― Cyber Commander’s Handbook 2を念頭に置いた指揮幕僚教育の方向性 ―
NATO CCDCOE『Cyber Commanders’ Handbook 2』を念頭に置いた、サイバー指揮官・サイバー幕僚のあるべき姿の整理です。
なお、同ハンドブック第2版はCCDCOE加盟国向けに政府メール等で入手する扱いで、一般公開PDFとしては確認できません。そのため、ここではCCDCOEが公開している説明、公開版JP 3-12、JP 5-0、JP 2-01.3、JP 3-60等を踏まえた整理とします。CCDCOEは同ハンドブックを「多領域作戦におけるサイバー能力の理解・統合・運用を支援し、技術専門性と軍事的指揮判断の間を橋渡しする実務的手引き」と説明しています。
はじめに
サイバー作戦を考えるとき、しばしば議論は技術に寄りがちである。マルウェア、脆弱性、ゼロデイ、ログ分析、EDR、SIEM、クラウド、AI、RAG――これらはいずれも重要である。しかし、サイバー作戦を軍事作戦として成立させるためには、それだけでは不十分である。
サイバー作戦でまず問うべきことは、次の三つである。
- 指揮官は何を守れば、作戦目的を達成できるのか。
- 幕僚は何を分析し、どのように報告すれば、指揮官が決心できるのか。
- サイバーチームは、指揮官の意図と幕僚の計画に基づき、何を実行すべきか。
NATO CCDCOEの『Cyber Commanders’ Handbook 2』は、指揮官や意思決定者が、多領域作戦の中でサイバー能力を理解し、統合し、運用するための実務的手引きとして位置づけられている。[1] この趣旨を踏まえるならば、サイバー指揮官・サイバー幕僚のあるべき姿は、単なる「技術に詳しい人」ではない。サイバー空間における事象を、作戦目的、部隊機能、意思決定、リスク、効果評価に翻訳できる者である。
本稿では、サイバー指揮官とサイバー幕僚のあるべき姿を整理し、今後の教育・訓練の方向性を示す。
1 サイバー作戦は「技術対応」ではなく「作戦」である
サイバー作戦は、従来の戦術協同の単純な延長ではない。
従来の作戦では、高地、道路、橋梁、河川、港湾、飛行場などが地形として認識される。これに対し、サイバー作戦では、IdP、DNS、PKI、IXP、クラウド、海底ケーブル、衛星地上局、保守VPN、委託業者の管理端末、運用者アカウントなどが作戦上の地形となる。
また、敵の接近経路も物理的距離とは一致しない。敵は正面から来るとは限らない。第三国のクラウド、民間プロバイダ、正規アカウント、サプライチェーン、委託業者、保守経路を経由して接近する。
さらに、効果は「弾着」や「破壊」として現れるとは限らない。通信遅延、認証不能、業務アプリ停止、データ不整合、指揮官の状況把握不能、補給管理の混乱、広報上の不信など、作戦機能の劣化として現れる。
したがって、サイバー作戦を理解するためには、技術の細部から入るのではなく、「サイバー空間が作戦目的にどのような影響を与えるか」から入る必要がある。
JP 3-12は、サイバー作戦を計画し、実行し、評価するための統合ドクトリンであり、サイバーを軍事作戦の一部として扱う基礎資料である。[2] NATOのAJP-3.20も、連合作戦の文脈でサイバー作戦を計画・実行・評価するためのドクトリンとして位置づけられている。[3]
この点からも、サイバー作戦は「情報システムの防護」だけではなく、作戦目的達成のために、サイバー能力をどのように統合・同期・評価するかという問題である。
2 サイバー指揮官のあるべき姿
2.1 サイバー指揮官は、技術者の上位互換ではない
サイバー指揮官は、必ずしも最も高度な技術者である必要はない。もちろん、サイバー空間の基本構造、脅威、リスク、作戦上の制約を理解する必要はある。しかし、指揮官の本質的役割は、技術細部を自ら処理することではない。
