デジタル責任論入門

産業用制御システム（ICS/SCADA）に対するサイバー攻撃の法的・倫理的責任：社会インフラ保護の課題

はじめに

現代社会の基盤を支える重要インフラストラクチャの多くは、産業用制御システム（Industrial Control System, ICS）や監視制御システム（Supervisory Control And Data Acquisition, SCADA）によって運用されています。電力、水道、ガス、交通、製造業といった分野で広く利用されているこれらのシステムへのサイバー攻撃は、単なるデータ漏洩やシステム停止に留まらず、社会機能の麻痺、物理的な損壊、さらには人命に関わる深刻な被害をもたらす可能性があります。このような攻撃に対して、関係者はどのような法的・倫理的な責任を負うのでしょうか。本稿では、ICS/SCADAに対するサイバー攻撃における法的・倫理的な責任の概念と、関連する法規制、国内外の議論、そして具体的な事例について詳細に考察します。

ICS/SCADAシステムの特性とサイバー攻撃リスク

ICS/SCADAシステムは、一般的に以下のような特性を持っています。

• 物理世界との接点: センサーやアクチュエーターを介して物理的なプロセスを制御しており、サイバー攻撃が直接的な物理的影響（機器の破壊、環境汚染、事故）を引き起こす可能性があります。
• リアルタイム性: プロセスの監視・制御にリアルタイム性が求められるため、システム停止や遅延が重大な結果を招くことがあります。
• レガシーシステムと長期運用: 従来のITシステムと比較してライフサイクルが長く、古いオペレーティングシステムやプロトコルが使用されている場合があります。これにより、既知の脆弱性が放置されやすい傾向があります。
• クローズドネットワーク神話: かつては外部ネットワークから物理的に隔離されていると考えられていましたが、コスト削減や効率化のためにITネットワークとの接続が進み、サイバー攻撃のリ対象が拡大しています。
• 専門性の高い技術: ICS/SCADA固有のプロトコルや技術が使用されており、セキュリティ対策やインシデント対応には高度な専門知識が必要です。

これらの特性から、ICS/SCADAシステムはサイバー攻撃に対して脆弱であり、攻撃が成功した場合の影響は計り知れません。

サイバー攻撃者に対する法的責任

ICS/SCADAシステムへのサイバー攻撃は、その標的と結果の重大性から、通常のサイバー犯罪よりもさらに重い法的責任を問われる可能性があります。

1. 刑事責任

攻撃者の行為は、以下の国内外の法令に抵触する可能性があります。

• 不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）: 正当な理由なく、他人の識別符号を使用してコンピュータにアクセスする行為、また、システム管理者になりすましてアクセスする行為等は処罰の対象となります。ICS/SCADAシステムへの不正アクセスもこれに該当し得ます。
• 刑法:
  • 電子計算機損壊等業務妨害罪（刑法第234条の2）: 他人の電子計算機（コンピュータ）または電磁的記録を損壊したり、不正な指令を与えたりして、人の業務を妨害する行為が処罰の対象となります。ICS/SCADAシステムを停止させたり誤動作させたりして電力供給や水道供給等の業務を妨害した場合、この罪が成立し得ます。その被害が国民生活に大きな影響を与える性質のものであることから、重大な結果を招いた場合の量刑は非常に重くなる可能性があります。
  • 器物損壊罪（刑法第261条）: サイバー攻撃の結果として物理的な設備や機器が損壊した場合、物理的な損壊を引き起こす意図があったかどうかにかかわらず、行為と結果の因果関係によっては器物損壊罪が成立する可能性が議論されることがあります。
  • その他の犯罪: サイバー攻撃の手段や目的に応じて、詐欺罪、恐喝罪、不正指令電磁的記録に関する罪（いわゆるコンピュータウイルス罪）などが適用される可能性も考えられます。
• 重要インフラに関する法令: 各国の重要インフラ保護法制において、そのシステムへの攻撃行為が別途規定されている場合もあります。

攻撃が国際的な性質を持つ場合、管轄権の問題や証拠収集の困難さが伴いますが、国際協力による捜査や extradition（犯罪人引渡し）の枠組みを通じて責任追及が試みられます。

