2017年5月11日、NHKは次のように報道した。

 「北朝鮮が世界30か国以上の銀行を狙ってサイバー攻撃を仕かけ、多額の現金を盗んだ可能性が高いことが、米国やロシアの情報セキュリティ会社の調べで分かった」

 「米の情報セキュリティ会社シマンテックの幹部は10日、アメリカの議会上院で、『北朝鮮のグループが、サイバー攻撃でバングラデシュ中央銀行から8100万ドル(90億円)を盗んだ』と証言し、そのうえで、サイバー攻撃が北朝鮮の国家による犯行という認識を示し、警戒感をあらわにした*1」

 各金融機関にはサイバーセキュリティ対策・金融犯罪対策・内部不正対策の見直し・強化が求められている。

 さて、昨年末のロシアによる米国大統領選への妨害工作や今回発覚した上記の朝鮮による世界各国の銀行に対するサイバー強盗など、最近は国家による政治的・経済的動機を背景としたサイバー攻撃が際立っている。

 数年前には中国国家による米国企業に対するサイバー攻撃を巡る米中対立が注目を集めた。

 このようにサイバー空間における国家(政府機関または政府の支援を受けたハッカーグループなど)による不法行為(犯罪行為あるいは重要インフラへの攻撃は戦争行為であるなどの様々な意見がある)が頻発している。

 なぜ、このような国家による不法行為を防止できないのか。その要因としては、サイバー空間における国家の行動規範に関する国際的コンセンサスの不在がある。

 本稿の目的は、サイバー空間における国家の行動規範設定の必要性とその問題解決に向けた国際的な努力の現状を紹介することである。

[JBpressの今日の記事(トップページ)へ]

サイバー空間に国際法は存在しない

 国家の行動を規制するのは国際慣習法や条約などの国際法である。ただし、現在サイバー空間における国家の行動を規制する国際法は存在しない。

 そこで、既存の戦時国際法(国際人道法ともよばれる)がサイバー攻撃に適用できるのか否かについての意見の対立が生じている。対立する米中の意見を次に紹介する。

 米国は、「サイバー空間における国家の行動に関する規範については、国際慣習法の再策定を必要としていないし、既存の国際的規範は陳腐化していない。長期にわたり平和および紛争時の国家の行動を導いてきた規範はサイバー空間にも適用できる*2」としている。

*1= http://www3.nhk.or.jp/news/html/20170511/k10010977141000.html?utm_int=detail_contents_news-related-auto_001

*2=米ホワイトハウス「INTERNATIONAL STRATEGY FOR CYBERSPACE」http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf

 一方、中国は、「国際人道法などの既存のメカニズムがサイバー空間にも適用できるという米国の立場に同意していない*3」という立場を取る。

 事実、2013年4月に中国を公式訪問した米統合参謀本部議長デンプシー大将は、同年6月のブルッキングス研究所の講演で「中国の見解は、サイバー空間には交通規則(rules of the road)がないというものである。従って、そこには彼らが違反している法律がないし、行動規範もないというものである*4」と述べている。

問題解決に向けた国際的努力

 いずれにしても、サイバー空間における国家としての行動規範が確立されていないことが大きな問題である。現在、この問題解決に向けた2つの国際的な努力が進行中である。

 1つ目は、国連総会第1委員会における検討である。

 2015年6月22日に事務総長から国連総会に「国際安全保障の文脈における情報及び電気通信分野の進歩に関する政府専門家グループ(DISEC)」の報告書*5が提出された。その中に、「国際法は、いかにICTの使用に適用できるか」という項目がある。その項目の中で本稿に関連する事項の要旨は次の通りである。

(1)国家は、自国の領域内に設置されたICT基盤に対して管轄権を有する。
(2)国家は、ICTの使用に際し、他国の国内問題(大統領選挙など:筆者注)への不干渉などの国際法の原則を順守しなければならない。

(3)国家は、ICTを使用した不法行為を行うために代理人(民間のハッカーなど:筆者注)を使用してはならない。また、国家は、そのような行為を行う非国家主体に自国の領域が使用されないようにしなければならない。

(4)国家は、国際法に基づき、自国に責任が帰する国際的な不法行為に関する国際的義務を果たさなければならない。

 しかしながら、ある国家の領域またはICT基盤から、ICT活動が開始されたまたは起源があるという兆候だけでは、その活動をその国家の責任に帰するには不十分である場合がある。従って、当グループ(DISEC)は、国家に対して提起された不法行為の組織化および実行の告発は、実証されなければならないことを指摘する。

 2つ目は、NATO(北大西洋条約機構)が推進するタリン・マニュアル・プロジェクトである。同プロジェクトは、武力攻撃以上の損害をもたらす可能性のあるサイバー攻撃を既存の戦時国際法を適用して規制しようとする取組みである。

 同プロジェクトは、3年の議論を経て、2013年3月に、既存の国際法とサイバー戦争の関係を整理した文書「タリン・マニュアル(TALIN MANUAL ON THE INTERNATIONAL LAW APPLICABLE TO CYBER WARFARE)*6」を作成・公表した。

 ちなみに、今年2月に第2版である「タリン・マニュアル(TALIN MANUAL ON THE INTERNATIONAL LAW APPLICABLE TO CYBER OPERATION)2.0」が作成・公表された。

