タニワキ日記

情報通信技術(ICT)関連のコラムです。記事は筆者の個人的見解です。

米国の安全保障戦略とサイバーセキュリティ

 昨年12月18日、米国政府は現政権として初の「国家安全保障戦略」を公表した。その内容は多岐にわたるが、全体の雰囲気はトランプ大統領の「米国を再び偉大にする」というスローガンに根ざしつつ、「原則に基づく現実主義の採用」という考えの下、①米国民、本土及び米国流の生き方を守る、②米国の繁栄を促進、③力を通じた平和の保持、④米国の影響力を高める、という4つの軸に沿って、米国が安全保障の観点から採るべき戦略が具体的に記述されている。

 

 今回の戦略の中では、サイバー空間を巡るものも数多く記載されており、サイバー空間の防御が米国の安全保障にとって極めて重要であるという認識を改めて強調するものとなっている。サイバー攻撃、とりわけ国家の関与が疑われるものの場合、「否定による抑止」と「コスト賦課による抑止」の2つの選択肢がある。「否定による抑止」とは、文字通り、サイバー攻撃に対する防御策を講じることで攻撃を物理的に防ぐことを意味している。これに対し、「コスト賦課による抑止」とは攻撃者を特定し、これに経済的な制裁や外交的な制裁を加えることで、サイバー攻撃が「高くつく」状況を作り出し、攻撃を思いとどまらせようとする抑止効果を狙ったものだ。こうした考え方はオバマ政権時代に発表された「サイバー抑止戦略」(15年12月)の中でも明確に述べられている。事実、米国政府はこれまでもサイバー攻撃を仕掛けた国を特定し、そうした国々に対して様々な制裁措置を発動してきている。

 

   この国家安全保障戦略が公表された翌日(12月19日)、米国政府は、同年5月に猛威を振るったランサムウェア「WannaCry」を使ったサイバー攻撃北朝鮮によるものであると公表した。このランサムウェアは世界150か国以上に拡散し、病院、学校、工場、家庭などのコンピュータ数十万台を使用不能にした。米国政府がサイバー攻撃の攻撃元を特定・公表した事案は過去にもある。例えば、2014年5月、米国司法省は、太陽光発電や金属分野の米国企業にサイバー攻撃を行い企業秘密を盗んだとして、中国人民解放軍関係者5名を訴追した。同年12月には、ソニーピクチャーズに対するサイバー攻撃について、米国連邦捜査局(FBI)が攻撃の責任は北朝鮮にあるという声明を公表し、追加的な経済制裁を課す方針を明らかにした。さらに2016年3月、米国司法省は、ニューヨーク州にあるダムの制御システムや主要金融機関に対するサイバー攻撃についてイラン政府やイラン革命防衛隊の関係のあるコンピュータ会社2社のイラン人7名を起訴した。

 

  「WannaCry」を巡る米国政府の発表には2つの特徴がある。その一つは官民連携の重要性を前面に出したことにある。ボサート大統領補佐官はホワイトハウスにおける記者会見において、「北朝鮮は10年以上にわたって特に悪意のある行動をとっており、その大部分が野放しにされて」おり、「今回の犯人特定は責任追及に向けた措置ではあるが、最後のステップではない」とした上で、「サイバーセキュリティ上の脅威に対処するためには、サイバーリスク上の脅威を軽減するとともに、米国を守ることでハッカーのコストを増加させるよう政府や企業に対する協力を必要とする」と述べている。事実、今回の米国政府の発表と同日(12月19日)、マイクロソフト社は、「WannaCryと呼ばれるマイクロソフトの顧客を狙った破壊的な攻撃について(北朝鮮ハッカー集団であるラザルスグループに)責任があ」り、「我々(マイクロソフト社)は、このグループが依って立つマルウェアの破壊を助け、顧客の感染したコンピュータを掃除し、サイバー攻撃に利用されたアカウントを使用不能にするとともに、再感染を防ぐためウィンドウズの防御強化の対策を採った」と発表した。

 

   米国政府の発表のもう一つの特徴は、各国政府との連携を前面に打ち出したことにある。ボサード大統領補佐官は前出の記者会見において、「英国、豪州、カナダ、ニュージーランド及び日本が米国の分析を精査し、米国とともに北朝鮮によるWannaCryの攻撃を非難している」と述べている。この点、日本政府は、「我が国は、サイバー分野を含む北朝鮮問題について米国を含む国際社会と緊密に連携してきており、北朝鮮に対する圧力を最大限まで高め、北朝鮮の政策を変えさせるとの観点からも、サイバー空間の安全の確保に向けた強い意志を示す今回の米国の発表を支持するとともに、我が国としてもWannaCry事案の背後に、北朝鮮の関与があったことを非難」する旨の外務報道官談話を発表した。

 

 こうした方針は今後も続くだろう。今回の戦略においても、「(サイバー犯罪の)犯罪者をかくまう国に責任を取らせる」、「著しく悪意のあるサイバー活動を行う外国政府、犯罪者、その他の者に対し迅速かつ効果な代償を課す」、「アトリビューション(攻撃者の属性)を解析する能力を向上させる」といった表現が見られており、「コスト賦課による抑止」という色彩がさらに強まっていくもの考えられる。

 

 今回の戦略では特に守るべき領域として、国家安全保障分野、エネルギー・電力分野、銀行・金融分野、健康・安全分野、通信分野、輸送分野という6つの分野を具体的に掲げ、重点的なリスク評価を行うことにより、サイバー攻撃が致命的な影響を及ぼす領域を特定し、積極的な防御努力や防御のための能力を優先的に持つことを重視している。ここで重要なのは、特定のリスクを有する箇所が他の箇所に影響を及ぼし、結果として地滑り的なダメージをもたらさないよう、領域を越えたリスク評価の重要性を強調している点にある。

 

 また、連邦政府そのものの防御能力の強化にも重点が置かれており、政府ネットワークの防御能力の強化、民間との情報共有のための障壁の低減、階層化された防御(「多重防御」や「深層防御」とも呼ばれる)の導入、政府の保有するデータの完全性(データの改ざんを防止すること)を保つためのツールの強化、連邦政府内における権限と手続きの統合化の推進などを具体的な施策として挙げている。その多くの項目は日本のサイバーセキュリティ政策においても参考になる共通の課題であり、今後、米国政府が本戦略に基づいて国家安全保障の観点からどのようなサイバーセキュリティ政策を推進していくのか、引き続き注目していく必要がある。(本稿中意見にわたる部分は筆者の個人的な見解です)

 

f:id:yasutaniwaki:20180312062037j:plain