第I部 わが国を取り巻く安全保障環境
3 サイバー空間における脅威に対する動向
こうしたサイバー空間における脅威の増大を受け、各国において、各種の取組が進められている。
サイバー空間に関しては、国際法の適用のあり方など、基本的な点についても国際社会の意見の隔たりがあるとされ、例えば、米国、欧州、わが国などが自由なサイバー空間の維持を訴える一方、ロシアや中国、新興国などの多くは、サイバー空間の国家管理の強化を訴えている。また、国際社会においては、サイバー空間における法の支配の促進を目指す動きがあり、例えば、サイバー空間に関する国際会議などの枠組みにおいて、国際的なルール作りなどに関する議論が行われている。
さらに、2020年からの新型コロナウイルス感染症への対応の結果として、テレワークやICTを活用した教育、Web会議サービスなど世界的に新たな生活様式が確立された。一方で、これらのデジタルサービスの進展に伴い、従来型のサイバーセキュリティ対策の主要な前提となっていた「境界型セキュリティ」11の考え方の限界が指摘されており、各国で新たなセキュリティ対策の検討が進められている。
1 米国
米国では、連邦政府のネットワークや重要インフラのサイバー防護に関しては、国土安全保障省が責任を有しており、国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)が政府機関のネットワーク防御に取り組んでいる。2022年4月、国務省内に国際サイバー安全保障や国際デジタル政策などに取り組む「サイバー空間・デジタル政策局」を新設した。
米国は、国防省サイバー戦略(2018年9月)において、米国が中露との長期的な戦略的競争関係にあり、中露はサイバー空間における活動を通じて競争を拡大させ、米国や同盟国、パートナーへの戦略上のリスクになっていると指摘している。また、国家安全保障戦略(2022年10月)において、サイバー攻撃の抑止を目指しサイバー空間における敵対的行動に断固として対応するとし、国家防衛戦略(2022年10月)では、サイバー領域における抗たん性の構築を優先し、直接的な抑止力の手段として攻勢的サイバーをあげている。
また、連邦政府機関におけるサイバーセキュリティを強化するため、2022年1月、行政管理予算局は「ゼロトラスト戦略」を発表し、各省庁がゼロトラスト12モデルのセキュリティ対策を実施するものとしている。また、2023年3月、国家サイバーセキュリティ戦略を発表し、中国、ロシア、イラン、北朝鮮などがサイバー攻撃を積極的に使用して安全保障と繁栄を脅かしているとし、重要インフラの防衛や脅威アクターの阻止と解体などに注力するとしている。
2019年日米「2+2」では、サイバー分野における協力を強化していくことで一致し、国際法がサイバー空間に適用されるとともに、一定の場合には、サイバー攻撃が日米安全保障条約にいう武力攻撃に当たり得ることを確認している。
米軍においては、2018年5月に統合軍に格上げされたサイバー軍が、サイバー空間における作戦を統括している。同軍は、国防省の情報環境を運用・防衛する「サイバー防護部隊」(68チーム)、国家レベルの脅威から米国の防衛を支援する「サイバー国家任務部隊」(13チーム)及び統合軍が行う作戦をサイバー面から支援する「サイバー戦闘任務部隊」(27チーム)などから構成されている。これら3部隊は「サイバー任務部隊」と総称され、25の支援チームを含め全体として133チーム、6,200人規模である。
また、2022年10月には、サイバー軍主催の多国間サイバー演習「サイバー・フラッグ23-1」が開催され、わが国を含む8か国から250人以上のサイバー要員が参加している。
2 韓国
韓国は、国民の安全を守り、国家安全保障を堅固にするため、2019年4月に「国家サイバー安保戦略」を韓国として初めて策定するとともに、同戦略を具体化するため、同年9月には「国家サイバー安保基本計画」を発表した。
国防部門では、韓国軍は、サイバー作戦態勢を強化し、サイバー空間における脅威に効果的に対応するため、2019年に合同参謀本部を中心としたサイバー作戦の遂行体系を構築するとともに、合同参謀本部、サイバー作戦司令部、各軍の連携体制を整備した。同年2月、「国軍サイバー司令部」は「サイバー作戦司令部」に改編された。また、各軍の「サイバー防護センター」は「サイバー作戦センター」に改編され、人員が補強された13。
3 オーストラリア
