サイバー規範についてのディナール宣言

サイバー規範についての主要7カ国(G7)外相会合によるディナール宣言がなされました。

新聞記事ですと、こちら(デジタル防衛へG7主導 外相宣言を採択、中ロ念頭に)でしょうか。

ここでは、サイバー規範(Cyber Norm)という用語が用いられています。

サイバー規範の定義は、マリアさんが司会したセッションの解説が一番いいみたいですね。あと、この「CyCon2017 travel memo 10) Day3」ブログでふれています。今のところ、最大公約数は、「政治的な規範は、国際法でまだ決まっていないことを決めようとするもの」という感じのようです。「法的拘束力あるルール、自発的に遵守されるルール、(国内的な)ルール」のうち、「自発的に遵守されるルール」のことをいうということでしょうか。
なお、国連GGEの失敗については、こちらでふれています。

G7の動向としては、2年前に安定化宣言をだしていました。

今回の宣言の原文は、こちらです

まずは、全部、訳してみましょう。(グーグル翻訳を下訳に使いました)

-外務省が訳すでしょうから、訳がでましたら、そちらを利用ください。

DINARD宣言

サイバー規範イニシアチブ

私たちの社会がますますデジタル化されるにつれて、すべての関係者がその恩恵を十分に享受できるようにするためには、サイバースペースにおける信頼、セキュリティおよび安定性を強化することが重要です。私たちは、国際法と基本的自由の適用が促進され、オンラインで人権が保護されている、オープンでセキュアで安定した、アクセス可能で平和なサイバースペースをすべての人に促進することを約束し続けます。
この文脈において、我々は、総会が国際法、特に国連憲章が適用可能であり、情報通信技術(ICT)環境の平和と安定を維持し、開かれた、セキュアな、安定した、利用可能な平和的な環境を促進することは、想起します。我々はまた、国連事務総長によって送信され、国連総会によって合意されて承認された、国際セキュリティ保障の文脈における情報通信分野の発展に関する政府専門家グループの2010年、2013年および2015年の報告の結論を想起します。ICTの使用において、すべての国家は、これらの報告書を導きとすることを求められています。

これらの報告は、ICTの利用における国家の責任ある行動の規則、原則および自主的かつ拘束力のない規範が、国際的な平和、セキュリティおよび安定へのリスクを軽減し、信頼醸成措置が、国際的平和とセキュリティを強化し、国家間協力、透明性、予測可能性および安定性を増大させることを強調しています。

我々は、既に認められた自主的で拘束力のない責任ある国家行動の実施についてのベストプラクティスと教訓を共有することに専念するサイバー規範イニシアチブ(Cyber Norm Initiative(CNI))を設立する意欲を確認します。私たちは、可能であれば、他の興味を持っているパートナーがこの試みに参加すること、または同様の演習を完了することを奨励します。これは、国連オープンエンド作業部会および政府専門家グループによる活動に貢献することとなり、これらの規範を遵守することの強い模範となることをめざすことになります。

サイバー規範イニシアチブの参加者として、私たちは次のことを約束します。
– サイバースペースにおける責任ある国家の行動の自主的で拘束力のない規範および上記の報告書に含まれる勧告を理解し、効果的に実施するために私たちの各州が講じた措置について、自発的および他者とのより良い自発的な情報交換を奨励する。 ;
– このプロセスの結果として識別されるであろうベストプラクティスと学んだ教訓を、幅広い国家や他の利害関係者と共有する。
– 他の国々と協力して、それらを私たちのピアラーニング、協同組合、透明性、および信頼醸成の取り組みに含める。
– 上記の自主的、拘束力のない規範や勧告を実行するためのパートナーの能力構築を支援するために協力する。
—–
国連としては、GGEがある意味で失敗に終わっていたのですが、まだ、その動きは、続いているということをG7が示した意義というのは、大きいでしょうね。

個人的には、規範を「自主的で拘束力のない責任ある国家行動」と定義している点で、国家実行も法源となるという国際法的な人たちとの用語の違いが気になったりするのですが、まあ、そこら辺は、ご愛嬌なのでしょうね。(国際法的には、ここでいうサイバー規範も、これに違反すると国際的違法行為になるので、法的に拘束力があると整理されるような気がします)

外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明

「外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明」という記事がでています。

外務談話は、こちらです。

NISC注意喚起は、こちらです。

まず、APT10が、国際法的に、どのように位置づけられるのか、ということになります。

まず、このような攻撃が、国家に帰属する行為であることがポイントになります。国家の帰属については、タリンマニュアル2.0の規則17「非国家主体によってなされたサイバー作戦は、次の場合に国家に帰属する(以下、略)」という原則が適用されることになります。「中国・天津にある公安当局と連動して」というのが、そこになります。

