サイバー攻撃を未然に防ぐ「能動的サイバー防御」(アクティブサイバーディフェンス:ACD)の導入について、政府が法整備に向けて動き出した。この取り組みには「攻撃元を特定して無力化する」ところまで想定されているが、果たしてそれが技術的に可能なのかどうか。サイバーセキュリティの専門家に聞いてみた。
政府が進める「能動的サイバー防御」とは
写真1:記者会見で質問に答える河野太郎デジタル大臣
「国家安全保障戦略に基づいて、能動的サイバー防御を導入し、サイバー安全保障分野における新たな取り組みの実現のために、法制度の整備を図ることとしている。これについて、専門的な見地から検討を進め、体制の在り方などについてご提言をいただくため、このたび私のもとにサイバー安全保障分野での対応能力の向上に向けた有識者会議を立ち上げることとした」(写真1)
河野太郎デジタル大臣は5月31日に開いた記者会見で、能動的サイバー防御の導入への法整備に向けて有識者会議を立ち上げることを表明した。「会議のメンバーについては、経済界、アカデミア、法曹界、メディアなど、今回のテーマを検討していただくのにふさわしい知見を持つ有識者17人にご参加いただく」とし、6月上旬にも第一回の会合を開く予定だ。
能動的サイバー防御は、サイバー攻撃を受けた際に民間事業者との情報共有・支援を強化するとともに、国内通信事業者の情報を活用して悪用が疑われるサーバーを検知し、さらには攻撃者のサーバーへ侵入し無力化できるようにする取り組みだ。これらを政府として実行する権限を保持できるようにするため、有識者会議で検討し、早ければ今秋の臨時国会で関連法改正を目指す構えだ。
ただ、この取り組みで大きな問題となるのは、憲法が保障する「通信の秘密」との整合性だ。憲法では個人間のメールのやりとりなどを含む通信を広く保護しているほか、電気通信事業法も通信の秘密の保護を定めている。能動的サイバー防御を導入した場合、通信事業者からの情報提供の是非や一般人の通信の秘密を制度的にどう保護するかなどの憲法上の課題をクリアする必要がある。とはいえ、政府が今回この取り組みを前進させる動きに出たのは、法整備に向けて見通しが立ったからだとの見方もある。
この取り組みには、日本のサイバー防衛能力の脆弱(ぜいじゃく)性に懸念を抱く米国側の強い要請もあるようで、サイバーセキュリティにとどまらず国家安全保障や地政学の観点で注視する必要があるが、いずれにしても筆者が注目したのは、攻撃元を特定して無力化するところまで想定されていることだ。
そこで気になるのは、攻撃元を特定して無力化することが、技術的に可能なのかどうかだ。サイバーセキュリティ対策において、これまではサイバー攻撃への防御は受け身一辺倒で、攻撃元を追跡し特定して対処することは困難だった。だが、セキュリティ技術にAIが適用されるようになって能動的な防御についての議論がにわかに盛り上がってきたというのが、筆者の印象だ。
「特定」と「無力化」の両方を一気に達成するのはハードルが高いかもしれないので、まずは現時点で攻撃元を特定することが本当にできるのか。今回、トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏と、チェック・ポイント・ソフトウェア・テクノロジーズ サイバー・セキュリティ・オフィサーの卯城大士氏に話を聞くことができたので、以下に紹介する。
