日本にはスパイ防止法がなく、国家安全保障上重要な情報を盗もうとするスパイが「一般犯罪者」として扱われている

目次

【特別寄稿】日本のインテリジェンスとサイバーセキュリティが進むべき道…米国から見た懸念と課題

1. 日本のインテリジェンス体制の課題(米国からの視点)

(1) 警察とインテリジェンスの分離の必要性

  • 日本では警察組織がインテリジェンス部門と強く結びついているが、米国ではインテリジェンス・コミュニティ(IC)は基本的に「法執行機関」とは区別されている。
  • FBIはICの一員だが、第一のアイデンティティはあくまで法執行機関であり、IC全体を主導するのはCIAやDNIなど、インテリジェンス専門の文民組織。
  • 9.11後の米国の改革では、ICのトップを「文民の国家情報長官(DNI)」とし、法執行機関を最高指導的地位から意図的に外した。
  • 日本が新たなインテリジェンス組織を構築する際、警察権力の拡大への懸念が強いため、米国の教訓として「警察以外の出身者をトップに据え、法執行機関を最高指導的地位から外す」ことが賢明だと指摘。

(2) 権限と役割の明確化

  • 市民はインテリジェンスと警察権力を混同しがち。
  • そのため、「組織の権限は何か」「指導者が何をできて、何をできないのか」を国民に明確に説明することが不可欠。

(3) スパイ防止法の欠如

  • 日本にはスパイ防止法がなく、国家安全保障上重要な情報を盗もうとするスパイが「一般犯罪者」として扱われている。
  • スパイ活動の定義が曖昧で、「外国から派遣されたこと」を証明する要件がない点も重大な問題とされる。

2. インテリジェンスの役割と経済安全保障

  • ICと必要な枠組みを整えることで、政治・産業・学術の指導者は「敵対国が何を考え、計画し、意図しているか」を把握できる。
  • これは国家安全保障だけでなく、経済安全保障(製造秘密・営業秘密の保護)にも直結する。
  • どの国・アクターがどの技術・秘密に興味を持っているか、という情報はインテリジェンスから得られる。

3. 日米のインテリジェンス協力と日本の窓口問題

  • 米国のICは、内閣情報調査室(内調)やその他の日本のインテリジェンス機関をカウンターパートとして交流している。
  • しかし日本側の窓口が多すぎること、日本のサイバー防衛がまだ成熟途上であることへの懸念から、米国側に情報共有の躊躇がある。
  • 同盟が「ファイブ・アイズ」のような枠組みから十分な利益を得るには、日本側のサイバー防衛の近代化、機関間調整、インテリジェンス分析の成熟が不可欠とされる。

4. 日本が進むべき方向(米国からの提言)

  • 日本は「明確に定義された権限」と「強力な監視機能」を備えた、対外インテリジェンスに特化した能力を持つことで利益を得られる。
  • 米国がパートナーと情報を共有するのは、相手国が「明確な権限・強力な保護策・共有されたルールと期待」を持つ同等の組織を持っているから。
  • 日本は、インテリジェンス機関のトップが定期的に集まるフォーラムに参加する必要がある。

5. サイバー空間の脅威と日本の事例

(1) 中国関連アクターによるキャンペーン

  • 日本の警察庁とNISC(現:国家サイバー統括室)は、2019年以降の一連のサイバー攻撃キャンペーンを、中国と関連のあるアクター「MirrorFace(Earth Kasha)」によるものと断定。
  • 外務省、防衛省、JAXA、政治家、先端技術企業など、200件以上のインシデントが対象。
  • 地域的には、「Volt Typhoon」「Salt Typhoon」など中国政府が支援するグループが、重要インフラや通信インフラを標的にした広範なモデルを示しており、その手口・インフラは同盟国のネットワークにも容易に波及し得る。
  • これらのグループは「非常に俊敏で攻撃的」と評価されており、日本のネットワーク内・周辺での活動は深く懸念される。

(2) 攻撃が成功する理由と基本対策

  • 一部の攻撃が成功した理由は、被害者が「パッチ(修正プログラム)」を適用していなかったという、ごく基本的な問題。
  • 既知の脆弱性があるにもかかわらず、企業・組織が対応を怠っていた「隙」を中国のアクターが突いた。
  • 継続的な監視、パッチ適用、多要素認証、ゼロトラスト、暗号化といった「基本」の徹底が防御力向上につながる。

(3) 攻撃者に「コスト」を課す

  • サイバー攻撃者には、きちんと「コスト」が返ってくる仕組みが必要。
  • 公的なアトリビューション(属性の明示)、ネーミング&シェイミング(公然と名指しして非難)、標的を絞った制裁といったツールで、相応の負担を負わせるべき。
  • 2026年3月に公表された「トランプ大統領の米国サイバー戦略」の下で、これらの手段がどう発展・適用されるかを注視している。

