面對世界越來越激烈的網路攻擊,日本是否有備無患?

政治外交

今年春天,英國的智庫公布了一份報告,分析內容中提到「日本網路能力的一部分有著明顯的弱點」,日本國內多數媒體也都引用、報導了該報告。但是,網路防禦研究所首席分析師名和利男指出「報告當中對日本所發出的訊息並沒有適切地被傳達」。網路攻擊的威脅日趨高漲的狀況下,日本為了克服弱點,需採取什麼樣的行動?名和分析師依據世界當前的情勢,探究本質性的課題。

英國IISS發布各國網路能力的相關報告

2021年6月28日英國智庫國際戰略研究所(International Institute for Strategic Studies,IISS)發布了題為「網路能力與國家力量:網路評估」(暫譯,原題: Cyber Capabilities and National Power: A Net Assessment)總結各國的網路能力評估結果的報告(以下稱本報告)。這份評估結果是用IISS獨自的方法論演算而出的。

IISS在評估報告中,用下列的劃分方式將日本定位於「Tier 3(第3階層)」。

  • Tier 1(第1階層):所有的範疇都擁有領導世界的優勢
  • Tier 2(第2階層):一部分的範疇擁有領導世界的優勢
  • Tier 3(第3階層):一部分的範疇擁有優勢或是有潛在性的優勢,但在其餘的範疇中有明顯的弱點

也就是說,日本「網路能力的一部分領域有明顯的弱點」才是適切的詮釋。但日本國內多半的媒體和社群網站大多是強調日本是「在主要國家裡面的最下階層群組」,本報告「對日本所發出的訊息」並沒有適切地被傳達。

筆者認為,先掌握本報導的背景、目的、前提等要素,再來精讀本報告的話,就可找出相應於解決日本的「根本性質課題」的「理所當為」。

本報告不可不知的屬性
英國IISS是世界一流的防衛和國家安全保障的智庫(*1)。但在2018年關於資金籌措的透明度,曾被以非常低評價的字眼評比為「欺瞞的(deceptive)」(*2)。我認為這是因為該智庫有其無法公開資金來源的理由,因而,有如此特性的組織,在外交、安全保障以及軍事的領域上所做的調查,必有其「稍稍有所偏頗」之處。

對日本的評估結果

以IISS獨自的網路能力方法論所評定的「國家能力的範疇」,用其對日本所做的評估結果,筆者做了自己的詮釋,直截了當地表達出來的話,如下列表格。

網路能力的範疇 對日本的評估結果
戰略與指導準則 存在著用字遣詞過於修飾的策略/軍事上並未整理配備
治理、指揮和控制 官民協作關係薄弱/軍事上的水準低落
核心網路情資能力 預算不足和憲法的制約致使陷入僵局
網路相關產業能力與依賴度 卓越技術的軍事使用是受限的
網路安全與抵禦性 在發展階段即呈現高風險狀態
網路空間的全球領導能力 不斷累積外交上的努力
攻擊性的網路能力 憲法和政治的制約使其有所困難

這些「國家能力的範疇」指的是「在網路空間的防衛力」,可說是展現國家攘除侵略的意志和能力之安全保障的最後保證手段,換而言之,可理解為無法以其他任何方法來取代的終極手段。

由此可知,本報告並不是要傳達日本是「主要國家裡面最下位」的這件事,而是在傳達面對「使國家利益傾危的網路威脅」,日本在軍事、安全保障方面所該發揮的網路能力上,明顯存在著低弱部分的這個事實。

(*1) ^ 2017全球智庫指數報告

(*2) ^ 資金來源無法據實告知的英國智庫壓力越來越大

與日本價值觀不同的中國和俄羅斯

中國建構了全世界最為廣泛的網路領域的國內監視、檢閱審查系統,由政府嚴格管控等的狀況,可得知「治理、指揮和控制」這部分是高階層的。而就國家的網路力量來看,反映在2015年發表的軍事戦略(*3)以及2016年官方初次發表的網路安全相關法令(*4)和戰略方針上的「戰略與指導準則」是很明確的。

此外,中國自2000年代以來,在世界各國實行大規模的網路活動,據分析其目的是取得智慧財產、政治影響力、以及施行在各國之間的諜報活動,以利其在應對將來紛爭衝突發生時,可將這些能力完善配備活用,以期帶來殲滅性效果。而隨著電子數位技術產業基礎的擴張,也被認為正持續不斷地建構著想要超出美國的「攻擊性的網路能力」。

俄羅斯的網路能力因長期與歐美的對立,有著其獨自的發展。根據分析,特別是俄羅斯將網路作戰視為更廣泛的情報戰中的重要要素,因此,以混亂歐美各國的政策、政治為目的的網路攻擊和大規模網路諜報活動就層出不窮。所以本報告將俄羅斯的「攻擊性的網路能力」評比在高的階層。