サイバー指揮官の任務は、次のように整理できる。
サイバー指揮官とは、サイバー空間を作戦環境として把握し、作戦目的を達成するために守るべき機能、許容できるリスク、決心の閾値、効果の評価基準を定め、幕僚とサイバーチームを律する者である。
この定義において重要なのは、「何をするか」よりも先に、「何を維持すれば勝ちか」を定める点である。
2.2 勝利条件を定める
サイバー作戦における勝利は、必ずしも敵システムを破壊することではない。多くの場合、勝利条件は次のような形になる。
- 指揮統制が継続している。
- 認証基盤、通信基盤、作戦データ基盤が機能している。
- 敵のサイバー効果が、味方の作戦目的達成を妨げていない。
- 民間インフラへの波及が管理されている。
- 同盟調整、法的説明責任、広報対応が統制されている。
- 必要な場合、DCO-IDMからDCO-RAへ移行する条件が整理されている。
つまりサイバー指揮官は、「敵に何をされたら困るか」だけでなく、「味方が何を維持できれば作戦目的を達成できるか」を定義しなければならない。
2.3 サイバー緊要地形を指定する
従来の作戦において、高地、橋梁、道路結節、渡河点などが緊要地形となるように、サイバー作戦にも緊要地形がある。これを、ここではサイバー緊要地形、すなわちKT-C(Key Terrain in Cyberspace)と呼ぶ。
サイバー緊要地形の例は次のとおりである。
- IdP、認証基盤、HSM
- DNS、PKI、時刻同期基盤
- 国際通信出入口、IXP、国境ルータ
- 海底ケーブル陸揚局
- SATCOM地上局、NMS、バックホール
- クラウド管理面、APIゲートウェイ
- OT/SCADA前段ゲートウェイ
- 指揮官への状況報告系統
指揮官は、幕僚に対して「今回の作戦では、どのKT-Cを最優先で守るのか」を指定する必要がある。これがないと、サイバーチームは大量のアラート、ログ、脆弱性情報、端末情報の中で、作戦上の優先順位を見失う。
サイバー指揮官が指定すべきものは、単なる情報資産リストではない。失えば作戦目的達成に重大な影響を及ぼす機能である。
2.4 判断閾値を定める
サイバー指揮官は、報告を待つだけでは不十分である。あらかじめ、何が起きたら報告せよ、何が起きたら行動せよ、何が起きたら上級指揮官・同盟・法務へ上げよ、という閾値を定めなければならない。
例を挙げる。
- IdP認証失敗率5%超が10分継続したら黄。
- BGP異常が15分間に3回以上なら黄。
- 海底通信の二重断なら赤。
- C2可用率95%未満なら重大即報。
- 自領域内措置で収束不能、かつ帰属確度が一定以上ならDCO-RA準備。
- 民間インフラへ影響が波及する場合、法務・広報・同盟連絡を同時起動。
これらは、CCIR(Commander’s Critical Information Requirements)を具体化するものである。JP 5-0は、統合作戦計画において、目的、手段、リスクを整理し、指揮官の意思決定を支援するプロセスを示している。[4] サイバー作戦においても、指揮官が判断条件を明確にしなければ、幕僚活動は情報収集の羅列に流れてしまう。
2.5 DCO-IDM、DCO-RA、OCOの境界を管理する
サイバー指揮官は、能力があるから実施する、という判断をしてはならない。特にDCO-RAは、自領域外に及ぶ防御的応答行動を含むため、技術的可否だけではなく、法的、政治的、同盟上の統制が必要となる。
指揮官が規定すべきことは、次である。
- どこまでをDODIN Opsとして通常運用で処理するか。
- どこまでをDCO-IDMとして自領域内で対処するか。
- どの条件でDCO-RAの準備に入るか。
- DCO-RA起案に必要な帰属確度、必要性、比例性、同盟調整要件は何か。
- OCOに関する判断は、どの上級指揮・政治判断へ上げるか。
