これまで重要インフラのサイバーセキュリティに関する連邦法上の法令をみて きたが、以下では、関連する重要な文書とポイントについて概説していく。
最初は、2018 年に出されたサイバーセキュリティに関する3つの戦略文書を 取り上げる176。具体的には、①トランプ大統領による「米国の国家サイバー戦略」、
175 OMB, Implementation of the Modernizing Government Technology Act, M-18-12 (Feb. 27, 2018).
176 なお、重要インフラのサイバーセキュリティに関する重要な文書には、ここで取り上げた戦 略以外にも注目すべきものがある。そのひとつとして、2017年8月に国家インフラ諮問会議が公 表した「サイバー資産の保全-重要インフラに対する差し迫ったサイバー脅威への対応(最終報 告書)」を挙げることができる。See National Infrastructure Advisory Council, Securing Cyber Assets:
Addressing Urgent Cyber Threats to Critical Infrastructure (Final Report) (Aug. 2017), available at https://
②「2018 年国防総省サイバー戦略(要旨)」、及び、③国土安全保障省の「サイバー セキュリティ戦略」について概説する。これらのうち、最初の2つは、米国のサ イバーセキュリティ戦略を大きく転換するものであり、わが国への影響も想定し うることから、注目すべきであると考える。
第2に、高度サイバーセキュリティ・サービス(ECS)プログラムを中心に、
国土安全保障省が運営する3つのサイバーインシデントに関する情報共有プログ ラムを取り上げる。ECS プログラムは、2013 年2月の大統領令第 13636 号「重 要インフラのサイバーセキュリティの向上」に基づいて出来たプログラムであり、
政府と民間企業等との間で、公開情報と機密情報の双方を含んだ情報共有を行う 優れたサービスである。
第3に、連邦政府契約約款によるサイバーセキュリティの確保について概説す る。わが国でも、米国国防総省が、請負人に対して、NIST SP800-171 に準拠し たサイバーセキュリティを契約約款で求めるようになったことを受け、これにど のように対応すべきかにつき注目が集まった177。しかしながら、このような規制 が、連邦政府契約制度の中で、どのように機能しているかは十分に理解されてい ないように思われる。そこで、ここでは、①連邦政府契約制度、②その中での サイバーセキュリティ規制、及び、③国防総省調達規則補遺(Defense Federal Acquisition Regulation Supplement:DFARS)における請負人のサイバーセキュ リティ義務等について紹介することにする。
第4に、国防総省による重要インフラにおけるサイバーインシデントへの文民 支援を取り上げる。わが国において、防衛省・自衛隊による災害派遣は、その実 績により国民から高い評価を受けている。しかし、国内の重要インフラでサイバー
www.dhs.gov/sites/default/files/publications/niac-securing-cyber-assets-final-report-508.pdf. しかし、この 文書の中では、特にセキュリティ・クリアランスについて注目すべき指摘があることから、本稿 ではなく(下)で扱うことにする。
177 たとえば、以下のシンポジウムを参照のこと。富士通「迫り来るセキュリティ対策基準『NIST
SP800-171』への準拠― 防衛装備庁の最新動向と日本の企業が取り組むべき対応」, available at
http://www.fujitsu.com/jp/services/index.html.
インシデントが起きた場合に、何らかの支援を行う制度は、法的に整備されてい ない。米国では、このような支援に関する法規範が制定されており、また、その ような事態を想定したサイバー演習も行われていることから、紹介する意義があ ると考えた。
A 2018 年に出されたサイバーセキュリティに関する3つの重要な 戦略文書
1 トランプ大統領による「米国の国家サイバー戦略」
2018 年9月 20 日、トランプ大統領が署名した「米国の国家サイバー戦略
(National Cyber Strategy of the United States of America)」178が発表された。本 戦略では、①米国のネットワーク、システム、ファンクション及びデータの保護、
②安全で豊かなデジタル・エコノミーを育成し、国内における強力なイノベーショ ンを推進することで、米国の繁栄を推し進めること、③サイバーツールを悪意を もって用いる者に対して、同盟国やパートナーと協調しながら、これを抑止する 米国の能力を強化するとともに、必要に応じてこのような者を罰することで、平 和と安全を確保すること、及び、④開かれ、相互利用が可能で、信頼でき、安全 であるというインターネットの基本原則を拡大することで、米国の外国への影響 力を拡大することという4つの目標が掲げられ、これらに対する方策が概説的に 記されている。なお、本戦略の実施に必要となる財源等については、国家安全保 障会議(NSC)のスタッフが、省庁及び連邦行政管理予算局(OMB)と調整を 図るとされている179。
この戦略の中身は、抽象的な記述が多く、内容的にも大統領令第 13800 号によ り命じられた報告書の要旨をまとめたようなものになっている。ただし、その中
178 White House, National Cyber Strategy of the United States of America (Sept. 2018), available at https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf.