でもって、同規則32の解説によると「データ入手を目的として他国のサイバー・インフラにハッキングした所、そのインフラの機能が停止した場合」主権侵害になります。この案件では、そのレベルだったと認定されれば、主権侵害となり、これら一連の行為は、中国の国際的違法行為ということになります。この場合、同規則20によって、国家は「対抗措置(性質上サイバーであるか否かを問わないをとる権限を有する」とされます。

本件は、上記国際的違法行為を認定しているかは、微妙に思えますが、外交としての責任決定(アトリビューション)を行っているとなると思います。

ところで、これが異例か、ということになります。アメリカでは、前から行っています(ソニーピクチャー事件のオバマコメント やWannaCry、NotPetya事件でのコメント)。

外務省も「中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても,サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており,サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。」となっており、上の外交としての、帰属表明・非難となっているように思えます。

その意味で、国際的な規範が、国家の実行によって明らかになってきている、というような気がします。

—12月22日 追記—

でもって、「上記国際的違法行為を認定しているかは、微妙に思えます」としました。これは、中谷ほか「サイバー攻撃の国際法-タリンマニュアルの解説」に依拠して、エントリを書いたわけです。そこでは、機能の停止が主権侵害の要件とされています。でもって、情報の取得のみで主権侵害ではないのか、ということになります。タリンマニュアル2.0オリジナルを読んだところ、規則32のコメント6以下のところでは、種々の場合について、多数説において主権侵害と解される場合などが論じられています。この件についていえば、多数説レベルだと機能喪失(コメント6)、人権侵害(コメント6)、被侵害国内での活動を伴う場合(コメント9)、計画全体が、武力の行使の予備行為の場合(コメント10)などで主権侵害を認めている。また、少数説は、重大性(コメント8-合意に達しない)があれば、主権侵害と考えます。

 

サイバーセキュリティ戦略と「法」

サイバーセキュリティ戦略・サイバーセキュリティ 2018が決定しました。
具体的な案はこちらです(資料1)

報道は、こちら。(たとえば、ZD Net 政府の新たなサイバーセキュリティ戦略が決定–東京五輪後も視野)

資料は、概要と意見募集の結果も含まれているので非常に大部になります。

サイバーセキュリティ戦略の重点施策は(1)経済社会の活力の向上および持続的発展、(2)国民が安全で安心して暮らせる社会の実現、(3)国際社会の平和・安定および我が国の安全保障への寄与、(4)横断的施策――の4項目になるので、それらで興味のあるものをピックアップしてみましょう。

(1)経済社会の活力の向上および持続的発展

「経済社会の活力の向上および持続的発展」は、新たな価値創出を支えるサイバーセキュリティの推進、多様なつながりから価値を生み出すサプライチェーンの実現、安全なIoTシステムの構築にわけて論じられています。

「サプライチェーンのつながりの端で起こったサイバーセキュリティの問題が、実空間、さらには、経済社会全体にこれまで以上に広く波及し、甚大な悪影響を及ぼすおそれがある。」(戦略16頁)という表現からわかるようにダウンストリームに注目されていますね。世界的には、サプライチェーンという用語は、むしろ、機器が自分の手元にくるまでにセキュアなのか、ということのほうが一般的ですね。
ただ、17頁ででるように官公庁の調達物資のセキュリティについても今後は、考えていきますというのは、非常にいい傾向なのかと思います。
(事務所のアクセスの足回りは、Nuroなので、偉そうなことはいえない私です)

安全なIOTシステムについては、でました「責任分界点」ですね(戦略18頁)。我がブログの一番人気用語です。ここでは、「責任分界点(既知の脆弱性への対応に関する製造者責任や運用者等の安全管理義務などインシデント発生時における各主体の法的責任を含む)」という形で、liabilityの用語をいれている意味で、物理的な安全管理基準の適用範囲という実定法上(たとえば、電気通信事業法41条ね)に限定すべきという私の立場にケンカを打っているわけですが、とりあえず、「含む」として、実定法上は、ここらへんはいれないのが一般だけど、許してね、という感じがでているので許すことにしましょう。

「範囲や定義、物理安全対策」もふれています。自動車の安全基準といっても、これから、つながるシステムのうちのどこまでが、「自動車システム」なのか、という考え方がでてきますね。その意味で、「範囲や定義、物理安全対策」という意味が書いてあるんでしょうね。深いです。

「脆弱性対策」(戦略18頁)の「機器製造事業者、電気通信事業者、利用者等の各々の主体の相互理解と連携の下で取り組むべきである」という用語も深いですね。脆弱性研究会(脆研)が脆弱性についての一定の調整作業等をおこなっていますが、通信機器については、さて、どうしましょうか、ということもでてくるわけでしょうね。まさに「連携の下で取り組むべきである」というのは、そのとおりなのですが、どうするといいのか、実際に考えていかないといけません。

