「サイバーセキュリティ戦略(案)」パブリックコメント

JCA-NET理事会は本日下記のパブリックコメントを送付しました。
「サイバーセキュリティ戦略（案）」に関する意見の募集について
https://public-comment.e-gov.go.jp/pcm/detail?CLASSNAME=PCMMSTDETAIL&id…
__________________________________________________

「サイバーセキュリティ戦略(案)」パブリックコメント

JCA-NET理事会
__________________________________________________

Table of Contents
_________________

1. 外交の位置付けがない
2. 日本はサイバー攻撃を憲法上禁じられている
3. 政府の責務としての動機の排除
4. 客観性を欠くサイバー攻撃の事実例示
5. 日本も攻撃者になることのリスク
6. 攻撃者が優位とはいえない
7. 実害の回避に必要なのは適切なセキュリティ管理だけで十分
8. 日本のサイバー攻撃はサイバー攻撃の応酬という泥沼を招く
9. セキュアバイデザイン原則によりプライバシーバイデザインが後回しに
10. 人々のサイバーセキュリティを脆弱にする国家のサイバーセキュリティ戦略は容認できない

1 外交の位置付けがない
======================

以下、「サイバーセキュリティ戦略(案)」を本案と呼ぶ。

本案の基調は、サイバー犯罪への言及はあるとはいえ、国家あるいは国家を後
ろ盾とする国外の国・地域に起点をもつサイバー攻撃を主要な脅威と位置づけ
た上で、サイバーセキュリティの国家戦略を策定しようというものと解される。

国家あるいは国家を後ろ盾とするサイバー攻撃には、政治的な動機がある。ま
ず政府がすべき課題は、攻撃の動機そのものをなくす努力であり、これは外交
が担うものである。日本の国際関係、とりわけ政府の対外政策の失敗が地域の
緊張をもたらし、これがサイバー領域における攻撃の動機を生み出している。
日本の外交の役割は、こうした国際関係における緊張や対立を交渉や対話によっ
て解決することにあり、こうした外交的努力は政府でしかなしえない役割であ
る。

しかし、本案には、こうした外交的な取り組みの位置付けはほどんどないに等
しく、外交への言及はたった1箇所だけであって、サイバー領域における武力、
戦力に該当するようなものも含めた力の行使への依存が著しい。本案の考え方
は、サイバー領域の安全保障にとっては逆効果にしかならない。少なくとも外
交やサイバー領域における外務省や国連のいうヒューマンセキュリティ(私た
ちはこれをピープルズ・セキュリティと呼ぶ)といった観点からの戦略との関
係が明確にされるべきであり、また、国家あるいは国家を後ろ盾とするサイバー
攻撃の脅威アクターによる攻撃の動機そのものをなくすためにどのような力に
よらない外交戦略をとるのか、といった観点が必須であるが、これが全く欠落
している。このように、日本政府が取り組むべき基本的な課題は、サイバー領
域におけるいわゆる地政学的な脅威とされる事態を取り除く外交努力であり、
この位置付けが明確にされるべきである。

2 日本はサイバー攻撃を憲法上禁じられている
==========================================

本案は、現状のいわゆる地政学的な脅威に対して、日本もまたサイバー領域に
おけるより一層の攻撃主体となることを宣言するものとなっている。本案は、
地政学的な脅威を高め、結果として国家や国家を後ろ盾とするサイバー攻撃の
アクターの動機を刺激することに帰着する。本案の掲げる戦略は、「自由、公
正かつ安全なサイバー空間」や「５つの原則」（「法の支配」等）を守る」
(p.4)という目的とは矛盾し、「自律性」「多様な主体の連携」原則にも反す
る。

戦争を放棄し、戦力を保持しないという憲法9条の規定は、サイバー領域の戦
争にも適用されるべきものである。しかし、日本政府は、一方で東アジア地域
の緊張を刺激するような自衛隊の戦力拡大、外国の軍隊(米軍)への領土の提供
と特権付与などの政策をとりつづけている。国家がなすべきなのは、サイバー
領域を含む軍事的な緊張を、暴力の手段ではなく、外交など対話の手段によっ
て解決する高度な政治的な取り組みである。

