サイバー攻撃を仕掛けるサイバー脅威の主体は、国家からテロ組織・個人に至るまで多様である。しかも、実際にサイバー攻撃を受けた場合に、技術的に判明する攻撃の発起点と攻撃を命じた者の関係の解明も容易ではない。さらに、攻撃の真の目的と標的は攻撃の当初の段階では明確にとらえづらく、サイバー領域の戦いは複雑かつ不明瞭な様相となっている。
■ サイバー領域における自衛権の行使
サイバー領域の戦いにおいて一応の規律性を保つために、重要インフラ等に対し甚大な被害をもたらすようなサイバー攻撃に対して、サイバー領域における国家主権、管轄権および自衛権等にかかわる国際法ならびに戦争の災禍を局限するために戦争に規律性をもたらす武力紛争法(国連憲章、ジュネーブ条約)等を適用することは主要国家間で一応の合意がみられる。一方、テロリストやサイバー犯罪者・組織に対しては、犯罪条約等の加盟国間の合意に基づく協力はあるものの、基本的には加盟国の国内法を適用することとなる。しかし、ここに、非常に曖昧なケースが存在する。
国家が命じてサイバー攻撃を行ったことは明白であるが、その被害は自衛権を行使するというほどのものではない(「武力攻撃相当」の被害であれば国連憲章の規定にのっとり自衛権を行使し得るという一般的な合意がある)。また、被害は極めて甚大であるのに、攻撃者が不明であるか、または国家ではない場合には、国際法を適用すべきか国内法で対応すべきかが曖昧となる。いわゆる武力攻撃相当未満サイバー犯罪以上のサイバー攻撃というグレーゾーンの存在である。
■ 拒否型抑止と懲罰型抑止の考え方へ
これらの複雑かつ不明瞭な様相となるサイバー領域の攻防では、攻撃者が圧倒的に有利な状況にある。サイバーインシデントが生起してから、攻撃の解明、対処を行っていたのでは、安価に開発・取得でき、証拠の残りにくいサイバー攻撃を抑止することはもはや不可能であるといえる。レジリエンスを基本にしたインシデント対応型のいわゆる拒否型抑止の体制だけでは抑止は十分ではない。
そこで、多くの国で考えられている抑止の方策が、拒否型抑止に加えた報復型抑止または懲罰型抑止である。
報復型の最大のものは、自衛権を行使するための報復攻撃である。国連憲章では、急迫不正の侵害があること(急迫性、違法性)、他にこれを排除して、国を防衛する手段がないこと(必要性)、必要な限度にとどめること(相当性、均衡性)の条件を満たせば自衛権の行使のための攻撃が可能と規定し、加盟国で合意している。国あるいは同盟によっては、サイバー報復以外の物理的な手段による報復も辞さないとあらかじめ宣言しているところもある。ただし、このような自衛権の行使に至るような国際的な事態は今のところ生起していない。
甚大な被害に至っていない重要インフラに対する攻撃、技術情報・知的財産等を含む情報搾取、金融犯罪、選挙妨害等のサイバー攻撃に対しては、一般的に懲罰型の報復が行われている(対抗措置という表現の場合もある)。外交官追放、関連施設閉鎖、金融資産凍結、刑事訴追等の懲罰的な措置をとることによりさらなるサイバー攻撃を抑止しようとするものである。これらの報復・対抗措置を含んで、現在では、攻撃者に対し、攻撃により獲得する成果に見合わない負担を負わせる(コストインポージング)方策と意思表示により可能な限り抑止しようとする努力が行われている。
■ インテリジェンスによる予測・予見型対応体制へ
これには、アクティブ防御といわれるような、国際法に抵触しない限度で行われるサイバー報復も含まれるが、具体的にどこまでできるのかはいまだ研究の途次にある。
加えて、現在の対処体制・能力では、大規模なサイバー攻撃を受けた場合でも、サイバー攻撃者の特定、生起した被害や波及した影響の確定まで、攻撃発生から数カ月後に結果が報告されるような状況である。世界的には、できるだけ攻撃発生前に、少なくとも大規模な被害の発生前に対処が可能なように、情報(インテリジェンス)による予測・予見型の対処メカニズムを追求している。このため、技術的にも体制・制度的にも変化が求められる傾向にある。
日本でも、東京オリンピック・パラリンピック対応のみならず、将来のサイバー攻撃に備え、これらの体制を整備することが急務である。
【21世紀政策研究所】