もう20年以上サイバー脅威は存在していたのだが、多くの人がそれを知るようになったのは数年前からだろうか。2017年にランサムウェア<NetPetya>が世界で暴れ回って、日本企業も被害を受けた。少なくとも大企業の経営者、関係者は目が覚めたはずだ。
ロシアのサイバー攻撃関連情報 - Cyber NINJA、只今参上 (hatenablog.com)
そして日本のサイバー防衛意識も高まったが、実際守るだけでは十分ではない。例えば攻撃してきそうな者を想定しておき、そこにセンサー代わりのウイルスを仕込んでおく。攻撃に動いたら(もしくはその予兆があったら)、先回りして防御するということ。それが専守防衛の日本ではできないよね、とあきらめの雰囲気もあった。
ところが一昨年の「サイバーセキュリティ戦略」の改訂以来、Active Cyber Defence(ACD)の議論が盛んになった。サイバー空間では法秩序が十分ではない上に、日本独特の法的課題も多い。今回日経紙が示したACDの具体策案は、それらの課題をある程度網羅しているもの。
1)電気通信事業法:悪用が疑われるサーバなど特定な条件下で、事業者からの情報提供を可能に
2)不正アクセス禁止法:防御目的ならアクセスを可能に
4)刑法:重大な攻撃に対処するためのウイルス作成は罪に問わない
5)個人情報保護法:重大な攻撃に対処するためには個人情報収集も可能
民間事業者からの情報提供が必要なのは、通信事業者からに限らない。広く捉えれば、重点14分野は全部その対象たり得る。そこは、これから細部を整備する経済安全保障推進法の中で対処するということかもしれない。
あと気になるのは、同様な手法を使って国際犯罪組織を摘発することはどうなのかということ。
これは「予防」か「反撃」か? - Cyber NINJA、只今参上 (hatenablog.com)
で紹介したように、米国捜査機関が1.5年の囮捜査で大規模な検挙をしたことがある。麻薬や銃器を持ち込むことは「重大な(サイバー)攻撃」と同等の社会的脅威。こういう対処も検討してもらいたいものである。