日本防卫省网络安全现状 多军企频遭

　　本文首先从网络安全新体制和防卫省的网络安全两方面介绍了日本的网络安全现状，进而阐述美国在网络安全方面的建设，具体包括美国的网络安全组织、网络空间战略以及未来动向等，文章最后总结了日美两国在网络安全方面存在的差距并提出未来的行动方向。文章编译如下：

　　最近网络安全日益引起关注，自2014年12月以来，就发生了诸如索尼影视娱乐公司 (Sony Pictures Entertainment) 被网络、美国中央司令部Twitter和YouTube账号遭到黑客组织“Cyber Caliphate”的等多起网络安全事件。2015年2月，美国军事委员会发布《美国情报界全球评估》报告，其中将网络排在第一位并用了大量篇幅加以阐述。这表明了美国对网络的深刻危机感。奥巴马自2015年以来，也不断出台新的举措来强化网络安全。日本的安倍也十分重视网络安全，在2015年1月成立了网络安全战略本部来推进网络安全的提高。

　　本文旨在对日本防卫省与自卫队的网络安全建设现状进行讨论，并在这一基础上探讨其今后面临的问题。同时，本文还将对美国以为中心推进网络安全的政策进行分析，并由此提出了防卫省与自卫队今后有待解决的课题。考虑到日本与美国在经济规模和人口规模上差距甚大，特别是美军和日本自卫队及其各自情报机关在职责、能力和规模方面也相去甚远，可以说美国的做法未必完全适合日本。不过，美国毕竟在网络安全领域走在了全世界的前面，日本在网络安全建设上借鉴其经验和做法，必将受益良多。

　　2013年12月17日，日本内阁审议通过了首份《日本保障战略》文件，其中明确指出：“从保障的角度看，网络空间的不可或缺”。随着网络安全在保障中的重要性日益突出，日本也不断制定新的网络安全政策。比如，目前日本就致力于制定新版《网络安全战略》来取代2013年旧版战略。

　　在网络安全方面，日本各部门承担着不同的职责，如厅负责打击网络犯罪活，总务省负责制定通信与网络政策，外务省负责国际合作，经济产业省负责制定信息政策，防卫省负责在网络领域。此外，各重要基础设施的部门也各自致力于强化相关领域的网络安全，如金融厅在金融领域，总务省在信息通信和地方共同体团体领域，厚生劳动省在医疗卫生和自来水供应领域，经济产业省在电力、燃气、化学、石油、信用卡领域，国土交通省在航空、铁和物流领域等。对于各部门的网络安全活动，以前主要由NISC（内阁官房信息安全中心）进行统一管理和进行协调。 不过，此前无论是相关部门向内阁官房信息安全中心提供资料，还是内阁官房信息安全中心向相关发布通告，都缺乏法律依据，随着网络安全战略本部的设置，这些行为将被纳入法制范畴。

　　在日本内阁2013年审议通过《防卫计划大纲》中，提出在进行自卫队的体制建设时，要重视建设“应对空间和网络空间事态”的职能和能力。此外，防卫省还将网络空间定位成与陆、海、空、天相并列的“领域”，并认识到“网络空间活动的成败，与陆、海、空、天领域的成败同等重要”。

　　网络空间存在诸多特性，包括主体、手段和目标多种多样而呈现的“多样性”、源易于伪装而造成的“匿名性”和行为难以察觉而带有的“隐蔽性”等。除了这些一般特性，从军事角度看，它还具有“方处于优势地位”和“难以进行威慑”的特性。防卫省认识到由于手段易于获取和软件薄弱环节难以完全消除，在网络安全领域“方对防御方拥有压倒性优势”。并且，防卫省还认识到，在“方处于优势地位”的情况下，让主体因担心受到惩罚而放弃想法的努力难以奏效，即对网络加以威慑十分困难。由于网络空间的这一特性，自卫队在应对网络空间事态时，将面临与应对陆、海、空等传统领域事态全然不同的崭新课题。

　　在日本的网络安全政策中，防卫省为从保障的角度有效应对网络，主要致力于自卫队相关能力态势的强化工作。防卫省与自卫队在网络安全上的努力包括三方面内容：（1）强化防卫省与自卫队的能力和态势；（2）为包括民间在内的整个国家的网络安全贡献力量：（3）与包括盟国在内的国际社会展开合作。