Tallinn Manual 2.0は、国家が日常的に遭遇する、武力行使や武力紛争の閾値未満のサイバー事案に関する国際法上の論点も扱っている。[5] したがって、DCO-RAを考える際には、技術的に可能かどうかだけでなく、必要性、比例性、帰属、主権、同盟調整、民間影響を含めて判断する必要がある。
2.6 幕僚活動を律する
サイバー指揮官は、幕僚に自由作文をさせてはならない。報告様式、報告周期、評価指標、命令書の形式をあらかじめ定めるべきである。
最低限、次を規定する。
- 報告は「Because → Therefore → So」で行う。
- COAは原則3案で提示する。
- すべての報告に、根拠、時刻、確度を付ける。
- MOPとMOEを分ける。
- DCO-RAには、必要性、比例性、帰属確度、同盟調整状況を必ず付ける。
- AI/RAGを使った場合、出典と人間確認者を明示する。
- 報告周期は、平時30分、黄15分、赤10分、重大即報など、事前に定める。
これにより、サイバー作戦は「専門家任せの技術対応」ではなく、指揮官が統制する作戦になる。
3 サイバー幕僚のあるべき姿
3.1 サイバー幕僚は、技術情報を作戦情報へ翻訳する
サイバー幕僚は、単なる技術説明係ではない。サイバー幕僚の本質は、技術者と指揮官の間の翻訳者である。
技術者は、次のような情報を持つ。
- ログ異常
- 認証失敗
- BGP変動
- マルウェア兆候
- 脆弱性
- 通信遅延
- クラウド管理面の異常
しかし、指揮官が知りたいのは、それ自体ではない。指揮官が知りたいのは、次である。
- 作戦目的に影響するのか。
- どのKT-Cが危険なのか。
- 何分以内に対処しなければならないのか。
- どのCOAを選ぶべきか。
- DCO-IDMで足りるのか、DCO-RA準備が必要なのか。
- 命令として何を出すべきか。
したがって、サイバー幕僚には、技術的異常を作戦上の意味に変換する能力が必要である。
3.2 作戦環境を定義できる
サイバー幕僚の最初の仕事は、作戦環境の定義である。
ここでは、AO、AOI、Cyber-AOIを分ける必要がある。
- AO:自分が統制し、直接措置できる範囲。
- AOI:作戦に影響するが、自分では統制できない外周。
- Cyber-AOI:そのうち、サイバー的に観測・分析し、場合により介入できる範囲。
サイバーAOIは、物理的な地理境界を越える。国外AS、クラウド、保守VPN、サプライチェーン、海底ケーブル、衛星地上局、民間事業者の管理面まで含み得る。
JP 2-01.3は、JIPOEを通じて作戦環境を定義し、環境の影響を評価し、脅威行動を予測する枠組みを示している。[6] サイバー幕僚は、この考え方をサイバー空間に適用し、C-JIPOEとして運用する必要がある。
3.3 PMESII-PT、OAKOC、KT-Cを結合する
優れたサイバー幕僚は、PMESII-PT、OAKOC、KT-Cを別々の表として作らない。これらをつなぎ、作戦上の閾値と行動方針へ変換する。
たとえば、次のような流れである。
- PMESII-PTで、政治、軍事、経済、社会、情報、インフラ、物理環境、時間の圧力を見る。
- OAKOCで、観測手段、接近経路、障害、緊要地形、欺騙を整理する。
- KT-Cで、失えば作戦が止まる具体ノードを指定する。
- CCIR、閾値、COA、FRAGOへ落とす。
例を挙げる。
- PMESII-PT:バルト海域で海底通信損傷が続発。電力連系の不安定化も懸念。
- OAKOC:CLS/IXPがKey Terrain、AIS異常とBGP変動がObservation、国外ASと海底経路がAvenues。
- KT-C:国際IXP、国境ルータ、SATCOMバックホール。
- CCIR:海底通信二重断か。BGP異常が15分で3回以上か。
- FRAGO:J6は経路固定、SATCOM切替、報告15分毎。
このように、分析を命令に変換する線を引くことが、サイバー幕僚の中核的能力である。
3.4 脅威アクターを作戦的に評価する
サイバー幕僚は、「APT名」や「マルウェア名」を報告するだけでは不十分である。それだけでは、指揮官は何を決めればよいのか分からない。
幕僚は、脅威アクターを次の観点で評価する。
- 目的:C2妨害か、社会混乱か、同盟不信か。
- 能力:DDoS、認証攻撃、サプライチェーン、OT妨害、影響工作。
- 接近経路:国外AS、クラウド、保守VPN、委託業者、正規アカウント。
- 狙うKT-C:IdP、DNS、IXP、SATCOM、OT前段。
- 予想行動:偵察、アクセス確立、持続化、妨害、偽情報同期。
- 重心:敵のC2、ボットネット、匿名性、政治的否認可能性。
MITRE ATT&CKは、実観測に基づく敵対者の戦術・技術の知識ベースであり、脅威モデルや方法論の基盤として活用されている。[7] ただし、教育上はATT&CKを暗記表として扱うべきではない。敵の行動を予測し、検知・遮断・欺騙・回復の阻止点を見つける補助線として使うべきである。
3.5 COAを案出・比較する
サイバー幕僚は、単一案だけを持ってきてはならない。指揮官が選択できるよう、少なくとも複数の行動方針を比較する必要がある。
典型的には、次の三案で整理できる。
- COA-A:DCO-IDMで収束を図る。
- COA-B:DCO-IDMを継続しつつ、DCO-RA準備へ移行する。
- COA-C:DCO-RAを起案する。
比較軸は、効果、時間、リスク、同盟調整、法的制約、民間影響、説明可能性である。
この比較を行うことで、指揮官は、承認、否認、保留、追加情報要求のいずれかを判断できる。
3.6 指揮官報告を作る
サイバー幕僚の最終成果物は、長大な分析資料ではない。指揮官が決心できる報告である。
基本形は、次でよい。
Because:なぜ問題か。
Therefore:どの条件で、何を達成すべきか。
So:誰が、何を、いつまでに行うか。
例を示す。
Because:海底通信遅延、BGP異常、AIS異常が同一海域で重なっており、国際通信出入口が危険化しています。
Therefore:RTT+200msが30分継続し、BGP異常が15分で3回以上発生した場合、C2可用率95%を維持しつつ、DCO-RA準備へ移行します。
So:J6は経路固定とSATCOM切替、機動チームはCLS/IXPへ集中、法務・同盟連絡はDCO-RA起案資料を準備します。
この報告ができる幕僚こそが、サイバー指揮官を支える幕僚である。
4 サイバー指揮官とサイバー幕僚の関係
サイバー指揮官とサイバー幕僚の関係は、次のように整理できる。
| 区分 | サイバー指揮官 | サイバー幕僚 |
|---|---|---|
| 目的 | 勝利条件を定める | 目的達成に必要な情報を整理する |
| 地形 | 守るべきKT-Cを指定する | KT-C候補を分析・提示する |
| 情報要求 | CCIRを決める | PIR/FFIRに分解する |
| 行動 | COAを選ぶ | COAを案出・比較する |
| 境界 | DCO-IDM/DCO-RA/OCOの線を引く | 起案条件と根拠を準備する |
| 命令 | OPORD/FRAGOを承認する | 草案を作る |
| 評価 | 効果の有無を判断する | MOP/MOEを測る |
| 責任 | リスクを受容する | リスクを説明する |
この関係が崩れると、二つの失敗が起きる。
一つは、指揮官が技術細部に沈み、作戦目的を見失うことである。
もう一つは、技術者任せになり、サイバー作戦が指揮官の統制外で進むことである。
あるべき姿は、指揮官が目的・優先順位・閾値を定め、幕僚が環境・脅威・COA・評価を整理し、サイバーチームが具体対処を実施する形である。
5 Cyber Commander’s Handbook 2的に見た「良いサイバー指揮官」
5.1 サイバーを多領域作戦の一部として扱う
良いサイバー指揮官は、サイバーを「ITの問題」として扱わない。C2、ISR、後方、情報、広報、同盟調整、民間インフラを支える作戦機能として扱う。
サイバーは、作戦の外側にある専門領域ではない。多領域作戦を成立させる基盤である。
5.2 技術と作戦の橋渡しを要求する
良い指揮官は、幕僚に対して技術詳細の羅列を求めない。次を求める。
- 何が作戦に影響しているのか。
- どの機能が失われつつあるのか。
- 何分以内に判断すべきか。
- どのCOAが最も作戦目的に合うのか。
- リスクは何か。
- 根拠の確度はどの程度か。
これが、技術専門性と軍事的意思決定の橋渡しである。
5.3 不確実性を含めてリスクを受け取る
サイバー作戦には、不確実性が残る。
- 帰属は完全でない。
- 民間影響が読みにくい。
- 敵の意図が不明確な場合がある。
- 対処が副作用を生む可能性がある。
- 同盟調整や法務確認に時間がかかる。
良い指揮官は、幕僚に「確実になったら報告せよ」とは言わない。不確実性を含む形で報告させ、リスクを受容するか、保留するか、上級に上げるかを決める。
5.4 MOPとMOEを分けて評価させる
サイバー作戦では、「やった」ことと「効いた」ことが違う。
経路固定を実施した、SSOフォールバックを有効化した、SATCOMへ切り替えた、鍵をローテーションした。これらはMOP、すなわち実行度である。
しかし、指揮官が見るべきはMOEである。
- C2可用率は維持されたか。
- 指揮官の状況把握は途切れなかったか。
- 認証失敗は低下したか。
- 敵の効果は抑制されたか。
- 民間影響は管理されたか。
良い指揮官は、MOPとMOEを分けて報告させる。
6 Cyber Commander’s Handbook 2的に見た「良いサイバー幕僚」
6.1 全体像を持つ
良いサイバー幕僚は、自分の担当作業だけを見ない。戦略基盤、作戦環境定義、環境効果分析、脅威評価、COA、命令書、リスク評価、ターゲティング、報告、実行、終結、復旧までの全体像を理解している。
幕僚が自分の作業だけを見ていると、指揮官報告は断片化する。
6.2 分析を閾値へ変換する
PMESII-PT、OAKOC、ATT&CK、COG分析は、それ自体が目的ではない。幕僚は、これらから判断閾値を作らなければならない。
例:
- BGP異常3回/15分
- IdP失敗率5%/10分
- RTT+200ms/30分
- EstLink容量500MW未満/30分
- 帰属確度0.6以上
- C2可用率95%未満
この閾値がなければ、指揮官は決心できない。
6.3 命令文に落とせる
良い幕僚の報告は、そのままFRAGOになる。
悪い報告は、「状況は複雑であり、複数の可能性があります」で終わる。
良い報告は、「この条件なら、この行動を、この責任者に命じるべきです」まで言える。
7 AI/RAG時代のサイバー指揮官・幕僚
今後、生成AIやRAGは、サイバー幕僚活動の一部を支援するようになる。
AIが支援できる領域は、次である。
- PMESII-PTの初期整理
- OSINT要約
- OAKOC表のたたき台
- 脅威アクターカードの草案
- COA短冊の草案
- 指揮官ブリーフの整形
- FRAGO段落の草案
- AARの初稿
しかし、AIは指揮官の代替ではない。AIは幕僚の代替でもない。AIは、情報整理、抜け漏れ確認、比較案作成、文書化を補助する道具である。
指揮官の決心、DCO-RA起案判断、法的判断、命令発出、証拠性を要する最終評価は、人間が行うべきである。
AI/RAGを用いる場合、サイバー指揮官は次を規定しなければならない。
- AI出力には出典を付ける。
- AI出力は人間が確認する。
- AI生成物と人間判断を区別する。
