「Cyber Security – Cyber Crime」by perspec_photo88 は CC BY-SA 2.0 の下でライセンスされています
ドナルド・トランプ米大統領の政権は、外国の敵対勢力に対する攻撃的サイバー作戦の実施に民間企業を参加させる準備を進めている。これは、従来は情報機関と軍が担ってきた「影の」デジタル戦争を大幅に拡大し得る動きだ。国家サイバー戦略の新たな草案で、ホワイトハウスは、重要インフラや通信ネットワークを標的にしたり、ランサムウェア攻撃で企業を機能不全に陥れたりする犯罪者および国家と結びついたハッカーを追跡するうえで、民間部門の関与をより積極的に進める意図を公に表明する計画だという。
業界関係者や専門家が確認したこの草案は、国家サイバー局(Office of the National Cyber Director)により今後数週間のうちに公表される見込みだ。草案は、海外の敵対勢力への圧力を高め、サイバー攻撃に対する結果(制裁や報復など)の付与を加速するため、政府は民間部門への「締め付けを緩める」べきだと主張している。一方で、企業の参加がどのように構成されるのか、また企業が具体的にどのような作戦の実行を任されるのかについては、ほとんど詳細が示されていない。
民間請負業者の役割についてのより明確な定義は、戦略の公表後に示される見通しで、関与の範囲を定め、追加の法的保護を提供する大統領令によって行われる可能性がある。別途、立法措置が必要になる場合もある。現状では、民間企業が独自に攻撃的サイバー作戦を実施するための明確な法的根拠がなく、敵対勢力のインフラを「無力化」しようとする試みは、しばしば関連する代理グループを通じて活動する外国情報機関からの報復にさらされる恐れがある。
それでも、政権内および情報コミュニティでは、相当な国家支援を受けることが多い敵対的グループに対抗するには、米国には追加のリソースが必要だという見方が強まりつつある。この観点では、民間部門を取り込むことでサイバー戦能力が拡大すると同時に、情報機関や軍の負担が軽減され、彼らにしかできない任務に集中できるようになる。
攻撃的サイバー作戦の「アウトソーシング」をめぐる議論はバイデン政権時代にさかのぼるが、最終的に具体的な政策は採用されなかった。しかしトランプ政権下では、言説が明らかに強硬になっている。9月の会議で、国家安全保障会議(NSC)のサイバー担当上級ディレクターであるアレクセイ・ブラゼル氏は、政権は「謝罪しない」そしてサイバー空間で攻撃的作戦を実施することを「恐れない」と述べた。
もう一つの兆候は、トランプ政権の数兆ドル規模の税制・予算法の中で、ほとんど注目されなかった条項にある。そこでは、従来は米サイバー軍と情報機関が担ってきた攻撃的サイバー作戦に対し、追加で10億ドルを割り当てている。法律は資金の使途を具体的に定めていないものの、こうした項目が盛り込まれたこと自体が、攻撃的サイバー能力にいま優先順位が置かれていることを示している。
業界にとって、この転換は新たな、そして潜在的には非常に収益性の高い契約につながり得る。防御的ソリューションで知られる多くの企業も、理論上は自社技術を攻撃用途に適応させることができる。しかしリスクは、金銭面や法的な露出にとどまらない。攻撃的な業務は顧客や投資家を遠ざける可能性があり、長らくグレーゾーンだったものを正当化しようとする取り組みは、逆説的に運用上の自由度を制約しかねないと、業界関係者は警告している。
草案は攻撃的な狙いに加え、データおよびサイバーセキュリティ規制の合理化、連邦システムの近代化、重要インフラの保護強化、耐量子暗号および安全な量子コンピューティング技術の導入加速に向けた計画も示している。