(2)国民が安全で安心して暮らせる社会の実現

国民が安全で安心して暮らせる社会の実現は、国民・社会を守るための取組、官民一体となった重要インフラの防護、政府機関等におけるセキュリティ強化・充実、大学等における安全・安心な教育・研究環境の確保、2020 年東京大会とその後を見据えた取組、従来の枠を超えた情報共有・連携体制の構築にわけて論じられています。

これらの項目のなかで、法的な観点から、興味深い点としては、以下の点になるかと思います。

「サイバー関連事業者等と連携し、脅威に対して事前に積極的な防御策を講じる「積極的サイバー防御」を推進する。具体的には、国は先行的防御を可能にするための脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用、ボットネット対策等、サイバー犯罪・サイバー攻撃による被害を未然に防止できるような取組を推進する」という記載(戦略21頁)が、気になります。

「アクティブ防衛」という用語との関係については、以前のエントリでふれたことがあります。法的に厳密にみた場合に、これらの取り組みは、サイバー犯罪・攻撃の実行行為がなされる以前と実行行為がなされた以降の対応が、含まれているのは、考えておいたほうがいいように思います。

まず、世界的に「アクティブ(サイバー)防衛」というのは、「実行行為がなれた以降」に、その実行行為がなされたことを契機にして、実行行為者に対して、強制力を行使することによって、証拠の収集・将来の実行行為の抑止をなしうるのか、というのを議論するのに、使われるのが「主たる」場合(このように法的に整理して論じる論者も多くはないです)です。

エントリの「アクティブサイバー防衛手段(active cyber defense measure)確実化法」でも、攻撃者に対するアクセスを論じていることからも、わかるかと思います。

ここで、日本でいう「積極的サイバー防御」の推進、というのをそのまま「日本でもアクティブ防衛方針になりました」というと、例によって、ロスト・イン・トランスレーションになります( communicatonを当然に遠隔通信と訳するがごとし)。

「脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用」は、むしろ、サイバーインテリジェンスのうちの、事前のインテリジェンスと捉えるほうが言いように思います。「ボットネット対策等」については、情報共有と、実際のテイクダウン、場合によっては、ホワイトワーム投入作戦があります。特に、テイクダウン作戦、ホワイトワーム投入作戦については、法的な整理が必要なので、夏の間に論文をまとめることにしましょう。(関係省庁さんからの委託調査でもいいです)

あと、仮想通貨、自動運転車についても言及されているのは、興味深いです(戦略21頁)。

サイバー犯罪への対策について、「新たな捜査手法の検討」がはいっています(戦略21頁)。この点は、注目ですが、GPS捜査最高裁判決みたいに、オレオレ合法論で突っ走ったりしないようにということでしょうか。

個人的には、サイバー攻撃より、熱波攻撃対応で、夕方から夜中に競技をするようなスケジュール変更を早急に考えることのほうが、優先順位が高そうな気がしますけども、それは、さておきましょう(警備の問題があるのかもしれませんが)。

(3) 国際社会の平和・安定及び我が国の安全保障への寄与
国際社会の平和・安定および我が国の安全保障への寄与としては、自由、公正かつ安全なサイバー空間の堅持、我が国の防御力・抑止力・状況把握力の強化、国際協力・連携について論じています。

ここでは、特に、「国際社会の平和と安定及び我が国の安全保障のため、サイバー空間における法の支配を推進することが重要である。」(戦略32頁)は、注目されます。これは、基本的には、わが国としては、このような観点を打ち出していたわけですが、これだけ明確に記載してあるとインパクトがあるなあと改めて思います。「これまでに明らかにされた責任ある国家の行動規範について、着実な履行・実践を通じ普遍化を進める。そうした規範を国際社会に広げ、国家実行を積み重ねていくことで、規範に反する行動を抑止する。」ということで、まさに、サイバー規範の重視ということで、なかなか、責任ある宣言だなあと思います。

また、「サイバー攻撃に対する国家の強靱性を確保し、国家を防御する力(防御力)、サイバー攻撃を抑止する力(抑止力)、サイバー空間の状況を把握する力(状況把握力)のそれぞれを高めることが重要である。」(戦略33頁)も重要です。

「防衛産業が取り扱う技術情報等は、それが漏洩・流出した場合の我が国の安全保障上の影響が大きいため、安全な情報共有を確保する仕組みの導入、契約企業向けの新たな情報セキュリティ基準の策定、契約条項の改正等の取組を行う。これらについて、官民連携の下、下請け企業等を含めた防衛産業のサプライチェーン全体に適用することを前提とした検討を行う。」というのは、防衛産業サイバー基盤という感じになるのでしょうか。興味深いです。

