MENU

サイバー作戦環境分析を中心としたキャンペーンプラン

  1. ホーム
  2. Cyber/ElectroMagnetic/Intelligence/Cognitive Operations
  3. サイバー作戦環境分析を中心としたキャンペーンプラン

― エストニア正面における複合危機対応演習を題材として ―

目次

はじめに

サイバー作戦環境分析とは、単にサイバー攻撃の兆候を集めることではない。
また、ネットワーク構成図、脆弱性一覧、ログ分析結果を並べるだけの作業でもない。

本来のサイバー作戦環境分析とは、作戦環境を読み、指揮官の決心に必要な情報へ変換し、兵力配置・命令・効果評価へ反映する幕僚活動である。

特に、現代の作戦環境では、サイバー、宇宙、電磁波、情報、陸海空、民間インフラ、国際法、同盟調整が相互に結びついている。サイバー作戦環境分析は、サイバーセルだけで完結するものではなく、MDO(Multi-Domain Operations)やCDO(Cross-Domain Operations)の中で、他の幕僚機能と連接して初めて意味を持つ。

本稿では、エストニア正面における複合危機対応演習を題材に、サイバー作戦環境分析を中心としたキャンペーンプランを整理する。仮想敵は、実在国名を避け、ここでは**北東連邦(NEF:North-East Federation)**と呼ぶことにする。

1 キャンペーンの基本設定

1.1 演習名

Exercise BALTIC SHIELD-CYBER

1.2 仮想敵

北東連邦(NEF)

NEFは、エストニア周辺において、軍事的圧力、海上グレーゾーン行動、サイバー攻撃、偽情報、民間インフラ攪乱を組み合わせ、NATO側の意思決定を遅延させることを企図している。

NEFの狙いは、いきなり全面侵攻することではない。
まずは、相手の指揮統制を低下させ、国民不安を拡大し、重要インフラの機能を揺さぶり、同盟の意思決定を遅らせることである。

1.3 NEFの作戦目的

NEFは、次のような効果を狙う。

  1. エストニア政府・軍のC2を低下させる。
  2. 国民の政府・同盟への信頼を低下させる。
  3. 電力・通信・行政サービスに不安を生じさせる。
  4. NATO増援の初動を遅延させる。
  5. 危機発生時に「誰がやったか」を曖昧にし、同盟の合意形成を遅らせる。

1.4 味方の戦略目的

味方の目的は、NEFの侵攻を「撃破」する以前に、侵攻に至る条件を成立させないことである。

そのためには、次の状態を維持する必要がある。

  • C2を維持する。
  • 政府・軍・同盟の状況認識を維持する。
  • 重要インフラの機能低下を作戦上許容範囲内に抑える。
  • DCO-IDMで収束可能な事案を確実に収束させる。
  • DCO-RAが必要な場合、法的・同盟上説明可能な根拠を整える。
  • NEFに「短期間で混乱を作り出すことは困難」と認識させる。

このキャンペーンの本質は、敵をサイバー空間で撃破することだけではない。
敵が侵攻を成功させるために必要な前提条件を崩すことである。

2 サイバー作戦環境分析の目的

サイバー作戦環境分析の目的は、大きく五つに整理できる。

2.1 指揮官の意思決定を早める

指揮官は、ログの細部や個別アラートを知りたいわけではない。
指揮官が知りたいのは、次のようなことである。

  • 作戦目的に影響があるのか。
  • 何を守ればよいのか。
  • どの条件で報告を上げるべきか。
  • どの行動方針を採るべきか。
  • DCO-IDMで足りるのか。
  • DCO-RA準備が必要なのか。
  • 同盟・法務・広報をいつ起動するのか。

したがって、サイバー作戦環境分析の最終成果は、単なる状況説明ではない。
指揮官が決心できる情報要求と判断閾値である。

2.2 兵力配置を合理化する

サイバー部隊は常に不足する。すべてを守ることはできない。

したがって、作戦環境分析により、どのサイバー緊要地形に、どのチームを、いつ、どの程度集中するかを決める必要がある。

エストニア正面で優先すべきサイバー緊要地形は、少なくとも次のとおりである。

  1. 政府・軍C2基盤
  2. IdP、eID、認証・HSM
  3. X-Road中核・政府データ交換基盤
  4. 国際通信出入口、IXP、国境ルータ
  5. 海底ケーブル陸揚局
  6. EstLink等の電力連系・TSO前段
  7. SATCOM地上局・バックホール
  8. 情報発信・広報基盤

