Table of Contents
- 1. サイバー攻撃ありきで、外交の位置付けがない
- 2. 日本はサイバー攻撃を憲法上禁じられている
- 3. 政府の責務としての動機の排除
- 4. 客観性を欠くサイバー攻撃の事実例示
- 5. 日本も攻撃者になることのリスク
- 6. 攻撃者が優位とはいえない
- 7. 実害の回避に必要なのは適切なセキュリティ管理だけで十分
- 8. 日本のサイバー攻撃はサイバー攻撃の応酬という負のスパイラルを招く
- 9. セキュア・バイ・デザイン原則によりプライバシー・バイ・デザインが後回しに
- 10. 人々のサイバーセキュリティを脆弱にする国家のサイバーセキュリティ戦略に反対する
高市政権は2025年12月23日の閣議で新たな「サイバーセキュリティ戦略」(以下「戦略」と呼ぶ)を決定した。以下で述べるように、この「戦略」は、私たちのコミュニケーションの権利基盤であるサイバー領域を戦場とするもので、その基本的な考え方を受け容れることはできない。
日本が軍事的な同盟関係を結んでいる米国が国際法を無視して他国を侵略する軍事作戦を公然と展開する時代を迎えている現在、日米同盟は日本が戦争に加担する現実的なリスクを高めるものになっている。特に、サイバー領域については、不可視な領域でもあるために、見過されやすく、戦争のリスクはより一層現実的である。こうした現状を踏まえればなおさら「戦略」は容認しがたいものと言わざるをえない。
1. サイバー攻撃ありきで、外交の位置付けがない
「戦略」の基調は、国家あるいは国家を後ろ盾とする国外の国・地域に起点をもつサイバー攻撃を主要な脅威と位置づけた上で、サイバーセキュリティの国家戦略を策定しようというものである。
国家あるいは国家を後ろ盾とするサイバー攻撃は、政治的な動機に基づくものだ。攻撃の動機の歴史的政治的な背景は様々とはいえ、こうした動機を生み出すことになった原因には、歴代日本政府がアジア地域で展開してきた自国の侵略の歴史を反省せず、米国との軍事同盟を優先させる戦略がある。まず政府がすべき課題は、日本の植民地支配と侵略の歴史を真摯に謝罪し、戦後のアジアを軽視・敵視すらする政策を反省することを含めて、攻撃の動機そのものをなくす努力であり、これは外交が担うものである。日本の国際関係、とりわけ政府の対外政策の失敗が地域の緊張をもたらし、これがサイバー領域における攻撃の動機を生み出している。日本の外交の役割は、こうした国際関係における緊張や対立を交渉や対話によって解決することにあり、こうした外交的努力は政府でしかなしえない役割である。
しかし、「戦略」には、こうした外交的な取り組みの位置付けはほどんどなく、サイバー領域における武力、戦力に該当する力の行使への依存が著しい。「戦略」の考え方は、サイバー領域の安全保障にとっては逆効果にしかならない。外交やサイバー領域における外務省や国連のいうヒューマンセキュリティ(私たちはこれをピープルズ・セキュリティとして再定義する)といった観点からの言及すらない。また、国家あるいは国家を後ろ盾とするサイバー攻撃の脅威アクターによる攻撃の動機そのものをなくすための力によらない外交戦略が全く欠落している。
2. 日本はサイバー攻撃を憲法上禁じられている
「戦略」は、現状のいわゆる地政学的な脅威に対して、日本もまたサイバー領域におけるより一層の攻撃主体となることを宣言するものとなっている。従って「戦略」は、地政学的な脅威を高め、結果として国家や国家を後ろ盾とするサイバー攻撃のアクターの動機を刺激することに帰着するだけである。「戦略」の具体的な内容は、「自由、公正かつ安全なサイバー空間」や「5つの原則」(「法の支配」等)を守る」という自ら掲げた目的とも矛盾し、「自律性」「多様な主体の連携」原則にも反する。
戦争を放棄し、戦力を保持しないという憲法9条の規定は、サイバー領域の戦争にも適用されるべきものである。しかし、日本政府は、一方で東アジア地域の緊張を刺激するような自衛隊の戦力拡大、外国の軍隊(米軍)への領土の提供と特権付与などの政策をとりつづけている。
3. 政府の責務としての動機の排除
