ここまで、Active Cyber Defense(能動的サイバー防御)に関するいくつかのドキュメントを見てきました。
これらのドキュメントの内容を元に、Active Cyber Defense について考察したいと思います。
なるべく調べたドキュメントを根拠に、客観的に考察したいと思いますが、カバーしているドキュメントがまだ十分ではないかもしれませんし、私の知識、経験(私の主観)の影響をうけることはご了承ください。
Active Cyber Defense の大きな2つの考えの違い
調べたドキュメントを見ていくと、Active Cyber Defense には根本的に2つの考え方の違いが発生していることが分かります。
一つは、サイバー攻撃を国に大きな被害を与えうる攻撃の一つとして捉え、安全保障の一環として従来あった Active Defense の考え方をサイバー攻撃に拡張する、というものです。
参考にしたドキュメントでは、その2で引用した「Framework and Principles for Active Cyber Defense」でミサイル防衛に例えています。
ミサイル防衛の場合、Passive Defense は飛んできたミサイルの被害範囲外に逃げる、当たっても耐えられる防御環境にする、という考え方になります。一方、Active Defense は飛んできたミサイルを撃ち落とす方法もあれば、先制して敵のミサイル発射台を破壊する方法、反撃で破壊する方法も考えられます。
この場合、特に自国領内で敵のミサイルを撃ち落とすのは、他国に何か言われる筋合いはないですし、攻撃側に何らかの被害を与えることはありません。
一方、攻撃される前に先制する場合、あるいは反撃する場合、攻撃側に被害を及ぼします。
この場合、戦闘の激化による将来的な政治的・外交的リスクと、現実的な被害のリスクを勘案して判断する必要があるでしょう。
もう一つは、従来のサイバー防御策は受動的な対策が目立っていたが、より積極的な対策を施していく、というものです。
参考にしたドキュメントでは、その2で引用した「Department of Defense Strategy for Operating in Cyberspace」、「In Discussion with Curt Dukes (IAD) - Overview of NSA's Cyber Security Mission」などで、リアルタイムに監視し、対処することを挙げています。
具体的な実装について定義したドキュメントでは、その2で引用した「Cybersecurity Incident & Vulnerability Response Playbooks」やその3で引用した「Implementing Active Defense Systems on Private Networks」などで、Cyber Deception という考え方を提案しています。
Cyber Deception とは、日本語の「欺瞞」で想像される単純にサイバー攻撃者を騙すという意味だけでなく、囮環境に誘い込み、攻撃に労力と時間をかけさせ、さらにその行動を観測して手口を知り、攻撃者のインテリジェンスを得る、という考え方です。
英語を単純に翻訳した場合、同じ意味を十分に表す日本語が無いため、この点を誤解しないようにしたほうが良いでしょう(変に日本語に訳すより、「Cyber Deception」で考えを広めたほうがいいと思います)。
一方、政府主導でサイバー防御を提供して国を守っていくという方法をとったのが英国で、その3で引用した「ACD - The Sixth Year」はその対象の紹介および実績の報告となっています。
積極的な対策として必要なサイバー防御を国が定義し、サービスを提供している例となります。
この観点でみると、Active Cyber Defense について大きく2つの考え方の違いがあることが分かります。
国の安全保障の観点:
Active <Cyber> Defense
安全保障における、Active Defense を拡張し、サイバーの観点に絞って考察、検討、能力構築。
各組織のサイバーセキュリティの観点:
Active → Cyber Defense
従来の受動的なサイバー防御と比べ、より積極的にサイバー攻撃の発見をし、実質的な被害発生前に対処して被害を防ぐ。
ここまで違うと、正直言葉を変えてほしいレベルです。
Active Cyber Defense について、まずはこの観点でどちらの話をしているのかを明確にしないと、話がかみ合う訳がない、というのは、これが最初の理由です。