重要なのは、「守るべきシステム」を列挙することではない。
失えば作戦目的が崩れる機能を特定することである。

2.3 MDO/CDOに接続する

サイバー作戦環境分析は、サイバーセル内で閉じてはならない。

たとえば、海底ケーブル損傷は、サイバーだけでは評価できない。
海上監視、AIS、海軍、沿岸警備、通信事業者、外交、法務、広報と連携しなければ、事案の意味も、対処の可否も、外部への説明も成立しない。

また、SATCOMの品質低下は、宇宙・電磁波セルとの連携なしには判断できない。
偽情報拡散は、OIEや広報セルと連接しなければ、敵の認知戦効果を抑制できない。

つまり、サイバー作戦環境分析とは、サイバーを入口として、他領域の作戦判断へ接続する作業である。

2.4 DCO-RA判断の根拠を整える

DCO-RAは、技術的に可能かどうかだけで判断してはならない。
特に、自領域外に及ぶ防御的応答行動を検討する場合には、少なくとも次の要素が必要となる。

  • 影響の重大性
  • 国内措置で収束不能であること
  • 自領域外要因との相関
  • 帰属確度
  • 必要性
  • 比例性
  • 同盟調整
  • 民間被害管理
  • 事後説明可能性

DCO-RAは、サイバー技術者の判断だけで起案すべきものではない。
法務、同盟、政策、作戦、情報、広報を含めた統制の下で準備すべきである。

2.5 キャンペーン全体を更新する

作戦環境は固定ではない。

新たなDDoS情報、BGP異常、通信遅延、海底ケーブル損傷、電力容量低下、SNS上の偽情報拡散、同盟国での同時事案、敵軍の展開情報などにより、分析は逐次修正される。

サイバー作戦環境分析は、X-day前に一度作って終わるものではない。
X-dayに向けて更新され続けるキャンペーン機能である。

3 分析結果の反映先

サイバー作戦環境分析は、どこに反映されるのか。
主な反映先は、次のとおりである。

3.1 指揮官企図

分析結果は、指揮官企図の具体化に用いられる。

たとえば、本キャンペーンにおける指揮官企図は、次のように整理できる。

NEFによる複合的攪乱を受けても、エストニア政府・軍のC2、同盟連接、国民向け説明機能を維持し、NEFに短期侵攻の成功見込みを与えない。

この企図を実現するため、幕僚は次を明らかにしなければならない。

  • 何を維持すれば作戦目的を達成できるか。
  • どの機能を絶対に失ってはならないか。
  • どの時点で態勢移行するか。
  • DCO-IDMからDCO-RA準備へ移る条件は何か。
  • 民間被害と同盟調整をどう管理するか。

3.2 CCIR / PIR / FFIR

分析結果は、情報要求へ変換される。

例を示す。

CCIR

  • 海底通信二重断が発生したか。
  • EstLink容量が一定時間、大幅低下したか。
  • C2可用率が95%未満となったか。
  • DCO-IDMで収束不能となったか。
  • DCO-RA準備に必要な帰属確度に達したか。

PIR

  • NEF関連アクターが同一TTPで複数KT-Cを狙っているか。
  • 攻撃元AS、インフラ、偽情報発信が連動しているか。
  • 敵軍の展開とサイバー事案が同期しているか。

FFIR

  • 味方C2は維持されているか。
  • SATCOM、地上回線、5G、HF等のPACEは有効か。
  • サイバーチームの疲労・交代・継続性は管理できているか。
  • 法務・同盟調整は起動できているか。

3.3 WARNORD / OPORD / FRAGO

分析結果は、命令に反映されなければならない。

  • WARNORD:X-day前の警戒・準備命令
  • OPORD:キャンペーン全体の作戦命令
  • FRAGO:Hot情報を受けた即時修正命令

分析で終わる資料は、作戦を動かさない。
分析は、必ず命令へ変換する必要がある。

3.4 兵力配置

分析結果は、サイバーチームの再配置に反映される。

たとえば、CLS/IXPに異常が集中しているなら、外部経路監視と経路固定を強化する。
IdP失敗率が上昇しているなら、認証基盤防護とSSOフォールバックにチームを寄せる。
EstLink容量低下と偽情報が同期しているなら、電力セル、OIE、広報、法務を同時に起動する。

