日美「2+2」後的日本網路安全政策觀察
2022.02.11
瀏覽數
854
壹、新聞重點
日前,日美召開外務與防務部長級「安全保障磋商委員會(2+2)」線上會議,除因應中國及朝鮮半島近來更趨緊張的導彈威脅,雙方簽署防衛裝備研究合作協定外,更針對「新領域」—— 太空、網路、電磁波,提出雙方更進一步合作的構想。[1] 除美國外,日本亦與澳洲簽署《互惠准入協議》,在協商過程中也特別提及兩國未來將加強網路安全、通信系統、關鍵基礎設施、重要科技與能源等相關領域的合作。可看出日本逐漸將網路安全的重要性與優先性,提升至傳統安全相同的位階,並且逐步加強與盟邦的合作關係,此文將針對日美「安全保障磋商委員會」後的日本網路安全政策提出觀察。
貳、安全意涵
一、北京對日滲透情形讓官方警惕
除《防衛白皮書》專章點名並直接討論中、俄及北韓具備的網路攻擊能力與意圖外,在2021年9月令和3年版《網路安全戰略》(サイバーセキュリティ戦略)發布記者會上,日本內閣官房長官加藤勝信也首次公開直接點名,除了傳統地緣戰略的危機挑戰外,中、俄及北韓更是網路攻擊的三大威脅來源。[2] 對於中國的部分,日本認為習近平軍改後成立高達17萬5,000人的「戰略支援部隊」,就是中國用以進行太空、網路及電子戰的主力部隊。
2021 年底,日本產經新聞報導日本警方對一名中國留學生發布通緝,指控其接受中國「61419部隊」指示,試圖購買企業防毒軟體以供該部隊進行研究破解,由於該學生在事跡敗露後就立即離境,因此警方只能對其發布通緝。[3] 類似的情境在日本並非少數,不僅日本電氣(NEC)等民間企業,甚至日本宇宙航空研究開發機構及其關係企業都曾受到中國有關的駭客入侵或攻擊,而外務省也曾表示國內多次傳出遭「APT40」[4] 和「APT31」的駭客攻擊事件,此類活動亦受到美英法等國的高度重視,而無論是上述「61419部隊」或是前述兩起入侵事件的駭客組織,一般認為背後的支持或指使者都是中國國家安全部或總參等單位。[5]
在近期諸多官方報告中,可看出日本不僅直接點名曾被視為其最大發展機會的中國,已成為重要的地緣戰略競爭對手,更直接點名其「破壞地區和平、自由與穩定」而使日本處於危機之中。此外,在防衛研究所發布的《2022中國安全戰略報告》中,再次強調中國在軍改後長期建構其「多元一體聯合作戰」,以及「智能化條件下的聯合作戰」等能力。在威脅來源明確且經深入研究下,日本近年積極整合國內相關「太空、網路及電子戰」的防護能力。即便如此,英國智庫國際戰略研究所(International Institute for Strategic Studies,IISS)發布的《網路實力與國力的淨評估報告》(Cyber Capabilities and National Power: A Net Assessment)中,日本網路安全防護能力仍被評比為明顯有待加強。[6]
二、「全方位整合性防護」為主要對策
在當前政府體制調整部分,日本相當強調「全方位整合」的防護能力建構,此點適度反映在機構的整合或建立上。在2013年組織改造前,日本的網路安全相關事務由「國家安全保障會議(NSC)」、「網路安全戰略本部(CSHQ)」及「內閣官房資訊通信技術綜合戰略室(IT總和戰略本部)」主責;在2021年日本內閣改造過程中,通過了《數字改革關聯法》用以取代《IT基本法》,並成立「數位廳(デジタル庁)」取代「IT戰略本部」。在「網路安全戰略本部」下設「內閣網路安全中心(NISC)」,作為目前日本內閣中最高的統整性網路安全辦公室。
由於NSC的主要工作是針對日本重大國家安全事件進行因應,因此「網路安全戰略本部」可說是內閣中專門應處網路安全相關事務的核心專責機構,並與「數位廳」針對基本方針層面進行協調合作,及與NSC就安全層面進行緊密協調。在全方位整合性的政策上,日本強調確保「自由、公平、安全的網路空間」、「防禦、抵抗與危機偵測的感知能力」,及「國際協力合作以確保網路安全」,總體目標則在達成「全盤性的網路安全(Cybersecurity for all)」。[7]
