米国防総省のサイバー戦略と軍事力行使の関係を読み解く[後編]

「米国防総省のサイバー戦略と軍事力行使の関係(前編)」では、サイバー攻撃に対する米国防総省の方針に関する報道とそのポイントについてまとめた。今回はその続きで、一般的な軍事行動とは異なる、「サイバー戦」あるいは「サイバー防衛に独特の事情」について説明しよう。

サイバー防衛における独特の難しさ

サイバー攻撃に対して防禦体制をとるし、軍事力による反撃も辞さない、と表明するだけなら簡単だ。ところが、サイバー攻撃に対する防禦あるいは反撃には独特の難しさがある。攻撃元を突き止めるのが難しいだけでなく、攻撃手段が多様化しており、しかも日々進化を続けている点も問題になるのだ。

前述したように、わかりやすいのはインターネット経由の攻撃であり、これなら地球の裏側からでも攻撃できるだけでなく、攻撃元を秘匿しやすい利点がある。ホワイトハウスがリリースした国家レベルのサイバーセキュリティ構想の中で、「政府機関のネットワークを統合するとともに、インターネットとの結節点を信頼できるものに限定する」「政府機関のネットワーク全体に侵入検知システムを配備する」といった施策を打ち出しているのも、インターネット経由の攻撃が大きな比率を占めるであろう事情を反映している。

では、重要なネットワークあるいはコンピュータをインターネットから物理的に切り離せば安心できるのだろうか? 実際、米国家安全保障局(NSA:National Security Agency)をはじめとして、そうした措置をとっている組織はいろいろあるが、物理的に切り離すだけでは不十分である。米軍や韓国軍、あるいはイランの核施設で起きたように、USBフラッシュメモリを介して不正プログラムが蔓延する事態があるからだ。

そして、米軍では不正プログラムが外部にデータを漏洩させる「裏ルート」を作る事態になったし、イランではウラン濃縮に使用する遠心分離機の制御プログラムが動作を狂わされた。このような経験から、米軍や韓国軍では「USBフラッシュメモリは使用禁止」とお触れを出す羽目になっている(米軍は後に、一定の条件を満たしたものは使用を認める方針に転換した)。

さらに、業務用のデータを自宅などに持ち出す、コンピュータそのものの物理的なセキュリティが甘くて第三者にのぞかれたり、不正に使われたりするといった事態にも注意を払い、対策を講じる必要がある。データの持ち出しは、日本でも多くの企業が痛い目に遭っているので対岸の火事ではない。

NSAでは以前から、OS、アプリケーションソフト、ネットワーク機器などを安全に使用するための設定ガイドラインを公開している。当初はWindows、Linux、シスコシステムズ製ルータぐらいしか対象にしていなかったが、最近ではMacOS Xや各種アプリケーションソフトも対象に含めており、しかもバージョンごとに別々の文書を用意している徹底ぶりだ。さらに、セキュリティ確保のためのベストプラクティスについても文書をまとめている。

Security Configuration Guides
http://www.nsa.gov/ia/guidance/security_configuration_guides/index.shtml

Best Practices for Keeping Your Home Network Secure
http://www.nsa.gov/ia/_files/factsheets/Best_Practices_Datasheets.pdf

NSAが公開している「Security Configuration Guides」では、アプリケーション、データベースサーバ、IPv6など、細かく設定がまとめられている

このほか、米国土安全保障省(DHS : Department of Homeland Defense)でも、サイバーセキュリティ関連のリソースをまとめたWebページを作成・公開している。

DHS | Cybersecurity Technical Resources
http://www.dhs.gov/files/technical/cybersecurity.shtm

しかし、こうしたガイドラインやオンライン・リソースを活用してさまざまな対策を講じていても、サイバー攻撃、IT関連のセキュリティ・インシデントというのは「意地悪ばあさん」みたいなもので、想定の対象から漏れていた「穴」を突く形で被害を引き起こすことがままある点には注意したい。

サイバー戦の非対称性

これは筆者が過去に自著や寄稿した軍事専門誌などでも述べたことだが、サイバー攻撃にはある種の非対称性がある。

サイバー攻撃は他の武力行使の手段と比べると相対的に安上がりで、しかもインターネットのおかげで地球の裏側からでも(交通費なしに)攻撃を仕掛けることができる。しかも、自爆テロと違って攻撃者の生命に影響はないので、攻撃する側にとってはそれだけ気楽だ。

一方で、攻撃を受けた側は前述したような事情から、攻撃元を突き止めて反撃するのが難しい。反撃するにしても、被害の程度、交戦規則やその他の規則・規制、マスコミ報道、世論などを気にしながら、手段を選びつつ反撃せざるを得ない(攻撃側にはそうした縛りはない)。こうした事情から、サイバー戦は攻撃を仕掛ける側が有利な立場になりやすいというのが、筆者がいうところの「非対称性」の意味だ。

だから、国際犯罪組織やテロ組織、強大ないしは近代的な軍事力を持たない国家であっても、サイバー攻撃によって日本や欧米先進諸国にダメージを与えられる可能性がある。もっとも、打撃が政治的効果や軍事的効果にどれだけ結び付くかどうかを把握しにくいという欠点もあるのだが。

ともあれ、対応行動に関してさまざまな制約があるなかで、サイバー防衛を進めようとする動きの一環として今回の話が出てきたのだ、という背景は理解しておきたい。「武力行使もあり得る」という点にばかり囚われると、その背後にある事情や意図を読み間違えそうだ。

参考文献

Major Cyber Attack Is Act of War: Pentagon Report (DefenseNews.com)
http://www.defensenews.com/story.php?i=6673087&c=AME&s=TOP

Pentagon: All options on table in cyber-attack
http://www.spacedaily.com/reports/Pentagon_All_options_on_table_in_cyber-attack_999.html

US to view major cyber attacks as acts of war: report
http://www.spacedaily.com/reports/US_to_view_major_cyber_attacks_as_acts_of_war_report_999.html

Cyber-war must be treated as conventional attack: Estonia
http://www.spacewar.com/reports/Cyber-war_must_be_treated_as_conventional_attack_Estonia_999.html