3.5 MOP / MOE

分析結果は、効果測定にも反映される。

MOPの例

  • 経路固定を実施したか。
  • SSOフォールバックを発動したか。
  • SATCOM切替を完了したか。
  • RPKIを強制したか。
  • 監視周期を短縮したか。

MOEの例

  • C2可用率が維持されたか。
  • 認証失敗率が低下したか。
  • 国際通信遅延が許容範囲に戻ったか。
  • 偽情報拡散速度が低下したか。
  • 敵の効果が作戦目的を妨げなかったか。

「やったか」と「効いたか」は分けて評価しなければならない。

4 平素からの準備

サイバー作戦環境分析は、危機が始まってから作るものではない。
平素から準備すべきものがある。

4.1 静的基盤データ

平素から整備すべき静的データは、次のとおりである。

  • 国家戦略、サイバー戦略
  • 国力・社会インフラ
  • 同盟関係、条約、法制度
  • 通信・電力・金融・行政サービスの依存関係
  • 重要事業者一覧
  • KT-C候補リスト
  • X-Road、eID、データセンター、衛星通信、海底ケーブル等の機能マップ

静的基盤データは、いわば「戦うための地図」である。
これがなければ、Hot情報が入っても、それが本当に危険なのか、単なる雑音なのか判断できない。

4.2 動的情報パイプライン

動的情報として監視すべきものは、次のとおりである。

  • 政府・CSIRT公開情報
  • OSINT
  • 通信事業者障害情報
  • BGP、RTT、IXP遅延
  • AIS、海上交通、気象
  • 電力容量、市場価格、TSO速報
  • SNS・偽情報トレンド
  • 同盟国での同時事案
  • 民間クラウド障害

重要なのは、これらを「情報」として集めるだけでなく、PMESII-PT、OAKOC、KT-Cへ反映できる形に整えることである。

4.3 テンプレート

平素から以下のテンプレートを準備する。

  • AO/AOI/Cyber-AOI図
  • PMESII-PT分析票
  • OAKOC分析票
  • KT-C台帳
  • 脅威アクターカード
  • CCIR/PIR/FFIR表
  • COA比較表
  • FRAGO雛形
  • DCO-RA判断票
  • MOP/MOE表
  • AAR様式

テンプレートは、幕僚の思考を縛るためではない。
短時間で、同じ粒度の成果物を出すために必要である。

4.4 関係セルとの連接

平素から、以下のセルとの連接要領を確立しておく。

  • J2:脅威、敵情、OSINT、帰属補助
  • J3:作戦全体、FRAGO、態勢移行
  • J5:キャンペーン設計、COA、将来作戦
  • J6:通信、ネットワーク、SATCOM、C2基盤
  • EW/宇宙セル:通信品質、PNT、SATCOM、電磁波影響
  • OIE/広報セル:偽情報、認知影響、国民・同盟向け説明
  • 法務:DCO-RA、国際法、主権、比例性、必要性
  • 民間連絡:通信、電力、クラウド、金融、交通
  • 同盟連絡:NATO、JEF、米英支援、CCDCOE知見

サイバーセルは、単独で勝てない。
他セルと連接して初めて、作戦環境分析は作戦効果へ変換される。

5 X-dayから遡って行うべきこと

作戦環境分析は、X-dayから逆算して準備する。

5.1 X-180〜X-90:基礎設計段階

目的は、平素から戦うための地図を作ることである。

実施事項

  • エストニア正面の静的OEを確定する。
  • KT-C台帳を作成する。
  • AO/AOI/Cyber-AOIを定義する。
  • 民間重要インフラとの連絡線を確認する。
  • 法務・同盟調整フローを整備する。
  • OSINT/RAG収集基盤を整備する。
  • サイバー幕僚教育を開始する。

アウトプット

  • Cyber OE Baseline
  • KT-C Master List
  • Initial CCIR
  • DCO-RA Legal Trigger Matrix

5.2 X-90〜X-30:警戒設計段階

目的は、NEFの事前行動を検出することである。

実施事項

  • NEF系アクターのTTPを更新する。
  • MITRE ATT&CK等により阻止点を整理する。
  • DDoS、認証攻撃、偽情報、海底インフラ事案の関連を監視する。
  • 海上セルとAIS監視を連接する。
  • 電力セルとEstLink容量監視を連接する。
  • OIEセルと偽情報監視を連接する。
  • サイバーチームの48時間ローテーション案を作成する。

