簡析日本《主動式網路防禦法案》意涵
2025.06.20
瀏覽數
1123
壹、前言
繼日本眾議院於4月8日通過《主動式網路防禦(能動的サイバー防御)法案》(Active Cyber Defense Law, ACD),日本參議院於5月16日投票通過,旨在提升日本應對網路威脅的能力,標誌日本資安政策的重大轉變。法案包含三大核心機制,[1]包括:一、加強日本公、私部門合作,建立官民資訊共享體系,實現早期警戒;二、政府可蒐集過濾跨境通訊中的元資料(如IP、連線時間等),對網路通訊進行必要監控;三、當偵測到具有攻擊性質的海外伺服器時,滲透與阻斷發動攻擊方伺服器,以防止攻擊擴大。該法預計於2027年底全面施行,現階段由數位廳、警察廳與自衛隊共同推進制度與人力整備。[2]
貳、安全意涵
一、網路攻擊有關通信數量達歷史最高點
根據日本總務省發布2024年版《資訊與通信白皮書》,過去3年(2021年-2023年)遭受網路攻擊之日本企業組織的平均累積損失金額約為1.2528 億日圓(約2,600多萬新台幣)。[3]另外,日本總務省旗下「情報通信研究機構」(National Institute of Information and Communications Technology, NICT)公佈的《NICTER觀測報告2024》指出,[4]總觀測封包數從2015年約631.6億升至2024年約6,862億,增幅逾10倍,顯示網路攻擊活動愈發頻繁,觀測的IP位址數量雖大多維持在27萬至30萬之間,但每個IP被攻擊的頻率卻從2015年約24萬封包數大幅增加至2024年約243萬封包數(如表1)。由於約60.2%的攻擊通訊被判定為來自國外IP或境外控制伺服器的掃描活動(scanning activity),顯示惡意攻擊者或駭客以類似於軍事上的「偵察」或「探路」,不斷尋找日本境內個人、企業與政府單位等,作為攻擊目標和漏洞的前置準備階段,凸顯日本面對的網路攻擊威脅不斷加劇,因此《主動式網路防禦法案》強化監控範圍包含「外國經由日本」、「外國對日本」、「日本對外國」等通訊,旨在防禦來自外部的網路攻擊,遏止逐年加重的網路安全風險與壓力。
表1、年間總觀測封包數統計(2015年–2024年)
|
年份 |
年間總觀測封包數 |
觀測IP位址數 |
每個IP平均觀測封包數 |
|
2015 |
約631.6億 |
270,973 |
245,540 |
|
2016 |
約1,440億 |
274,872 |
527,888 |
|
2017 |
約1,559億 |
253,086 |
578,750 |
|
2018 |
約2,169億 |
273,292 |
806,877 |
|
2019 |
約3,960億 |
309,769 |
1,278,331 |
|
2020 |
約5,705億 |
307,985 |
1,849,817 |
|
2021 |
約5,180億 |
296,899 |
1,747,685 |
|
2022 |
約5,226億 |
288,042 |
1,833,012 |
|
2023 |
約6,197億 |
289,663 |
2,126,130 |
|
2024 |
約6,862億 |
284,445 |
2,427,977 |
資料來源:〈NICTER観測レポート2024の公開〉,《国立研究開発法人情報通信研究機構》,2025年2月13日,https://www.nict.go.jp/press/2025/02/13-1.html。
二、確立「主動出擊」的法源依據
不同於傳統式的「被動網路防禦」(Passive Cyber Defense)採取包括設置防火牆、在網路中進行防病毒和監控、掃描以消除惡意軟體及修補以解決安全設備中的漏洞,側重監控應變而非出擊。日本此次通過有關「主動網路防禦」(Active Cyber Defense)法案,即不同於以往在遭受攻擊後才進行處置,而是在偵測到可能有高風險會受到攻擊時,就先侵入攻擊源頭制止可能發生的網路攻擊,頗具有「嚇阻性」效果。「主動網路防禦」可被描述為游擊戰,通過瞭解敵人的攻擊階段、在沿途空隙中等待、切斷補給線、攻擊敵人弱點及破壞敵人攻擊來保護自己,[5]主要關注點是如何摧毀網路攻擊者的攻擊作為。
此法的通過意味正式賦予日本警方或自衛隊,為摧毀威脅來源之任務提供法源依據,可預先侵入攻擊源頭的伺服器,進行技術性侵入與程式無害化(Neutralization)處置,以保護電力、金融、醫療、政府機構系統等關鍵基礎設施。加上後續輔以修訂《自衛隊法》與《警察官職務執行法》,當日本遭到「高度組織化且具計劃性的網路攻擊」,首相可命令自衛隊實施「通信防護措施」,[6]均凸顯日本從過去受限於和平憲法和嚴格隱私法的被動防禦,打破現行「只能事後應對」的侷限,轉向更加積極的「先發制人」策略,增加數位防禦韌性,以在數位化戰場獲得優勢保護國家安全。
參、趨勢研判
一、持續擴充網路資安作戰人才力量
