政府有識者会議による「能動的サイバー攻撃」導入【未然に防ぐための方策】（その２）

近年、日本を含む世界中でサイバー攻撃の脅威が急速に高まっています。これに対し、政府は「能動的サイバー攻撃」の導入を検討するなかで、サイバー攻撃の兆候をいかに早期に把握し、未然に防止するかが最大の焦点となっています。本記事（その２）では、2024年11月30日付の日経新聞報道をもとに、有識者会議で議論されている「通信情報の利用」の方向性から始め、詳しく紹介していきます。

第一章：通信情報の分析で被害を未然に防ぐ必要性
第二章：通信情報の取得範囲と方法をどう定めるべきか
第三章：通信の秘密とどう向き合うか
４章_同意がある場合はどうなるのか
５章_通信事業者の協力は欠かせない
６章_制度を「見える化」し、国民の理解を得るには
〆最後に〆

第一章：通信情報の分析で被害を未然に防ぐ必要性

サイバー攻撃は“兆候”の段階で対処すべき新たな脅威

近年、重要インフラや政府機関を標的としたサイバー攻撃が世界中で増加しています。日本でも、2022年に大阪大学や防衛関連企業が不正アクセスを受けた例が記憶に新しいように、その深刻さは日増しに高まっています。

これらの攻撃の多くは、特定の「犯行主体」からの一方的な攻撃ではなく、感染させた一般利用者の端末を遠隔操作し、「ボットネット」と呼ばれるネットワークを構成させた上で実行されるものです。指令を出す「C2サーバー（Command & Control）」は、しばしば国外に設置され、日本の法的権限が及びません。その結果、攻撃の兆候や正体を、攻撃が実際に発生してからようやく追跡する——という“事後対応”に陥りがちです。

このような背景を踏まえ、有識者会議では「従来型の防御や追跡では間に合わない」「兆候段階での分析が必要だ」との提言がなされました（出典：「能動的サイバー防御のあり方に関する有識者会議報告書（2023年）」）。つまり、通信情報を分析することで、攻撃の“萌芽”を事前に察知し、先手を打つという発想が求められているのです。

現行制度の限界——「犯罪ありき」では守り切れない

現在の日本の制度では、通信内容の取得には「通信傍受法」に基づく厳格な手続きが必要です。この制度はもともと、殺人や薬物取引といった重大犯罪を対象に、裁判所の令状を得て“既に犯罪の疑いがある”場合にのみ認められたものです。よって、サイバー攻撃のように、まだ犯罪として認識されていない段階、つまり「予兆」のレベルでは制度が機能しません。

これが何を意味するかというと、攻撃が起こるまで、もしくは被害が可視化されるまで、何も手を打てないということです。特に、国家が関与しているとされる高度な攻撃（APT攻撃）の多くは、長期間にわたり潜伏して情報収集や破壊工作の準備を進めるため、初動対応の遅れが甚大な被害に直結します。

海外ではこの課題に対し、より柔軟かつ戦略的な制度設計が進められています。たとえば、英国の「GCHQ（政府通信本部）」や米国の「NSA（国家安全保障局）」は、国家安全保障の観点から通信情報の一部を収集・分析する体制を構築しています。もちろん無制限ではなく、監視対象や分析手法には法的な枠組みと監視体制が備わっています。

これらの事例が示すのは、犯罪が起きてからでは遅いという認識の共有です。そして日本でも、サイバー空間という新たな戦場においては、「犯罪捜査」ではなく「予防的安全保障」という観点から、制度の再設計が求められているのです。

「中身」より「周辺情報」――現実的な分析の焦点とは

「通信の秘密」を尊重しながらも、サイバー攻撃の予兆を見逃さないためには、何をどのように分析すべきか。そのヒントは、通信そのものの「中身」ではなく「周辺情報（メタデータ）」にあります。

メタデータとは、例えば「誰が、いつ、どのサーバーと通信したか」「どれくらいの頻度で、どれくらいのデータ量がやりとりされたか」といった、通信の構造的な情報です。これらの情報を分析することで、不自然な通信パターンや不審な挙動を高精度で検出することが可能になります。

