが、利用者の安全確保という大義名分の下、かなり踏み込んだ監視が実施されているのが実情です(ただし、それはエストニア国民を対象としない形、例えば外国から自国宛ての明らかに悪意ある通信のフィルタリング等に限られる模様です)。 総じてエストニアは「サイバー防衛は国家の総力戦」との認識で制度設計され、官民の垣根が低く設定されています。その一方、無闇なサイバー反撃で国際紛争を誘発しないよう抑制も効いたモデルと言えます。攻撃への対処はまず防御と国際協力に徹し、自ら敵地へのサイバー攻撃は安易に行わない慎重さを保っています。このバランス感覚は、日本が官民連携を強化する上で参考になる部分です。

ロシア:国家主導の攻勢的防御と非公式な民間活用

ロシア連邦はサイバー空間において積極的な攻撃能力を行使している国ですが、その法制度と実態には大きな乖離があります。表向きロシア国内法では不正アクセスやサイバー犯罪行為は厳しく禁じられており、民間によるハッキング行為は違法とされています。しかし実際には、国家が非公式に民間ハッカー(サイバー犯罪者や愛国的ハッカー集団)を利用し、対外的なサイバー攻撃・諜報活動を展開していると指摘されています。つまり**「法律上は許されないが国家が黙認・奨励する」**グレーな形で能動的サイバー攻撃が行われているのがロシアの実情です。

法的枠組みと建前

ロシアの刑法には不正アクセス罪があり、無許可のコンピュータ侵入やマルウェア拡散は犯罪として最高懲役刑の対象です。実際、国内の銀行や政府機関を標的にハッキングした者は厳罰に処され、多くの場合**懲罰収容所(刑務所より過酷な環境)に送られています。この点だけ見ればロシアは西側諸国同様にサイバー犯罪を取り締まっているように思われます。しかし、その適用は恣意的です。ロシア当局は、自国民のハッカーであっても「標的が外国(特にロシアの敵対国)である限り」摘発しない傾向があります。法の文面上は国外へのサイバー攻撃も犯罪ですが、プーチン政権は暗黙のうちに「敵対国に損害を与える限り目をつぶる」**姿勢を取ってきました。この結果、ロシア発のランサムウェア集団やハッカー集団は、国内では処罰を受けず自由に活動を続けています(彼らも自ら進んでロシア政府・企業は標的にしないという「不文律」を守っています)。要するにロシアでは、国内法上は能動的サイバー攻撃を私企業・個人が行うことは認められないものの、国家が気に入らない相手への攻撃であれば黙認される特殊な環境があるのです。 ロシア政府自身は**「情報安全保障」の名の下にサイバー分野での主権確保を重視しています。2000年には「情報セキュリティドクトリン」を制定し、サイバー空間を含む情報領域での脅威に国家として対抗する方針を示しました。ここでは国内インターネット空間の統制や国外からのプロパガンダ対策が強調され、近年の「ルーンエット主権化法」(2019年)では非常時にロシア国内インターネットを外部から切り離せるよう法制化しています。これは守りの側面ですが、一方で攻撃面について明示的な法律はほとんど公表されていません。サイバー作戦はしばしば軍や情報機関の機密事項**として扱われ、法律ではなく大統領令や秘密指令で遂行されていると見られます。 興味深い動きとして、ロシアでも近年「倫理的ハッキング(ホワイトハッカー)」を合法化しようとする試みがありました。2022年にデジタル発展省が**「善意のハッカー行為の合法化」法案を起草し、ソフトウェアの脆弱性を発見・通報する行為などを認める提案をしたのです。しかしこの法案は2025年7月に下院で否決されました。議会は「敵対国製ソフトの脆弱性を発見した場合、外国企業に報告することになり、かえって敵に弱点を知らしめてしまう」など国家安全上の懸念を理由に挙げました。さらに「既存の法律体系との整合性が不明確」との指摘もあり、民間ホワイトハッカーの活動を容認する道は閉ざされています。これにより、個人研究者が善意で脆弱性検証しただけでも処罰され得る厳しい状況が続いています。ロシア当局は、自国民が見つけた外国製ソフトのゼロデイ脆弱性は自国の戦略的資源とみなし、公開通報などもってのほかという考えです。このエピソードは、ロシアが法制度を通じて民間のサイバーセキュリティ研究すら統制下に置こうとしている**ことを示しています。