- 機微情報を外部環境へ送信しない。
- AIは結論ではなく、案・要約・比較の生成に用いる。
AI時代のサイバー指揮官に求められるのは、AIの細部技術を理解することではない。AIを、作戦意思決定の補助としてどこまで使わせ、どこから人間の責任とするかを定めることである。
8 教育上の示唆
サイバー指揮官・サイバー幕僚を育成するには、教育の順番が重要である。
第一に、技術教育から入らない。
まず、サイバー作戦が従来の戦術協同の単純な延長ではないことを教える。
第二に、サイバーを多領域作戦の一部として教える。
C2、ISR、後方、情報、民間インフラ、同盟調整と結びつけて教える。
第三に、指揮官と幕僚の役割を分ける。
指揮官は規定し、幕僚は翻訳し、チームは実行する。
第四に、成果物を固定する。
AO/AOI/Cyber-AOI図、KT-C表、CCIR表、COA比較表、FRAGO、MOP/MOE表を標準化する。
第五に、判断閾値を作らせる。
分析を「よく整理された資料」で終わらせず、報告基準・行動基準に変換する。
第六に、DCO-RAを技術論だけで扱わない。
必要性、比例性、帰属確度、同盟調整、政治判断を含めて扱う。
第七に、AI/RAGは幕僚補助として扱う。
AIは情報整理、要約、比較案作成に使う。決心、命令、法判断は人間が行う。
おわりに
Cyber Commander’s Handbook 2を念頭に置くなら、サイバー指揮官・サイバー幕僚のあるべき姿は明確である。
サイバー指揮官は、サイバー技術者の上位互換ではない。
作戦目的を達成するため、サイバー空間における勝利条件、緊要地形、判断閾値、リスク、効果評価を定める指揮官である。
サイバー幕僚は、ログや技術情報を説明する人ではない。
技術・脅威・環境情報を、指揮官の決心、COA、命令、評価へ変換する作戦幕僚である。
この二者が噛み合ったとき、サイバー作戦は「専門家任せの技術対応」から、指揮官が構想し、幕僚が支え、部隊が実行する軍事作戦になる。
脚注・参考資料
[1] NATO CCDCOE, “Cyber Commanders’ Handbook 2.” 同資料は、多領域作戦におけるサイバー能力の理解・統合・運用を支援する実務的手引きとして説明されている。なお、同資料は一般公開PDFではなく、CCDCOE加盟国等の関係者向けに提供される扱いである。
[2] Joint Chiefs of Staff, JP 3-12, Cyberspace Operations, 8 June 2018. サイバー作戦の計画、実行、評価に関する米統合ドクトリン。
[3] NATO, AJP-3.20, Allied Joint Doctrine for Cyberspace Operations, Edition A Version 1, 2020. 連合作戦におけるサイバー作戦の計画、実行、評価に関するNATOドクトリン。
[4] Joint Chiefs of Staff, JP 5-0, Joint Planning, 1 December 2020. 統合作戦計画、作戦デザイン、COA案出・比較等の基礎資料。
[5] NATO CCDCOE, Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, 2017. 平時および武力紛争下のサイバー作戦に適用される国際法に関する代表的研究。
[6] Joint Chiefs of Staff, JP 2-01.3, Joint Intelligence Preparation of the Operational Environment, 21 May 2014. 作戦環境を定義し、環境の影響と脅威行動を評価するJIPOEの基礎資料。
[7] MITRE, MITRE ATT&CK. 実観測に基づく敵対者の戦術・技術・手順に関する知識ベース。