3 政府の責務としての動機の排除
==============================

本案でも繰り返し言及されている自由、公正かつ安全なサイバー空間は、東ア
ジアにおいて政府間で相互に敵対しあう関係とは相対的に切り離された領域と
して、国益に左右されずに維持されることが必要である。この点で、政府がサ
イバー空間においてなすべき第一の責務は、サイバー領域において、人々が国
境を越えた自由なコミュニケーションを実践できるような基盤を構築すること
や民主主義の基盤をなす検閲されずに自由に自らの思想・信条を伝えることを
保障すること、通信の秘密をグローバルに保障することである。少なくとも、
いわゆる地政学的なリスクを軽減するためには、軍事に依存しない外交や国際
関係を構築し、国家や国家を後ろ盾とするサイバー攻撃のアクターによる攻撃
の動機を失なわせることであり、これこそが政府がまず第一に取り組むべきサ
イバーセキュリティの戦略的な課題である。本案は、攻撃のリスクを軽減する
最も本質的で基本的な国家の責任を回避するものであって、到底受け入れがた
い。

4 客観性を欠くサイバー攻撃の事実例示
====================================

本案ではロシア、中国などからの具体的なサイバー攻撃について言及がある。
しかし、一般に、当事者が自ら名乗りをあげるケースは実空間での攻撃に比べ
て圧倒的に少なく、国際法上攻撃の責任を負うべき国家が認定されている場合
は別にして、責任の帰属に争いがある微妙なアトリビューションの問題につい
て、本案のように、サイバー攻撃の敵として断定的に特定の国家を名指しする
ことの妥当性には疑問が残る。

同時に、本案で例示されているサイバー攻撃は、具体的に言及された国々だけ
で実践されてきたものではなく、当然想定されるように、同様の攻撃を米国を
はじめとする西側諸国も行なっているはずである。このことが公表されていな
いことこそが問題だというセキュリティの専門家の指摘もある。この点で、本
案の記述は、国際的に対立関係にあって双方が行なっているサイバー攻撃の現
状を客観的に俯瞰して分析したものとはいえず、現政権のイデロギーに強く影
響されたものであり、本案の信頼性を損いかねない。

5 日本も攻撃者になることのリスク
================================

本案は、サイバー攻撃では「相対的に露見するリスクが低く攻撃者側が優位」
にあるとの基本的な立場をとる。このことから、上記の攻撃の例示は、日本も
また同様の攻撃者となることを通じて、優位にたつことを意図していることと
解せる。この場合、日本も露見のリスクを回避する攻撃、いわゆるアクセス・
無害化などのサイバー攻撃を実施することで優位な攻撃者の立場を確保するこ
とになるはずである。

また高度なサイバー攻撃の例としてLiving Off The Land などを例示している。
日本のサイバー攻撃においてもこうした高度な攻撃手法を用いることが予想で
きる。こうした攻撃には長期にわたり標的のネットワークに潜伏してデータを
窃取するなどのスパイ活動も含まれる。こうした手法を用いるかどうかについ
て、本案は、用いるとも用いないとも明言していない。しかし、相手が用いる
攻撃手段に対して、それと同等かそれ以上の能力をもつ手段によって対処する
ことが軍事的な優位を確保することになるという本案の考え方からすれば、こ
のようなサイバー攻撃の可能性は否定できない。本案は日本の攻撃手法につい
て一切沈黙しているが、これは重要な争点になりうる問題であり、明らかにす
べきだ。

6 攻撃者が優位とはいえない
==========================

本案で前提されている攻撃者が優位、という主張は間違いである。本案では、
実際には攻撃の圧倒的に多くは防御できていることに言及せずに、防御できな
かったケースについてのみ注目することによって、あたかも攻撃に日本が対処
できていないかのような間違った印象を与えている。しかも、なぜ攻撃を防げ
なかったのか、という肝心の原因についても説明をしていない。実際には、防
御に失敗した多くの事例では、セキュリティの現場で適切な対策を怠ったケー
スが多くみられ、警察や自衛隊などや政府のセキュリティ関連組織が主導する
必要もなく防御ができているはずの事例が多い。この事実にほとんど言及せず、
あたかも攻撃は最大の防御なり、という古い諺をサイバー領域に持ち込み、民
間や個人ではセキュリティの対処ができないかのような印象操作となっており、
サイバー領域のセキュリティリスクを高める結果になっている。

7 実害の回避に必要なのは適切なセキュリティ管理だけで十分
========================================================

上述したように、攻撃が実害となってしまうケースの多くは、適切なセキュリ
ティの設定・管理がなされていなかったなどによるものである。パスワードを
適切に設定する、セキュリティのアップデートを行う、サポート終了の機器や
ソフトウェアを使わないなど基本を遵守することで実害を回避できるケースが
多い。これらは、私たち市民一人ひとりの場合も、企業や団体の場合も、対処
可能な対策であり、政府が国家安全保障や、ましてや軍事的な政策の一環とし
て軽々に位置付けるべきものではない。

