サイバー防衛が十分機能しない法制度
もう1つの提案は、法整備だ。日本では現在、捜査機関であっても、国外からのサイバー攻撃の犯人を突き止めるために必要な、国外のサーバーへのアクセスが禁じられている。不正アクセス禁止法があるからだ。もしも国民の生命・財産を危機に陥れるインフラを破壊するようなサイバー攻撃が起きた場合、日本は個別的自衛権で反撃することもできなくはないはずだ。だが、国外のサーバーなどにアクセスできなければ、「反撃」を決断できるほどの確度で、攻撃者を突き止めることはまず出来ない。攻撃してくる相手を突き止められないのだ。
また国際的には、積極的なサイバー防衛として、よく攻撃に使われる敵国のサーバーに工作したりサイバー攻撃を仕掛けたりということが行われている。日本はそれもできない。
さらに、サイバーセキュリティ分野で最近注目されている「脅威インテリジェンス」も自前で実施できない。脅威インテリジェンスとは、平時から世界中のハッカーたちが巣食っているダーク(闇)ウェブや、アプリのグループなどに自動プログラムを送り込んで、徹底監視することで、世界中のハッカーたちがどんな標的を話題にし、どんな情報や攻撃ツールをやりとりしているのかなどを分析するという手法だ。これが有効なサイバー攻撃対策になっている。
だが日本では刑法の中にウイルス作成罪についての規定があるので、そうした自動プログラムは作れない。自動プログラムを作って情報を集めるのは、刑法の罪を犯しての捜査になる。結局、警察当局ですら、国外企業を雇ってそうした情報を手に入れるしかない状況なのだ。こうした法律の壁を越えなければ、有効なサイバー攻撃対策はできない。
さらに自衛権を行使して反撃するための能力も必要になるが、それは憲法9条や武力行使の定義など、また別の問題になっていく。それについては改めて、JBpressでも議論したいと思う。
最近大きな事件が2つ表面化したが、こうした被害はさらに出てくるだろう。
ある専門家は、日本の現状についてこう述べる。
「大規模なサイバー攻撃が日本を襲うなどしないことには、この国の目は覚めないでしょう」
それも一理あるかもしれない。そんなことでもなければ、サイバーセキュリティについて本格的な議論は進まないのかもしれない。
今はまず、攻撃が起きている現実を認め、情報を公開し、対策や法整備を行うための機運を高めていく必要がある。
