「サイバー現実主義(cyber realism)」へようこそ:2023年国防省サイバー戦略を解析する (warontherocks.com)

9月12日に公開された米国防総省の「2023年サイバー戦略(2023 Cyber Strategy)」を評価した論稿を紹介する。表題にあるCYBER REALISMとは何かに興味が湧く。(軍治)

「サイバー現実主義(cyber realism)」へようこそ:2023年国防省サイバー戦略を解析する

WELCOME TO CYBER REALISM: PARSING THE 2023 DEPARTMENT OF DEFENSE CYBER STRATEGY

EMERSON T. BROOKING AND ERICA LONERGAN

SEPTEMBER 25, 2023

エマーソンT.ブルッキング(Emerson T. Brooking)は、アトランティック・カウンシルのデジタル・フォレンジック・リサーチ・ラボ専属シニアフェロー。2022年8月から2023年8月まで、サイバー政策担当国防副次官補室のサイバー政策アドバイザーを務め、2023年米国防総省サイバー戦略の執筆チームに参加。

エリカD.ロナーガン(Erica D. Lonergan)は、コロンビア大学国際・公共問題学部助教授。以前は2023年国防省サイバー戦略策定チームのメンバーで、サイバー空間・ソラリウム委員会のシニア・ディレクターを務めた。

表明された見解は著者のものであり、米国防総省の公式な政策や立場を反映するものではない。

Image: U.S. Army National Guard photo by Staff Sgt. Renee Seruntine

9月12日に公開された米国防総省の「2023年サイバー戦略(2023 Cyber Strategy」は、大胆な新語がない点で前作とは異なっている。2015年のサイバー戦略では、サイバー・ドメインにおける抑止力を再構築し、2018年のサイバー戦略では、新たな基本コンセプトとして「前方防衛(defend forward)」を明確にした。

しかし、米サイバー・コマンドがより頻繁に攻撃的サイバー作戦に従事することを可能にした重要な法律や政策の変更、露・ウクライナ戦争における軍事サイバー能力の継続的な実証など、何年にもわたる主要なサイバー開発の影響を受けているにもかかわらず、2023年サイバー戦略(2023 Cyber Strategyには、これほど重大なものはない。

新戦略の起草に貢献した我々は、この謙虚さは良いことだと信じている。この戦略は、新たなサイバー・バンパー・ステッカーを作るのではなく、すでに存在するコンセプトを合理化し、文脈化することを目指している。この戦略には万人向けの内容が盛り込まれているように見えるかもしれないが(ほとんどの戦略がそうであるように)、よく調べてみると、サイバーの役割は一貫して制限されていたり、注意書きがあったり、より広範な枠組みに包含されていたりすることがわかる。

3つの例が目立つ。1つ目は、サイバーのためのサイバーから脱却し、サイバー効果を米国の政策立案者にとって重要なツールの1つとして位置づける方向への動きである。ペンタゴンは現在「統合抑止(integrated deterrence)」と呼んでいる。第二は、2018年に導入されたコンセプト(「前方防衛(defend forward)」と「持続的関与(persistent engagement)」)の再確認と、米サイバー・コマンドが武力紛争の閾値以下でどのように活動するかのビジョンである。ペンタゴンは現在「戦役遂行(campaigning)」と呼んでいる。第三は、民間サイバーセキュリティにおける米国防総省の役割に対する期待を適正化する試みである。

つまり、2023年サイバー戦略(2023 Cyber Strategyにテーマがあるとすれば、それは「サイバー現実主義(cyber realism)」である。サイバー能力の比較優位を考慮し、サイバー能力の限界を認識することで、米国は増大する脅威に対して有限なサイバー資源を向けるより良い準備ができる。

「サイバー・パール・ハーバー」のページをめくる:Turning the Page on “Cyber Pearl Harbor”

このような現実主義は、もう時効である。少なくとも20年以上にわたって、サイバー脅威、サイバー・リスク、サイバー戦争をめぐる政策論議は、徐々に膨らんでいく風船のようであった。当初、実務家や専門家は「サイバーの破滅(cyber doom)」を恐れていた。サイバー空間は新たな「西部開拓時代(Wild West)」として描かれ、無法地帯と定義され、極悪非道な行為者があふれていた。

サイバーの脅威は核のハルマゲドンと同列に語られるようになり、この2つはほとんど融合してしまったかのようだ。 「サイバーゲドン(cybergeddon)」である。「サイバー・パール・ハーバー(cyber Pearl Harbor)」とも呼ばれる、米国に対する壊滅的な不意打ちのサイバー攻撃は、米国の政策立案者と米国民の想像力をかきたてた。