国家の攻勢的活動と非公式な官民関係

建前を離れると、ロシアはサイバー攻撃の実行に国家が深く関与していると各国から非難されています。代表例が**「Sandworm」や「Cozy Bear」などのハッカー集団で、これらはロシア軍参謀本部情報局(GRU)や対外情報庁(SVR)に所属または協力するグループとされています。彼らはウクライナの電力網破壊(2015年)や米選挙干渉(2016年)、世界的マルウェア「NotPetya」散布(2017年)など数々の攻撃を実行しました。ロシア政府は一貫して関与を否定していますが、事実上「政府が直接または代理を通じて攻撃を仕掛けている」**と見られます。 またサイバー犯罪組織と政府の協力関係も指摘されています。例えばランサムウェア集団「Conti」「REvil」などは、表向き金銭目的の犯罪者ですが、その被害は主に欧米諸国に集中し、ロシア国内では活動しない暗黙の了解があります。これらのグループに対しロシア当局はほとんど摘発を行わず、むしろ必要に応じ諜報活動を依頼している節さえあります。要するに国と犯罪者ハッカーの共存関係が成立しており、ロシアは公式機関を表に出さずとも彼らを「サイバー民兵」として利用しているのです。 ロシア国内企業も、国家への協力義務があります。通信事業者はSORMと呼ばれる監視システムを設置してFSB(連邦保安庁)にリアルタイムで通信を提供しなければなりません。2016年の「ヤロバヤ法」では、通信・IT企業に対し暗号通信の復号キー提供やユーザーデータ長期保存などが義務付けられ、国家がいつでもデータにアクセスできる体制を強化しました。サイバーセキュリティ企業も例外ではなく、カスペルスキー社のように世界的企業であってもFSBへの協力を疑われ国外での信頼を失うケースもあります。ロシアでは企業が国家に逆らうことは難しく、事実上官民というより「国家=組織」として全てが統制されています。

官民連携とその限界

以上のように、ロシアの官民連携は西側諸国のような相互協力・パートナーシップというより、国家権力による民間活用・統制に近いです。民間のセキュリティ専門家が政府の下で活躍する場面もありますが、それはボランタリーというより国家の命令に基づく動員に近いでしょう。ロシア軍にはサイバー部隊も存在しますが詳細は不明で、おそらく必要に応じて外部の人材を契約・徴用していると考えられます。例えばウクライナ侵攻後には「IT軍」と称して愛国ハッカーを募りウクライナ側への攻撃に参加させる呼びかけもなされました。これは公式な法制度に基づくものではなく、プラットフォーム上で半ば自発的に集った集団ですが、背後で政府が糸を引いている可能性があります。 ロシアの国家責任範囲は極めて広く、自国防衛のみならず攻勢的サイバー行為も国家戦略ツールとして用いています。国際法上は当然相手国の主権侵害になりますが、ロシアは「サイバー攻撃の attribution(誰がやったかの断定)は困難で証拠もない」として責任追及をかわす戦術を取ります。また国連ではロシア主導で「サイバー犯罪条約」交渉が進められ、2024年に採択された国連サイバー犯罪条約では国家主権尊重や各国の法体系尊重が強調されました。ロシアはこれをもって西側からのサイバー制裁や干渉に対抗し、自らのやり方を正当化しようとしています。 要するに、ロシアの能動的サイバー防御は制度化されていない影の体制と言えます。民間企業が法律に基づいてハッキングし返すことはなく、全て国家のコントロール下で秘密裏に行われています。法律上は厳罰主義でコントロールし、実態は「都合の良い違法行為は見逃す」二枚舌です。このモデルは法治国家とは言い難く、日本が参考にできる部分は少ないでしょう。ただ一つ、国家が恣意的にでもサイバー攻撃能力を行使できる環境にあることは脅威であり、日本としてはこうしたロシアのやり方に対抗する国際ルールづくり(例えばサイバー攻撃の国家責任追及プロセス確立)が課題となります。

各国の比較分析

以上、日・米・イスラエル・エストニア・ロシアの枠組みを概観しました。それぞれのアプローチには国家安全保障観や法文化の違いが色濃く反映されています。主な比較ポイントを整理します。