実際、サイバー攻撃の多くはある種の“癖”を持っており、過去の攻撃で用いられたC2サーバーの特徴や通信のタイミング、頻度などを照合することで、新たな攻撃の兆候を発見できます。たとえば、C2サーバーはしばしば、正規のドメインに偽装して通信する特徴があります。これに対応するには、DNS（ドメインネームシステム）のクエリデータやTLS証明書の発行履歴などを横断的に分析する技術が必要です。

このような技術的手法を用いてメタデータを分析することは、通信の「秘密」を侵害せず、プライバシーに十分配慮した現実的なアプローチであると、有識者会議でも言及されています。

さらに、この種の情報を活用するには、通信事業者との協力が不可欠です。彼らが持つログやトラフィック情報を、適切な枠組みのもとで共有し、国家レベルで分析体制を整えること。これが、現代におけるサイバーセキュリティの土台となるでしょう。

第二章：通信情報の取得範囲と方法をどう定めるべきか

通信の秘密とどう向き合うか——目的限定と制度設計の要

通信情報の取得は、日本国憲法第21条により保障される「通信の秘密」に直接関わる極めてデリケートな問題です。個人のプライバシーを守ることは民主国家における基本原則であり、いかなる目的であっても無制限な情報収集は許されません。
この点について、有識者会議では明確な方針が打ち出されました。通信情報の利用目的はあくまで**「重大なサイバー攻撃の未然防止」に限定**すべきであるというものです（出典：「能動的サイバー防御のあり方に関する有識者会議報告書」）。

つまり、国民の通信を無差別に監視するわけではなく、サイバー攻撃という国家的リスクに対処するための“最小限かつ必要な情報取得”に限定しなければならないという原則が強調されているのです。その上で、法的な根拠を明確にし、監視対象や手続きの透明性・監督体制を整えることが不可欠だとされます。

たとえば、英国の「調査権限法（Investigatory Powers Act）」では、国家安全保障の目的での通信情報取得について、事前の司法審査や監視機関による監督が制度化されています。日本においても、同様の憲法上の要請と制度的配慮のバランスをどう取るかが、制度設計の最大の課題となるでしょう。

予防的分析の視点――「広く拾って深く掘る」二段階のアプローチ

サイバー攻撃対策は、一般の刑事捜査と異なり、“起きてから”では遅いという性質があります。攻撃者は侵入後すぐには行動を起こさず、長期間潜伏し、情報を収集した後に被害を拡大させるケースも少なくありません。そのため、予防的な分析が必要とされます。

有識者会議では、これを踏まえ、「最初は広く、問題が見つかれば深掘りする」という二段階の分析手法が適しているとされました。これは、一般的な通信の中から不自然な傾向や既知のマルウェア通信パターンを拾い上げ、そこから疑わしい通信に焦点を当てて詳細な分析を行うという流れです。

この手法は、米国の国土安全保障省（DHS）や国家安全保障局（NSA）でも実践されており、特定のIPアドレスや異常なトラフィック量、異なる地域への頻繁な通信といった「兆候」から脅威を特定するという実績があります。

日本でもこのような段階的・選択的な情報分析体制を整備することが、通信の秘密と予防的安全保障を両立させる現実的な道筋と言えるでしょう。

国外との通信の扱い——「地理的制約」を超える制度の必要性

特に重要な論点となるのが、「国外通信」をどう扱うかという問題です。多くのサイバー攻撃は、国外に設置されたC2サーバーやボットネットを経由して行われており、その通信の一端が日本国内の端末と接続されることで実行されます。

このとき問題となるのが、「外外通信（国外↔国外）」「外内通信（国外→国内）」「内外通信（国内→国外）」という3種類の通信の扱いです。有識者会議では、これらすべてを分析対象とする必要があると提言されています。例えば、国内のPCがマルウェアに感染し、国外のC2サーバーと通信を始めた場合、内外通信を分析することで初めてその異常に気づくことができます。