此外,俄羅斯資訊業的基礎建設因為高度依賴英國和法國的資訊與通信科技(Information and Communication Technology,簡稱ICT)企業,有可能會成為其弱點,但因為俄羅斯政府依據法令的限制約束或建構國家獨立自主的網際網路,以期促進自國內的數位化發展,所以本報告分析中指出俄羅斯正努力克服網路安全的弱點。

另外,俄羅斯為了抑制以美國為首的西方各國的網路空間的支配,在外交上所做的努力也有相當的成果,所以「網路空間的全球領導能力」也被評比在高階層的群組裡。

勢必越趨擴大的網路威脅

從IISS針對各國的網路能力所評估出來的事實和分析,還有對今後的預測中,可斷言如下的事項。

今後,「各國所背負的國情處境或結構性問題」以及「與價值觀大不相同的國家在外交・安全保障上的課題」等等,在無可避免的因果連帶關係當中,侵害到各個國家各自利益的網路威脅日益增大的狀況,在某種意義上可說是已成定數了。

因此,多數的主要國家都非常積極地認清如此狀況,為了保護國家不受到網路威脅,不斷地累積各種嘗試,致力於使國家擁有能承擔法律性任務以及有足夠能力應對的「國家網路安全機構」。

(*3) ^ 中國的軍事戰略(全文)

(*4) ^ 中華人民共和國網絡安全法(2017年6月1日生效)

日本的現況和應該積極著手的事項

日本由於各種的情形和社會背景的因素,使得有著強大權限和能力的「國家網路安全機構」的設置有所困難,一直以來都是政府的各部會獨自推動網路安全相關的措施。雖說內閣網路安全中心(NISC)擔任了其中一部分的協調工作,但整體的狀況很難說已經做到「全國上下一條心全力以赴」地在推行。

我們就把網路安全人才政策實施的狀況當成一個例子來探討看看。

2010年代的前半段,因受到各種狀況的變化和建言的影響,日本政府的各部會獨自開啟了網路安全人才培育的相關措施。但是,可能因為過於散亂的緣故,2017年NISC嘗試著將各措施做了協調。各部會的網路安全人才的相關措施因此得到了整合機會。

筆者原本期待透過統整、廢除、合併等來實行選擇與彙整,可以找出更有績效的相關措施。但就如同2018年的這份報告書的結尾部分中「各部會的人材培育相關措施,需要更加以協調…… (中略)……透過網路安全戰略的每年報告等的來進行後續檢視處理」的字眼所表達的,似乎並沒有找出具體良策(*5)

也就是說,政府的各部會採納了各自依著獨自的措施進行的方式,至於今後的做法,並非「開始著手於協調合作」,而是開始「檢討更進一步的協調合作」。“檢討”就是意謂著,針對事物從各方面作檢驗調查,思考探討是否有助益。因此,筆者的見解是各部會開始採納的(獨自的)措施,都是各自閉門關在其獨自的領域裡摸索而出的關係,所以對國家整體來說,就是顯露出「沒有徹底調查清楚」的事態。

在最新的網路安全戰略的年次報告中,似乎有一個關於「檢討更進一步協調合作」的項目已被實行。內容敘述著「將官民所做的各種努力彙整,建構成為培育人材、普及啟發等相關的入口網站,並且已開始試營運」(*6)。日本因為存在著「牢不可破的組織結構和程序」,所以使得組織或措施的統整、廢除、合併還有實行選擇・彙整等都非常困難。

從危害到國家利益的網路威脅急速擴大加上其影響之嚴重的情況來看,筆者強烈認為,能擔負「強化外交・安全保障及軍事領域能力」的人才之重要性迫切升高。

在如此嚴苛的限制當中,已經有很多的研究員基於他們本身豐富的經驗和專業知識,以卓越的洞察力,藉由書籍或社群網站發表解說關於日本應該積極著手執行的項目,所以我就不再重複贅述。

而筆者認為還有比執行項目還要重要的東西,那就是能把「守住国家利益」做出成果的機制建構。特別是5W1H中的 「Who(實施主體)」的設置,以及賦予其責任與職權。

1950年所設置的「警察予備隊」,在那之後,被賦予了各式各樣的責任與職權,型態也有所改變,成了今日(2021年)的防衛省・自衛隊。當發生了行政機關或民間組織已無法保護國民生命或身體髮膚安全的嚴重事態時,以「最後的防禦堡砦」之姿,為完成任務而全力以赴。
防衛省・自衛隊為了完成任務、達成責任,在爭取預算以及在建構・提升能力方面,所做的逾常努力不是一天兩天的。這就是筆者所思考的「Who(實施主體)」的設置。

筆者認為,為了克服本報告所指出的「日本的網路能力的明顯弱點」,設置建構其他的主要國家都已擁有的、為守住国家利益而被賦予責任與職權的「國家網路安全機關」是非常緊要之事。

標題照片:PIXTA

(*5) ^ 日本網路安全人才培育相關措施跨部會工作小組報告書

(*6) ^ 網路安全2020 (2019年度年次報告・2020年度年次計畫)

外交 安全保障 自衛隊 防衛省 網路 人民解放軍 網路安全 軍事 網路攻擊 間諜 NISC