民間による「ハックバック」の許容度: どの国も基本的には民間企業が独断で攻撃者にハッキングし返すことを禁じています(少なくとも建前上は同じ)。米国・エストニア・イスラエルはいずれも不正アクセス禁止の法律があり、ロシアでも同様です。ただしイスラエルやエストニアは官民の協働により実質的に民間専門家が反撃に参加できる道を用意し、米国も法改正を模索しました。一方ロシアは民間のハックバックを公式には認めず、非公式に利用するにとどまります。したがって**「企業が自力で敵を攻撃できる国は無い」というのが現状で、程度の差こそあれ日本同様に法の制約があります。その上で、米イスラエルは官が代わりに攻撃し、エストニアは官が民の力を借りて防御し、ロシアは官が裏で攻撃**する、という違いがあると言えます。

国家レベルの枠組み: 米国とイスラエルは国家安全保障の文脈で能動的サイバー能力を位置づけています。米国は前方防衛戦略を掲げ法改正により軍・諜報の自由度を高めました。イスラエルも憲法上の制約がない中、平時から諜報機関が敵対勢力ネットワークに潜入しています。エストニアは自国規模では攻撃的能力は限定的ですが、NATOの集団的枠組みの中で自国防衛を図っています。また防衛同盟など独自の法律で全社会体制を築いています。ロシアは国家主導ではあるものの、公にはせず“情報戦”ドクトリンの中でサイバー攻撃を運用しています。日本は今回のサイバー対処能力強化法でようやく国家枠組みを定めた段階で、ここに米欧並みの能力を付与していくことになります。

官民連携のあり方: エストニアとイスラエルは特に官民の境界が低く、前者はボランティア組織を法制度化して統合、後者は元軍人が民間で活躍し再び政府に協力する循環があります。米国は官民の距離はもう少しありますが、ISACやタスクフォースで情報共有は密です。日本も新法で協議会設置や情報共有強化が図られ、今後は米国同様の**「産業横断的な情報共有機関+政府統括室」の体制が重要でしょう。ロシアは官民協力と言えるものはほぼなく、国家が命令し民間が従う形です。民主的統制の観点では米・エストニア・日本は国会報告や監督機関を置いており、イスラエルも一応国会委員会監督があります。ロシアは実質的監督なしで恣意的です。この違いは人権尊重や法の支配に直結するため、日本としては民主主義国の一員としてのガバナンス重視**を貫くべきでしょう。

技術的手段と法整合性: 「逆探知(トレースバック)」「C2介入(攻撃司令サーバーへの対処)」「ハニーポット活用」「国際越境対処」についても各国温度差があります。米国ではビーコン等による追跡は提案段階ですが、FBIがマルウェア削除やボットネットC2サーバー押収を法令に基づき実施中です。イスラエルは詳細不明なものの、おそらく諜報部が敵拠点サーバーに侵入し機能妨害(Stuxnet作戦などは米イスラエル共同とされます)を行った実績があります。エストニアは自ら海外サーバーへ攻撃する代わりに防御的措置と証拠収集に徹し、国外対策はNATO調整です。ハニーポットは各国とも合法で、防御側が自前システム上で攻撃を観察するのは一般的です。日本もこれに制約はなく、多くの企業やNICTがダミーサーバーで攻撃動向を監視しています。ただ収集した攻撃者情報をどう活用するか(公表や捜査提供)に課題があります。

国際越境については、米国・イスラエルは国益次第では他国領内でも攻撃阻止を行う立場です(法的には国家実行行為として正当化を図る)。エストニア・日本は国際法順守を強調し、相手国許可なしにサイバー措置を取るのは最小限に留めるでしょう。ロシアは表向き国境侵犯を非難しつつ自らは隠密に侵犯しています。このように、国ごとに**「攻防の境界線」**の引き方が異なる点に留意が必要です。 以上の比較から、日本が能動的サイバー防御を設計する際の課題と方策が浮かび上がります。次章では、現場のセキュリティエンジニアが直面する具体的制約を洗い出し、それを解消するための提言を行います。

現場の課題と制度設計への提言

日本のサイバー防御現場(企業・組織のセキュリティ担当者やエンジニア)は、攻撃の高度化に対し様々な制約の中で対応を迫られています。能動的サイバー防御を実現するには、現行の法制度上・運用上の以下の課題を解決する必要があります。

