最近、元米軍幹部と食事をした。1990年代、米国防総省と米政府によって行われたバーチャル情報戦演習に参加していた人物である。
「フセインがネットを使って米国を攻撃し、情報通信企業を1つでも破壊したら、米国は応戦する構えだ」と彼は言った。「策はつくした。例えばイラクがEarthLink社を攻撃してきても、軍が介入しイラク側のサーバを掌握する体制ができている。」
ハッカー並の技術をもった米軍部隊が私の電子メールボックスをフセインの報復攻撃から守ってくれるとは、全く知らなかった。しかし、米国の企業を守るために軍が使われるのは合法なのだろうか。それとも、これはトム・クランシーの戦争小説からのコピーなのだろうか。
軍や十分な補助金をもらった高速通信回線設置業者がサイバー戦対策の検討を十年もの間続けてきた。しかし、サイバー戦争が起きたらどうすればよいのか、1つの定まった見方はまだない。本物の国家間のサイバー戦争はまだ始まってはいないからだ。
サイバー戦争についての議論が始まったのは1995年頃のことである。空軍所属の判事Richard Aldrichがサイバー戦時下の国際法の適用に関するレポートの中で、1949年のジュネーブ条約で承認された武力紛争法(Law of Armed Conflict)は情報通信の分野には適用できないと指摘した。情報通信は日々刻々と変化し、また地球規模のものであるため、犯行の跡をたどるのは困難だというのだ。
例えば、情報通信の技術を使って国家が降伏宣言をねつ造し国際協定を破るというケース。「湾岸地域駐留同盟軍の指揮官の1人に、イラクが同盟軍総司令官の名を騙り偽の電子メールを送ったとする。イラクは降伏したので全戦闘行為を停止せよという、という内容のものだ。もし電子メールを受け取った指揮官がこれを信じて戦闘を停止し、実はまだ交戦体勢にあったイラク軍の攻撃を受けて同盟軍が多くの死傷者を出したとする。この場合、イラクに武力紛争法違反の罪を問うことが可能だろうか」(Richard Aldrich)
また、国家が安易に攻撃的な戦術を行使することは許されないのではないか、という疑問がある。最近、Microsoft社のSQLサーバを混乱させたSlammerウイルス事件がその例である。法的にも認められた敵をターゲットにする場合を除いて、このような戦術は国際法に触れる可能性がある。
これらの議論を受けて、国防総省はサイバー戦対策の公的な研究組織を設立し、それをより広い意味での情報戦の一環として位置付けた。例えば、海軍艦隊情報戦センターには新たにコンピュータネットワーク防衛という責務が追加され、海軍大学院では学生がハッカー演習を行っている。
空軍の戦闘研究チームは、ネットワークが攻撃を受ける前にオペレーターに警告を出す早期警告システムを開発し、また軍事関連サイト上の機密文書をくまなくチェックする部署を設立した。(インターネットへの機密書類漏洩が起きていないことを見ると、それなりの成果はあるようだ。)緊急事態管理局フロリダ支部がまとめた要注意事項リストにも、国内の暴動や大量破壊兵器と一緒に、情報戦の脅威がリストアップされている。
「アメリカ人を殺害したものは放ってはおかない」と国防省スポークスマンは言う。「重罪、テロ行為、戦闘行為、何であろうと、犯人には重い刑を課す。むろん、関連の法規についてのしっかりした議論を行い判断する」
サイバー攻撃の危機に対し、各国政府の抱える問題も深刻だ。サイバー攻撃は、誰の手によるものか特定しにくく、それが悪意のあるハッカーによるものか、テロ集団の仕業なのか、それともイラク軍本部の奥深くに潜むフセインが怒りに震える手で自らキーボードを叩いて起こしたものなのかわからない。そのため、どう対応するべきかを特定しにくいのだ。犯人は誰か、何を目的としているのか、それ次第でひとつの犯行が通常の犯罪にも宣戦布告にもなりえる。
ここでつけ加えておかなくてはいけないのは、サイバー戦争の脅威は誇張して扱われることがあるということだ。ハッカーは確かにインフラに被害を与えうる。しかし、外部からシステムをコントロールすることは非常に難しいし、ほとんど不可能だ。しかも普通は内情に精通したものにしかできない。つまり、コンピュータに侵入するよりも爆弾を一つ落とすほうがよっぽど簡単なのである。
とはいえ、大規模なサイバー攻撃から米国のインフラを守るために国防総省は何をしようとしているのだろうか。米軍事司法協会(National Institute of Military Justice)代表、Eugene FidellStillは「この問題を解決するには、インターネットと何を同等に扱うかを決めなければならない」と言う。「法は類推をもとに適用される。インターネットは新聞、水道、電線と同じ扱いとするのか。それとも銀行システムと同様に扱うべきか。少なくとも紛争に関する法の適用に関して十分な議論がされていないのは確かだ」
また、バージニア大学の国家機密法センター(Center for National Security Law)のアソシエイトディレクターRobert Turnerによると、他からサイバー攻撃を受けた場合は、ブッシュ大統領と政府はそれに対抗するための大きな権限を持つことになるという。「微妙な問題だ」とTurnerは言う。「憲法上では戦争は好ましくない。ブッシュ大統領が戦闘開始の決断をするには上院下院の承認が必要だ。しかし他からの攻撃を受けた場合は、軍の総司令官として大統領権限を行使し、議会の承認なく防衛戦を開始することができる。」
簡単に言えば、戦争が始まれば国民の自由は当分諦めろ、憲法修正第4条の保護による「不合理な捜査及び逮捕押収」の禁止も意味を持たなくなるということだ。Turnerは次のようにも付け加える。「最高裁では、合理性は状況を見て判断するという立場をとり続けてきた。殺人が起こるような状況下で人命を救うためには、通常以上の介入も許される。国家の防衛はより重要な任務だ。重要なことを守るための犠牲を払う覚悟がいるということだ。危機に直面し、それでも法律にしがみついていると、その結果として自由を失い、公務を果たすことは出来なくなる。」
軍幹部と政治家たちも同様の意見を持っている。しかし、たとえサイバー攻撃が実際にはありえないように思えても、私たちは危機体制下における政府の権力の行き過ぎに疑問を持ち続けることを忘れてはいけない。政府による個人情報の監視を一度許せば、その権限は簡単には奪回できなくなる。また、ブッシュ大統領が先週発表したデータ収集センターの設立は、政府が個人情報を詳細に精査できるようになることを意味する。
もう1つの懸念、それはキューバのカストロ政権による米国コンピュータ侵入の脅威である。アルカイダが9月11日の自爆テロの準備を進めていた頃、まさに、米国の諜報機関はこの問題に翻弄されていた、2001年11月には、米国防情報局長官Tom Wilsonが、米軍を崩壊させる威力のある大規模な情報戦や米国のコンピュータネットワーク攻撃をカストロが計画している、という警告を米議会に対して発している。
そして、その可能性はまだ消えていないのである。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス