世界中で激化するサイバー攻撃、日本の備えは大丈夫か

英国IISSが各国のサイバー能力に関する報告書を公表

2021年6月28日、英国IISS（国際戦略研究所）は、「サイバー能力と国家能力：ネットアセスメント」（Cyber Capabilities and National Power: A Net Assessment）というタイトルをつけた、各国のサイバー能力をアセスメントした結果をまとめたレポート（以下、本レポート）を公表した。 これは、IISS独自の方法論で算出したものである。

この中でIISSは、日本を次の区分けにおける「Tier 3（第3層）」と位置付けた。

• Tier 1（第1層）： 全てのカテゴリーで世界をリードする強みを持つ
• Tier 2（第2層）： 一部のカテゴリーで世界をリードする強みを持つ
• Tier 3（第3層）： 一部のカテゴリーの長所または潜在的な長所を持つが、他のカテゴリーに著しい弱点がある

つまり、日本に「サイバーパワーの一部領域において著しい弱点」があると見なすのが、適切な解釈である。しかし、日本国内の大半のメディアやインターネット交流サイト（SNS）において、日本は「主要国で最下位グループ」と強調したものが多く、本レポートが発している「日本へのメッセージ」が適切に伝えられていない。

本レポートの背景、目的、前提など踏まえて精読すると、筆者は日本の「本質的な課題」とそれに相応した「すべきこと」を見出せると考えている。

知っておくべきレポートの性質

英国IISSは、世界でトップクラスの防衛および国家安全保障シンクタンクである(※1)。しかし、資金調達の透明性について、2018年に「欺瞞（ぎまん）的（deceptive）」という表現で非常に低い評価を受けたことがある(※2)。これは、資金源を公にできない相応の理由があると考えられる。従って、このような特性を持つ組織主体が実施するリサーチは、外交・安全保障や軍事の領域に「やや偏りがある」と見なす必要がある。

日本に対するアセスメントの結果

IISS独自のサイバーパワー方法論でアセスメントした「国家能力のカテゴリー」において、日本へのアセスメント結果を筆者なりの解釈で端的に表現すると、次の表になる。

これらの「国家能力のカテゴリー」は、「サイバー空間における防衛力」、つまり侵略を排除する国家の意思と能力を表す安全保障の最終的な担保と言えるもので、他のいかなる手段でも代替がきかないものだと捉えている。

従って本レポートは、日本が「主要国で最下位グループ」であることを伝えているのではなく、「国（家）の利益に対するサイバー脅威」に対し、日本には軍事・安全保障の領域で発揮すべきサイバー能力が著しく低い領域が存在していることを伝えている。

日本と価値観を共有しない中国とロシア

中国は、世界で最も広範なサイバー領域の国内監視・検閲システムを構築し、指導部が厳格にコントロールしていることなどから、「ガバナンス、指揮・統制」は高いレベルにある。また、国家としてのサイバーパワーは、2015年発表の軍事戦略(※3)と、16年に発表された初の公式なサイバーセキュリティの法令(※4)や戦略で反映されているため、「戦略とドクトリン」は明確である。

また、中国は2000年代以降、世界各国で大規模なサイバー活動を行っている。その目的は知的財産の獲得、政治的影響力の獲得、国家間のスパイ活動の実施、将来の紛争に備えて破壊的効果をもたらす能力の配置にあると分析されており、デジタル技術の産業基盤の拡大を踏まえ、米国に追随する「攻撃的なサイバー能力」の持続的な構築がされていると見なされている。

ロシアのサイバー能力は、長い間における欧米との対立の中で独自に発展している。特に、ロシアはサイバー作戦をより広範な情報戦争の重要要素と見なし、欧米各国に対して政策や政治の混乱を目的としたサイバー攻撃や大規模なサイバー諜報活動を行っていると分析されている。そのため、本レポートでは、ロシアの「攻撃的なサイバー能力」は高いレベルにあるとしている。

また、ロシアにおけるITインフラは英国やフランスの情報通信技術（ICT）企業への依存度が高いため、弱点になる可能性があるが、ロシア政府は法令に基づく規制や主権的なインターネット構築、国内のデジタル発展を促進しているため、本レポートはロシアがサイバーセキュリティの弱点の克服に努力していると分析している。