「伊勢志摩サミットにおいて G7 首脳が確認したとおり、一定の場合には、サイバー攻撃が国際法上の武力の行使又は武力攻撃となり得る」(戦略33頁)
まさに、わが社のここの記載(サイバー攻撃と武力行使)みてね、ということで、一般的な国際法コミュニティの見解そのものになります。

「また、G7 ルッカ外相会合において確認したとおり、悪意のあるサイバー攻撃等武力攻撃に至らない違法行為に対しても、国際違法行為の被害者である国家は、一定の場合には、当該責任を有する国家に対して均衡性のある対抗措置及びその他の合法的な対応をとることが可能である」(同)ということで、これも、ちゃんと対抗措置についてコメントがなされており、さらに合法的な対応(外交その他)についてもコメントがなされています。きわめて法的な記述であり、興味深いです。

「同盟国・有志国とも連携し、脅威に応じて、政治・経済・技術・法律・外交その他の取り得る全ての有効な手段と能力を活用し、断固たる対応をとる。」まさに、SONYピクチャーズ事件、ワナクライ事件、NotPetya事件などでの各国の国家実行 (CyCon Xでも何回か話にでました)をベースにした記述です。

これらは、まるで、シュミット先生のまとめを聞いているみたいな記述です。

興味深いというか、むしろ、戦略文書にこれだけ法的に、しかも正確な記述がはいってきたということで感慨深いものがあります。

(4)横断的施策

横断的施策は、人材育成、研究開発の推進、研究開発の推進、全員参加による協働が述べられています。興味深い点は、以下のところでしょうか。

「政府機関や企業等の組織を模擬したネットワークに攻撃者を誘い込み、攻撃活動を把握すること」(戦略40頁)がふれられています。攻撃がなされている間に、受信者(?)が、真の受信者の代わりに、デコイに通信してあげるという、個人的には「通信の秘密」との整理は、どうなっているの?作戦のひとつになります(解釈論としては、「取扱中とはいえない」とか、「受信者の承諾がある」とかいうのかと思いますが、通信は、一方の承諾でいいというのは、例外だったよね、とかあります)。

また、「政府機関や重要インフラ事業者等のシステムに組み込まれている機器やソフトウェアについて、必要に応じて、不正なプログラムや回路が仕込まれていないことを検証できる手段を確保することが重要である」(戦略40頁)。イギリスのGCHQにいったときに、技術の担当の方は、このような業務をになっていましたね。お約束ですが、GCHQの組織は、「ロンドンのとある映画会社の地下深く」 (オジサマお待ちかね-オープニング)にありました(?-UFOっていうテレビみたいだね、というのが私の感想)。
日本だとクールジャパンのセットかなんかをつくって、そこの地下に調査会社つくるとか、いかがでしょうかね。

「中長期を視野に入れて、サイバーセキュリティと、法律や国際関係、安全保障、経営学等の社会科学的視点、さらには、哲学、心理学といった人文社会学的視点も含めた様々な領域の研究との連携、融合領域の研究を促進する。」(戦略41頁)です。まあ、戦略のここらへんというのは、どうも、帳尻あわせみたいな感じがするわけですが、このような視点は、本当に大事なので、ぜひとも実現してほしいと思います。
CyConに自費でいって、詳細な報告書あげているわけですが、これが自腹感満載というのは、来年は、なんとかしていただきたいと思います。出張報告に私のブログ使った人は、ぜひとも、私の来年の旅行に、貢献してほしいなあと考えていたりします。

ということで、非常に興味深いサイバーセキュリティ戦略でした。

Private Sector Cyber Defense: Can Active Measures Help Stabilize Cyberspace?

Wyatt Hoffmanさんなどの”Private Sector Cyber Defense: Can Active Measures Help Stabilize Cyberspace?”という報告書をご紹介します。

この報告書は、Cernegie  Endowment for International Peaceが2017年に公表したものです。民間部門は、アクティブサイバー防衛手法(以下、ACDといいます)をサイバーセキュリティの実務にとりいれるようになる、そして、それを政府や社会は、適切にコントロールをすべきという報告書になります。

同報告書は、ACDの手法を受動性/能動性によって分類・分析し、その利点とリスクを最初にあげています(7頁から10頁)。

利点 リスク
より潜在的な脅威についての知識を得、攻撃者の能力および意図について知ることができ、不意打ちを予防し、資産の防護に役立つ

 

ミスにより、または、攻撃者の操作により思わぬ攻撃を受ける

 

攻撃者に対してどこで、いつ、どのようにという選択肢の範囲が広い

 