アウトプット

  • Threat Actor Model
  • MITRE/TTP Matrix
  • NAI/TAI Update
  • 48h Cyber Team Roster

5.3 X-30〜X-7:危機前段階

目的は、平時監視から危機監視へ移行することである。

実施事項

  • CCIRを更新する。
  • 警戒レベル黄の基準を設定する。
  • WARNORDを発出する。
  • 重要KT-Cの監視を強化する。
  • 民間事業者との連絡訓練を行う。
  • 米英リモート支援との接続を確認する。
  • 国内ホワイトハットチームとの手順を確認する。
  • AI/RAG出力の人間確認要領を徹底する。

アウトプット

  • WARNORD
  • Updated CCIR/PIR/FFIR
  • Cyber Watch Dashboard
  • Liaison Matrix

5.4 X-7〜X-1:移行準備段階

目的は、オペレーション状態へ直ちに移行できる状態を作ることである。

実施事項

  • 監視周期を短縮する。
  • KT-Cごとに担当チームを事前割当する。
  • SSOフォールバック、経路固定、SATCOM切替手順を確認する。
  • 法務・同盟・広報セルを即応待機させる。
  • DCO-RA起案資料を事前様式化する。
  • 指揮官ブリーフ様式を固定する。

アウトプット

  • Transition Checklist
  • Initial FRAGO Draft
  • DCO-RA Pre-brief
  • Commander’s Decision Support Sheet

5.5 X-day:オペレーション状態への移行

移行条件の例は、次のとおりである。

  • DDoSが複数政府機関へ同時発生
  • IdP失敗率が閾値超過
  • BGP異常が複数経路で発生
  • 海底通信遅延とAIS異常が同期
  • EstLink容量低下と偽情報拡散が同期
  • NEF軍事行動の兆候とサイバー事案が重なる

移行時の措置は、次のとおりである。

  • Cyber Ops Cellを24時間運用へ移行
  • サイバーチームをKT-Cへ再配置
  • 30分、15分、10分報告態勢へ移行
  • 当面作戦セルと将来作戦セルを分離
  • OIE、法務、同盟連絡を常設接続
  • FRAGO発出
  • MOP/MOE測定開始

6 Hot情報による分析修正

Hot情報とは、作戦環境分析の仮説を変更し得る新情報である。

6.1 Hot情報の例

  • 新たな政府・CSIRT警告
  • DDoSグループの標的変更
  • BGP異常
  • 海底ケーブル障害
  • AIS異常
  • 電力容量低下
  • SNS偽情報の急拡散
  • 同盟国での同時事案
  • 民間クラウド障害
  • NEF軍の演習・展開

6.2 修正手順

Hot情報が入ったら、次の順で修正する。

  1. 情報源、時刻、確度を確認する。
  2. PMESII-PTのどの要素に影響するかを分類する。
  3. OAKOCのObservation、Avenues、Key Terrainへ反映する。
  4. KT-Cの優先順位を更新する。
  5. CCIR/PIR/FFIRを更新する。
  6. COA比較を更新する。
  7. 必要ならFRAGOを発出する。
  8. MOP/MOEを再設定する。

6.3 修正例

Hot情報として、EstLink容量が急低下し、同時に政府機関へのDDoSが増加したとする。SNSでは「政府は電力危機を隠している」とする偽情報が拡散している。

この場合、修正は次のようになる。

  • PMESII-PT:Infrastructure、Information、Socialが悪化
  • OAKOC:EstLink/TSO前段をKT-C優先Aへ
  • CCIR:容量低下継続時間、偽情報拡散速度、C2可用率を追加
  • COA:DCO-IDM集中から、DCO-RA準備を含むCOA-Bへ変更
  • OIE:広報セルを常設化
  • 法務:外域要因の証拠整理を開始

