「サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理」について

いわゆる能動的サイバー防御(漠然としたワードですが)について、中間整理に相当すると思われる文書が公開されているので、それについて書いていきます。

概ね適切な方向性であるものの、事務局が何を考えているのかが十分に示されておらず、議論が発散している面がないではないという印象を受けました。

 

資料

内閣官房のページにありますが、見にくかったのでAIで整理しました。

検討会資料

  • 議事次第
  • 資料1:サイバー安全保障分野での対応能力の向上に向けた有識者会議の開催状況
  • 資料2-1:サイバー安全保障分野での対応能力の向上に向けた有識者会議の開催状況
  • 資料2-2:サイバー安全保障分野での対応能力の向上に向けた有識者会議これまでの議論の整理(案)

 

テーマ別会合資料

  1周目 2周目
官民連携に関するテーマ別会合 【令和6年7月3日】
資料3-1:御議論いただきたい事項
資料3-2:事務局資料
資料3-3:参考資料(事務局)
資料3-4:議事要旨
資料3-5:議論の概要
【令和6年7月23日】
資料4-1:これまでの議論の整理 素案 概要
資料4-2:これまでの議論の整理(素案)
資料4-3:参考資料(事務局)
資料4-4:議事要旨
資料4-5:議論の概要
通信情報の利用に関するテーマ別会合 【令和6年6月19日、20日】
資料5-1:御議論いただきたい事項
資料5-2:事務局資料
資料5-3:能動的サイバー防御に関連する論点(⼟屋⼤洋氏)
資料5-4:参考資料(サイバー攻撃の情勢とこれまでの政府の取組)(事務局)
資料5-5:英国調査権限法 (田川義博氏)
資料5-6:「通信の秘密」の日独比較(小西葉子氏)
資料5-7:議事要旨
資料5-8:議論の概要
【令和6年7月26日】
資料6-1:先進主要国における通信情報利用の実施過程とその制限・監督(事務局)
資料6-2:これまでの議論の整理 素案 概要
資料6-3:これまでの議論の整理(素案)
資料6-4:議事要旨
資料6-5:議論の概要
アクセス・無害化措置に関するテーマ別会合 【令和6年7月1日】
資料7-1:御議論いただきたい事項
資料7-2:事務局資料
資料7-3:警察におけるこれまでの取組等(警察庁サイバー警察局)
資料7-4:防衛省・自衛隊におけるこれまでの取組等(防衛省)
資料7-5:アクセス・無害化措置と国際法の関係(酒井啓亘氏)
資料7-6:参考資料(サイバー攻撃の情勢)(事務局)
資料7-7:議事要旨
資料7-8:議論の概要
【令和6年7月24日】
資料8-1:サイバー安全保障における政府に求められる役割(髙見澤將林氏)
資料8-2:事務局資料
資料8-3:これまでの議論の整理 素案 概要
資料8-4:これまでの議論の整理 素案
資料8-5:議事要旨
資料8-6:議論の概要

 

コメント

「議論の整理」の章立てに沿って、制度に関連する箇所を中心にコメントします。

官民連携の強化

  • ①重要インフラのインシデント報告義務化、②報告された情報の共有、③ソフトウェアの脆弱性対応の義務化、④脆弱性情報の一元的共有等が検討されているようである。
  • ①②は主として重要インフラが、③④は社会一般が想定されているようである(ボットネットのようなものは、社会一般で対策する必要がある)。
  • ①はNIS2指令を参考に、経済安保推進法の基幹インフラ規制を拡張する形でなされる可能性がある。クラウドサービス提供者(CSP)は既存の業規制の対象ではないので、基幹インフラ規制の対象となっていないが、NIS2指令では対象とされており、「議論の整理」でも重要インフラのデジタル依存度が増していることが指摘されているため、報告の対象とされる可能性がある。
  • ③はUKのPSTI法、EUのサイバーレジリエンス法を参考とした制度が導入される可能性がある(ソフトウェア脆弱性とは若干スコープが異なるが)。経産省がUS(FCC)のラベリング制度を参考に、IoT製品に対するセキュリティ適合性評価制度を検討しているが、脆弱なIoTデバイスによって被害を被るのは必ずしもIoTデバイスの購入者ではなく、購入者の選択に任せるのでは機能しない可能性がある。
  • 報告先の一元化はぜひとも行うべきだと思われる(そうすることで、個情委も個人データ保護に専念できるようになるだろう)。