オーストラリアは、2020年8月に発表した「サイバーセキュリティ戦略」で、自国のネットワークの安全性を確保するため、サイバー空間における防御的な能力だけでなく、攻撃的な能力の権限と技術力を確保することを明言している。また、豪英米3か国の首脳は、2021年9月に新たな安全保障協力の枠組みとなる「AUKUS」の設立を発表し、原子力潜水艦の共同開発に加え、サイバー能力、AI、量子技術などで協力するとしている。
組織面では、政府内のサイバーセキュリティ能力を1カ所に集約した、オーストラリアサイバーセキュリティセンター(ACSC:Australian Cyber Security Centre)を設置し、政府機関と重要インフラに関する重大なサイバーセキュリティ事案に対処している。また、2022年11月、サイバー攻撃を未然に阻止するための「常設共同タスクフォース」の新設を発表した。同タスクフォースは通信局及び連邦警察から選抜された100名のサイバー要員で構成されるとし、サイバーセキュリティ大臣は攻勢的なサイバー防衛を明言した。
また、軍は、2017年7月に統合能力群内に情報戦能力部を、2018年1月にその隷下に国防通信情報・サイバー・コマンド(DSCC:Defence Signals Intelligence and Cyber Command)を設立した。空軍では、職種区分としてネットワーク、データ、情報システムなどを防護するサイバー関連特技を新設し、2019年10月、新設した特技の募集を開始した。
4 欧州
NATOは、2014年9月のNATO首脳会議において、加盟国に対するサイバー攻撃をNATOの集団防衛の対象とみなすことで合意している。
組織面では、2017年11月に、サイバー作戦センターの新設及び加盟国が有するサイバー防衛能力のNATO任務・作戦への統合に関する方針に合意した。ベルギーに置かれた同センターは、2023年には全面稼働し、サイバー攻撃の能力を持つとの見通しが示されている。
また、研究や訓練などを行う機関としては、2008年にNATOサイバー防衛協力センター(CCDCOE:Cooperative Cyber Defence Centre of Excellence)が認可された。同センターは、2017年2月、サイバー活動に適用される国際法をとりまとめた「タリンマニュアル2.0」を公表し、2020年12月には、同マニュアルを3.0へ更新する取組を開始している。また、2022年4月にはCCDCOE主催のサイバー防衛演習「ロックド・シールズ2022」、同年11月にはNATO主催のサイバー防衛演習「サイバー・コアリション2022」が開催され、NATO加盟国のほか、わが国も参加している。
NATO主催のサイバー防衛演習「サイバー・コアリション2022」の様子【NATO HP】
EUは、2020年7月に欧州域内におけるサイバー攻撃を実施した中国籍・ロシア国籍計6名及び中国・北朝鮮・ロシアの3組織に対し制裁を課すことを決定したと発表した。また、同年10月に英国と共同で独連邦議会へのサイバー攻撃を理由にロシアへの制裁発動を発表している。同年12月には、「デジタル10年のためのEUのサイバーセキュリティ戦略」において、EU内のサイバー脅威への集団的な状況認識の欠如を指摘し、民間・外交・警察・防衛各分野横断型の「共同サイバーユニット」の設立などを提唱し、2021年6月には同ユニットの具体的構想を発表した。また、2022年11月、EUの市民とインフラの保護能力強化などのための「EUサイバー防衛政策」を発表している。
英国は、2021年12月に公表した国家サイバー戦略において、敵対勢力の探知・阻止・抑止など5つの戦略的目標を掲げたほか、今後3年間でサイバー分野に26億ポンドを投資することを表明している。
組織面では、2016年10月に、国のサイバーインシデントに対応し、官民のパートナーシップを推進するため、国家サイバーセキュリティセンター(NCSC:National Cyber Security Centre)を政府通信本部(GCHQ:Government Communications Headquarters)に新設した。また、2020年6月に軍のネットワーク防護を担当する「第13通信連隊」を発足した。同年11月には、国家サイバー部隊(NCF:National Cyber Force)の設立を公表しており、重大犯罪の予防、敵武器システムの妨害などの活動を行うため、GCHQ、国防省などの人員を集約している。
フランスは、2017年5月に統合参謀本部隷下にサイバー防衛軍を発足させている。2021年9月にはパルリ軍事相(当時)が、同国に対するサイバー攻撃の増加と深刻さを指摘し、2025年までに同軍の人員を約5,000名規模の人員に増強し、サイバー防衛能力を強化するとしている。