2. 民事責任

攻撃者は、そのサイバー攻撃によって被害者に生じた損害について、不法行為（民法第709条）に基づき損害賠償責任を負う可能性があります。損害には、システムの復旧費用、停止期間中の逸失利益、顧客や社会への補償費用、さらには物理的損害や人身損害が含まれ得ます。しかし、攻撃者の特定が困難であること、また攻撃者に資力がないことが多いことから、民事的な責任追及は実効性の面で課題が多いのが現状です。

システム運営者・所有者の法的・倫理的責任

ICS/SCADAシステムの運営者や所有者は、システムを安全に運用し、サイバー攻撃から保護する義務を負います。この義務は、契約、法規制、そして社会的な期待に基づいています。

1. 法的責任

• セキュリティ対策義務違反:
  • 過失責任: システムの運営者は、善良な管理者として、予見可能なサイバー攻撃のリスクに対して適切なセキュリティ対策を講じる義務があります。この義務を怠り、攻撃を許してしまった結果、損害が発生した場合、過失に基づく不法行為責任を問われる可能性があります。適切な対策とは何かは、そのシステムが扱う情報の重要性、攻撃の可能性、技術水準、費用対効果などを考慮して判断されることになります。重要インフラの場合、その公益性から、より高いレベルの注意義務が課されると解される可能性があります。
  • 契約責任: システムの保守、運用、セキュリティ対策を外部業者に委託している場合、契約上の義務（例：サービスレベル契約（SLA）における稼働率保証、セキュリティ条項）違反に基づく責任が生じ得ます。委託先のサイバー攻撃による被害についても、適切な委託先選定や監督を怠ったとして、運営者自身が責任を問われる可能性があります（使用者責任等）。
• 情報漏洩等に関する法規制: ICS/SCADAシステムが個人情報や機密情報を扱う場合、個人情報保護法やその他の情報セキュリティ関連法令に基づき、適切な安全管理措置を講じる義務や、漏洩時の報告義務等が課されます。

2. 倫理的責任

法的責任とは別に、システム運営者は、社会インフラという公益性の高いシステムを担う者として、より広範な倫理的責任を負います。

• 公共の安全確保: 電力供給、水道、交通といった重要インフラの安定稼働は、国民生活の基盤です。これをサイバー攻撃から守ることは、営利目的を超えた社会的な義務であり、倫理的に重要な責任と言えます。
• 適切なリスク管理: コストや利便性を優先してセキュリティ対策を怠ることは、潜在的な被害リスクを社会に転嫁する行為であり、倫理的に問題視されるべきです。
• 透明性と情報共有: インシデント発生時において、被害状況や原因について適切に情報を公開し、関係機関や他の重要インフラ事業者と情報を共有することは、被害の拡大防止や再発防止のために倫理的に求められる行動です。
• サプライチェーンへの配慮: 自身のシステムだけでなく、サプライヤーや顧客を含むエコシステム全体のセキュリティレベル向上に協力することも、重要インフラ事業者としての倫理的責任と言えます。

関連法規制と国内外の議論・事例

国内の法規制と政策

• サイバーセキュリティ基本法: サイバー空間の安全を確保するための基本理念や国の責務等を定めています。重要インフラ事業者に対しては、主体的なサイバーセキュリティ対策を講じる努力義務を課し、政府がその取り組みを支援する枠組みを示しています。
• 重要インフラの情報セキュリティ対策に係る行動計画: 政府が重要インフラ9分野における情報セキュリティ対策の強化に向けた具体的な行動計画を策定し、各分野でガイドライン等を整備しています。ICS/SCADAシステムはこの重要インフラの中核をなしています。
• 不正競争防止法: サイバー攻撃による営業秘密侵害に対して、差止請求や損害賠償請求の根拠となり得ます。