現場のセキュリティ対応上の課題

法的なグレーゾーンへの不安: 攻撃を受けても、現行法では防御側が能動的にできることは限定的です。不正アクセス禁止法等の存在により、たとえ自社への攻撃元サーバーでも無断で調査・操作すれば違法となりかねません。例えば攻撃者のマルウェアを分析するため、その制御サーバーにこちらからアクセスして詳細を探る行為も「権限なきアクセス」と解釈されかねず、現場は踏み切れません。この**「防御目的でも一歩踏み出せない」**状況が、攻撃者のやり得を許しています。

リアルタイム対処の困難: 攻撃は瞬時に拡大しますが、防御側が司法手続きを経て対抗措置を取るには時間がかかります。ISPが悪質通信を遮断するにも、現行では利用者通信を阻害しないよう慎重になり、踏み込んだフィルタリングは後手に回りがちです。緊急時に即応できる制度が無いことが被害拡大を招く恐れがあります。

国境を越える攻撃への無力感: 海外からの攻撃では、相手国に要請しても迅速な対応は期待できません。自力で国外の攻撃者を止める術を持たない現場は、「結局泣き寝入りか」と諦めざるを得ないケースもあります。クロスボーダーの追跡や犯人特定は各国法の壁があり、企業レベルでは限界があります。

情報共有の不足: 日本企業間や官との間で、攻撃に関する情報共有が十分とは言えません。法律上、企業が持つ侵害の痕跡データ(攻撃者IPやマルウェア解析結果など)を他社や政府に提供することに明確な位置付けが無く、機密保持の観点から共有をためらうケースがあります。これでは同じ攻撃パターンが別企業でも繰り返し成功してしまいます。

訴訟リスク・責任問題: 通信事業者がトラフィックを監視・遮断したり、セキュリティベンダーが攻撃者に罠メールを送り調査したりするような行為は、万一誤って無関係な第三者に影響すれば法的紛争を招きかねません。現場はそうしたリスクを恐れ、防御策を萎縮させてしまう傾向があります。

人的リソース不足: 高度な能動防御を実施するには専門技能が必要ですが、日本企業や行政機関にはその人材が不足しています。セキュリティ人材の育成と確保が追いつかない中で新たな権限を与えても、現場が使いこなせない可能性があります。

以上の課題を踏まえ、日本で能動的サイバー防御を制度化・実践するため、以下の提言を行います。

提言1:法的に許容される能動防御行為の明確化

まず**「何が許され、何が禁止か」**のラインを法律上明確にすべきです。現行法では防御側の行為を直接規定していないためグレーゾーンが多く、現場が萎縮します。以下のようにカテゴリ分けし、それぞれの法的位置付けを明示することを提案します。

(A) 自組織内で完結する能動防御: ハニーポット設置、フェイクデータ(おとり文書)埋め込み、ネットワーク内での攻撃者探索(フォレンジック)など。他者の権利侵害を伴わない行為は引き続き自由に実施できることを明言すべきです。これらは現行も合法ですが、ガイドライン等で推奨事例として示すことで企業が安心して導入できます。

(B) 軽度な外部宛てアクション: 攻撃元サーバーへのping送信やオープンなポートスキャン、公開情報の収集など、非侵入的で違法性が低い能動調査行為については、その合法性を確認する必要があります。例えば攻撃元IPに対し脆弱性チェックを行う行為は不正アクセスに当たらない旨を周知します。ただし誤って相手機器に負荷を与える可能性もあるため、ガイドラインで注意点を示します。

(C) 攻撃者情報の取得措置(ビーコン等): 盗まれたデータにトラッキング用スクリプトを埋め込んでおき、開封した攻撃者端末から位置やIPを取得する「アクティブトラップ」は、自衛策として一定許容すべきです。法的には自身のデータに仕掛ける行為であり不正アクセスではないとの解釈を明文化します。合わせて、こうしたビーコン取得で得た情報を迅速に警察に提供する仕組みを整備し、私的な報復利用は禁じる規定とセットにします。