サイバー攻撃の理論的危険性が核兵器のそれと関連づけられるようになると、サイバー理論家たちは当然のことながら、冷戦時代の核抑止力と強制力の考え方に注目し、サイバー能力を抑制する方法を説明するようになった。その結果生まれたのが「サイバー抑止力(cyber deterrence)」である。巧妙に振り付けられたサイバー攻撃と反撃の複雑なダンスが、見えないところで光の速さで繰り広げられるというビジョンである。

しかし、サイバー作戦の現実は、このような劇的な期待に応えるものではなかった。イランの核濃縮プログラムを妨害した2010年のスタックスネット・サイバー・キャンペーン(Stuxnet cyber campaign)のような少数の「パーフェクト・ストーム(perfect storm)」イベント(これはまさに、ルールを証明する例外である)を除けば、サイバー作戦の戦略的影響は極めて控えめに見える。

米サイバー軍による2016年の「白熱のシンフォニー(Glowing Symphony)」作戦は、確かにイスラム国摩擦をもたらしたが、「サイバー爆弾(cyber bombs)」を投下するという恫喝は大げさなものだった。同様に、米軍は2018年の中間選挙において、ロシアと連携したトロール・ファームであるインターネット・リサーチ・エージェンシーが偽情報をまき散らす活動を妨害することに成功し、2020年2022年の両方で同様の作戦を実施した。

しかし、これらはターゲットを絞った限定的な戦役(campaigns)であり、効果は限定的であった。ロシアが現在進めているウクライナとの戦争(21世紀最大の通常戦争)でも、ロシアが恐れたサイバー「衝撃と畏怖(shock and awe)」は戦略的効果を上げることに失敗した

しかし、サイバー・ドメインも無視できない。毎年、公に知られているサイバー攻撃の総数は急激に増え続けている。2015年に中国が米国人事管理局から2,210万人の連邦政府職員の記録を流出させたにせよ、2016年の大統領選挙を狙ったロシアのハッキング&リーク作戦にせよ、2021年半ばに中国がボルト・タイフーン(Volt Typhoon)を介してグアムの重要インフラを侵害したという新たな証拠にせよ、敵対的で国家と連携したサイバー活動は米国に甚大な被害をもたらしている。

しかし、このような最も派手なケースであっても、このようなサイバー活動がライバル国家間のエスカレーションにつながることはなく、ましてや武力衝突に発展することはない。むしろ、国家間競争におけるサイバー作戦の役割は、破壊工作(subversion)インテリジェンス活動(intelligence activity)、あるいは危機回避工作(sub-crisis maneuvering)の一形態に見える。

ミーケ・エオヤン国防副次官補(サイバー政策担当)が最近宣言したように、「サイバー戦争にキノコ雲はない」。地球を揺るがすような戦略兵器や複雑な抑止スキームの見通しが、軍事サイバーの現実を捉えていないとすれば、米国のサイバー政策にはより良いフレームが必要だ。2023年サイバー戦略(2023 Cyber Strategyは、それを提供しようとしている。

「サイバーのためのサイバー」はもう不要:No More “Cyber for Cyber’s Sake”

伝統的なサイバー抑止は、冷戦時代の核抑止理論に倣い、しばしば相互的なドメイン内モデルに注目してきた。サイバー攻撃を防ぐためには、米国は自国の戦略的サイバー能力を開発し、それを使用すると威嚇する必要があるという主張である。このモデルは、サイバー作戦の仕組みが伝統的な核抑止の仕組みと不自然に乖離しているにもかかわらず、依然として人気がある。

これには、帰属証明の難しさ、サイバー・アクセスやサイバー搾取の刹那的な本質、サイバー能力を示す(demonstratingことでターゲットがシステムにパッチを当て、脅威を軽減できるかもしれないという事実などが含まれる。このように注意すべき点が増えているにもかかわらず、サイバー脅威に対抗する最善の方法はサイバー効果である、というのが一般的な主張であり続けている。

2023年サイバー戦略(2023 Cyber Strategyは、この議論を現実に引き戻した。同文書によれば、「予備的に保有されたり、単独で使用されたりするサイバー能力は、それ自体ではほとんど抑止効果をもたらさない」。米国の国防高官文書がサイバー抑止論の限界についてここまで率直に述べたのはこれが初めてである。

むしろ、サイバー能力は「国力の他の手段と協調して使用されるときに最も効果的であり、その部分の総和よりも大きな抑止力を生み出す」と同戦略は続けている。これは、2023年国家安全保障戦略(2023 National Security Strategy2023年国家防衛戦略(2023 National Defense Strategyの根拠となるコンセプトである「統合抑止(integrated deterrence)」の明確な表現である。