海外の法規制と動向

各国でICS/SCADAシステムを含む重要インフラのサイバーセキュリティ規制が強化されています。

• 米国: NIST Cybersecurity Framework（CSF）が広く参照されており、特定の分野（電力等）では連邦規制（例: NERC CIP基準）が存在します。Colonial Pipeline事件等を経て、重要インフラ事業者への規制がさらに強化される動きがあります。
• EU: NIS指令（Network and Information Systems Directive）が、デジタルサービス提供者及び重要インフラ事業者にセキュリティ対策義務やインシデント報告義務を課しています。NIS2指令では対象範囲が拡大・強化されています。
• ドイツ: IT-Sicherheitsgesetz（ITセキュリティ法）において、重要インフラ事業者に厳しいセキュリティ要件や報告義務を課しています。

主要な事例

• Stuxnet（2010年頃）： イランの核施設を標的としたマルウェア。シーメンス社製ICS/SCADAシステムを制御するPLC（Programmable Logic Controller）を破壊的に制御し、遠心分離機に物理的な損害を与えました。この事例は、サイバー攻撃が物理的な世界に甚大な影響を与える可能性を明確に示し、国家主体の攻撃（サイバー戦）における法的・倫理的論点（武力行使の定義、国際人道法との関係）を提起しました。
• Ukraine Power Grid Attacks（2015年, 2016年）： ウクライナの電力システムを標的とした攻撃。電力供給を停止させ、多数の住民に影響を与えました。重要インフラを標的とした攻撃の典型例であり、国家の関与が疑われています。これにより、国家レベルでの重要インフラ防護の重要性が再認識されました。
• Triton（2017年）： サウジアラビアの石油化学プラントを標的としたマルウェア。安全計装システム（SIS）を狙った攻撃であり、物理的な安全機能の無効化を試みました。これは、単なる業務妨害を超え、意図的に物理的な破壊や人命に関わる事故を引き起こそうとするサイバー攻撃の危険性を示しています。
• Colonial Pipeline Attack（2021年）： 米国の主要な石油パイプライン事業者がランサムウェア攻撃を受け、操業停止に追い込まれました。ICSシステム自体への直接的な攻撃ではなかったものの、企業ネットワークへの攻撃がOTネットワークの停止を引き起こし、広範な経済的影響をもたらしました。重要インフラにおけるITとOTの連携リスク、サプライチェーンリスク、そして身代金支払いという倫理的ジレンマが浮き彫りとなりました。

これらの事例は、ICS/SCADAシステムへのサイバー攻撃がもたらす潜在的な影響の大きさと、それに対する法的・倫理的な対応の複雑性を示しています。

今後の展望と課題

ICS/SCADAシステムは、IoT技術やAIの導入により、さらに高度化・複雑化が進むと予想されます。これにより、新たな脆弱性や攻撃手法が登場する可能性があります。また、重要インフラの相互依存性が高まるにつれて、単一のシステムへの攻撃が連鎖的な被害を引き起こすリスクも増大します。

このような状況において、法的・倫理的な責任の議論はより重要になります。攻撃者に対する実効的な責任追及メカニズムの構築、システム運営者に対する適切なセキュリティ対策基準の明確化と実施状況の評価、そしてサプライチェーン全体でのリスク管理の強化が課題となります。また、国家間のサイバー攻撃に対しては、国際法（特に武力行使禁止原則、国際人道法）の解釈適用や、国際的な規範・信頼醸成措置の議論が引き続き重要です。

倫理的な側面では、技術開発者、システム導入・運用者、セキュリティ専門家といった多様なアクターが、社会への影響を考慮した責任ある行動をとるための倫理規範の整備や教育も不可欠です。

結論

ICS/SCADAシステムに対するサイバー攻撃は、その影響の甚大さから、従来のサイバー行為とは異なる重い法的・倫理的責任を伴います。攻撃者は刑事罰を含む厳しい法的責任を問われるべきですが、その特定と追及には国際的な協力が不可欠です。一方、システムの運営者・所有者は、過失に基づく法的責任に加え、社会インフラの担い手として高い倫理的責任を負っており、予見可能なリスクに対して適切なセキュリティ対策を講じる義務があります。

これらの課題に対処するためには、法規制の整備・強化、国際的な連携、そして技術的対策に加え、システム運営者を含む関係者全体の倫理的意識の向上と責任ある行動が求められます。ICS/SCADAシステムの安全性確保は、法学、倫理学、情報技術が交差する学際的な課題であり、今後も継続的な研究と議論が必要です。