攻撃元の迅速な無害化に進歩著しいAI技術応用を期待
国家レベルの高度テク必要、防御は新段階入りし本質的進展
能動的サイバー防御関連法案が今国会で成立する見通しだ。施行されれば、警察や自衛隊が攻撃元にアクセスし、無害化措置を講じることができる。日本は今後、装備などの実装に着手することになる。技術面での取り組みの見通しや、期待される点は何なのだろうか。
伊東寛氏(工学博士)は陸上自衛隊で技術、情報及びシステム関係の部隊指揮官・幕僚などを歴任し、陸上自衛隊初のサイバー戦部隊であるシステム防護隊の初代隊長を務めた。民間企業や経済産業省を経て、現在はサイバー法制学会理事などを務める。「『第5の戦場』サイバー戦の脅威」「サイバーインテリジェンス」といった著書がある。法案の評価と併せ、未来像を語ってもらった。
伊東寛氏の発言のポイント
・同法案でサイバー防御は従来と異なるフェーズに入り、本質的進展と高く評価できる
・今後の政省令・実務運用でより明確な法案の対象範囲定義と技術的準備を期待する
・通信の秘密など憲法上の問題への対応で実効性に制約が掛かった
・法案は現行法修正が中心のようであり抜本的な新法案、新組織をつくった方が良かった
・法案で能動的サイバー防御の実装のほか、しっかりした研究もできるようになる
・AIを応用すれば法の範囲内の事象への対処時間を大きく短縮できそうだ
・国家レベルの高度なAIを構築すれば攻撃側を圧倒できそうだ
・新組織では警察、自衛隊、外務省から来た人がチーム一体となり対処することが必要だ
・新組織は小回りが利き、非常時の初動を迅速にできることが重要だ
※聞き手:政策ニュース.jp編集部
インタビューは2025年4月2日に実施しました
制約の中の努力で「ゼロが1」
― まず、能動的サイバー防御関連法案について全体的な評価を聞きたい。
(伊東寛氏)評価できるかどうかと聞かれれば、答えは「イエス」だ。日本は国外から多くのサイバー攻撃を受けており、防御は後手に回っている状況が続いてきた。その中で、今までにはなかったことが可能となる法案ができたわけだ。よって、「ゼロから1になった」と言える。これは1点から10点になることよりはるかにその意義が大きい。もちろん10点満点で、最初から10点の法案ができれば、それに越したことはなかったが、それは無理だろうから、とにかく10点満点中で1点、あるいは2点だとしても、大きく前進したということだ。
量的評価としては1点かもしれないが、従来とは異なるフェーズに入ったという意味で、本質的な進展であることは高く評価できると思う。いろいろな制約の中で、関係者が一生懸命に法案の実現に努力してくれた結果だと思う。
DoS以外の多様な攻撃への対応も必要
― 法案について、物足りないところは何か。
(伊東氏)制約のある中で、一生懸命やってくれたのは確かだと思うが、もう少し頑張ってほしかった点もある。今回の法案が対象とする攻撃について、扱える範囲がやや狭いのではないかと心配な点である。サイバー攻撃には本当にたくさんの種類がある。しかし、法案をざっと見ている限りだと、大量のパケットを送ることでサーバーに過剰な負荷をかけ、正常なサービス提供を妨げる、いわゆる「DoS攻撃」、あるいは複数のコンピューターやネットワークを使って同様のことを行う「DDoS攻撃」への対処を中心的に説明されている感が否めない。
DoS、DDoS攻撃では、他人のコンピューターやデバイスに感染させて遠隔操作できるようにしたプログラムやソフトウエアである「bot」があって、それをコントロールする攻撃者の司令塔「C&Cサーバー」がある。そして、そこから攻撃が来る。これに対処するためには、普段からインターネットを監視して、botとC&Cサーバーを見つけ、必要があれば無害化するという手順になる。今回の法案は、それ中心的に書いているように見える。
しかし、対処すべきサイバー上の攻撃の脅威はそれだけではない。高度で持続的、組織的に狙ってくるAPT(Advanced Persistent Threat)攻撃や、最初からネットやシステムに埋め込まれている「サイバー地雷」をどうするのか。サプライチェーンリスクの問題、さらには最近その被害が拡大しているフェイクメールなど、対処すべき攻撃にはたくさんの種類がある。
もちろんこれらの侵害行為も今回の法案の対象に含まれていると理解されるが、こちらに関しては具体的なところが今ひとつ私には見えなかった。10点満点で1点などと辛口の評価をつけたのは、その点にある。今後の政省令・実務運用で、より明確な対象範囲の定義と技術的準備がなされるであろうと期待している。
実効性への制約は課題
― 警察官職務執行法と自衛隊法を改正することなどが主要論点だった。
(伊東氏)皆さんが心配している通信の秘密や憲法上の問題については、たくさんの問題提起があった。しかし、それに対応することにより法案はますます小さくなって、実効性が保たれているのかどうか疑問に思うところがある。他にも、能動的サイバー防御が外国への攻撃になるという批判もあり国会で突っ込んだ議論が行われた。しかし、それによって実効性に制約が掛かって、かえって、そのこと自体が今後の問題点になってしまったと思う。小さな問題への対処が制約になり、法案自体が小さくなってしまったということだ。
法案作成者の苦労は分かる。しかし、現行の警察官職務執行法や自衛隊法を少し手直しして、全体として新法と称しているように見え、これは「攻撃される前に止める」という大きな決断をしてくれた割には、法案の建付けは現行法の修正が中心となっているようだ。結果的に、あまり大きな立法に見えなくもないのは残念だ。ここは抜本的な新しい法案をつくり、組織も現行のNISC(内閣サイバーセキュリティーセンター)の改編ではなく、まったく新しい組織をつくった方が良かったと思う。つまりは、まず、現在起きている問題の本質的なことを取り上げ、それに対処するために新法や新組織をつくるという順序で考えるというのもあったのではないかと思う。
実装と研究で技術水準向上
― 技術的な視点から期待できる点は。
(伊東氏)これまでは能動的サイバー防御は法的にできなかったので、その部分の技術的な実装ができず、研究も十分にはできなかった。しかし、今回の法が成立すれば、実装のほか、例えば攻撃者のサーバーや、それをコントロールしているC&Cサーバーを発見する方法について、しっかりした研究が表立ってできるようになる。それによって当然、技術水準は上がる。これは、能動的サイバー防御だけでなく、わが国の総合的なサイバーセキュリティ能力の向上につながり、意義は非常に大きい。また、これまでは攻撃されてからしか動けなかったが、攻撃の前に相手のサーバーなどに突っ込んで調べる能力を持ち適切な行動をすることができるようになる。これも重要な点だ。
1
2