 

通信情報の利用

  • 主としてボットネットを利用したDDoS攻撃やマルウェア攻撃を念頭に、平時から通信を分析すること、そのための制度整備(独立監督機関の設立を含む)が検討されているようである。通信の秘密の侵害の正当化は主としてこの文脈で問題となっている。
  • 「議論の整理」には明記されていないが、越境通信またはトランジット通信を対象とすることが想定されているようである。もっとも、これらの通信かどうかを事前に判断することは困難であり、実際には全ての通信を監視し、ターゲットでないものについてはデータを破棄することになるものと思われる。
  • 「平時からの分析が必要であり、令状主義に基づく個別的かつ司法的なコントロールでは、通信情報の利用と通信の秘密の保護という両方の目的を適切に果たすことができない」、「「手の内」を知られないようにしなければならない必要から全てを公開することは難しいと考えられるが、大枠の情報の公開は行われるべき」、「情報の公開が難しい部分を独立機関の監督で補う必要があるのではないか。その意味でも、独立機関の構成や業務の在り方が重要」との意見が引用されているが、適切である。
    • 資料5-7の「インテリジェンスの目的は問題を未然に防ぐことに主眼があり、既に行われていることを証明するということでは必ずしもない。このため、犯罪捜査とは情報の取り方が異なる」との指摘は重要である。
    • また、同じ資料の「まさにサイバー防御の実効性を高めるために、メタデータにも価値があるからこそ、逆にその濫用がもたらす危険も生まれるのであって、通信内容だけでなくメタデータもしっかり保護すべき必要があるという両面を認めて、適切な規律を考えなければならない。」との指摘も重要である。
  • 「通信情報は、①電気通信設備等を識別する情報、②コンピュータ等に一定の動作をするよう指令を与える情報、③その他機械的な情報、④個人のコミュニケーションの本質的内容に関わる情報、に主に分類できるが、このうち④は特に分析する必要があるとまでは言えない」との意見が引用されているが、越境通信またはトランジット通信に関して述べたのと同様に、①〜③を機械的に分析しつつ、必要に応じて④も見るのだと思われる(ただし、暗号化されていれば「個人のコミュニケーションの本質的内容」は覚知できない)。
  • 「通信の秘密の制限に対する通信当事者の有効な同意がある場合の通信情報の利用は、そもそも憲法上許容されると考えられる。その場合の同意の在り方は更に検討していく必要があるが、制度により規格化された内容による同意が方法として考えられるのではないか。」との意見が引用されているが、安全保障に関する問題は同意に依拠することは必要でも適切でもない。資料5-2では「緊急通報における位置情報の提供や、C&Cサーバ等との通信の遮断」が例示されているが、これらは今回問題となっているものとは状況が異なる。

 

アクセス・無害化

  • 主としてボットネットを利用したDDoS攻撃やマルウェア攻撃を念頭に、攻撃者のサーバに侵入・テイクダウンすること、そのための制度整備(警職法を参考とした規律)が検討されているようである。不正アクセスや不正指令電磁的記録に関する行為の正当化は主としてこの文脈で問題となっている。
  • 「能動的サイバー防御の主たる目的は被害の未然防止にある。インシデントが起こってから令状を取得し捜査を行う、刑事手続の令状審査では対処できない」、「具体的な活動の内容を要件と効果で規定して羅列するのではなく、目前に存在する危険に対して、危害防止のための措置を即時執行として行うことを可能としている警察官職務執行法を参考とすべき」、「平時と有事の境がなく、事象の原因究明が困難な中で急激なエスカレートが想定されるなどのサイバー攻撃の特性から、事態を細かく区切り事態を認定するという従来の事態認定の方式ではな(い)」との意見は適切である。
  • 「(警察が行う)サイバー攻撃があたかも何でも実現可能なものと受け止められているのではないかと推測する」、「技術的にできること・できないこと、できることの中でもすること・しないことを整理し、具体的なユースケースで検討することが重要ではないか」という指摘(資料7-7)は、国民への説明という文脈で出てきているが、必要な授権の内容や統制を検討する上でも重要である。

