石破政権が成立を目指す能動的サイバー防御だが、一昨年の CODE BLUE 2023 で能動的サイバー防御に関するパネルディスカッションが開催されていた。開催から少なからぬ時間は経過したが、この議論はすぐに結論が出る性質ではなく、国際情勢はめまぐるしく変わり議論も現在進行形だ。
パネルディスカッションの登壇者は、弁護士でサイバーセキュリティ関連の法律に詳しい高橋 郁夫 氏。オランダ陸軍中尉で NATO CCDCOE(Cooperative Cyber Defence Centre or Excellence)のニック・ウォブマ氏、チャタムハウス国際法プログラムのシニアフェロー タリティア・ディアス氏、BPO 放送人権委員会委員長、一般財団法人 情報法制研究所(JILIS)理事などの肩書を持つ京都大学 曽我部 真裕 氏、千葉大学ロースクール准教授 西貝 吉晃 氏。
●避けて通れない能動的サイバー防御議論との対峙
能動的サイバー防御(ACD:Active Cyber Defence)は、日本では 2024 年に法整備に向けた有識者会議が立ち上がり、本格的な議論が進んでいるところだ。だが、新聞報道では、先制攻撃や軍事施設の無力化のようなワードが飛び交っている。刺激的な単語は、大衆扇動および政策ツールとして意味を持つが、議論の本質や重要なポイントが見失われる懸念がある。
一方で、ロシア・イスラエル・ハマス・イランそして中国などの国際情勢を見ると、世界は軍隊を持たず戦争を放棄したからといって見えないフリを許してくれるわけではない。むしろ、そういう国こそ冷戦以降の社会構造、経済構造にみあった対応が求められている。能動的サイバー防御の議論は避けて通れない課題だ。
パネルディスカッションのモデレータを務めた高橋弁護士は、パネルディスカッションの背景と目的を次のように語る。
「能動的サイバー防御には 3 つのオペレーションがある。ひとつは日本の重要インフラや民間事業者がサイバー攻撃を受けた場合の情報共有や支援。これはあまり論点がない。ふたつめは攻撃や悪用が疑われる場合に事前にそれを察知するため、民間、特に通信事業者の役務提供を求めること。3 つめは、そのような攻撃や悪用を未然に防ぐため相手サーバー等への侵入(ペネトレーション)や無害化(ニュートライズ)。2 番目と 3 番目は国内法や国際法の観点でさまざまな問題が惹起される。今回のパネルディスカッションは、能動的サイバー防御を行うとき、国内でどのような問題が懸念されるのか論点になるのかを考えるもの。そのためには、国際法における国対国、国内法における国と民間(非国体)との関係を考える必要がある。」
●能動的サイバー防御は国際法上の主権侵害にあたるか?
国際法における能動的サイバー防御については、チャタムハウス国際法プログラムのシニアフェローであるタリティア・ディアス氏が講演を行った。
端的にいえば能動的サイバー防御は国際法において、他国の主権を侵害する可能性がある。通常、国際関係において他国の主権および内政には不干渉の原則がある。防御だからといって能動的サイバー防御がこれを冒さない保証はない。フランスなどは自国サーバーへの不正侵入を主権の侵害とみなしているという。その上で、ディアス氏は次のように述べた。
「ある国が他国の主権を侵害した場合、国際法上の正当化の根拠は 3 つあるとされている。自衛権、対抗措置、緊急避難だ。自衛権の行使は、日本の安全保障上の戦略として規定が明確でないが、おそらく自衛権の行使としての能動的サイバー防御は認められない。対抗措置は、ある国による違法行為に対して、国が国民に対する義務不履行とならない措置として正当化できる可能性がある。そのためにはアトリビューション(違法行為や属性の明確化)や事前通告が必要となる。また、正当化されるのは重大で差し迫った危機への唯一の手段である場合に限られる」
つまり能動的サイバー防御で、相手国のサーバーに侵入したりデータを破壊したりする行為が正当化できるのは 3 番目の緊急避難措置が妥当となりそうだ。対抗措置は違法行為であることが明らかでなければならない。したがって、未然に防ぐとか先制攻撃のような議論には適合しにくいと考えられる。