国・政府、民間組織での考えの違い
次に、立場の違いによる Active Cybre Defense の考え方の違いを考えてみます。
国・政府の立場では、様々な切り口で Active Cyber Defense を考えなければならないことが分かります。
まず、先に挙げた安全保障に関しては、国・政府の方針として、どこまでのことをやるかの定義、そのための能力獲得(研究、機能開発および訓練)や法的問題の解決(立法または法改正)をする必要があります。
安全保障(軍事)以外で国・政府にしかできない分野として、外交や警察権に関わることを考える必要があります。
外交は、単に海外からのサイバー攻撃が疑われる際の抗議や申し入れだけでなく、貿易制限、制裁、国際的な会議の場での問題提起や非難など、サイバー攻撃やそのリスクへの対抗策になり得ます。
アメリカによる、中国やロシアの一部IT製品やソフトウェアの利用制限は、その一環と見ることもできるのではないかと考えます。
警察権は、サイバー攻撃があった際の警察による対応が考えられます。
具体的には、サイバー攻撃に関与したサーバが国内にあった場合の Takedown や、サイバー攻撃の被害通報があった際の捜査上での行動範囲などが考えられます。
以上のことを行うにあたり、法的に問題がないかを確認する、法律に引っかかる場合、その行為を禁止するか、立法または法改正して対処できるようにするか、といった法的問題の調査、検討、対処も国が行うべき行動になります。
この場合、政府というより議会(立法府)が関与する必要もあるでしょう。
安全保障上の先制サイバー攻撃やサイバー攻撃への反撃は法的にどこまで許されるか、現在の法律上問題あるが安全保障上必要だと認められるなら立法または法改正をどのようにするか、を議論し法律の成立させる必要があります。
同様に外交も、サイバー攻撃要因による外交的制裁が合法かどうか、違法ならどう改正する必要があるかを調査、議論し、要すれば法改正等を行う必要があります。
警察権に関しても、例えば捜査において通信を追跡する場合、通信の秘密との兼ね合いをどうするかなど、課題を調査、議論し、要すれば法改正等を行う必要があります。
行政機関や民間組織の組織内を中心に行う Active Cyber Defense であっても、一応法に触れないかは一通り調査すべきですし、どのような行為が合法で、どのような行為が違法であるかのガイドラインを作ることも Active Cyber Defense における法的側面でのやるべき内容のひとつだと思います。
一方で、国・政府は、政府の各機関(省、庁、機構等)を持っていますが、これらの組織を守るための行為としての Active Cyber Defense も考える必要があるでしょう。
こちらは、主に組織内をリアルタイム監視し、攻撃の徴候を早期発見し、その原因や攻撃者の行動を追跡調査し、被害が発生しないよう対処する、ということになります。
民間組織では、安全保障や外交、警察権に関わる行為は、基本的に行うことができません。
また、法的問題についても、提言や要望程度はできるものの、直接的に法律を変えることもできません。
このため、合法的な範囲で、主に組織内を守るための Active Cyber Defense を考えることになります。
内容としては、政府の各機関(省、庁、機構等)が行う Active Cyber Defense と同じような内容になると考えられます。
基本的にはそれぞれの組織が、自身の影響の評価を元に、何をどの程度やるかを決めていくことになるでしょう。
もっとも、重要インフラ分野など社会的に影響が大きい分野では、業界団体(ISACなど)で推奨事項を論議し、業界内ガイドラインを作るのも一考の余地ありと考えます。
それぞれの観点の整理
Active Cyber Defense に色々な考え方があることは、その1~3の引用で示し、以上で提示しました。
私の視点になりますが、これらを整理してみようと思います。
これらを整理すると、概ね以下のようになると考えます。
- 国・政府
- 安全保障の観点 Active <Cyber> Defense
- 外交・警察権など国・政府にのみ認められる権限の観点 Active → Cyber Defense
- 政府機関の防御の観点 Active → Cyber Defense
- 法的観点(立法・改正)Active <Cyber> Defense + Active → Cyber Defense