 

横断的課題(特にNISCの強化)

  • サイバーセキュリティ戦略本部・NISCの強化が検討されているようである。
  • NISCについては、資料8-1に切実な現状が書かれている。

 

その他コメント

  • 今回の検討は、①有識者会議本体を毎月開催しつつ、テーマ別会合を月2回程度開催して具体的な検討を進める、②テーマ別会合の資料は本体の資料として毎月公開する、③事務局が検討している方向性は適宜マスコミにリークして反応を見る、④議事録は逐語のものは公開せず、事務局説明やプレゼンテーションの議事録は省略する、⑤「議論の整理」は事務局の言葉ではなく議事録の切り貼りとして作成する、という進め方で行われている。しかしながら、②〜④のようなやり方では(時期的・内容的に)恣意的な開示ができてしまい、マスコミへのリーク(それ自体が悪いとは思われないが)の検証もできない。特に④の弊害は大きく、事務局説明資料やプレゼンテーション資料を読めば理解できるということなのかもしれないが、端的に言ってそうはなっていない(そもそも霞が関のパワポは口頭説明の道具であり、単独で読んで分かるようには作られていない)。⑤も事務局が何をしたいのかが分からず、無責任と言わざるを得ない。
  • このような進め方をしている背景には、安全保障法制における国民の強烈な反対があるのだと思われる(このことは、いわゆるセキュリティクリアランス法が、特定秘密保護法とほとんど同じ内容であるにもかかわらず新法として立案されたことにも表れているものと思われる)。しかしながら、安全保障法制の審議があのような状況となったのは、当時の政権の不誠実さによるところが大きく(特定秘密保護法も同じである)、今回の検討は、内容としては適切な方向性となっているのであるから、十分な情報開示を行いながら進めるべきである資料8-5の最後の指摘も参照)。
  • 資料5-7でも度々言及されているとおり、諸外国において、通信の監視はテロ対策の延長上にあるのであるが、事務局は、むしろ従来の警察活動とは一線を画する問題として認識している(していた)ようである。その結果、検討においては、外国法が直接参照され、日本の刑事・警察法制からするとかなり浮いた、現代的な制度が立案される流れになっている(現行法のコントロールの不十分さを放置したまま権限だけを拡大しようとする法制審刑事法(情報通信技術関係)部会の議論とは、極めて対照的である)。新制度が成立した場合、それを参考に既存の刑事・警察法制を見直していくことが望まれる生体データを規制するとはどういうことか(特に警察に対する監督強化について) - Mt.Rainierのブログも参照)。
    • なお、小西葉子氏が「(ドイツ基本法10条審査会を)国家公安委員会と比較した理由は、自身の2019年論文において、国家の情報収集の統制手段に着目して第三者機関の研究をしていた」旨述べているが、こちらだと思われる。同氏はインテリジェンスという(我が国にとっては)新しい問題について精力的に研究をされているが、刑事・警察法制を検討する上でも、十分に参照されるべきだと思われる。
  • 通信の監視について、英国を参照しているのは、「英国はインテリジェンスの母国とも言え、インテリジェンス情報の扱いをここまで幅広く規律した法律はほかにない上、議院内閣制という共通項があることで、我が国にも参考になり、EU離脱後も欧州評議会に残るので、EUの動向も知ることができる」一方、米国は「大統領令によって様々次々に(制度が)出てくる」という林氏、田川氏の問題意識によるようである(資料5-7)。米国はインテリジェンスが関係した途端に法の支配と人権保障が後退する面があり、そのような問題意識が検討の方向性に反映されているのは、国民にとって幸運なことであったと思う。