これらの対策を講じることで、APT攻撃のリスクを最小限に抑え、組織の情報資産を守ることが可能となる。

能動的サイバー防御実施に向けた問題点

日本政府は「能動的サイバー防御」を国家安全保障戦略の一環として位置づけている。日本では、2022年12月16日に政府が閣議決定した「国家安全保障戦略」の中で導入する旨を明記し、2023年1月31日には内閣官房にサイバー安全保障体制整備準備室を設置した。

能動的サイバー防御へのニーズや期待が高まる一方で、攻撃元の情報を収集・監視したりシステムに侵入したりする行為は、日本では憲法第21条にて「通信の秘密」が保障されているため、通信を監視することは憲法違反と見なされる恐れがある。

また、攻撃元の情報を収集する過程で個人情報が含まれる情報を入手した場合、日本の「個人情報保護法」や諸外国の「プライバシー保護法」に抵触する恐れがある。

攻撃者のサーバーへの侵入についても、日本では「不正アクセス禁止法」によって、管理者に無断でシステムに侵入することが禁じられている。

現在のところ、自衛隊が能動的サイバー防御の主体となる方針だが、自衛隊法の管轄範囲では、民間人や企業のサイバー防御を担う根拠に乏しく、自衛隊法の改正が必要だ。

能動的サイバー防御は、防御のために先手を打つというセキュリティ対策であり、そのため、実際に能動的サイバー防御を実行しようとした場合、逆に防御側が法令違反を犯す可能性が高い。広範な法改正が必要であり、実施までのしっかりしたロードマップ策定が重要である。

【参考資料】 ・「事前の情報収集や監視で攻撃を妨害、『能動的サイバー防御』とは」日経XTECH、2023年2月10日。

藤谷 昌敏 1954(昭和29)年、北海道生まれ。学習院大学法学部法学科、北陸先端科学技術大学院大学先端科学技術研究科修士課程卒、知識科学修士、MOT。法務省公安調査庁入庁(北朝鮮、中国、ロシア、国際テロ、サイバーテロ部門歴任)。同庁金沢公安調査事務所長で退官。現在、JFSS政策提言委員、経済安全保障マネジメント支援機構上席研究員、合同会社OFFICE TOYA代表、TOYA未来情報研究所代表、金沢工業大学客員教授(危機管理論)。主要著書(共著)に『第3世代のサービスイノベーション』(社会評論社)、論文に「我が国に対するインテリジェンス活動にどう対応するのか」(本誌『季報』Vol.78-83に連載)がある。