- 民間組織
- 自組織の防御の観点 Active → Cyber Defense
ざっとまとめても、これくらいの観点で分かれます。
やはり、これらを一つの言葉で論議するのは無理があるんじゃないか、というのが正直なところです。
国・政府は、国・政府にしか認められない権限の中で、サイバー攻撃にどのように対処していくかを考えなければいけない立場のため、多くの観点での Active Cyber Defense が考えられます。
一方、民間組織は、法的にも道徳的にも、組織内での対策に留まると考えられます。
国・政府:安全保障の観点
サイバー攻撃が現代の戦争の作戦や戦術として利用される可能性がある以上、その防御や反撃を考えないわけにはいかないでしょう。
最も大きな課題になるのが先制攻撃や反撃といった、敵に対して直接的な打撃を行うことでしょう。
これらを認めるか、認めるならどのような条件になるか、現実的に対処できる能力をどの程度保持し運用するか、を決める必要があると思います。
別の課題として、サイバー攻撃が重要インフラ等に対して行われたとき、それを安全保障の観点で防御するかどうか、ということも考えられます。
物理の世界では、重要インフラにミサイルが飛んで来たら、自衛隊は撃ち落とすでしょう。
一方、サイバー攻撃だった場合、安全保障として自衛隊がどの程度防御に関与するか、ということを決めるのもこの観点の範囲だと思います。
また、安全保障に関わる対処は、外交等を通じものも考慮されるかと思います。
このため、提案した図で示すと、以下のようになると思います。
ベースとしたのは、
Comparative study on the cyber defence of NATO Member States
Framework and Principles for Active Cyber Defense
です。
安全保障観点の場合、本質的に「境界の外側」への対処の論議になると考えられます。
特に大きく問題になる、先制攻撃や反撃といった、敵に直接的な打撃を与えるものは議論が紛糾しやすい傾向にあります。
このため、この部分は「Offensive」という別の括りにしてしまうのも一案だと思っています。
一方、自国内のネットワーク内での対処も点線で含めてみました。
先の例で述べた、自国領内でミサイルを撃ち落とすような行為がここに当てはまります。
安全保障の観点から、重要インフラ等は、例え民間組織のものであっても、国が関与して防御にあたる、ということを議論するならば、ここも含まれることになると考えられます。
外交・警察権など国・政府にのみ認められる権限の観点
安全保障と違い、軍事と民間という分類であれば民間になるものの、外交や警察権など国・政府にしか認められない権限が必要となる Active Cyber Defense があると考えられます。
具体的には、貿易的な制裁や C2サーバの Takedown などが挙げられます。
また、サイバー攻撃の被害者の調査と共に被害復旧活動も考えられるでしょう。
アメリカの2021年の Colonial Pipeline へのランサムウェア攻撃では、支払ったビットコインの多くをFBIが取り返したということもありましたが、これも被害復旧例に含んで良いのではないかと思います。
一方、犯罪者の捜査のために色んなネットワークを調べて回ったり、手段としてビーコンなどを活用することも想定されます。
このため、提案した図で示すと、以下のようになると思います。
ベースとしたドキュメントはなく、考察ベースですが、強いて挙げるなら
Into the Gray Zone The Private Sector and Active Defense Against Cyber Threats
ACD - The Sixth Year
のうち、警察・外交に関係しそうな部分、といったところです。
Takedown や Resucue など法執行権限が必要なもの、捜査機関の捜査に関するもの、Sanction など外交が関係するものが対象になるかと思います。
政府機関・民間の自組織の防御の観点
一般的な政府機関や民間組織が行う Active Cyber Defense は、あくまで自身のネットワークの範囲内になるのが前提となります。
自組織の外に影響を及ぼす一部の Active Cyber Defense も論議されることはありますが、多くの場合は立法または法改正しなければ違法行為となる可能性が指摘されています。