人々にとっての自由、公正かつ安全なサイバー空間は、東アジアにおいて政府間で相互に敵対しあう関係とは相対的に切り離された領域として、国益に左右されずに維持されることが必要である。この点で、政府の義務は、サイバー領域において、人々が国境を越えた自由なコミュニケーションを実践できるような基盤を構築することや民主主義の基盤をなす検閲されずに自由に自らの思想・信条を伝えることを保障すること、通信の秘密をグローバルに保障することである。少なくとも、いわゆる地政学的なリスクを軽減するためには、軍事に依存しない外交や国際関係を構築することが必須であるが、「戦略」は、攻撃のリスクを軽減する最も本質的で基本的な国家の責任を回避しており、到底受け入れがたい。
4. 客観性を欠くサイバー攻撃の事実例示
「戦略」ではロシア、中国などからの具体的なサイバー攻撃について言及がある。しかし、一般に、サイバー領域では、実空間での攻撃に比べて攻撃者自らが名乗りをあげるケースは圧倒的に少ない。国際法上攻撃の責任を負うべき国家が認定されている場合は別にして、攻撃の帰属に争いがある微妙なアトリビューションの問題について、「戦略」のように、断定的に特定の国家をサイバー攻撃の敵として断定することの妥当性には疑問が残る。
同時に、「戦略」で例示されているサイバー攻撃は、具体的に言及された国々だけで実践されてきたものではなく、同様の攻撃を米国をはじめとして、日本が同盟国あるいは友好国などとする諸国も行なっているはずである。この点で、「戦略」の記述は、国際的に対立関係にあって双方が行なっているサイバー攻撃の現状を客観的に俯瞰して分析したものとはいえず、東アジアの軍事的緊張を煽りサイバー攻撃に前のめりになる現政権のイデロギーに強く影響されたものである。
5. 日本も攻撃者になることのリスク
「戦略」は、サイバー攻撃では「相対的に露見するリスクが低く攻撃者側が優位」にあるとの基本的な立場をとる。このことから、日本もまた同様の攻撃者となることを通じて、優位にたつことを意図している。この場合、日本も露見のリスクを回避して、いわゆるアクセス・無害化などのサイバー攻撃を実施することで優位な攻撃者の立場を確保することになるはずである。
また高度なサイバー攻撃として他国のLiving Off The Land などを例示している。日本のサイバー攻撃においてもこうした高度な攻撃手法を用いることが予想できる。こうした攻撃には長期にわたり標的のネットワークに潜伏してデータを窃取するなどのスパイ活動も含まれる。相手が用いる攻撃手段に対して、それと同等かそれ以上の能力をもつ手段によって対処することが軍事的な優位を確保することになるという「戦略」の考え方からすれば、日本もまたこのようなサイバー攻撃を行なう可能性は大きい。この点で「戦略」は、日本のサイバー領域における武力攻撃そのものを積極的に推進する立場をとっていると理解することができ、絶対に認めることはできない。
6. 攻撃者が優位とはいえない
「戦略」で前提されている攻撃者が優位という主張は、間違いである。「戦略」では、実際には攻撃の圧倒的に多くが防御できているという現実に言及せずに、防御できなかったケースについてのみ注目することによって、サイバー攻撃に日本が無力であるかのような間違った印象を与えている。しかも、なぜ攻撃を防げなかったのか、という肝心の原因についても説明がない。防御に失敗した多くの事例では、セキュリティの現場で適切な対策を怠ったケースが多くみられ、警察や自衛隊などや政府のセキュリティ関連組織が主導する必要もなく防御ができているはずの事例が多い。この事実にほとんど言及せず、攻撃は最大の防御なり、という古い諺をサイバー領域に持ち込み、民間や個人ではセキュリティの対処ができないかのような印象操作を行なおうとしている。「戦略」では、政府や警察・自衛隊に権限を集中させようという政治的な思惑が先行し、その結果として、サイバー領域の人権の軽視とセキュリティリスクを高める結果になっている。
7. 実害の回避に必要なのは適切なセキュリティ管理だけで十分
上述したように、攻撃が実害となってしまうケースの多くは、適切なセキュリティの設定・管理がなされていなかったなどによるものである。パスワードを適切に設定する、セキュリティのアップデートを行う、サポート終了の機器やソフトウェアを使わないなど基本を遵守することで実害を回避できるケースが多い。これらは、私たち市民一人ひとりの場合も、企業や団体の場合も、プライバシーやコミュニケーションの権利を重視して対処可能な対策であり、政府が国家安全保障や、ましてや軍事的な政策の一環として軽々に位置付けるべきものではない。
8. 日本のサイバー攻撃はサイバー攻撃の応酬という負のスパイラルを招く