関係のない第三者コンピュータに対して、または、攻撃者であると誤って特定されことによって破滅的/損害を与えることの結果としての偶発的な被害
防御側のネットワークに対しての侵入が行われたあとであっても、計画された/継続中の作戦を破滅/停止する拡張された能力 攻撃者が、ACD手段に対して対応する結果として攻撃者と防御者におけるエスカレーションがおきる。
データの利用を制限し、攻撃を複雑化する/攻撃者の直接ないし間接的なコストをあげる(特に、特定する)ことによって、将来の攻撃を抑止する 外部のネットワークに影響を与えることにより政治的もしくは法的な結果も引き起しかねず、戦略的意味が不確実である

 

その上で、状況犯罪予防(Situational Crime Prevention (SCP))との類似性を検討しています(14頁から18頁)。

そして、同報告書は、政府と民間部門の権限や役割について考察していて、民間部門の権限は、政府部門の協力、監督、裁判所命令によってなされるべきだとしています。

米国や世界の動向を見た上で、同報告書は、健全な原則の発展と責任ある利用を促進するようなインセンティブを促進することが必要であるとしています。

同報告書は、そのあと、民間企業において、ACDが必要になってきているとしており、特に、金融機関においては、その動機が強く、オランダが、その影の市場になっていると紹介しています。

報告書は、民間部門がACDを行うことのリスクと便益を紹介しています。

リスク 便益
法執行行為への妨害と予期せぬ政治的結果 政府負担の軽減と資源の必要とされる領域への集中
不必要なリスクの甘受と防御能力の欠如による大規模な漏えい 迅速な対応と効果の増大
国家をまたぐ種々の法に対する複雑な管理 サイバーセキュリティのシステム的な長期の向上

また、これらの考察をもとに、攻撃のスペクトラムとともに、そのリスクとの関係について考察しています(19-21頁)。

この考察のあと、報告書は、海事事件(特にソマリア沖のアデン湾の海賊)において民間会社(private security contractors (PMSCs))が警備をなすことになってから、急激に被害が減少したこと、まだ民間警備請負業者と契約している会社については、保険料が安くなるという仕組みも採用されたことなどを紹介しています(23-31頁)。

政府としては、武力は、自らが独占して保持していたいわけですが、海賊の実際の前には、民間警備会社を認めざるを得なかったわけです。むしろ、協会の結成とガイドラインの構築のほうが現実的となったわけです。

2011年には、海事業警備保障協会(Security Association of the Maritime Industry (SAMI))が結成され、ISO 28007(船舶と海事技術—民間海事警備会社(PMSC)のためのガイドライン) は、船舶における民間武装警備請負(PCASP) の行為についてのガイドライン)が制定されています。

この報告書においては、無法が広がるところでは、自力で防衛する傾向が広がること、リスクとのトレードオフは、避けられないこと、政府のコントロールがきかない場合には、民間が、規制を回避しようとする傾向があること、民間の行動が、組織的にエスカレーションしてしまうというのは根拠がない/過大な恐れであること、インセンティブが、規範とベストプラクティスをコントロールしうること、一時しのぎの方法であるが、安定した関係を発展させるための方法ともなること、などが、この実際が変化した理由であると分析しています。

これらの考察のもとに、現実的な原則とそれに基づいたACDの利用を図るべきであって、その遵守のためにインセンティブを活用することであると提言しています(33頁以降)。

そして、そのために、規範的な原則が提言されています。その原則には、目的限定、範囲および期間、必要性、比例の原則、効果の原則、監視の原則、協力の原則、説明責任の原則、責任の原則、裁量の原則があげられています。

3月にワシントンDCを訪問したときに、著者のHoffmanさんにインタビューさせてもらいました。適切な行為規範の設定とそれを利用している場合のインセンティブ(保険料の低減)というアイディアは、卓見だと感じました。もっとも、法律的には、上のリスクででている強制的契機を受ける組織やその組織の属する国からすると、そのような行為を許容しうるのか、という問題は大きいと思います。

 

 

自衛隊、サイバー反撃能力保有へ…武力伴う場合

「自衛隊、サイバー反撃能力保有へ…武力伴う場合」という記事がでています

「「国家の意思に基づく我が国に対する組織的・計画的な武力の行使」と認められるサイバー攻撃への反撃能力は、専守防衛の原則に矛盾しない」というのが、ポイントです。

ただし、この「武力の行使」と認められる場合は「通常兵器などによる物理的な攻撃も受けた場合に限定する」ということだそうです。

新聞記事のお約束として、記事に対して法律論文を読むかのような感じで、理論的に分析することはナンセンスであることは理解していますが、問題点を認識するために、この記事を精確なものとして分析してみましょう。