(D) 攻撃源への限定的対抗措置: 例えば攻撃者のC2サーバーに侵入してマルウェアを削除する、ランサムウェア犯人のサーバーから自社データを削除・奪還する、といった措置です。これは典型的な「ハッキング返し」であり、慎重な枠組みが必要です。提案として、米国ACDC法案のように政府の事前承認制とすることが考えられます。具体的には、まず企業が「重大被害を及ぼす継続的攻撃」のケースで警察などに申請を行い、必要最小限の対抗ハッキングを許可する仕組みです。許可条件としては、攻撃に使われている機器に限定し、データ破壊は犯行道具のみ、第三者被害ゼロを厳守、**国家安全保障上の配慮(相手国が国家施設なら不可など)**を含めます。承認は通常平時は数時間〜1日以内に下りるよう迅速化し、緊急時は事後承認も許す等フレキシブルに設計します。もちろん実行は警察や認定セキュリティ企業が代行することも可能です。いずれにせよ(D)に該当する措置はリスクが高いため、現行の新法でも政府専門機関のみ許されている領域です。今後、まずは政府機関が模範を示し成功事例を積むことで、将来的に民間の一定範囲参画を検討するステップを提案します。

(E) 国際越境を伴う措置: 国外にあるサーバーやネットワークへの対抗策は、原則として国家主導でのみ行うべきです。民間企業が他国領域で活動すると外交問題に発展しかねません。従って(E)は政府の専権事項と明示し、企業には求めない代わりに政府間協力や国際法上の手続きを政府が責任もって果たすことを約束します。例えば海外の攻撃サーバーを無力化する場合、まずは相手国に停止要請を行い、応じない場合に限り自衛措置として政府が限定的ハッキングを実施―といった段取りとします。この際の国際法根拠(緊急避難・自衛権・対抗措置など)は政府が十分検討し、公表可能な範囲で国民に説明すべきです。国際社会にも日本のスタンスとして透明性を持って示し、必要以上の不信を招かないようにします。

以上の区分に沿って、防御側の行為の合法・違法を整理したガイドライン(できれば法令か省令)を制定することが望まれます。これにより現場は安心して許容範囲の能動防御策を講じられます。

提言2:官民合同の迅速対応体制の構築

次に、官民連携によるサイバー即応チームを作ることを提案します。米国のNCIJTFやエストニアのサイバー防衛ユニットに倣い、平時から顔の見える関係を築いた専門家集団を組織化します。具体策として:

「サイバー防衛リザーブ」(予備役)的組織の創設: 民間のホワイトハッカーやセキュリティ専門家を政府が平時から登録・訓練し、サイバー危機発生時には非常勤務を要請できる制度を検討します。法律的には自衛隊予備自衛官制度や消防団的な位置付けを参考に、有事招集に法的根拠を与えます。招集時には一定の公権力行使(調査権など)を付与しつつ、活動範囲や期間を限定します。これにより人材不足を補い、「民の知恵」を「官の権限」と組み合わせて迅速対処が可能となります。エストニアで実証されたように、小国日本では難しいとの見方もありますが、サイバーに関してはむしろ人的ネットワークの強化が重要です。

J-CSIRO(仮称):統合サイバー即応組織の設立: 内閣サイバー庁(仮称)直下に、警察・自衛隊・情報機関・関連省庁および主要インフラ企業のセキュリティ責任者を含む合同組織を常設します。これは米国NCIJTFに相当するもので、日本版のサイバー統合司令部のような役割です。ここで平時からサイバー脅威情報を共有・分析し、重大インシデント時には実働部隊の調整を行います。新法で協議会はできますが、それを単なる会議体で終わらせず、実質的な司令塔機能とすべきです。

官民での合同演習強化: 机上論でなく現実に即応できるよう、定期的に官民合同サイバー演習を実施します。イスラエルやエストニアでは国主導演習に民間企業が多数参加していますが、日本もこれを拡充します。シナリオに「重大サイバー攻撃発生、官民で反撃措置を実行」というフェーズを盛り込み、法的・技術的課題を洗い出します。演習結果を踏まえ制度改善を重ねることで、平時から官民の呼吸を合わせておきます。

提言3:通信の秘密との調和策の徹底

日本で最も懸念されるプライバシー侵害については、引き続き細心の注意が必要です。能動的防御を理由に国民監視につながっては本末転倒です。提言として:

独立監視機関の権限強化: 新法で設置予定の「サイバー通信情報監理委員会」を強力に機能させます。委員の独立性・専門性を高め、通信傍受やサーバーアクセスの一件一件を厳格チェックさせます。委員会は毎年詳細な運用報告書を公表し、国会や第三者からの検証も受けられるようにします。米国でも大量ハッキング捜査(Rule41拡張)に批判があり監視が強調されていますが、日本も透明性確保を重視します。