自身のネットワーク内で行う、という制限がある以上、その中で行えるサイバー防御をどれだけ充実させるか、ということを考えることになります。
具体的には、既存のセキュリティ製品を含めた様々なセンサーを利用したリアルタイム監視により侵入の徴候を可能な限り早く発見する、積極的に侵入の痕跡を探して攻撃を見つけ出して攻撃を遮断する、侵入の痕跡の調査ではインテリジェンス情報を収集して活用する、Cyber Deception の環境を構築して攻撃者に時間と労力を払わせつつ攻撃の手口に関する情報を得る、といった対策が考えられます。
このため、提案した図で示すと、以下のようになると思います。
ベースとしたのは、
Department of Defense Strategy for Operating in Cyberspace
In Discussion with Curt Dukes (IAD) - Overview of NSA's Cyber Security Mission
NIST glossary
Cybersecurity Incident & Vulnerability Response Playbooks
Into the Gray Zone The Private Sector and Active Defense Against Cyber Threats
Implementing Active Defense Systems on Private Networks
です。
元々、自分も国や政府に関係することもなく、あくまで民間の組織で行うべき Active Cyber Defense を調べていたので、その方向の参照ドキュメントも多くなりますね。
自組織の防衛の観点の場合、本質的には境界の内側が対象になります。
この点は、安全保障の場合は本質的に境界の外側になることと比べると、Active Cyber Defense という全く同じ言葉で全く逆の領域を対象にしている、ということが明確になりますね。
これが、今回のシリーズで書いている最初の記事で「カオスwww」と書いた理由でもあります。(おお、ちゃんとそれっぽい理由があったぞ)
上の図では、赤の実線範囲内が自組織の防御で Active Cyber Defense が関与する範囲でしょう。
その内部で、水色の背景の機能は、Active Cyber Defense を実践する上で実装が提案されている、従来の一般的なサイバー防御ではあまり行われてこなかった機能となります。
一方で、赤の点線の範囲は、組織の外側に影響する Active Cyber Defense となります。
これらは、民間でもかつ外交や警察といった権限に関わることなく技術的には可能なものとなります。
しかし、これらを実施すると、法的に問題になる可能性も指摘されています。
このため、これらを民間でもやってよいのかを論議し、やってよい場合はどの程度まで許容されるかの定義、それに関連する法律の改正などが必要になると考えられます。
法的観点
法的観点は、以上に挙げてきた Active Cyber Defense について、どれが合法でどれが違法か、ということを整理する必要があると考えます。
特に、「実施する」と判断した項目が現行法で違法になり得る可能性があるならば、新たな立法、法改正、法解釈の提示などによって、合法化する必要があるでしょう。
また、混乱を避け明確化するためには、法的解釈をまとめたガイドラインを出すことが望ましいと考えられます。
法的整理は、日本の場合は法務省または国のサイバーセキュリティを担ってきた内閣官房が最も適すると思われますが、デジタル分野でもあるためデジタル庁もある程度関与するかもしれません。
また、ガイドライン作成も法務省や内閣官房、デジタル庁が主になると思われますが、民間組織に対するガイドラインの場合、民間組織を所管する総務省や経産省、民間組織の各団体が作成することも考えられます。
立法、法改正は、立法府が行う必要があるため、法案を纏めた上で国会で審議し、成立させる必要があります。
議会、国会議員が Active Cyber Defense を理解し、これらを行う必要があるでしょう。
このため、提案した図で示すと、以下のようになると思います。
ベースとしたのは、
IMPLEMENTATION OF ACTIVE CYBER DEFENSE MEASURES BY PRIVATE ENTITIES: THE NEED FOR AN INTERNATIONAL ACCORD TO ADDRESS DISPUTES