一方で、従来の制度では「日本国内の通信事業者の設備を経由した通信」にしか着目してこなかったため、国外との通信が監視の“死角”になりがちでした。これを是正するためには、通信の「地理的な制限」にとらわれない制度設計が求められます。

加えて、欧米諸国ではこのような国外通信の監視体制を維持するために、通信事業者に協力を義務付ける法制度や、そのための費用を政府が負担する補償制度が整えられています。たとえば、米国の「CALEA（通信支援法）」では、政府が必要と認めた際には、通信事業者が協力することが義務となり、費用の一部は連邦政府が支出します。

日本でもこのような制度設計を導入し、地理的制約と民間負担の壁を取り払うことが、能動的サイバー防御を可能にする鍵となるでしょう。

第三章：通信の秘密とどう向き合うか

憲法が保障する「通信の秘密」とは何か

日本国憲法第21条第2項では、「通信の秘密は、これを侵してはならない」と明記されています。これは、郵便や電話、そして現代のインターネット通信を含む、あらゆる私的な通信が国家や他者から不当に覗き見られたり干渉されたりしないことを保障する基本的人権です。とりわけデジタル時代において、この「通信の秘密」は、個人のプライバシー保護の根幹をなす重要な柱といえるでしょう。

一方で、現実にはサイバー攻撃やテロ行為、国家的な脅威といった事態において、すべての通信を完全に不可侵とすることは、公共の安全と相反する場面が出てきます。たとえば、国家を標的とするサイバー攻撃の兆候が通信情報の中に現れた場合、全く手をつけられないというのでは、結果的に社会全体に多大な損害をもたらすリスクもあります。

有識者会議の報告書でもこの点に触れ、「通信の秘密を守りながらも、安全保障上の必要に応じた制度設計を検討すべき」とされています（出典：「能動的サイバー防御のあり方に関する有識者会議報告書」2023年）。

注目すべきは通信の「メタデータ」——中身に触れず兆候をつかむ

サイバーセキュリティの分野では、「通信の中身（本文）」ではなく、「通信の周辺情報（メタデータ）」を分析するというアプローチが主流になりつつあります。メタデータとは、たとえば「誰と誰が、いつ、どこからどこへ、どれくらいのデータ量をやり取りしたか」といった情報を指し、通信の“外形”を示すものです。

この方法は、プライバシーへの侵害を最小限に抑えつつも、攻撃の兆候を早期に察知するうえで有効とされています。実際、米国国家安全保障局（NSA）や英国のGCHQ（政府通信本部）などでも、まずメタデータのパターン分析によって異常を発見し、そこから必要に応じて詳細調査を行う手順が定着しています。

例えば、ある国内の端末から、頻繁に海外の特定サーバーへ不自然な時間帯に通信が行われているといった情報は、本文を解析せずとも、マルウェア感染やC2サーバーとの接続といった疑いを浮かび上がらせるヒントになります。

こうした「軽度な情報分析」から「必要最小限の対応」へと進む段階的なアプローチこそ、通信の秘密とのバランスを保つうえで極めて重要なのです。

透明性と信頼を確保する制度——第三者チェックと段階的手続き

どれほど安全保障上の必要性があっても、国家による通信情報の扱いは、常に透明性と正当性を担保しなければなりません。そのため、先進各国では情報収集のプロセスに厳格なルールと監視体制が設けられています。

たとえば、欧州連合（EU）では、GDPR（一般データ保護規則）や電子通信プライバシー指令などにより、国家が通信情報にアクセスする際は、個別の法的根拠や監督機関の監視、利用後の適切な廃棄措置が義務付けられています。米国でも、「外国情報監視法（FISA）」に基づき、裁判所の許可と独立監督のもとで通信情報の取得が行われています。

有識者会議も、日本において同様の制度的チェックが不可欠であると指摘しており、具体的には以下の4段階の手続きを制度化すべきと提言しています：