デジタル革命の海へ デジタル冷戦と抑止戦略

「我々のデジタルインフラは戦略的国家資産（strategic national asset）であり、これを守ることは国家安全保障上の優先事項だ」

2009年5月、オバマ米国大統領（当時）は、ホワイトハウスでの演説でこう語った^＊1。これを契機に、米国のサイバーセキュリティの領域に抑止戦略（deterrence policy）という考えが導入されることになった。

そもそも抑止戦略とは何か。少し歴史を紐解いてみたい。抑止戦略という考え方は、1945年の第二次世界大戦の終結後、ソ連の崩壊まで40年以上に及んだ東西冷戦期の核抑止戦略に端を発する。

A国がX国から核先制攻撃を受けた場合を考えてみる。先制攻撃によってA国は甚大な被害を被ることになるが、反撃のための「第二撃能力」を保有していれば、A国の反撃でX国も甚大な被害を受ける。このため、X国は核先制攻撃を思いとどまることになる。攻撃のコスト（A国の反撃による被害）が攻撃の利益（A国に与える被害）と同等以上であれば、X国は先制攻撃を思いとどまる。これが懲罰的抑止（deterrence by punishment）と呼ばれる考え方だ。一方、X国が核先制攻撃をしたとしても、A国のミサイル防衛（MD : Missile Defense）システムに阻まれて攻撃そのものを完遂できないような場合、これは拒否的抑止（deterrence by denial）と呼ばれる。いくら攻撃しても何も結果を伴わない「骨折り損」の状況と言える。

核抑止戦略は、この懲罰的抑止と拒否的抑止を組み合わせて微妙なバランスをとることで核戦争を回避しようと精緻化されてきた。では、サイバーの世界はどうだろうか？

従来、サイバー攻撃対策といえば拒否的抑止に焦点が当てられてきた。「どんなにサイバー攻撃を受けても鉄壁の防御で守り抜く」という考え方だ。しかし、サイバー攻撃対策に“100％確実”というものはないし、対策には膨大なコストがかかる。「伝統的な拒否的抑止に頼るだけでは心許ない」ということになる。

そこで懲罰的抑止の出番となる。この際、「攻撃してもコストがかかるだけ」と攻撃者に思わせる必要がある。しかし、従来は攻撃者を特定することが極めて困難だった。これはアトリビューション（帰属）問題と呼ばれるもので、「コストがかかるだけ」と思わせる相手が定まらないとどうしようもない。仮に攻撃者を特定できたとしても、攻撃された側の反撃により、どれだけコスト（被害）を課せられるのかを公表するのがむずかしい面もある。というのも、反撃力がどの程度あるのかという手の内を見せると、その国がどれだけ防御力を持っているのかも見透かされてしまうからだ。

しかし、さまざまな情報から攻撃者を特定する手法が進化し、脅威情報の官民共有などが進むなか、米国は拒否的抑止だけに頼る“一本足打法”でなく、拒否的抑止に加えて懲罰的抑止も重視する“二刀流”でいくことになった。

こうした考え方は、2020年3月に公表された米連邦議会「サイバー空間ソラリウム委員会」報告書^＊2で明確化された。サイバー攻撃の抑止戦略を三層構造とし、まず第一層として、行動規範の形成（サイバー攻撃は自制すべきであるという国際的な意識の醸成やルールの形成）。第二層として、行動規範を破ってサイバー攻撃が行なわれた場合の拒否的抑止。さらに第三層として、攻撃による実害が出た後の懲罰的抑止となる。

このうち、第二層の拒否的抑止については、単に「城壁を高くする」という境界防御の考え方だけでなく、「攻撃者に内部侵入されることを前提にいかに早く感知し対策を講じるか」という深層防御（defense in depth）の考え方に加え、攻撃されてもシステムの機能を維持しつつ、修復を急ぐレジリエンス（抗たん性）の獲得が重要だとしている。さらに、攻撃者に「攻撃コストが高くつく」と認識させる懲罰的抑止の手段として、外交的な非難、法的措置（刑事訴追）、経済制裁などが想定されている。

実際、2014年5月、米司法省は、中国人民解放軍の兵士5名を標的型攻撃により米企業から情報窃盗したとして刑事訴追したほか、2023年5月にはランサムウェアを使ってサイバー攻撃を行なったロシア人を刑事訴追した。また、2021年4月、バイデン大統領は米大統領選への介入や米企業に対するサイバー攻撃などを理由に、ロシアへの経済制裁を強化する大統領令に署名。25の企業・機関と21名の個人について米国保有資産を凍結し、在米ロシア外交官の国外退去などを命じた。これらはいずれも懲罰的抑止に該当する。

こうした懲罰的抑止の重要性が高まっている背景には、国家の関与が疑われるサイバー攻撃の急増 ―― 特に軍事的手段とサイバー攻撃のような非軍事的手段（偽情報の流布を含む）が入り混じって展開する“ハイブリッド戦争”が現実化したことで、安全保障戦略におけるサイバーセキュリティの重要性が格段に上がっていることが挙げられる。

日本でも2022年12月に閣議決定された国家安全保障戦略^＊3において、能動的サイバー防御（active cyber defense）の導入が盛り込まれた。能動的サイバー防御は、「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に防止し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止」することを目的としている。これは、攻撃者のコストを引き上げるという点で懲罰的抑止の役割を果たすものであり、かつ攻撃拒否の精度を引き上げるという意味では拒否的抑止の側面も持っている。

サイバー空間において大国間の対立が激しさを増す“デジタル冷戦”とも呼ぶべき状況が差し迫るなか、包括的なサイバー抑止戦略を早急に明確化することが必要だ。