Framework and Principles for Active Cyber Defense
Into the Gray Zone The Private Sector and Active Defense Against Cyber Threats
です。
様々な文書で法的問題について触れていますが、これら3つのドキュメントは、特に法的にどのような問題が考えられるか、具体的に法改正をどのようにする必要があるか、という点に触れています。
ここまで見てきた通り、立場によって Active Cyber Defense に関するとされる対象が違い過ぎるため、それぞれに対応しようとすると、ほぼ全てをカバーする必要があります。
これを絞り込むならば、Active Cyber Defense の対象はどれか、を明確に定義する必要があり、国の施策として行うならば、国はまずこれを明確にする必要があるのではないか、と考えます。
また、特に論争となり易い項目を紫の枠で示しました。
これらは国際問題や人権問題の関係で、特に違法またはセンシティブな課題となるものです。
Ofensive に切り分けるかに関わらず、これらは国として合法なのか違法なのか、現在は違法だが合法化する必要があるか、を議論しておかなければならない範囲だと考えられます。
これは、将来何らかの危機に直面したとき、素早く対応するために非常に重要です。
その時になって議論を開始していたのでは、危機対応に大きな障害となるでしょう。
所 感
ここからは、完全に個人の感想なので、異論も多くあるかもしれません。
ここまで色々なドキュメントを調べ、それらを整理した感想を書いてみます。
(ちなみに、書きかけで下書き保存したつもりが、うっかり投稿してしまっていて、急ぎ直しました。)
「能動的サイバー防御」(Active Cyber Defense) は、ここ数年見かけるようになってきていて、2022年の国家安全保障戦略にも文言が出てきたため、新しいサイバー防御の考え方だと思っていた方々も多かったかもしれません。
しかし、10年以上前の2011年には、アメリカで既にこの用語が使われだしていたことが確認できたと思います。
比較すると、日本で「高度標的型攻撃対策に向けたシステム設計ガイド」が出たのが2014年頃、「サイバーセキュリティ経営」Ver 1.0が出たのが2015年頃だったことを考えると、芽生えの時期は多くの人が思っているよりも前でした。
当時は、あくまで「リアルタイムにモニター、調査し、対処する」という方針と活動を指していたように思います。
国防総省の文書ですら、Active Cyber Defense をサイバー空間における安全保障の言葉とはしていなかったことが確認できました。
しかし、その後は 「Active Cyber Defense」 という言葉が独り歩きし始めた感じがします。
当初の考え方とは異なり、言葉の感覚で拡大解釈されてきてしまった、という感は否めません。
この結果、様々な意見や論文が飛び交ってしまい、現在のような解釈の混乱につながったのではないか、と感じました。
何度か書きましたが、ここまで意味が違うなら、本来言葉を分けてほしいところです。
ただ、世界的にみても、そういった論調は無いのかもしれません。
このため、Active Cyber Defense を話題にする人は、このような状況を理解し、具体的にどのような説や実績があるのか、を示すために文書を示した今回の一連の記事を書いた次第です。
多くの方は「民間組織」に当たると思います。
このため、「民間組織で行う Active Cyber Defense」の項目に注視して実施すればいいと思います。
Hack back 等、Offenseve な行為に関して下手に関わる必要はないと思います。
私が国・政府の Active Cyber Defense に対する取り組みに辛口なのは、ひとえに「現在何をしているか分からない」ためです。
ここまで述べてきたとおり、Active Cyber Defense は非常に混乱しています。
加えて、国・政府の Active Cyber Defense として整理したとおり、いくつもの対象があるわけです。
2022年の国家安全保障戦略に「能動的サイバー防御」の文言は出てきたものの、当文書はもとより、少なくともぱっと探して見つかるところに国・政府による「能動的サイバー防御」の定義は出てきません。
これは、何か実績ができたときに後付けで「これは能動的サイバー防御の一環だった」とアピールするための玉虫色の表現なんだな、と思ってしまうわけです。