「統合抑止(integrated deterrence)」は、軍事的手段と非軍事的手段をより全体的な(そして防衛中心ではない)国家安全保障態勢に融合させようとする試みであるため、かなりの批判(fair bit of criticism)を浴びているが、サイバーという文脈では非常に理にかなっている。サイバー脅威がサイバー能力だけで消滅した例はどれほどあるだろうか。

逆に、サイバー・インテリジェンスが他の国家権力手段の指針となったことはどれほどあるだろうか。サイバー効果がそれ自体で決定的な意味を持つことは稀かもしれないが、現代の国家安全保障上の課題で、サイバー的な側面、そして軍のサイバー能力の潜在的な役割を持たないものを見つけるのは難しいだろう。

それは、軍事サイバーをサイロから解き放ち、米国防総省とホワイトハウスの上級指導者たちにとって、より有用で実用的なツールとして定義することである。

サイバー作戦は戦役遂行のために作られた:Cyber Operations Were Made for Campaigning

ジョセフ・バイデン・ホワイトハウスは、ドナルド・トランプ政権下で米サイバー・コマンドに委譲された作戦権限を大幅に縮小するかもしれないという初期の憶測にもかかわらず、そのような変更は行われていないようだ。その代わりに、2023年サイバー戦略(2023 Cyber Strategyは、2018年戦略と米サイバー・コマンドの2018年コマンド・ビジョンでそれぞれ初めて導入された、「前方防衛(defend forward)」と「持続的関与(persistent engagement)のコンセプトを再確認している。

これらの文書は、サイバー作戦を、スピード、適応性、攻撃的行動を前提とした、米国と敵対国との間の永続的なコンテストとして位置づけている。「前方防衛(defend forward)」と「持続的関与(persistent engagement)の継続は、それらを機能させるために必要な権限委譲の継続をも示唆している。

2023年サイバー戦略(2023 Cyber Strategyは、「前方防衛(defend forward)」と「持続的関与(persistent engagement)を、より広範な戦略的構成要素である「戦役遂行(campaigning)」に折り込むことを進めている。「統合抑止(integrated deterrence)」と並ぶ2022年国家防衛戦略(2022 National Defense Strategyの第二の主要コンセプト基盤である「戦役遂行(campaigning)」は、「長期にわたって戦略的に整合した目標を達成するために、論理的に結びついた軍事活動を実施し、その順序を決める」ことを意味する。

軍事作戦というコンセプトは軍隊そのものと同じくらい古くからあるが、「戦役遂行(campaigning」には、「訓練演習(training exercises)」や「航行の自由作戦(freedom of navigation operations)」など、軍事的または非軍事的な個別の到達目標を達成するための非戦闘活動も含まれる。現在の米国防総省の戦略文書では、「戦役遂行(campaigning)」は敵対者のグレー・ゾーン活動に対する回答として描かれており、米軍が武力紛争の閾値以下で独自の作戦を行うことを可能にしている。

「戦役遂行(campaigning)」は、サイバー空間とサイバー作戦の日常の現実に非常に適したコンセプトである。2023年サイバー戦略(2023 Cyber Strategyでは、このような「戦役遂行活動(campaigning activities)」をいくつか概説している。すなわち、サイバー脅威に関する洞察の創出、前方防衛による悪意あるサイバー行為主体(cyber actors)の混乱と劣化、そして統合部隊の目標の推進であり、特に敵対者に「自国の軍事能力の有効性を疑わせるとともに、米国に対して無差別の強制行動が可能であると思わせる」ことである。

これらの活動はいずれも、迅速かつ継続的な作戦テンポを必要とする。いずれも戦争行為にはほど遠い。「前方防衛(defend forward)」と「持続的関与(persistent engagement)を「戦役遂行の論理(logic of campaigning)」に組み込むことは、「サイバー現実主義(cyber realism)」のもう一つの形を反映している。むしろそれらは、独立したコンセプトとして機能するのではなく、国家間競争の鼓動の一部となっている。

よりスリムなサイバー任務:A Leaner Cyber Mission

2023年サイバー戦略(2023 Cyber Strategyがサイバー作戦の有用性を慎重に論じているのと同様に、こうした作戦の限界についても率直に述べている。この戦略は、米国防総省に新たなサイバー任務にコミットするのではなく、すでに存在するサイバー任務の範囲を広げ、洗練させるものである。