基本的には、「武力の行使」がわが国に対してなされた場合に、サイバー手法による反撃を認めるという内容が記載されるということのようです。
サイバー手法による作戦(サイバー作戦)が有効なものとして議論されている現状からすると、やっと、世界の通常の議論にキャッチアップしているというように認識します。
わが国では、当然に、具体的な交戦規定がないとなにもできないので、これを整備するという意味もあるでしょうから、その意味で、重要だと考えられます。

ただし、議論としては、いろいろと世界的な潮流とずれているところがあります。ピックアップしてみましょう。

基本的には、武力行使については、武器の性質ではなく、結果が重要である(国連憲章2条の解釈)という立場が有力になりつつある現在(この点については、「サイバー攻撃と武力行使」を参照ください)において、武器の性質にこだわった記載をなすというのは、時代遅れであると考えていいかと思います。

また、「武力行使」というのに該当するか、というレベルは、極めて深刻な被害を引き起こしかねない武器による攻撃が必要とされるということになる(これも、上の固定ページのシュミット・アナリシスのところを参照)ので、そのような場合に、作戦の種別を限定されているほうがおかしいという議論もあるように思えます。

むしろ、一番重要なのは、サイバー作戦による攻撃が、武力行使のレベルに達していない場合について、国際的な理論とどう合わせて、どのような対応を枠組みを定めていくのか、というのが一つの問題になります。この点で、非常に参考になるのが、Liis Vihul 先生の「Hacking terrorist infrastructure:International Law Analysis」(counterterrorism-yearbook 2018 157ページ以下)という論文です。武力行使の閾値に満たないサイバーテロリズムに対して、国際法のもとで、どのように位置づけるのか、また、反撃というのは、国際法上、限界があるのか、どのような根拠で許容されるのかというのが議論されています。

ISISのようなテロリスト集団から、サイバー手法によって、国民の富が奪われる時がきたら、国として、どのような対応をすべきなのでしょうか。また、それには、法の体制は、十分に整っているのでしょうか。現在ある法的な理論で分析は、可能な問題といえるのですが、だれも指摘していないかと思います。

そこで、サイバーテロの総合的分析という論文をGWに書くことにしています。公表されるときが来るといいなあと思います。

「ワナクライ」北朝鮮の国家行為と認定

米国は、ワナクライの重大サイバー攻撃を北朝鮮が行為者であると認定しました(the United States is publicly attributing the massive WannaCry cyberattack to North Korea. )

ホワイトハウスの公式リリースです。

この認定に続けて、ボッサート報道官は、「私たちはこの主張を軽く行っているわけではありません。私たちは証拠を有していますし、それをパートナーと行っています。

他の政府や民間企業も同意します。英国、オーストラリア、カナダ、ニュージーランド、日本が私たちの分析を見ており、彼らは私たちと一緒に北朝鮮がWannaCryを行ったと告発しています。」といいます。

また、マイクロソフトを始め民間企業も同じであるとしています。

そして、「行為者特定(attribution)は、責任を追求するためのステップですが、最後のステップではありません。」とか、「トランプ大統領は自由な世界の同盟国および責任ある技術企業を集め、インターネットのセキュリティとレジリエンスを高めました。産業界と良き政府との協力は、安全保障の向上をもたらし、もはや待つ余裕はない。」とも述べています。

さらに、マイクロソフトやフェースブックなどが北朝鮮のサイバー攻撃用のエクスプロイットを無効化し、作戦を停止させていること、アカウントを停止したこと、諜報機関やサイバーセキュリティのプロ達の仕事を誇りにおもうことなどを述べて、ジーネット・マンフラさんにコメント役が交代になりました。ジーネットさんは、もっぱら、防御のための協力などの発言なので、省略。

Q&Aになります。「遅すぎたのではないか」「Marcus Hutchinsは、どうなっているのか」「北朝鮮は、相当、孤立した国(fairly reclusive country)なので、どう責任を問うのか」「民間にもっと望むことは」「北朝鮮は、、どのくらい稼いだのか?」「この行為に対する米国の結果は?」「北朝鮮の人を逮捕したのか」「暗号通貨の追跡はしているのか」などの質問がなされて、それぞれ興味深い回答がなされています。法的には、責任論と、米国の結果、暗号通貨のところがおもしろいようにおもいます。

責任論についていえば、民間人の攻撃参加の問題が存在しうわけですが、この件は、すべて北朝鮮内で、しかも、政府の指示のもとになされたという認定をしています。かなり、証拠があるみたいですね。

「サイバー攻撃の犯人は誰?知る必要はあるのか」を読んで 

「サイバー攻撃の犯人は誰?知る必要はあるのか」という記事が出ています。「セキュリティ業界では、常識だと思われているが実はそうではない「セキュリティの非常識」がたくさんある。」として、有識者が語るという企画です。