また、「能動的サイバー防御」の定義がなされていないなら、どれを実施する、しないを決められず、作業が進まないと考えられます。
流石に、何らかの定義があると信じたいですが、定義や進捗が公開されていないのは謎です。
(どこかにあるなら教えて欲しいです・・・)
このため、2022年の国家安全保障戦略の「能動的サイバー防御」への言及も、やってる感を出すためのポーズの域を出ていない、と感じてしまいます。
我が国の某メガネが今年、河野デジタル大臣に能動的サイバー防御に関して指示を出したという記事は見ましたが、これも首をかしげました。
先に挙げたとおり、政府の立場では色んな面で Active Cyber Defense を論議する必要があります。
最も問題なのは、安全保障に関わる面でも Active Cyber Defense を論議する必要があると思いますが、NSCにも参加していないデジタル庁からそのタタキが出てくるとは思えません。
おそらく防衛省担当で論議は進んでいるとは思いますが、じゃあ河野デジタル大臣に指示した対象は何なの、ということになりますが、それについては報道等にも触れられていません。
(その点は、報道している人々も、能動的サイバー防御について、感覚的な語呂だけで、内容や現在の問題点を十分理解できていないのかな、とも思います。)
河野デジタル大臣自体は、他の役職も兼務されているため、河野氏に指示したというのなら、他の役職の担当者として指示された可能性も十分にあります。
・・・が、やはり安全保障に関わる論議ならば、まずは NSC を担当している誰かがまず指示されるのではないか、と考えると、もやっとするところです。
ならば、河野氏は政府機関の防御の観点について担当するのか?という話ですが、なにしろ何も情報が出てきません。
国・政府には、「能動的サイバー防御の方針」というものを、早いところ出してほしいですね。
(2024年7月8日 追記)
・・・と思ったら、ついに法律案を発見。
第213回国会(会期:2024年1月26日~6月23日)で、参議院で2024年4月24日に議案受理されていたようです。
法案名は
「サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律案」
(・・・うん、ツッコんだら負け、ツッコんだら負け!)
「態勢の整備の推進に関する法律案」って、なんとも奥歯にものが挟まったような言い回しで、じゃあ能動的サイバー防御態勢の確立は、いつを目標に、どのような内容で実施するんだよ、となんとなく先は長そうと不安に駆られますが。
しかし、この法律には、ようやく「『能動的サイバー防御』とは」という言葉の定義がでてきました。
*注:「この法律において『能動的サイバー防御』とは、・・・」となっているため、他の法律では定義が変わる可能性は残る点だけは留意。
第二条 2
この法律において「能動的サイバー防御」とは、外部からのサイバー攻撃について、これによる被害が発生する前の段階から、その兆候に係る情報その他の情報の収集を通じて探知し、その主体を特定するとともに、その排除のための措置を講ずることにより、国家及び国民の安全を損なうおそれのあるサイバー攻撃の発生並びにこれによる被害の発生及び拡大の防止を図ることをいう。
情報収集して攻撃元を特定し、排除のための措置を行うとしています。
対象は、国家および国民の安全を損なうおそれのあるサイバー攻撃としています。
また、この法律自体は、基本理念を定め、国の責務等を明らかにすることのほか、「サイバー安全保障態勢整備推進本部」を設置することを目指しているようです。
なお、この法案の審議状況は「未了」となっており、審議経過情報には議案件名、提出者および議案受理年月日以外の情報が無く、2024年7月時点で国会は閉会していることから、成立の可能性は次回国会以降となると思われます(ホント、能動的サイバー防御はいつできるようになるんだろうなー)。
このため、今後の審議で文言が見直される=定義の範囲が変わる可能性があることにも注意が必要です。
今までに利用してきた図に当てはめると、以下のようになるかと思います。
今回に限り、以前の図には無かった「External Network Monitoring/Border Communication Monitoring」を追加しました。
各組織の外部の通信、外部(海外)からの通信をモニターするという意味で、よりアグレッシブなモニタリングをすることになる一方、いわゆる「通信の秘密」で大いに問題になる点になるため、追加しました。