　　防卫省2014年3月新成立的网络防卫队，便是强化网络应对能力的一个例子。网络防卫队主要担负情报收集共享、防护、技术支援、调查研究和训练等任务，同时还负责对防卫省与自卫队的网络进行和对有关事态进行处理。随着网络防卫队的新编，此前分属陆海空各自卫队的网络情报将得到汇总，并将在整个防卫省内部共享。不过，重要基础设施的安全依然由NISC（内阁网络安全中心）及其所辖的相关部门机构负责，网络防卫队无需对重要基础设施相关企业和防卫产业的内部系统网络进行防护。

　　2011年8月，日本经济新闻网站报道称三菱重工遭受网络，并确认了其关于潜艇、导弹等武器装备研制的站点已感染病毒。日本经济新闻、读卖新闻和朝日新闻也陆续报道了三菱电机、IHI（石川岛播磨重工）和川崎重工也受到同样（不过并未确认这些公司相关站点是否感染病毒）。这些案例反复表明，为确保防卫企业能够防患于未然并在遭受网络时有效应对，防卫省与防卫企业确有必要加强合作。

　　2013年7月，作为防卫省和民间企业强化合作的一大举措，防卫省成立了网络防御委员会（CDC：Cyber Defense Council）。网络防御委员会旨在提高日本防卫省和防卫企业应对网络的能力，主要任务是以防卫省为中心促进各参会企业之间的情报共享。防卫省网站发布文件称，网络防御委员会将吸收“与网络安全密切相关的10家防卫企业参加”，但并未公布具体的企业名称，文件称不公布企业名称主要出于三方面考虑：（1）有助于防卫企业顺利地与防卫省开展合作；（2）有利于营造坦诚交换意见和共享情报的态势；（3）可避免防卫企业因参加网络防御委员会而对其活动造成任何影响。

　　防卫省还与新加坡、越南、印尼、英国、爱沙尼亚、韩国等国的门和北约等组织举办与信息技术和网络有关的论坛，不断推进与国际社会的合作。在推进与美国盟友的合作方面，日美在2013年10月的“2+2”会议上一致同意强化网络空间的合作，此外在新版《日美防卫合作指针》的修订过程中，双方还再次确认“同盟背景下的空间与网络空间合作”十分重要，提出要进一步强化两国在网络空间领域的未来合作。

　　美国的网络安全政策主要由国土和负责。美国国土主要从（与国防无关的）网络和民用重要基础设施、确保国土安全的角度出发，全盘负责的网络安全事务。换言之，国土全权负责与国防无关的机关及其重要基础设施的网络安全工作，这一点与日本是不同的。

　　美国则从国防和安全角度，主要通过网络司令部负责处置与国防相关的网络安全事务。2009年12月，美国还新设网络安全官一职，以便在和国土之上对整个的网络安全政策进行协调。

　　奥巴马在2009年1月总统就职中，提出要将网络安全作为本届的优先课题，并对网络安全战略进行重新评估。奥巴马在第一任期中，也陆续制定并提出了各种网络空间相关战略和。

　　《网络空间国际战略》是美国关于网络空间的最高层次战略文件，其中提出奠定美国网络安全政策基础的重要方针。文件指出，网络防护的对象涵盖一切“恐怖、罪犯、国家及其代理人”，对网络空间的敌对行为，“与其他一样，将基于自卫权加以应对”。另外，对作为防护对象的“本国、盟国、伙伴国以及国家利益”方面，明确提出不但包括本国（美国），还包括其他的同盟国。文件还进一步指出，在应对网络的手段方面，“保留在国际法基础上使用一切必要手段（外交、情报、军事以及经济）的”，明确提出了军事可作为应对手段之一。

　　美国也以白宫《网络空间国际战略》为基础，制定发布了低一个层次的网络空间战略和政策。美国在2011年7月发表的《网络空间作战战略》中，将网络空间定为与陆、海、空、天同样重要的一大作战领域。同年11月，美国出台《网络空间政策报告》（Cyberspace Policy Report）。报告沿袭了《网络空间国际战略》的基调，称 “在网络空间存在恶意行为时，为美国、同盟国、伙伴国以及国家利益，美国总统有权采取一切必要手段加以应对”。在应对网络方面，在先前《网络空间国际战略》明确提出可以选择军事手段加以应对的基础上，《网络空间政策报告》进一步明确可采用物理能力予以应对。

　　为强化网络空间作战能力，美国成立了网络司令部并于2010年开始运行。该司令部将一直以来由美国陆、海、空以及海军陆战队负责的各军种网络部队进行整合，纳入统一管辖之下，并主要担负起防护网络的职责。