在自衛隊方面,日本體認中國強調「多域作戰」能力,近年亦提出「太空、網路與電磁波」整合作戰能力的整備方向,建構「一體化作戰(統合作戰)」與「跨領域作戰(領域橫断)」等概念作為回應。平成31年(2019)的「中期防衛力整備計畫」中,110人的「通訊系統隊(自衛隊指揮通信システム隊)」取代了舊有的「保全監察隊」,專責網路安全工作;[8] 陸自「通訊系統團」下的「系統防護隊(システム防護隊)」也於2021年更名為「網路防護隊(サイバー防護隊)」,並密切與既有的空自「系統通訊隊(システム通信隊)」,以及海自的「系統通訊隊群(システム通信隊群)」進行合作(如表1)。
表1、自衛隊既有網路防衛部隊
|
2019 |
2022 |
統合幕僚監部 |
自衛隊指揮通信系統隊 |
預計更名為「網路防護隊」並擴編 |
陸上自衛隊 |
網路防護隊 |
預計擴編 |
海上自衛隊 |
系統通訊隊群 |
預計擴編 |
航空自衛隊 |
系統通訊隊 |
預計擴編 |
資料來源:詹祥威統整繪製。
參、趨勢研判
一、日本將持續深化與友盟之網路安全合作
由於網路「無國界」的特性,網路安全防護須透過與盟邦的加強合作才能更趨完善。基此,美國為首的西方國家就網路使用與安全上強調「自由開放」,自是相同價值的日本所欲合作之對象。日美兩國係具《安保條約》的盟邦關係,因此雙方多次強調網路領域適用美日安保第5條的範圍,[9] 確立美日將就網路安全進行更全面性的合作與情資交換。
另對2022年1月與日簽署《互惠准入協定》的澳洲,日本也多次強調將與其就網路安全、通訊系統、關鍵基礎設施、重要科技與能源等相關領域進行密切合作,兩國除了有「防衛裝備及技術轉移協定」及「情報保護協定」外,也在「日澳安保架構」下,定期舉辦網路政策磋商會議;日本也與英、法等其他工業國成員,定期召開網路協議等相關會議,以達成網路安全政策的整合。在此前提下,可預期日本未來將與更多價值相同的國家就網路安全層面進行合作。
二、「和平憲法體制」是否造成新困境仍待觀察
由於網路安全作為很難明確區分「進攻」與「防禦」,倘自衛隊無法針對網路空間敵方行動實施有效反制而長期處於被動,恐其防護效用將大打折扣。「和平憲法」整體架構基本構築在「戰力不保持」[10] 與「放棄戰爭權」,意即自衛隊並不具備對外進行「攻擊」之權力;網路行動有諸多不同手段,且難以定義屬「進攻」或「防禦」之範圍,而自衛隊之網路安全作為是否構成「戰爭權力」的連結將難以界定;另因放棄了戰爭權力,自衛隊相關行動須符合「武力行使三要件」,即其威脅行動必須符合:(1)對日本或其密切關係之國家形成武力攻擊,進而威脅日本國民生存與追求生命、自由與幸福之權力;(2)沒有其他方法可以消除此威脅;(3)相關行為應限制在最低限度。[11]
然而,在尚未針對一國的關鍵基礎設施實施打擊而被認定為「武力攻擊」以前,網路行動上仍有相當多的作為與層面會對一國形成巨大危害,例如「擾亂金融體系」或「竊取政府重要情資」等。此類行為未被認定為「武力攻擊」以前,自衛隊僅能被動彌補及防護。
另,日本外務省曾於發布之「對網路行動適用國際法的基本立場(サイバー行動に適用される国際法に関する日本政府の基本的立場)」中認為,當前網路行為應適用於某些聯合國憲章以及相關國際法,例如「網路行動不得侵犯他國主權」、「不干涉原則」(principle of non-intervention)、「武力禁止與和平解決衝突」等,但也提及在滿足「緊急避難」之情形得忽略國際法;[12] 而「緊急避難」之定義,及相對應的「反制作為」為何,仍無進一步的討論與定義,意即自衛隊若要符合上述規範,對於境外目標並不具備「主動打擊」的權力,僅能被動地使敵方攻擊「無效化」。因此,在日本政府尚未制定詳細作為規範與方針之前,可預期此困境仍將持續存在。