Hot情報は、単なる速報ではない。
分析仮説を修正し、指揮官の決心条件を変える可能性のある情報である。

7 分析結果に基づく兵力再配置

演習上、使用可能なサイバー対処戦力を以下とする。

  • 自隊サイバーチーム:5個
  • 米英リモート支援チーム:2個
  • 国内ホワイトハット協力チーム:2個
  • 合計:9個チーム

各チームは、48時間任務に就く場合、最低8時間の休息を必要とする。

7.1 平時配置

平時配置の一例は、次のとおりである。

  • Team 1:政府C2/IdP
  • Team 2:CLS/IXP
  • Team 3:EstLink/TSO前段
  • Team 4:SATCOM GW
  • Team 5:機動予備
  • US/UK 1:BGP/外部経路監視
  • US/UK 2:脅威ハント支援
  • WH 1:欺騙環境
  • WH 2:自動化・可視化

7.2 黄状態

黄状態では、機動予備を最も危険化したKT-Cへ移動する。

例を示す。

  • BGP異常+RTT上昇:Team 5をCLS/IXPへ
  • IdP失敗率上昇:Team 5をIdPへ
  • SATCOM品質低下:Team 5をSATCOMへ
  • EstLink容量低下:Team 5をTSO前段へ

7.3 赤状態

赤状態では、優先KT-Cへ二重配置する。

優先順位は、次のとおりである。

  1. C2/IdP
  2. CLS/IXP
  3. EstLink/TSO
  4. SATCOM GW
  5. OIE/広報基盤

7.4 48時間ローテーション

基本は、8時間勤務、8時間待機、8時間休息で回す。

ただし、黄・赤状態では、「勤務」と「待機」の境界を柔軟にしつつ、休息だけは必ず確保する。
疲弊したチームは判断を誤る。サイバー作戦では、技術的能力だけでなく、チームの持続性が作戦成否を左右する。

8 指揮官企図の理解と情報提供

8.1 指揮官企図

本キャンペーンにおける指揮官企図は、次のように置く。

NEFによる複合的攪乱を受けても、エストニア政府・軍のC2、同盟連接、国民向け説明機能を維持し、NEFに短期侵攻の成功見込みを与えない。

この企図を実現するため、幕僚は、指揮官に対して次の情報を提供しなければならない。

8.2 指揮官に提供すべき情報

  • いま危険なKT-Cはどこか。
  • 作戦目的への影響は何か。
  • 閾値を超えたか。
  • DCO-IDMで収束可能か。
  • DCO-RA準備が必要か。
  • 法務・同盟・広報を起動すべきか。
  • 兵力再配置が必要か。
  • 次の30分、3時間、24時間で何が起き得るか。

8.3 報告様式

報告は、常に以下の形に統一する。

Because:作戦環境分析上、何が問題か。
Therefore:どの条件で、何を達成すべきか。
So:誰が、何を、いつまでに行うか。
Score:DCO-RA準備または起案の必要性。
Next:次の報告時刻、分岐条件。

9 具体的な分析手法

9.1 PMESII-PT分析

エストニア正面では、特に以下を重視する。

  • Political:NATO、EU、国内政治、危機時承認
  • Military:NEF部隊動向、NATO増援、演習状況
  • Economic:電力価格、物流、金融
  • Social:国民不安、偽情報、抗議活動
  • Information:SNS、メディア、偽情報、政府広報
  • Infrastructure:X-Road、eID、EstLink、通信ケーブル、SATCOM
  • Physical:バルト海、気象、海底地形、冬季条件
  • Time:選挙、記念日、演習日程、NATO会合

PMESII-PTは、単に表を埋めるためのものではない。
どの要素が作戦目的に影響し、どの閾値を超えれば行動を変えるべきかを導き出すための道具である。

9.2 OAKOC分析

OAKOCは、従来の地形分析をサイバー作戦環境へ読み替えるために有効である。

  • Observation:BGP、RTT、IdP失敗率、EstLink容量、AIS、SNS拡散速度
  • Avenues of Approach:国外AS、クラウド、保守VPN、海底経路、船舶行動
  • Key Terrain:IdP、X-Road、CLS/IXP、EstLink/TSO、SATCOM
  • Obstacles:MFA、ZTA、RPKI、二重承認、PACE
  • Cover and Concealment:暗号化、偽IdP、ハニーピア、偽NMS、欺騙