有識者の意見としては、かなり限定つきの上で、「アトリビューションが重要でない場合もある」という意見のようです。たとえば、根岸さんは、「一方、一般企業がサイバー攻撃を受けたときは、その攻撃者が国家かそうでないかなどは関係なく、対策をきちんとやることが重要になります。誰が攻撃したかは二の次です。」ということで、アトリビューションがそれほど重要ではない場合もあるというスタンスのようです。

でもって、タイトルが、「攻撃者が誰なのかは重要か」なので、重要ではないという論に思えるけど、場合によるよねという話です。見事に、編集者の作戦に乗ってしまいました。

ただ、このような場合にアトリビューションがどのように意味を持っているのか、というのは、きちんと解説してほしいところです。その説明がないと、読者に有用な知識を授けることができないとおもいます。

有識者会議といっている以上、アトリビューションの意味について正確な知識を有していることをご紹介してもらってから、このような否定のディスカッションをすべきだとおもいます。それをしないと、判例・通説がある場合に、それをきちんと説明もできないのに、批判だけしている答案を読まされているような気がします。(要は、できの悪い答案)

まずは、

(1)攻撃者が、国家責任を発生させるものであるのかどうか

というのが、もし、Yesであれば、対応は、主として、国家間の問題となります。(主として国際法がでてくる)

この場合は、国家組織もしくは、そのエージェントなので、執拗な攻撃、もしくは、重要インフラに対する攻撃であるので、国家安全に関わってくるので、国としての情報共有・分析・対応が重要になってくるわけです。

民間だとしたら、

(2)デューデリジェンスによって国家の責任を問いうるものではないのか

というのが、もし、Yesであれば、対応については、国家間の問題に対する対応も問題となりえます。(国際法と国内法の交錯する部分)

というのが、現在の基本的な世界での考え方ということがいえるでしょう。

(1)でも(2)でも、被害を受ける民間企業の側では、基本同じではないか、というのは、原則としては、そのとおりでしょう。ただし、法的な分析の側面では異なってきており、「アトリビューション」から考えるというのは、ある意味、国際社会の常識となっているということは留意すべきでしょう。

この意味での常識についてのコメントがないので、記事は、悪意があるのではないか、とまで思えてしまいます。

常識であるといっているのには、具体例があります。

もっとも、代表的なものとしては、ソニーピクチャーズエンターテイメントにおける対抗措置をあげることができます。私のブログでもふれています。(オバマ大統領 対抗措置を明言)(Not act of war

また、オバマ・習近平対談の後、サイバー攻撃が如実に減少したという記事もあるでしょう。(「2015 年 11 月 30 日付のワシントンポスト紙は、「政府当局者の話として、司法省が中国軍の 5 人の将校を起訴したのを受けて、中国軍は米国の産業秘密のサイバー窃盗を縮小した。そして、突然の攻撃の縮小は、法的措置が一般に思われているより大きな影響があったことを示している。さらに、起訴を発表した時から、PLA は民間企業に
対するサイバー・エスピオナージに実質的には行わなかった。」という記述をする論考があります 「中国のサイバー能力の現状」DRC 研究委員  横山 恭三)

インターポールでも、国家関与になると、関与しなくなるというのは、非常に興味深いです。(「僕がインターポールで働く理由」~ サイバーセキュリティのプロフェッショナル 福森大喜さんにインタビュー
#インターポールの目的や原則を定めた「ICPO憲章」では「インターポールは政治的な争いや宗教的な争いには一切関知しない」とされています。なので、WannaCryでも何でもいいんですが、マルウェアが出てきてもどこかの国の政府が諜報活動として関与しているとなると、インターポールはいっさいタッチできなくなっちゃうんですね。

これらの実行を紹介しないで、「アトリビューションは、重要ではない」という印象を読者に与えるとしたら、虚構ニュースといわざるをえないとおもいます。

 

 

総務省 「IoTセキュリティ総合対策」の公表 (その2)

では、総務省のサイバーセキュリティタスクフォースにおいて取りまとめられた「IoTセキュリティ総合対策」の後半の部分を検討していきましょう。

(2)は、「研究開発の推進」です。

①基礎的・基盤的な研究開発等の推進

②広域ネットワークスキャンの軽量化
ここでも、「脆弱な IoT 機器のセキュリティ対策のため、膨大な IoT 機器に対して広域的なネットワークスキャンを実施する必要がある。このため、広域ネットワークスキャンの軽量化など、その効率的な実施のために必要な技術開発を推進する必要がある。」という調査計画にもとづいて活動がうたわれています。