日本政府在2022年底修訂的「安保三文件」(《國家安全保障戰略》、《國家防衛戰略》、《防衛力整備計畫》)明確表示,將網路安全領域應對能力提高到至少相當於歐美主要國家的水準,預估至2027年以前,網路領域的專門部隊人數擴增為約4,000人。截至2023年5月,日本自衛隊網路專業部隊的人員規模從1,340人擴大至約2,230人,[7]然與中國(約3萬人)、北韓(約6,800人)和美國(約6,200人)等其他國家相比,日本網路部隊人數仍有進步空間。《主動式網路防禦法案》中,防禦者有必要進行反攻擊網路行動,上述措施實施需要大量具有安全許可、瞭解國家安全、具備高階技術能力的資安專業人才,當前的傳統網路技術教育或不足以應付,因此亟須培訓一定數量工作人員根據網路技術的變化來規劃網路行動。然根據日本經濟產業省(METI)發布的《IT人才供需狀況調查報告書》預測顯示,至2030年日本IT人才缺口將達79萬人,[8]除了顯示日本政府與企業爭奪IT人才將日益激烈,亦對於該法案後續的有效推行構成挑戰,因此從官方、民間雙管齊下擴大政府的網路安全人才培養儲備恐是當務之急。
二、強化政府網路安全治理體系改革
結合日本內閣於2月7日通過的《重要電子計算機不正行為防止法案(重要電子計算機に対する不正な行為による被害の防止に関する法律案)》與此次通過的《主動式網路防禦法案》內容,日本擴大「網路安全戰略本部(サイバーセキュリティ戦略本部)」權限,改組為由首相領導、所有內閣大臣為正式成員,均在刻意強化中央指揮決策體系,目的在於能夠統籌全國資源,實現快速且跨部門決策應對。另外,修正《內閣法》增設官職,設立「內閣網路安全長(內閣サイバー官)」對應歐美類似的國家級資安總指揮,反映日本對於日益嚴峻的網路威脅重視,並希望透過專責且具備高階決策權限的官員來提升資安事件應處能力。此項法案的組織體制改革,使日本首次建立以首相為核心、橫跨內閣與軍警情報機構的國家級網路防禦體系,並藉由獨立監察機構與民間參與,顯示未來建立由內閣主導的跨部會情報整合與分享平台,並整合來自警察廳、自衛隊、情報機關、關鍵基礎設施業者的資安情報;加上設立由民間專家(白帽駭客、學者、資安業界專家)組成的諮詢會議,朝向鏈結公私部門,有助確保「即時偵測、迅速應變」政策的一致性與有效性。
三、人權與隱私權的考量成為爭議焦點
法案雖強調係針對監控國際通訊,「允許政府常態性監控經由日本的國際通訊,包括從國外傳入日本、從日本傳出國外,以及外國經由日本的通訊」,代表只要網路流量涉及日本(無論源頭或目的地),都可能在監控與干預的範圍內,因此亦在日本引發對通信自由與隱私權的爭議與輿論效應。為回應外界的擔憂,日本仿照美國《外國情報監察法》(Foreign Intelligence Surveillance Act)監督法院或歐盟資料保護機構的模式,設立「網路通信資訊監理委員會(サイバー通信情報監理委員会)」(Cyber Communication Information Oversight Committee)作為獨立監督機構,功能包括審核政府蒐集通信資訊是否合憲,檢查警方或自衛隊之無害化行動合法性,並定期發布審查報告等,向國民確保政府的監控與防禦措施合法及不濫用權力。鑒於法案在強化國家網路安全的同時,也引發對國際通信自由的影響及人權與隱私權的重大關切,如何在保障國家安全與維護公民自由之間取得平衡,將是日本未來政策的實施關鍵。
[1] 〈「能動的サイバー防御」関連法案、参院内閣委員会を通過…あす成立の見通し〉,《讀賣新聞》,2025年5月15日,https://www.yomiuri.co.jp/politics/20250515-OYT1T50171/。
[2] 〈能動的サイバー防御法が成立 政府が情報収集、攻撃サーバー無害化〉,《朝日新聞》,2025年5月16日,https://www.asahi.com/articles/AST5J0CZGT5JUTFK01HM.html。
[3] 〈2024年資訊與通訊白皮書〉,《總務省》, https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/html/nd21a220.html。
[4] 惡意程式、駭客攻擊會透過封包來入侵、掃描漏洞、竊取資料,因此日本「情報通信研究機構」(NICT)長期「監控封包」來提前預警大型攻擊(如DDoS、APT)網路攻擊事件發生,並掌握惡意行為趨勢與手法變化,以提供情報給政府、企業部署防禦策略。〈NICTER観測レポート2024の公開〉,《国立研究開発法人情報通信研究機構》,2025年2月13日,https://www.nict.go.jp/press/2025/02/13-1.html。
[5] 大澤淳,〈能動的サイバー防御関連法案が成立へ――新領域横断安全保障の実現に向けて〉,《笹川平和財団》,2024年4月15日,https://www.spf.org/iina/articles/osawa_07.html。
[6] 〈能動的サイバー防御」法案 警察が攻撃元のサーバーにアクセス“無害化”を可能に〉,《日テレNEWS NNN》,2025年1月16日,https://news.ntv.co.jp/category/politics/9ca289baa4d44a898637bdba6c44ecf7。
[7] 〈<独自>自衛隊サイバー部隊 年度内に人員2・5倍に〉,《産経新聞社》,2023年5月3日,https://www.sankei.com/article/20230503-VPG3D45LAZOPRO2OA5PBSNVBM4/。
[8] 〈- IT 人材需給に関する調査 - 調査報告書〉,《経済産業省》,2019年3月1日,https://www.meti.go.jp/policy/it_policy/jinzai/houkokusyo.pdf。