*3=米国防省「中国の軍事力と安全保障の進展に関する年次報告2013」

*4=ブルッキングス研究所ホームページ トランスクリプトhttp://www.brookings.edu/~/media/events/2013/6/27%20cybersecurity%20dempsey/20130627_dempsey_cybersecurity_transcript.pdf p-38

*5=https://www.csis.org/blogs/strategic-technologies-blog/un-publishes-latest-report-group-government-experts

*6=https://www.peacepalacelibrary.nl/ebooks/files/356296245.pdf

 「タリン・マニュアル」が、サイバー空間で行われる戦争に、既存の国際法がどのように適用されるのかを最も包括的に分析した文書であったが、第2版は、平時のサイバー活動について分析している。

 第2版の内容については紙幅の関係により割愛する。本稿に関連するタリン・マニュアルの「ルール(Rule)」は次のとおりである。

タリン・マニュアル

(1)ルール20:武力紛争法(law of armed conflict)の適用性

 武装紛争の一環として実行されたサイバー作戦は、武力紛争法の対象となる。

(2)ルール30:サイバー攻撃の定義

 サイバー攻撃とは、人に怪我もしくは死をもたらし、または物に損傷若しくは破壊をもたらすことが合理的に予想できる攻勢的または防勢的なサイバー作戦である。

(3)ルール32:市民攻撃の禁止

 個人のような一般市民をサイバー攻撃の対象としてはならない。

(4)ルール34:合法的な攻撃の対象となる人々

 軍隊の構成員、敵対的行為に直接に参加している一般市民および国際的武力紛争では、総動員法による参加者。

(5)ルール36:テロ攻撃

 一般市民に恐怖を広げることを主目的とするサイバー攻撃は禁止される。

(6)ルール37:民間施設への攻撃禁止

 民間施設をサイバー攻撃の対象としてはならない。軍事施設のコンピューター、コンピューターネッワークおよびサイバー基盤はサイバー攻撃の対象とすることができる。

(7)ルール70:医療および宗教関係者、医療部隊並びに医療搬送

 医療および宗教関係者、医療部隊並びに医療搬送は尊敬かつ保護されなければならない。具体的には、それらをサイバー攻撃の対象にしてはいけない。

 以上の2つの国際的な取組みの成果に照らし合わせれば、ロシアによる米国大統領選への妨害工作、北朝鮮のサイバー銀行強盗、中国の米国企業に対するサイバースパイ活動はいずれも明らかに規定違反である。

 しかし、残念ながら国連総会第1委員会の報告書もタリン・マニュアルも単なる研究成果であり、何ら法的強制力を有していない。

 このように、現時点においてサイバー空間の国家の行動を規制する条約や協定などが締結される可能性はほとんどない。

 しかし、過去に、サイバー空間における国家の不法行為を制止することに成功した事例がある。その例を次に紹介する。

 2015年9月の米中首脳会談は、中国による米国企業に対するサイバー攻撃に業を煮やし、報復を示唆する米国と、中国自身がサイバー攻撃の被害者であると主張する中国との間で、中国のサイバー攻撃を制止することで合意できるかが注目された。

 そして、米国と中国は、「いずれの政府も、民間企業の競争上の優位性を提供する目的で、他国の企業秘密または他の秘密のビジネス情報を含む知的財産のサイバーを利用した窃取を行わない、または知っていながら支援しない」ことで合意した。

米国が中国の譲歩を引き出せた理由

 なぜ、米国は中国の譲歩を引き出すことができたのか。筆者は、会議の前年に米司法省が、商業利益のために米国の企業および労働者団体に対して、サイバースパイ活動を行った5人の中国軍のハッカーを起訴したことが影響したとみている。

 国家主体のハッカーが、不正アクセス(ハッキング)の罪で刑事訴訟されたのはこれが初めてであった。つまり、相手の不正の証拠を突きつけることで相手の譲歩を引き出すことに成功したのである。

 このことは、国家間の対立を対話によっては解決することは難しく、相手を屈服させるパワー、この場合は相手の不法行為を決して許さないという強い意志とそれを支える相手に優るサイバー能力が必要であることを示している。

 翻って、我が国の現状を見れば、我が国領域内に設置されたICT基盤に対する不法行為を絶対に許さないという意志も相手のサイバー攻撃を防止・阻止する能力も不足しているように見える。

 米国の2017会計年度のサイバー攻撃対策費は前年度比35%増の190億ドル(約2兆2000億円)であった。一方、日本のサイバーセキュリティ予算は、内閣サイバーセキュリティセンター(NISC)の資料によると742.8億円(平成28年度予算概算要求額)である。30対1という金額の差がそのまま両国の意志と能力の差と言えなくもない。

 最後に、サイバー空間における国際規範の確立に向けて我が国が取るべきイニシアチブについて提言する。

 上述のような国家間の意見の相違がある中で、包括的なサイバー空間の国家の行動規範について合意することは不可能に近い。そこで、平戦時の「特定目標の攻撃の禁止・制限」についてのみの合意を目指すべきである。

 具体的には、各国政府は、いかなる目的であっても、特定目標(例えば、市民、病院、銀行、原発など)をサイバー攻撃しない、またはそのようなサイバー攻撃を支援しないことに合意すべきである。

 これならば議論すべきことは特定目標の内容に限定されることとなり、合意を得やすいものと考える。

筆者:横山 恭三