　　美国网络司令部在2014年3月大约有900人规模，并预计于2016财年大幅扩充至6200人左右。网络司令部由国家任务部队（National Mission Forces）、战斗任务部队（Combat Mission Forces）和网络防护部队（Cyber Protection Forces）三大部分构成，分别负责处置造成严重后果的网络、协助任务部队指挥官和负责网络的运用和防护。另外，如果参考网络司令部司令迈克尔·罗杰斯上将在的证言，国家任务部队所担负的“应对造成严重后果的网络”职责，实际就是在重要基础设施遭受时加以应对。

　　网络安全与情报密切相关，最明显的例子莫过于美国局（NSA）与网络司令部的密切联系，这两个机构不但处在同一，且两个部门的长官也都由一人兼任。在任务上，局与网络司令部在任务上是伙伴关系，局主要负责而在网络空间对外国的情报进行收集和分析。在局前雇员登造成泄密事件之后，美国开始考虑对局进行，并还对局局长和网络司令部司令由同一个人兼任的利弊进行了讨论。当前讨论尚在进行之中，不过现任的两部门长官罗杰斯上将在证言中表示，为加强两部门的职能，最好继续采用一人兼任两部门长官的做法。

　　强化网络安全与情报的最新举措方面，奥巴马总统于2015年2月国家情报总监詹姆斯·克拉珀，要他创建一个新的网络情报整合中心（Cyber Threat Intelligence Integration Center）。该中心不仅自身实施情报收集，还对国土、联邦调查局、、局、中央情报局等情报部门收集的网络情报进行整合，并通过确定者身份和实施相关分析，来实现对网络的快速反应。

　　2015年1月，奥巴马总统发表国情咨文，敦促尽快通过关于促进政企共享网络安全信息的法案。奥巴马2011年就提出了《网络安全信息共享法案》，法案要求以重要基础设施企业为主的相关民间企业必须向报告本企业在网络安全上采取的措施。不过该法案至今未获通过，除担心实施法案后个人信息得不到外，产业界和党还担心奥巴马借此对民间企业进行。

　　2015年2月，奥巴马总统又发布总统令，继续敦促民间企业自发设立“信息共享与分析机构”（Information Sharing and Analysis Organizations），来加强网络安全信息在与企业、企业与企业之间的共享。虽然苹果、VISA等公司对此表示支持，但为了避免股东和的，民间企业估计并不会积极地公开其遭受网络的情况，因此奥巴马力推的这个机构要想实现其目标也并不容易。

　　在2013年6月的美中首脑会谈中，网络成为主要议题之一；美中两国在随后7月首次召开了关于网络问题的工作组会议，就网络的相关问题进行讨论。2014年5月，美国司法部发布消息，称因向美国企业实施网络行为，将以产业间谍罪和盗窃商业机密罪向5名解放军网络部队军官提起诉讼。

　　美国在2105年2月发布的《战略》中，称考虑到中国民间部门或通过网络窃取用于商业目的的企业秘密，美国有必要采取措施本国企业免受侵害，对解放军军官提起诉讼大概就是这一方针的具体体现。

　　2015年1月，作为对索尼影视娱乐公司行为的报复，奥巴马总统签署命令对朝鲜、人民军及相关企业和相关人士实施金融制裁。白宫新闻秘书在2015年1月2日的发言中称，制裁的原因是该次网络给美国企业造成巨大损失，并了有关人士的。

　　前述两起案例，虽然在主体（外国）和客体（美国民间企业）上具有相同之处，但在网络的目的上，第一个案例中是为了窃取企业机密谋求商业利益，第二个朝鲜索尼影视娱乐公司的案例中，却是为了电影的公开上映。

　　2015年4月，奥巴马总统发布总统令，称美国可能对网络有关的海外个人、团体在美国的资产进行冻结。这一总统令的对象是美国法律难以触及的海外个人和团体，主要打击的是对美国安全、外交政策、经济金融稳定构成重大的网络行为，具体包括针对重要基础设施的、妨害网络使用以及窃取个人信息、金融数据、企业机密和知识产权等。美国表示，将采取外交、司法、经济、军事、情报等一切必要手段来应对当前面临的网络，而该总统令就是其手段之一。

　　从两起案例的处理情况和新总统令内容看，美国今后将针对网络的主体、客体和目的等不同情况，采取形式多样的手段加以应对。

　　目前，关于网络空间的国际规范有待确立，如何以法律手段来应对网络是国际社会面对的共同课题。联合国大会第一委员会中，关于网络安全的专家组（译注：全称是“从国际安全的角度来看信息和电信领域发展专家组”，简称GGE）提交报告书称，包括联合国宪章在内的现有国际法体系或许能够经过调整以适用于网络空间，因此参考联合国宪章认可的“可对武力行使自卫权”，国际社会“对网络空间的行使自卫权”也基本上是有共识的。