この変化は、国土防衛戦略における扱いに特に顕著に表れている。「ジョン・プランブ(John Plumb)国防次官補(宇宙担当)は戦略に関する最近のスピーチで、「われわれはかつて、すべてのネットワークを防衛することを目指していたが、それは非実際的だ」と説明した。その理由の一端は、法的・規範的な懸念から生じている。

国防産業基盤のサイバーセキュリティを確保するという米国防総省の法的役割を超えて、軍のサイバー部隊が国内の民間ネットワークと直接インターフェースできる権限はほとんどない。こうした権限が限られているのには理由がある。米国人は、物理的であれ仮想的であれ、米国内での軍事能力の使用に懐疑的な長い歴史を持っている。

この変化には現実的な理由もある。ひとつは、軍隊は民間ネットワークの防衛には特に適していないということだ。サイバー防護チームや州兵のサイバー部隊が緊急時にできることは、心強い存在を提供すること以上に、影響を受ける企業ネットワークにすでに精通しているプライベート・ネットワーク管理者やサードパーティ・ベンダーができないようなことは、おそらくほとんどないだろう。

政策立案者たちが、国防と民間あるいは連邦の民間ネットワークとの間で、より多くのサイバーの「上昇する能力容量(surge capacity)」を求めているとしても、こうした権限が発動された事例を見つけるのは難しい。

これとは対照的に、「前方防衛(defend forward)」の一連の全任務、つまり悪意のあるサイバー活動が米国本土を攻撃する前にそれを発見し妨害する行為は、適切な権限と能力を備えた軍のサイバー運用者によってのみ追求できるものである。2023年サイバー戦略(2023 Cyber Strategyは、軍事サイバーの限られた能力を、それが独自に適している任務に向けて舵を切るものである。

同時に、米国防総省は、サイバー部隊の採用と維持のための内部改革や、米民間企業との緊密な協力と情報共有によって、その能力を強化しようとしている。このように、米国防総省は、サイバー脅威の増大が、これらの脅威に直接対抗する軍事能力の増大を上回っていること、したがって、サイバー資源の配分に優先順位をつける必要があることを認識しているようである。

「サイバー現実主義(cyber realism)」のための次のステップ:Next Steps for Cyber Realism

もちろん、2023年米国防総省サイバー戦略(2023 Department of Defense Cyber Strategyには、もっと多くのことが書かれている分野もある。米国は、民間人に対するロシアのサイバー攻撃を一貫して非難し、米国のサイバー作戦の法的根拠を公に詳述してきた。しかし、それにもかかわらず、この戦略は、米国が「サイバー空間における責任ある行動の規範を強化する」ことを認めているだけで、規範そのものは未定義のままである。

同戦略はまた、米国は同盟国やパートナーのサイバー能力容量と能力を構築するとも述べているが、サイバー協力の有用性や、それが米国の外交目的とどのように交わる可能性があるかについてはあまり触れていない。このような疑問は、今年後半に国務省から発表される予定の、初の米国国際サイバー戦略(U.S. International Cyber Strategy)を待つ必要がある。

また、この戦略がまったく触れていない重要な点もある。例えば、米国防総省がサイバーと情報の効果をどのように区分しているのかについては、まさにこの問題に対処することを意図した新しいドクトリン官僚組織が創設されているにもかかわらず、議論されていない。

さらに、この戦略ではさまざまな取り組み方針が明示されているが、さまざまな脅威に対して、さまざまな時間軸で、さまざまな深刻度の閾値で、軍がどのようにサイバー能力の開発と雇用に優先順位をつけるべきかについては検討されていない。

例えば、ハイエンドの軍事侵略を抑止するためのサイバー能力を開発するのと、低レベルの摩擦を維持するための能力を開発するのとでは、全く違って見えるかもしれない。米軍の強力なサイバー兵器の最善の使い道は何か」というような重要な基本問題に関して、戦略は沈黙したままである。

全体として、2023年サイバー戦略(2023 Cyber Strategyの現実主義的な枠組みは、文書全体を通して明らかである。サイバー作戦を数あるツールの中の1つとして扱い、武力紛争の閾値以下でのサイバーの有用性に焦点を当て、サイバー空間における米軍の役割について意図的に狭く論じている点で、この戦略は文字通り空想科学小説(SF)から生まれた分野に現実主義を持ち込んでいる。

米国防総省のサイバー・ドメインに関する考え方は、かつては抽象的で思索的なものであったが、現実世界の教訓や事例に基づいたものとなっている。そして、サイバー事業体(cyber enterprise)自体が、テーブルの席を獲得した今、その席を最も効果的に使う方法を考えなければならない。