OAKOCを使うことで、見えないサイバー空間を、作戦上の地形として扱いやすくなる。

9.3 C-JIPOE

C-JIPOEは、JIPOEの考え方をサイバー空間に適用するものである。

サイバーでは、以下のように適用する。

  1. Cyber-AOIを定義する。
  2. サイバー地形と社会インフラの影響を評価する。
  3. NEF系アクターの能力・TTPを評価する。
  4. NEFのサイバー・情報・物理複合COAを予測する。

C-JIPOEの目的は、敵の技術的手口を並べることではない。
敵が作戦目的を達成するために、どの機能を、どの順で、どのタイミングで狙うかを予測することである。

9.4 DCO-RA準備スコア

DCO-RA準備判断には、以下の簡易スコアを用いる。

Score = Impact×5 + Scope×3 + Persistence×2 + Attribution×4

  • 70以上:DCO-RA起案
  • 50〜69:DCO-RA準備・同盟調整
  • 50未満:DCO-IDM継続

このスコアは、精密な数学モデルではない。
指揮官、幕僚、法務、同盟連絡が、同じ尺度で状況を議論するための共通物差しである。

10 MDO/CDOのためのセル連携

サイバー作戦環境分析は、他セルと連携して初めて作戦効果に変わる。

10.1 J2との連携

  • NEFアクター分析
  • 帰属確度
  • OSINT/RAG結果の評価
  • 偽情報と技術攻撃の同期確認

10.2 J3との連携

  • FRAGO発出
  • 態勢移行
  • 兵力再配置
  • チーム運用

10.3 J5との連携

  • 将来作戦
  • キャンペーン設計
  • COA比較
  • 終結条件

10.4 J6との連携

  • C2通信
  • SATCOM
  • PACE
  • ネットワーク経路固定

10.5 宇宙・EWセルとの連携

  • SATCOM品質
  • PNT影響
  • 電磁妨害
  • 代替通信

10.6 OIE/広報セルとの連携

  • 偽情報対処
  • 国民向け説明
  • 同盟向けメッセージ
  • NEFの認知戦阻止

10.7 法務との連携

  • DCO-RA起案
  • 必要性、比例性、帰属
  • 民間影響
  • 国際法上の説明可能性

10.8 民間事業者との連携

  • 通信
  • 電力
  • クラウド
  • 金融
  • 交通
  • 海底ケーブル管理

11 一般的なアウトプット

サイバー作戦環境分析のアウトプットは、以下に統一する。

  1. Cyber OE Baseline
  2. AO/AOI/Cyber-AOI図
  3. PMESII-PT分析表
  4. OAKOC分析表
  5. KT-C台帳
  6. NAI/TAI表
  7. Threat Actor Card
  8. MITRE/TTP阻止点表
  9. CCIR/PIR/FFIR表
  10. COA比較表
  11. DCO-RA判断票
  12. FRAGO草案
  13. MOP/MOE表
  14. 兵力配置表
  15. AAR

重要なのは、これらを独立した資料にしないことである。

PMESII-PT → OAKOC → KT-C → CCIR → COA → FRAGO → MOP/MOE

この一本線でつなぐことが、幕僚業務の核心である。

12 幕僚業務上の着意事項

12.1 分析で終わらせない

「よく整理された分析」は、それだけでは作戦を動かさない。
必ず、閾値、行動、責任者、報告周期に変換する。

12.2 Hot情報を過大評価しない

Hot情報は重要だが、単発情報でCOAを変えすぎると作戦が不安定になる。
静的基盤との整合を必ず確認する。

12.3 民間インフラを味方の一部として扱う

通信、電力、クラウド、金融は、軍の外にあるが作戦機能の一部である。
連絡、権限、情報共有範囲を事前に決める。

12.4 DCO-RAを急がないが、準備は遅らせない

DCO-RAは慎重に判断すべきである。
しかし、起案資料の準備は早く始めるべきである。
帰属、必要性、比例性、同盟調整は時間がかかる。

12.5 指揮官には選択肢を出す

幕僚は単一案を押し付けてはならない。
DCO-IDM継続、DCO-RA準備、DCO-RA起案の三案を比較して示す。

12.6 AI/RAGは草案作成に使う

AIは、OSINT要約、PMESII-PT初期表、COA短冊、FRAGO草案に使える。
ただし、決心、命令、法的判断、DCO-RA起案は人間が行う。

13 キャンペーンの進行例

Phase 0:平素準備

エストニア政府・軍・同盟は、Cyber OE Baselineを整備する。
KT-Cとして、IdP、X-Road、CLS/IXP、EstLink/TSO、SATCOMを指定する。
NEF系アクターのTTPをモデル化し、DCO-RA判断票を作成する。