[1]〈日米安全保障協議委員会(日米「2+2」)(概要)〉,外務省,2022年1月7日,https://www.mofa.go.jp/mofaj/na/st/page4_005483.html 。
[2]〈中ロや北朝鮮を「脅威」認定「次期サイバーセキュリティ戦略」方針〉,《朝日新聞》,2021年9月27日,https://www.asahi.com/articles/ASP9W3Q0ZP9WUTFK005.html 。
[3]〈中国軍「61419部隊」軍人の妻、元留学生に指示か サイバー攻撃部隊〉,《產經新聞》,2021年12月28日,https://www.sankei.com/article/20211228-B2ZDLRRZNFKO5GJ4GBZOSKDHWE/?ownedutm_source=owned%2520site&ownedutm_medium=referral&ownedutm_campaign=ranking&ownedutm_content=%25E4%25B8%25AD%25E5%259B%25BD%25E8%25BB%258D%25E3%2580%258C%25EF%25BC%2596%25EF%25BC%259 。
[4]APT 為「進階持續性威脅 (Advanced Persistent Threat, APT)」,各國都會使用自己的符號代表指稱某一個團體,唯各國的符號可能不盡相同。
[5]〈国家が関与するサイバー攻撃と戦略的脅威インテリジェンスの活用〉,《リスクマネジメント最前線》,No. 4, 2021年5月18日,東京海上日動リスクコンサルティング株式会社,https://www.tokiorisk.co.jp/publication/report/riskmanagement/pdf/pdf-riskmanagement-353.pdf 。
[6]Cyber Capabilities and National Power: A Net Assessment, IISS, June 28, 2021, https://www.iiss.org/blogs/research-paper/2021/06/cyber-capabilities-national-power
[7]〈サイバーセキュリティ戦略〉,《内閣サイバーセキュリティセンター》,2021年9月28日,https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021.pdf。
[8]自衛隊通訊系統隊下原有名為「網路防護隊」的編制。通訊系統隊未來將更名為同名的「網路防護隊」,二者非同一單位,唯其內部編制是否進行組織調整或更名,或仍未有進一步的資訊。
[9]〈「サイバー攻撃は武力攻撃」安保条約適用で共同対処へ〉,NHK,2019年4月20日,https://www.nhk.or.jp/politics/articles/statement/16854.html。
[10]所謂「戰力不保持」意即不建立「軍隊」,但因後續國際情勢發展,美國要求日本建立「自衛隊」,而自衛隊是否等同於戰力此項爭議也始終未有停歇。
[11]武力行使三原則在安倍政權進行和平法制整備以放寬集體自衛權的同時,也做出了新的調整,本文前述使用為新的三要件。舊版的三要件為對於日本有不當侵害、沒有其他方法可以消除此侵害以保護國家人民、限制行動在最小必要範圍。
[12]《サイバー行動に適用される国際法に関する日本政府の基本的な立場について》,外務省,2021年6月16日,https://www.mofa.go.jp/mofaj/gaiko/page3_003059.html。