データ収集の最小化: 通信傍受やログ取得は目的限定で行い、必要な期間経過後は速やかに破棄するルールを明記します。例えば企業との協定で提供された通信情報は、特定脅威分析以外には使わず、分析終了後○日で廃棄といった基準を設けます。副次的に取得した個人情報は捜査令状でも出ない限り利用禁止とします。

利用者への透明性: 大規模監視ではありませんと国民に理解してもらう努力が要ります。定期的に統計情報(何社と協定締結し何件分析、何件攻撃阻止したか等)を公開し、秘密主義にならないようにします。イスラエルでも攻撃対処件数を議会委に報告する規定があります。日本も秘密指定の乱用を避け、一定範囲の情報開示を法律に盛り込むべきです。

提言4:国際協調と法的基盤の整備

サイバー空間は国境を越えるため、日本単独では限界があります。国際協調を制度的に位置付けることが必要です。

同盟・友好国との協定: 米国や欧州諸国との間でサイバー防衛協力協定を結び、攻撃情報の即時共有やクロスボーダー捜査支援を盛り込みます。具体的には、「サイバー攻撃に関する相互法執行協力協定」を結び、相手国内の攻撃サーバーに対する迅速な差止め(サーバ封鎖やドメイン凍結)を要請できる仕組みを作ります。エストニアはNATO内で情報共有していますが、日本もクアッドや日米欧の連携枠組みに積極参加し、グローバルなサイバー治安網に加わります。

国際法ルール形成への参加: 日本はタリンマニュアルの議論等にこれまで慎重でしたが、今後は積極的に関与し、能動的防御の法的位置付けについて国際的コンセンサス形成をリードすべきです。例えば「他国から継続的サイバー攻撃を受けた場合、被害国は一時的に攻撃元サーバーを無力化する対抗措置を取れる」等の国際慣習を提唱し、各国に賛同を呼びかけます。現状では明確なルールがないためエスカレーションリスクがあります。日本が平和国家として、サイバー空間でも防衛的対抗措置の要件を提案できれば意義深いでしょう。

外交努力による責任追及: ロシアのように政府が関与する攻撃に対しては、サイバーで反撃するだけでなく外交で圧力をかけることも必要です。国連や国際会議でサイバー攻撃を非難し、攻撃者特定に信頼できる証拠がある場合は公表して制裁や法的措置を取ります。能動的サイバー防御は技術・法律だけでなく外交とも連動させ、総合安全保障戦略の一部として位置付けます。

提言5:人材育成と産業育成

最後に、制度を運用する人材と技術基盤の強化が不可欠です。

サイバー人材の育成・確保: 官民でホワイトハッカー育成プログラムを拡充します。競技会やCTFを通じた発掘、奨学金・報奨制度による育成、そして官民人事交流による経験値共有を図ります。特に公的機関はセキュリティ人材の待遇を改善し、専門職枠での採用を増やします。エストニアは人材の公私争奪が課題と述べていますが、日本も同様なので、給与や職場環境を整え優秀な人材を留める努力が必要です。

関連産業の支援: 攻撃者を追跡・無害化する技術(逆探知ツールやマルウェア無毒化ツール等)を開発する企業に研究開発支援を行います。国産の脅威インテリジェンス企業やセキュリティサービス企業を育て、官民の技術力を底上げします。国内に蓄積した知見は輸出産業にもなり得ます。

意識啓発とリテラシー向上: 能動的防御には企業経営層や社会の理解も必要です。「攻撃されたらやり返す」のではなく、「攻撃を未然に防ぐために必要最小限の積極策を取る」という考え方を広めます。誤解による反発を避けるため、政府は広報を丁寧に行い、事例を通じて有効性を示します。国民にもサイバー防衛の実情を知ってもらい、透明性の下で議論することが信頼醸成に繋がります。


以上、法制度面・運用面・技術人材面から総合的に提言しました。日本は自由民主主義の価値観を守りつつ、サイバー空間で安全を確保しなければなりません。そのために、米国やイスラエルの積極姿勢、エストニアの全社会的取り組み、ロシアの脅威実態を踏まえ、自国に合った能動的サイバー防御体制を構築することが急務です。新法成立はスタートラインに過ぎず、今後はこれを具体化し発展させるフェーズに入ります。現場の声を聞き、技術の進歩に即応しながら、日本版能動的サイバー防御モデルを磨き上げていくことが期待されます。その際、本稿で述べた比較分析が一助となれば幸いです。

 
 
 

コメント

bottom of page