さらにロシアは、米国をはじめとした西側諸国のサイバー空間の支配を抑制するために外交努力を主導し、一定の成功を収めている。このため、「サイバー空間におけるグローバルリーダーシップ」は高いとしている。

必然的に進展するサイバー脅威

IISSによる各国のサイバー能力に対するアセスメントで示された事実や分析、今後の見通しなどから言えることは、次のとおりである。

今後、「各国が抱えている事情や構造的な問題」や「価値観を共有しない国々との外交・安全保障上の課題」などが、必然的かつ因果的に連鎖することが避けられない中で、それぞれの国家の利益に対するサイバー脅威が増大の一途をたどることは、ある意味約束された状況にある。

そのため、多くの主要国は、このような状況の認識を積極的に行い、国家をサイバー脅威から守る法的任務と能力を持つ「国家サイバーセキュテリィ機関」が存在し、さまざまな努力を積み重ねている。

日本の現状と取り組むべきこと

日本はさまざまな事情や社会的背景から、強い権限と能力を持つ「国家サイバーセキュリティ機関」の設置が難しく、各府省庁において独自に進めるサイバーセキュティに係る施策が推進されてきた。内閣官房の内閣サイバーセキュリティセンター（NISC）がその一部の調整を担っているが、「国家として一枚岩の取り組み」が推進されているとは言い難い状況だ。

その一例として、セキュリティ人材施策の状況について考えてみたい。

2010年代前半、さまざま状況変化や提言を受け、各省庁が独自にセキュリティ人材育成の施策を立ち上げた。しかし、あまりにも乱発していたためか、17年にNISCが施策連携を試みた。その中で、各省庁のセキュリティ人材施策が整理された。

筆者はこの取り組みにより、統廃合による選択と集中の実現を通じて、より効果的な施策が出現することを期待していた。しかしながら、この報告書の最後に示された「各人材育成施策のさらなる連携の検討が行なわれよう・・・(中略)・・・サイバーセキュリティ戦略の年次報告等を通じてフォローアップを行う」という表現のとおり、具体的施策を捻出することはできなかったようである(※5)。

つまり、各省庁において、独自の施策が進むことを受け入れた格好となり、今後については「連携に着手」ではなく、「さらなる連携の検討」を行うとしたのである。“検討”とは、物事をいろいろな面からよく調べ、それで良いのか考えることを意味している。従って筆者の見解としては、各省庁で立ち上げた（独自の）施策は、それぞれの領域に閉じたものであるが故に、国家全体として「よく調べていなかった」ことを露呈したと見なしている。

直近のサイバーセキュリティ戦略の年次報告において、「さらなる連携の検討」の一つが実現したようである。それは「人材育成や普及啓発に関する官民の様々な取組を集約するポータルサイトを構築し、仮運用を開始した」と記されていた(※6)。日本には、組織や施策の統廃合や選択・集中の実現を困難にする「堅牢な組織構造とプロセス」が存在している。

筆者は、国家の利益に対するサイバー脅威の急激な高まりとその深刻さから、国家を守るための「外交・安全保障や軍事の領域の能力向上」を担う人材の重要性が急激に高まっていると強く認識している。

このような厳しい制約の中で、日本が取り組むべきアクションアイテムについては、多くのリサーチャーが豊富な経験や専門知識に基づく深い洞察をもって書籍やネット上で解説している。有名なシンクタンクなども数多く提言しているため、あえて私から繰り返し述べることは控えたい。

筆者は、アクションアイテムより重要なものがあると考えている。それは「国（家）の利益を守る」結果を出すための仕組みづくりだ。特に5W1Hにおける 「Who（実施主体）」の設置と責任・役割の付与だ。

1950年に設置された「警察予備隊」はその後、さまざまな責任・役割が付与され、形態を変えながら現在（2021年）、防衛省・自衛隊として行政機関や民間組織では国民の命や身体を守ることが困難な事態に対して「最後の砦（とりで）」の役割を果たしている。今日に至るまで、防衛省・自衛隊は責任と役割を果たそうと、予算獲得や能力構築のために並々ならぬ努力を積み重ねてきた。これが筆者の考える「Who（実施主体）」の設置である。

筆者は本レポートが指摘した「日本のサイバー能力における著しい弱点」を克服するには、他の主要国が保有する国（家）の利益を守るための責任・役割が与えられた「国家サイバーセキュリティ機関」の設置が非常に重要だと考えている。

バナー写真：PIXTA