5月31日から6月1日にかけて、「米国防総省はサイバー攻撃を戦争行為と見なし、軍事力による対応もあり得るとの結論をまとめた」という趣旨の報道が飛び交った。6月にリリース予定のサイバー防衛戦略に関する話が先行して外部に出てきたものだ。これを聞いて、「サイバー攻撃を受けたら巡航ミサイルかなにかを撃ち込んで反撃するのか」と考えた人がいても不思議はないが、もうちょっと冷静にこの件についてまとめてみよう。
ポイント1:反撃に際して "誤爆" は避ける必要がある
まず、問題の「サイバー防衛戦略」に関するポイントをまとめておきたい。重要なのは、国家を支える重要なインフラ、例えば電力・ガス・水道・運輸などといった公益事業・公共関連のインフラ、あるいは軍をはじめとする政府機関のコンピュータやネットワークといったものを対象として仕掛けられたサイバー攻撃について、軍事力による武力行使と同列の攻撃と見なす、という点である。
実際、そうしたITインフラに対する攻撃は政府機関の運営だけでなく、市民生活にも大きな損害をもたらす可能性がある。そういう意味では、武力行使によってインフラが物理的に破壊されるのと同列に扱うことに不自然さはない。米軍には以前から「サイバー軍(USCYBERCOM)」という組織があり、米軍が使用するITインフラの防衛を担当しているが、そこからさらに対象を拡大した格好だ。
ただ、サイバー防衛には独特の難しさがある。最もわかりやすい種類の攻撃は、インターネットを介してコンピュータに不正侵入して情報を盗み出したり、ウィルス・ワーム・トロイの木馬などを送り込んで破壊行為や情報漏洩工作を行ったりといったものだろう。そこで問題になるのは、攻撃元を突き止める作業である。
ちょうど先日、アフガニスタンで誤爆事件が立て続けに発生してISAF(International Security Assistance Force)が非難されたが、それと同様、サイバー攻撃に対する反撃で誤爆が発生したら、やはり非難されるだろう。それは、サイバー戦による反撃でも、通常の軍事力による反撃でも変わりはない。
例えば、インターネット越しにサイバー攻撃が仕掛けられたとして、IPパケットのヘッダ部分に含まれている送信元IPアドレスの情報をWhoIsデータベースで検索して、それで出てきた住所に対してトマホーク巡航ミサイルを撃ち込む……なんて具合に単純に物事が運べばラクだが、実のところ、そんな簡単な話ではない。攻撃者は送信元を偽装しているかもしれないし、無関係の第三者のコンピュータを借用してお先棒を担がせているかもしれない。そういった可能性を考慮しないでむやみやたらに反撃すれば、とんだ誤爆になる。
だから今回の件でも米国防総省の関係者は、「攻撃元を精確に突き止められるかどうかに依存する」と話している。それができなければ、リアルの武力行使もできないわけだ。また、「サイバー攻撃を通常の武力行使と同様に扱う代わりに、サイバー戦においても通常の武力行使と同様の国際的な規定を適用する」というコメントをしている。
ポイント2:被害に見合った対応行動をとる
もう1つのポイントは 「equivalence」、つまり「受けた被害に見合った反撃をする」ということだ。これは、「被害の規模が小さいにもかかわらず、過剰な反撃をすることはしない」という意味と解釈できるだろう。反撃によって相手に「思い知らせる」という観点からすれば、一発撃ってきたらありったけの全火力で撃ち返して相手を殲滅するほうが効果的だが、そんな過剰な反撃は社会的・政治的に受け入れられないだろう、という考え方があると思われる。
その代わり、反撃の手段には留保条件を設けず、被害の度合によっては「サイバー反撃」ではなく「本物の軍事力行使」もあり得るとしたわけだ。実際に、サイバー攻撃に対して軍事力行使で反撃する蓋然性がどうこうというよりも、一種の抑止力を実現しようとしていると考えるほうが理に適っている。テロ組織や国際犯罪組織ならともかく、国家レベルでサイバー攻撃を仕掛けてこようとする相手であれば、何らかの抑止効果はあると考えられるからだ。
アメリカに続いてエストニアでも、Mart Laar国防相が「サイバー攻撃によって経済的損失が発生したり、社会の機能が損なわれたり、人命が失われたりすれば、それは国家安全保障上の問題である。よって、サイバー攻撃も通常の軍事力行使と同等に扱うべき」と発言している。これも基本的な考え方は同じで、「重要なインフラがサイバー攻撃で被害を受ける」あるいは経済にダメージを受ける」といった事態に対しては相応の扱いが求められるというものだ。
そのエストニアは、2007年に大規模なサイバー攻撃を受けて、「IT立国」を支えていたWebサイトなどが軒並み機能停止した経験を持つ。この時はロシアの関与が疑われたが、真犯人を突き止めることはできず、現在に至っている。サイバー攻撃の被害にあっただけでなく、前述した「真犯人を突き止める難しさ」を実地に体験していることもあり、エストニア政府の発言には相応の重みがある。