　　不过，网络的形态和性质与规模具有多样化的特点，很难界定究竟何种程度的网络发生时，被国才可以参照遭受武力的情况来行使自卫权。日本防卫省认为，网络是否达到武力程度，要根据具体的情况加以判断，不过当网络是作为武力一环而出现时，应该看作已满足行使自卫权的第一个必要条件。对于应对网络的法律如何定位，日本当前正在进行探讨。在法律定位方面需要考虑的问题有很多，本文并不打算全数展开，这里仅选取 “经由第三国服务器行使的情况下对该第三国的应对”以及“从网络空间发起”这两个问题加以探讨。

　　网络的一大特点是存在经由第三国服务器而发动的情形。对出现经由第三国实施网络时如何对待该第三国，美国提出了下列判断标准：（1）第三国是否注意到经由本国服务器发生的行为？（2）第三国在行为中是否发挥了作用，如果发挥了作用，具体而言是什么？（3）第三国是否具备有效应对恶意网络活动的能力和愿望？从这些标准看，美国似乎并未完全排除要对第三国进行反制。不过，虽然美国对网络拥有包括军事手段在内的物反击选项，但在涉及第三国时不排除军事打击选项的话，无疑会引来更加复杂的问题。

　　在从网络空间发起问题上，美国还正在对其利弊进行讨论，尚未得出任何结论。罗杰斯上将表示，此前网络司令部将重点放在强化网络防御能力和实现有效威慑上，今后有必要对增强网络能力进行探讨。在美国的2016年财年国防预算案中，明确提出了要同时强化网络空间的“防御”与“”能力。虽然网络司令部的能力有望得到强化，但网络司令部司令并没有发动的权限，只有得到总统授权后才能发起网络。

　　在应对第三国和从网络空间发起这两个问题上，从防卫省和自卫队公开的信息很难了解到其相关讨论的开展程度，但如果是尚未对这个问题进行充分讨论，那么今后就应当将其列为重要的讨论课题。与一般的相比，网络具有技术进步迅速的特点，同时还会随着技术发展而不断遇到的新的课题。因此，在网络是否满足行使自卫权的必要条件以及应对网络的手段方面，由于事先制定严密规范十分困难，因此并不适合提前定下条款。不过，对网络发生时的有所情况进行想定，并据此研究探讨相应的对策却是必不可少的步骤。

　　在预先防范网络的同时，为了能够在遭受的时候妥善应对，必须对已经成为源的国家、组织和个人的网络能力实施情报收集和分析。为有效确保网络安全，整个在强化关于网络的情报收集和分析能力的同时，还有必要对各情报机构的情报收集和分析结果进行整合与共享。

　　此外，就算不看美国在局和网络司令部无隙协作的例子，在防卫省的网络防卫队与情报机关之间展开密切协作也十分重要。网络防卫队与情报机关的协作情况，虽然从公开的信息难以推测，但如果两者之间协作不足的话，还是有必要进行强化。此外，日本不但应该在防卫省与自卫队内部开展协作，还应尽可能在相关部门和民间企业之间实现网络情报的共享。

　　正如前面谈到，重要基础设施的网络安全主要由内阁网络安全中心（NISC）及其所管的相关部门负责，防卫省的参与程度十分有限。不过，鉴于重要基础设施与保障密切相关，防卫省今后还是有必要积极参与其中。防卫省应当继续采取诸如成立网络防御委员会等措施，不断强化与防卫企业的关系，并在此基础上加强与重要基础设施企业的协作。

　　美国在2016年预算预计用55亿美元（约6600亿日元）来提高网络能力；日本防卫省在2015年预算中用于网络相关的资金只有103亿日元，相比之下，美国是日本的64倍。当然，两国在国防预算上的规模本身也存在较大差异，但从国防总预算看，美国只是日本的14倍，差距远不到64倍。因此，可以说日本在网络安全方面的预算并不十分充足。此外，美国网络司令部计划于2016年扩编至6200人，而日本的网络防卫队迄今只有不过90人，双方在人员规模上有近70倍差距。除了与美国相比存在巨大差距外，从网络对的程度上看，日本在相关预算和人员方面投入也可以说是较为欠缺。

　　在网络安全方面，预算与人员规模的不仅是以防卫省为首的各部门的问题，也是包括民间企业在内的整个日本将要面临的课题。在强化日本网络安全的过程中，比较现实的方法，大概是通过对相关部门机构的重复职能加以精简整合，并通过促进各部门机构信息共享，实现人员和资金的高效利用。此外，在信息共享和人才培养方面，与民间企业（特别是重要的基础设施企业和防卫企业）加强合作也十分重要。