「戦略」では、日本がサイバー攻撃(アクセス・無害化を含む能動的サイバー防御と呼ばれる事態)を可能とする体制の構築によって、相手国からのサイバー攻撃を今以上に撃退できると述べている。しかし、実際には逆効果にしかならない。日本のサイバー攻撃は相手による反撃を正当化し、攻撃の応酬から実空間における軍事的な緊張へと、戦争を拡大させるきっかけになりかねない。しかもこのサイバー領域における攻撃・反撃の負のスパイラルは、実空間での武力衝突とは異なり、数ヶ月から数年の単位で、長期にわたって水面下で、身元も秘匿して遂行される。つまり、日本のサイバー攻撃もまたこうした手法をとるはずである。結果的に、こうしたサイバー攻撃は、よりいっそう深刻なサイバー領域のリスクを長期にわたって高めることにしか繋がらない。
しかも、サイバー領域の「戦場」には国境がなく、日本の国内と国外にまたがって引き起こされることになる。「戦略」が構想するサイバー攻撃では、通信情報の利用が前提条件とされている。政府による通信の秘密を侵害する通信情報のより一層の利用は、政府によるコミュニケーションへの監視の強化を招き、自由な通信環境も民主主義の基盤となる言論・表現の自由も、より脆弱なものになる。こうしたリスクの高まりは、広範囲に及ぶ。通信の遮断、通信への監視、政府を後ろ盾としたヘイトや偽情報の横行、プラットフォーマーや通信事業者の戦争への協力など、その範囲は人々の日常生活全体に及び、サイバー領域を日々利用している当事国の人々全てを戦争に巻き込むことになる。
9. セキュア・バイ・デザイン原則によりプライバシー・バイ・デザインが後回しに
このように、「戦略」はもっぱら国家安全保障のみを重視し、日本のサイバー攻撃を合法化・制度化する結果として、地域の緊張を高め、サイバーと実空間における軍事的な敵対関係を煽るものになりかねない。
国家安全保障(ナショナル・セキュリティ)は、人々の安全保障(ピープルズ・セキュリティ)とは異なる観点と相反する利害を有し、対立する。一般に、国家安全保障を重視する政策と技術の導入は、個人のプライバシーや通信の秘密の権利を損うものとなることが知られている。「戦略」では、通信の秘密やプライバシー・個人情報の権利についてはほとんど実質的な言及も関心ももたれていない。それどころか、日本政府が差別や偏見、憎悪を煽り相手国に対する偽情報を含む「情報戦」に事実上加担し、サイバー領域における深刻な人権侵害を加速化しかねない内容である。通信技術などについても、通信情報の収集やサイバー攻撃を可能にするといった意味での国家安全保障を優先した技術仕様を優先させており、その結果としてプライバシーを重視した仕様がないがしろにされ、人々のコミュニケーションの権利が脆弱となる。しかも国家が主導するセキュア・バイ・デザインの基本的な目的は、日本がサイバー攻撃の主体となるために必要な制度構築でしかない。
前述したように、日本によるサイバー攻撃が、相手国による反撃を招き、この攻撃・反撃の応酬にサイバー領域が巻き込まれ、プライバシー・バイ・デザインが更に疎かにされ、結果として、日本に限らず世界中の市民ひとりひとり、とりわけ社会のなかで人権が制約されている社会的マイノリティのサイバーセキュリティ(ピープルズ・サイバー・セキュリティ)がより一層のリスクを被る結果になりかねない。
10. 人々のサイバーセキュリティを脆弱にする国家のサイバーセキュリティ戦略に反対する
高市政権のサイバーセキュリティ「戦略」は全体として、サイバー領域におけるコミュニケーションの主体としての個人の権利への関心が全くない。もっぱら関心は、国家にとってのサイバーセキュリティでしかない。その結果として、国籍や民族などに関わらずに、人々が相互に自由に繋るためのサイバー領域のコミュニケーションの権利そのものが深刻な侵害を被ることになる。
これに対して、サイバー領域における人々の安全保障(ピープルズ・セキュリティ)は、サイバースパイ・サイバー攻撃を含むサイバー領域の一切の戦争行為を否定し、平和なコミュニケーション領域を確保し、普遍的な人権として確立している自由や平等の権利を保障し、差別や憎悪を排除することを目指す。
以上、「戦略」は、戦争放棄の基本原則に反して日本のサイバー攻撃をもっぱら加速化させ、人々のサイバー・セキュリティをより一層脆弱にするものと言わざるをえず、「戦略」そのものに対して反対である。
Date: 2026/1/6
Author: JCA-NET理事会
Created: 2026-01-06 火 22:18
コメントを残す