6. サイバーセキュリティの経済的影響

  • 国家によるスパイ活動だけでなく、金銭目的のランサムウェアも同等レベルの経済的打撃を与えている。
  • 英国では、ジャガー・ランドローバーの生産が6週間停止した件について、イングランド銀行が「GDPが予測を下回った一因」とし、サイバー監視センターは影響を19億ポンドと試算。
  • 日本でも、2025年のアサヒグループやアスクルに対するランサムウェア攻撃で同様の混乱が生じ、その影響は壊滅的とされる。

7. まとめと提言

  • 状況をインテリジェンスで把握し、適切に対応し、理想的には攻撃が起こる前に無力化することが不可欠。
  • 日本が現在導入を進めている「アクティブ・サイバー・ディフェンス(ACD)」は、きわめて有望な取り組みと評価されている。

筆者について

  • グロリア・グラウブマン:米国政府で25年以上、情報・安全保障コミュニティの上級ポストを含めて勤務。米海軍退役軍人で「Presidential Rank Award」「Career Intelligence Medal」受章。
  • 現在はAcclaim Technical ServicesのCTOとして、テクノロジー戦略、AI活用、サイバー領域のイノベーション、戦略的パートナーシップを統括。
  • 在日米国大使館(東京)で上級サイバーアドバイザーを務め、日本政府・産業界と連携し、サイバー政策、オペレーショナル・レジリエンス、日米協力に取り組んだ経験を持つ。

 

 

日本が「ハードウェアには強いがソフトウェアには弱い点」は影響しているか?

結論から言うと、「ハードウェアには強いがソフトウェアには弱い」という日本の産業構造は、インテリジェンス・サイバーセキュリティの文脈でもかなり影響していると考えられます。

1. 日本の「ハード偏重・ソフト軽視」の構造

  • 日本は製造業・ハードウェア産業が強く、自動車、半導体製造装置、精密機械などで世界的な競争力を持つ一方、OS・ミドルウェア・クラウド基盤・セキュリティソフトといった基盤ソフトウェアやサービス産業は相対的に弱い。
  • これは、インテリジェンスやサイバー防衛の「インフラ」そのもの(OS、クラウド、暗号基盤、脅威インテリジェンスプラットフォームなど)を自国で持つ力が弱いことを意味します。

2. インテリジェンス・サイバー防衛への具体的な影響

(1) サイバー防衛の基盤が輸入依存になりやすい

  • 基盤ソフトウェアやクラウド、セキュリティ製品を海外(主に米国)に依存しがち。
  • その結果、「どの国・どの企業の製品が、どの程度信頼できるのか」「バックドアや監視のリスクはないか」といったサプライチェーン・リスク評価が極めて重要になるが、その評価能力自体が日本のソフトウェア産業の弱さと連動して弱くなりがち。

(2) 独自のインテリジェンス・プラットフォーム構築力の不足

  • 米国や中国は、自国のクラウド・AI・ビッグデータ基盤を活用して、大規模な脅威インテリジェンスプラットフォームや分析基盤を自前で構築している。
  • 日本はハードウェアは強いが、大規模なソフトウェアプラットフォームをゼロから設計・運用する経験が少ないため、独自のインテリジェンス分析基盤を構築する力が相対的に弱い。

(3) 人材・文化面の影響

  • ハードウェア中心の産業構造は、ソフトウェア開発者・セキュリティ研究者・データサイエンティストなどソフトウェア系高度人材の育成・評価が相対的に低い傾向を生みやすい。
  • その結果、インテリジェンス分析やサイバー攻撃の高度な分析に必要な「ソフトウェアスキル」「データ分析スキル」を持つ人材が不足しがち。

3. 記事の文脈と重ねるとどう見えるか

前回の記事では、日本のインテリジェンス・サイバー防衛について次のような課題が指摘されていました。

  • 日本のサイバー防衛がまだ成熟途上であること
  • 窓口が多すぎて調整が難しいこと
  • パッチ適用など基本的な対策が徹底されていないこと
  • スパイ防止法の欠如や、警察とインテリジェンスの分離が不十分なこと

これらは、「組織・法制度・運用文化」の課題ですが、その背景には「ソフトウェア産業の弱さ」が影響している可能性があります。

  • 基盤ソフトウェアやセキュリティ製品を自前で持てない → 運用ノウハウや人材が育ちにくい → パッチ適用や監視など基本対策が徹底されない
  • 独自の分析基盤を持てない → インテリジェンス分析の成熟が遅れる → 米国などとの情報共有で「対等なパートナー」と見なされにくい

4. まとめ

「ハードウェアには強いがソフトウェアには弱い」という構造は、サイバー防衛の基盤(ソフトウェア・クラウド・分析プラットフォーム)を自前で持てないという形で、日本のインテリジェンス・サイバーセキュリティの成熟度に影響しています。