範囲としては、ネットワークを対象にしていることもあり、イギリスの Active Cyber Defenseに近い形になるかと思います。
ただし、イギリスと比べ情報提供や教育の提供には言及していないので、それらを含みません。
今回は、紫線と赤線の二種類の線を引きました。
今回の法案では、「サイバー安全保障態勢の整備」を目的としていると書かれています。
この「安全保障」を、軍事的な意味合いで捉えると紫の範囲が候補になるかと思います。
法案の定義の文言から、通信をモニタリングして脅威情報などを元に探知することは確実なのですが、「その排除のための措置を講ずる」の範囲が、第三条の四に「サイバー攻撃の排除のための措置が事態に応じ合理的に必要と判断される限度を超えるものとならないようにすること。」とはあるものの、不明確です。
このため、この措置が通信のブロッキング程度に留まるのか、Hack back, Counterattack, 先制攻撃までも含むかは明確ではありません。
もっとも、「合理的に必要と判断される限度を超えるものとならない」となると、やはりHack back等の可能性は低いと思い、点線表記としています。
一方、国家及び国民の安全を担うために警察権を行使すると考える場合は赤線の範囲になるかと思います。
紫線との違いは、 Takedown を含むかどうかという点です。
サイバー攻撃があった場合、実のところそれが他国の軍事組織によるものなのか、いわゆるサイバー犯罪グループによるものなのかは、すぐには見分けられるものではありません。
と、なると、「その兆候に係る情報その他の情報の収集を通じて探知」と書かれている、いわゆるモニタリングをするのは誰か?ということになります。
ここで、「安全保障=軍事的行動=自衛隊」と考えて、自衛隊が実施するとします。
自衛隊が実施した場合、大きな問題として、①警察権は無い ②他国から軍事行動と捉えられる可能性がある があります。
自衛隊の場合、「治安出動」などの場合には警察官職務執行法が準用されることもありますが、それ以外ではおよそ警察権を行使することはできません。
このため、上の図でも Takedown は紫の枠外としたわけです。
自衛隊が実施しつつ、警察権が関わることもやろうとするならば、かなりアクロバティックな法律を作る必要があるでしょう。
一方、「民事のケースが多いため警察」と考えて、警察が実施するとします。
警察が実施した場合、国内的には問題が出にくいとは思います。
しかし、軍事行動としてのサイバー攻撃があった場合、それを警察で対処するのは、国の安全保障上や国際法上どうなのか、という問題が出てくるかと思います。
軍事行動への対処を警察が行うのは、警察の権限を超えていると判断される可能性がある、というのが懸念点です。
また、警察だった場合、Hack back等の相手への直接的な対処は認められないでしょう。
結局のところ、軍事(自衛隊)であれ警察であれ、同じような技術で検知をし、対処をしなければいけないと思います。
しかし、法律的な立場の違い、それによる実行権限の違いがある以上、それぞれで能動的サイバー防御を構築しなきゃいけないのだろう、と思います。
・・・と色々考えることができるのですが、いかんせん当の法律案がペラッペラなので、そんなとこまで言及していません(相変わらずの毒舌)。
この法案を作成、審議している裏で、これらが具体的に策定され、内容が煮詰まりつつあり、近々公開されるのではないか、と思っています。
(流石に、「まだこれから考える」とかいうのはカンベンしてくれ、頼むから!)
(2024年7月8日 追記ここまで)
今回の一連の記事で、内外の能動的サイバー防御(Active Cyber Defense)の状況や問題点を理解して貰えたなら幸いです。
私も情報収集しているものの、専門外(私はフォレンジック・マルウェア解析屋さんだよ)なため、余裕があるときに拾い読みで情報収集しているに過ぎません。
このため、まだまだ多くの有益な文書を見落としていると思います。
今回収集、提示したドキュメントを参考にしつつ、新たな文書を探したり、それらを元に考察していただければと思います。
また、今回書いてきたようにように、共通の土台で比較することで、違いを明確にしたほうが整理がしやすいと思い、図を提案してみました。
能動的サイバー防御(Active Cyber Defense)を調べている方々に、何らかの役に立ったなら幸いです。