8 日本のサイバー攻撃はサイバー攻撃の応酬という泥沼を招く
========================================================

本案では、日本がサイバー攻撃(アクセス・無害化を含む能動的サイバー防御
と呼ばれる事態)を可能とする体制の構築によって、相手国からのサイバー攻
撃を今以上に撃退できると述べている。しかし、実際には逆効果にしかならな
い。日本のサイバー攻撃は相手による反撃の動機を刺激し、攻撃の応酬から実
空間における軍事的な緊張へと、戦争を誘引するきっかけになりかねない。し
かもこの攻撃・反撃の過程は、実空間での武力衝突とは異なり、数ヶ月から数
年の単位で、長期にわたって水面下で、身元も秘匿して遂行される。つまり、
日本のサイバー攻撃もまたこうした手法をとるはずである。結果的に、こうし
たサイバー攻撃は、よりいっそう深刻なサイバー領域のリスクを長期にわたっ
て高めることにしか繋がらない。しかも、こうした攻撃・反撃のサイバー領域
の「戦場」には国境がなく、日本の国内と国外にまたがって起こされることに
なる。日本のサイバー攻撃では通信情報の利用が前提条件とされているから、
こうしたリスクの高まりは、通信の秘密を侵害する通信情報の政府によるより
一層の利用に繋がり、政府によるコミュニケーションへの監視の強化を招き、
自由な通信環境も民主主義の基盤となる言論・表現の自由もより脆弱なものに
なる。

9 セキュアバイデザイン原則によりプライバシーバイデザインが後回しに
==================================================================

一般に、国家安全保障を重視する政策と技術の導入は、個人のプライバシーや
通信の秘密の権利を損うものとなることが知られている。本案はもっぱら国家
安全保障のみを重視するために、通信の秘密やプライバシー・個人情報の権利
についてはほとんど実質的な言及も関心ももたれていない。通信技術などにつ
いても、通信情報の収集やサイバー攻撃を可能にするといった意味での国家安
全保障を優先した技術仕様を優先させており、その結果としてプライバシーを
重視した仕様がないがしろにされ、人々のコミュニケーションの権利が脆弱と
なる危険性がある。しかもセキュアバイデザインの基本的な目的は、日本がサ
イバー攻撃の主体となるために必要な制度構築でしかない。結果として、前述
したように、日本によるサイバー攻撃が、相手国による反撃を招き、この攻撃・
反撃の応酬にサイバー領域が巻き込まれ、プライバシーバイデザインが更に疎
かにされ、結果として、世界中の市民ひとりひとり、とりわけ社会のなかで人
権が制約されている社会的マイノリティのサイバーセキュリティ(サイバー・
ピープルズ・セキュリティ)がより一層のリスクを被る結果になりかねない。

10 人々のサイバーセキュリティを脆弱にする国家のサイバーセキュリティ戦略は容認できない
=====================================================================================

本案全体として、サイバー領域におけるコミュニケーションの主体でもある個
人の権利への関心が全くない。もっぱら関心は、国家にとってのサイバーセキュ
リティでしかない。すでによく知られているように国家安全保障(ナショナル・
セキュリティ)は、人々の安全保障(ピープルズ・セキュリティ)とは異なる観
点と相反する利害を有し、対立することもある。サイバー領域においても同様
であり、国家安全保障の観点から日本政府がサイバー攻撃を導入しようとする
方向をとることに対して、サイバー領域における人々の安全保障(ピープルズ・
セキュリティ)は、平和なコミュニケーション領域を確保すし、普遍的な人権
として確立している自由や平等の権利を保障し、差別や憎悪を排除することで
ある。しかし、本案は、むしろ日本のサイバー攻撃を合法化・制度化する結果
として、地域の緊張を高め、サイバーと実空間における軍事的な敵対関係を煽
るものになりかねない。また、サイバー攻撃を含むハイブリッドな戦争におい
て、日本国内の差別や偏見、憎悪を煽るような言動や相手国に対する偽情報を
含む「情報戦」に日本政府が事実上加担し、サイバー領域における深刻な人権
侵害を加速化することを正当化するものになりかねない。結果として、国籍や
民族などに関わらずに、人々が相互に自由に繋るためのサイバー領域のコミュ
ニケーションの権利そのものが深刻な侵害を被ることになる。

以上、本案は、憲法9条に反して日本のサイバー攻撃をもっぱら加速化させ、
人々のサイバー・セキュリティをより一層脆弱にするものと言わざるをえず、
本案全体に対して反対である。