結果として、

  • 基盤ソフトの輸入依存
  • 独自インテリジェンスプラットフォーム構築力の不足
  • ソフトウェア系高度人材の不足

といった形で、インテリジェンス分析能力やサイバー防衛の「土台」が弱くなりやすいと考えられます。

したがって、日本のインテリジェンス・サイバー防衛を強化するには、組織・法制度の改革だけでなく、ソフトウェア産業・セキュリティ産業そのものを育てることも重要だと言えます。

 

 

日本の「アクティブ・サイバー・ディフェンス(ACD)」について

日本の「アクティブ・サイバー・ディフェンス(ACD)」は、従来の受動的な防御から、国が先制的に対処する体制へ転換することを目指した政策パッケージです。

1. ACDとは何か

能動的サイバー防御(Active Cyber Defense, ACD)

サイバー攻撃が被害を出す前に、国が主導して

  • 脅威の兆候を検知
  • 通信情報を監視・分析
  • 必要に応じて攻撃サーバーへの侵入・無害化(ハッキングバックを含む)

を行うことで、攻撃を未然に防ぐ発想です。

  • これまでの「防御・復旧中心」の受動的な姿勢から、「攻撃を未然に排除する」能動的な安全保障ドクトリンへの転換を意味します。

2. 法的枠組み:サイバー対処能力強化法と整備法(2025年成立)

  • 2025年5月16日、参議院本会議で
  • サイバー対処能力強化法
  • 同整備法

が可決・成立し、同年5月23日に公布されました。

  • これにより、日本版ACDの法的基盤が整備されました。

3. ACDの「3つの柱」(政策の核心)

ACD関連法と2025年12月の新「サイバーセキュリティ戦略」では、日本版ACDを次の3本柱で設計しています。

(1) 官民連携の強化

  • 電力・通信・交通・医療などの重要社会基盤事業者に対し、
  • 不正アクセス等による特定重要電子計算機の被害・その原因となり得る事象を認知した際の政府への報告義務を課す。
  • 基幹インフラ事業者だけでなく、その周辺のITベンダー・電気通信事業者なども協力が求められる。

(2) 通信情報の利用

  • 憲法21条「通信の秘密」との整合性を慎重に図りつつ、
  • 平時から国が通信情報を監視・分析し、攻撃の予兆を検知する権限を整備。
  • これは「監視社会」への懸念とバランスを取りながら、脅威の早期発見を目的としています。

(3) アクセス・無害化

  • 警察・自衛隊が、攻撃サーバーへの侵入・無害化(不正プログラムの停止など)まで含む対処を行うことを可能に。
  • 従来の「監視・防御」に加え、攻撃源への直接的な無力化措置を認める点が大きな転換です。

4. 背景:なぜACDが必要とされたか

  • ロシア・ウクライナ戦争などで、物理侵攻に先立つサイバー攻撃が重要インフラを麻痺させた教訓。
  • 中国・北朝鮮を背景とするAPTグループ(Volt Typhoon、MirrorFaceなど)による、日本の重要インフラ・先端技術企業への偵察・潜伏活動の増加。
  • ランサムウェア攻撃による経済的打撃(英国のJaguar Land Rover、日本のアサヒグループ・アスクルなど)の深刻化。

これらを受け、日本はサイバー空間を「第5の戦場」と位置づけ、国家の安全保障領域として積極的に対処する方針に転換しました。

5. 組織面の変化:国家サイバー統括室(NCO)の新設

  • 内閣サイバーセキュリティセンター(NISC)を発展的に解消し、
  • 国家サイバー統括室(National Cyber Office, NCO)を新設。
  • NCOが司令塔となり、警察庁・自衛隊との連携による統合的な対処体制を構築する方向です。

6. 民間企業への影響

ACD関連法は、次のような民間企業に直接的な影響を与えます。

  • 基幹インフラ事業者(電力・通信・交通・金融・医療など)
  • 特定重要電子計算機の導入時の届出義務
  • セキュリティインシデント認知時の報告義務
  • 政府との通信情報共有協定への協力要請

電気通信事業者

  • 通信情報の提供・分析への協力

ITベンダー

  • 基幹インフラ向け製品の脆弱性情報の提供・被害防止措置への協力
  • 顧客(基幹インフラ事業者)の報告義務履行を支援する役割

一般企業

  • 直接の法的義務は限定的だが、サプライチェーン上の責任として、取引先が基幹インフラ事業者であれば間接的に影響を受ける。

7. まとめ

日本のACDは、「防御・復旧」から「先制的な無害化」へという安全保障ドクトリンの転換を象徴しています。法的には2025年のサイバー対処能力強化法・整備法で基盤が整備され、

  • 官民連携強化
  • 通信情報の利用
  • アクセス・無害化

の3本柱で運用されます。

組織面ではNCOが司令塔となり、警察・自衛隊と連携してインテリジェンス駆動型のサイバー防衛を目指しています。民間企業、特に基幹インフラ事業者・電気通信事業者・ITベンダーは、報告義務・協力義務・サプライチェーン上の責任として、ACDの枠組みに組み込まれていくことになります。

コメント