179 Id. at 3.
で目立つ記述が2つある。
その第1が、連邦政府が最善のサイバーセキュリティを備えたシステム運用を 確実にするという優先実施項目の例として、商務省は、同省の国立標準技術研究 所(NIST)により、量子コンピューティング攻撃に耐えうる公開鍵暗号アルゴ リズムの公募、評価及び標準化を継続して行っていくという点である180。 第2に、大統領令第 13800 号により基づいて出された「敵を抑止し、かつ、サ イバー脅威から米国市民をよりよく保護するための大統領への報告書」において、
米国がサイバー攻撃を受けた場合には、外部からも明白にわかる報復を行い、こ れにより将来の抑止力とする考えを明白に打ち出した点が挙げられる。そして、
その実施のために、省庁間で計画立案を行うとともに、外国のパートナーとも協 調してこれを実施するとしている。また、この協力関係の構築のために、国際的 な「サイバー抑止イニシアティブ(Cyber Deterrence Initiative)」を立ち上げる と述べている。さらに、米国は、ネットにおける外国による悪意に基づく影響力 の行使や情報操作、非国家主体によるプロパガンダや偽情報の流布について、こ れらを明らかして対抗するために、国家として、あらゆる適切な手段を行使する と明言している181。
このように米国がサイバー攻撃等を受けた場合については、オバマ政権下にお いても、報復は予定されていた。しかし、その報復による結果は外部からは分か らないインテリジェンスのレベルにとどめられていたように思われる。これに対 して、トランプ政権の下で打ち出された「外部から明白にわかるレベルの報復」
による抑止戦略は、従来の政策を根本的に転換したものと評価できる。
180 Id. at 8.
181 Id. at 21.
2 2018 年国防総省サイバー戦略(要旨)
国防総省は、これまでに、2011 年182、2015 年183及び 2018 年184と、3つのサイバー 戦略(又はその要旨)を公表してきた。最新の 2018 年のサイバー戦略(要旨)は、
従来の戦略を改訂したものではなく、2015 年の戦略を破棄したものである185。こ のため、以下では、2018 年戦略(要旨)について説明する186。
まず、サイバースペースにおいて、米国の繁栄と安全にとって戦略的に脅威と なる国家として、中国とロシアを名指している。また、北朝鮮とイランといった 他の国家も、米国市民に損害を与え、米国に脅威を与える悪意のあるサイバー活 動を行っているとの認識にたっている。そして、米国は、軍事紛争に至らないレ ベルの活動を含め、悪意のあるサイバー活動をその発信源で中断又は停止させる ために積極的な防御を行う(defend forward)187としている。そして、統合軍(Joint
182 U.S. Dep’t of Defense, Department of Defense Strategy for Operating in Cyberspace (2011), available at https://csrc.nist.gov/CSRC/media/Projects/ISPAB/documents/DOD-Strategy-for-Operating-in-Cyber-space.pdf.
183 U.S. Dep’t of Defense, The DoD Cyber Strategy (2015), available at http://archive.defense.gov/home/
features/2015/0415_cyber-strategy/final_2015_dod_cyber_strategy_for_web.pdf.
184 U.S. Dep’t of Defense, The 2018 DoD Cyber Strategy (Summary), available at https://media.defense.
gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF[hereinafter 2018 DoD Cyber Strategy].
185 Id. at 2.
186 本稿では扱わないが、2015年のサイバー戦略につき、2011年の戦略との比較を行い、さら に2015年の戦略が出された前後1年の事件や文書を対象として分析した文献として以下のものが ある。Jeffrey L. Caton, Evaluation of the 2015 DoD Cyber Strategy: Mild Progress in a Complex and Dy-namic Military Domain (2017), available at https://ssi.armywarcollege.edu/pdffiles/PUB1372.pdf.
187 国防総省が “defend forward” という用語で何を意味しているのかについては、ネット上にい くつかの論考が出ている。そのうちのひとつは、“defend forward” とは、敵対者がその[米国の]
目標に到達する前に当該脅威を止めるために、米国以外のネットワークにおける作戦行動を示唆 しているとしている。そして、これは、以前の2015年のサイバー戦略から完全に方向転換を行っ たものであると評価している。See Dave Weinstein, The Pentagon’s New Cyber Strategy: Defend For-ward (Sept. 21, 2018), Lawfare, available at
https://www.lawfareblog.com/pentagons-new-cyber-strate-gy-defend-forward. 今後、米国をはじめ各国において、この2018年国防総省サイバー戦略(要旨)
Force)は、紛争の全領域にわたり(across the full spectrum of conflict)、サイバー スペース作戦を実行しうる攻撃的なサイバー能力と革新的なコンセプトを用いる としている188。
次に、米国が戦略的に脅威となる相手(中国とロシア)に打ち勝つために、① サイバースペースを含むあらゆる領域で戦い、戦争に勝利するための軍事的能力 を確保するとともに、国防総省関連のシステム、ネットワーク及び情報を悪意の あるサイバー活動から防御し、②悪意のあるサイバー活動による重大なサイバー インシデントから米国の重要インフラを保護するために、この脅威が攻撃対象に 到達する前に阻止する積極的な防御を行い、③同盟国等とともに、サイバー能力 を強化し、サイバースペースにおける共同作戦を拡大し、双方向の情報共有を行 うとしている189。
その上で、国防総省のサイバースペースにおける5つの目的として、①統合軍 が、紛争のあるサイバースペース環境(contested cyberspace environment)に おいて、その任務を確実に遂行できるようにすること、②米国の軍事的優位性を 高めるサイバースペース作戦を行うことで統合軍を強化すること、③単独の、あ るいは、軍事作戦の一部として行われる悪意のあるサイバー活動による重大なサ イバーインシデントから米国の重要インフラを保護すること、④悪意のあるサイ バー活動から、国防総省の情報(国防総省が所有していないネットワーク上の国 防総省の情報を含む)とシステムを守ること、⑤国防総省と他の連邦行政機関、
産業及び外国のパートナーとの協力関係を拡大することを挙げている190。 そして、最後に、国防総省がとる5つの戦略的アプローチを明らかにしている ので、これを概説したい。
その第1が、「より破壊力のある統合軍を構築すること(Build a More Lethal
について、国際法学者による分析が公表されていくと思われる。
188 2018 DoD Cyber Strategy , supra note 184, at 1.
189 Id. at 2.
190 Id. at 3.