Phase 1:緊張上昇

政府機関へのDDoS増加が確認される。SNSでは政府不信を煽る偽情報が拡散する。
海上セルがバルト海で不審な船舶行動を検知する。
J2はNEF系アクターの活動増加を報告する。

幕僚は、警戒レベルを黄へ引き上げ、CLS/IXP監視を強化する。
OIEセルを起動し、WARNORDを発出する。

Phase 2:複合攪乱

政府機関へのDDoS、IdP失敗率上昇、BGP異常、EstLink容量低下が同時発生する。
SNSでは「政府は電力危機を隠している」とする偽情報が拡散する。

幕僚は、PMESII-PT上、Infrastructure、Information、Socialが悪化したと判断する。
OAKOC上、CLS/IXPとEstLinkをKT-C優先Aへ引き上げる。
Team 5をCLS/IXPへ再配置し、米英リモート支援チームを外部経路監視へ集中させる。
国内ホワイトハットチームは、欺騙・可視化強化に投入する。

この段階での推奨COAは、DCO-IDM強化+DCO-RA準備である。

Phase 3:侵攻前夜

NEF軍が国境付近で演習を拡大する。
バルト海で通信ケーブル遅延が拡大し、AIS異常とBGP異常が同期する。
C2可用率は95%を維持しているが、冗長経路への依存が上昇する。

指揮官は、赤移行準備を命じる。
DCO-RA起案資料の作成、同盟連絡の常設化、法務・広報の常時接続を指示する。
FRAGOを発出し、報告周期を短縮する。

Phase 4:NEF侵攻阻止

NEFは、C2低下、国民不安、同盟遅延が不十分であると判断する。
エストニア側はC2を維持し、国民向け説明を継続し、NATO連接も途切れない。
DCO-RA起案資料も整備済みであり、NEFに対して、これ以上の行動は同盟対応を招くと示すことができる。

結果として、NEFは短期侵攻による既成事実化を断念し、軍事行動を演習名目へ戻す。
味方は、NEFを直接撃破したのではない。
NEFの侵攻成功の前提条件を崩すことで、侵攻を阻止したのである。

14 指揮官報告例

最後に、指揮官報告の例を示す。

Because
NEF系アクターによるDDoS、IdP失敗率上昇、BGP異常、EstLink容量低下、偽情報拡散が同時に発生し、C2維持と国民信頼に複合的影響が生じています。

Therefore
C2可用率95%を維持しつつ、CLS/IXP、IdP、EstLink、SATCOMをKT-C優先Aとして防護し、DCO-IDMを強化します。BGP異常3回/15分、EstLink容量500MW未満30分、IdP失敗率5%超10分のいずれかで黄、二重断またはC2可用率95%未満で赤とします。

So
J6は経路固定、SATCOM切替、SSOフォールバックを実施。サイバーチームはCLS/IXPへ機動集中。OIEは偽情報対処を開始。法務・同盟連絡はDCO-RA起案資料を準備。報告は黄15分、赤10分、重大即報とします。

おわりに

サイバー作戦環境分析は、情報を集める作業ではない。

それは、作戦環境を読み、指揮官の決心に変換し、兵力配置と命令に反映し、敵の作戦成功条件を崩すための幕僚活動である。

エストニア正面において、NEFの侵攻を阻止するための核心は、次にある。

  1. 平素からCyber OE Baselineを整える。
  2. X-dayから逆算して、KT-C、CCIR、COA、DCO-RA判断票を準備する。
  3. Hot情報でPMESII-PT、OAKOC、KT-Cを更新する。
  4. オペレーション状態へ移行する条件を明確にする。
  5. 分析結果に基づき、サイバーチームを再配置する。
  6. 指揮官企図を理解し、Because → Therefore → Soで報告する。
  7. MDO/CDOの各セルと連接し、サイバーだけで閉じない。
  8. DCO-RAは技術論ではなく、必要性、比例性、帰属、同盟調整で判断する。
  9. 最終的には、NEFに「侵攻しても短期成功しない」と認識させる。

このように、サイバー作戦環境分析は、単なる分析ではない。
それは、敵の意思決定を変え、侵攻を抑止し、味方の作戦目的を達成するためのキャンペーン機能である。

Cyber/ElectroMagnetic/Intelligence/Cognitive Operations
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次