③ハードウェア脆弱性への対応
「膨大な数の回路設計図をビッグデータとして収集・蓄積し、これを元に脆弱性が存在する可能性のあるチップを、AI を活用して類型化し、ハードウェア脆弱性を発見」だそうです。このような「脆弱性」の概念と製造物責任、また、これを購入した人の「瑕疵」の概念の研究の依頼お待ちしています。

④スマートシティのセキュリティ対策の強化

⑤衛星通信におけるセキュリティ技術の研究開発

「宇宙産業の急速な発展に伴い、今後、衛星へのサイバー攻撃(衛星回線の傍受やデータの窃取など)が増加することが懸念される」まさに、宇宙法の問題ですね。とりあえず、来年の4月、5月あたりは、宇宙法の勉強でもしたいなあ。そのための軍資金を稼がないと。

ちなみに、CODEBLUEのキーノートのパトリック・オキーフさんは、もとは、スペースエンジニアです。サイバーセキュリティのイシューが、ネットワークから国家・主権の問題へ、また、陸の物理ネットワークから無線・宇宙への広がる様子を俯瞰してくれるとおもいます。みなさま、ぜひともおいでください。
(ちなみに、私は、実行委員*ステマは、禁止されたというニュースがあるので、利害関係の表示と-このニュースの分析は、駒澤綜合法律事務所で)

⑥AI を活用したサイバー攻撃検知・解析技術の研究開発

「AI を活用したサイバー攻撃検知・解析技術の研究開発にも取り組む必要がある」。はい。ただ、いまある実用的なAI技術のYaraiもよろしくです。

そもそも、AIというのは、まだ、実用化されていない子供の技術をいうというのが私の説です。Yaraiの機械学習エンジンは、まさに今、実用化されているAI技術です。(機械学習エンジンがメインになります)
(ちなみに、社外取締役をしています これも利害関係の表示)

(3)民間企業等におけるセキュリティ対策の促進

具体的には、

① 民間企業のセキュリティ投資等の促進
これについては、「高レベルのサイバーセキュリティ対策に必要なシステムの構築やサービスの利用に対して、税制優遇措置を講ずる方向で検討していく必要がある」ということですね。これは、いいですね。このように経済的インセンティブを考慮するようになったのは、本当にいい方向性だとおもいます。(本当に、お題目を唱えると、防護できるかとおもっていたかのような政策もおおかったですからね)

② セキュリティ対策に係る情報開示の促進
「企業のセキュリティ対策に係る情報開示に関するガイドラインの策定」があげられています。これもいいですね。実際に現在も、情報セキュリティリスクについては、結構、開示されているような気がしますが、対策まで開示ということで、これも望ましい方向ですね。

あと、サイバーセキュリティ保険の普及のあり方とも合わせて検討ということですね。このような製品をいれて、このような評価を得ていると保険料が低くなるとかあるといいですね。そのような製品にどうやって食い込むか、というのもセキュリティ業界関係者の一つの動きになるかもしれません。

とにかく、経済的なインセンティブの設計こそが、ネットワークの平和の鍵というのは、「ハンソロが借金の棒引きをもとめて宇宙平和の旅にでた?」というのを例に出すまでもなく、重要なことです。

③事業者間での情報共有を促進するための仕組みの構築

これについては、将来は、「共有された情報に基づき、サイバー攻撃に応じた自動防御を目指すことも考えられる」だそうです。

そのようなために、
「情報提供元及び共有される情報自体の信頼性を担保する仕組み」
「様々な事業者から提供された大量の情報の分析、情報の重複の排除、情報の重み付け、サイバー攻撃の全体像の把握を行った上で、入力フォーマットの標準化などの情報共有を実施する仕組みを検討」
ということです。

5年ほど前ですが、情報共有のための枠組みを調べたことがありました。米国でも非常に複雑な仕組みになっていました。もっとも日本の場合は、業界的には、相互の信頼関係が構築しやすいようにも思えます。
ただ、このような仕組みは、情報共有を妨げるいろいろな事情によって実現されなくなるので、それをできる限り減少させて、共有できるようなインセンティブを含めた仕組みが構築されるべきですね。
「④ 情報共有時の匿名化処理に関する検討」は、このような文脈で考えられるといいでしょうね。

詳細は、米国のサイバーセキュリティ法の分析とかと合わせて、別の機会にすることにしましょう。
あと、情報といっているのですが、データのレベルなのか処理された情報なのか、はたまた、さらに意味づけが加わったインテリジェンスレベルの共有か、という問題もありそうです。サイバー情報/諜報機関をどうするのかなんてのもちょっとおもったりします。

⑤ 公衆無線 LAN のサイバーセキュリティ確保に関する検討

これは、本当にそうですね。どのようなバランスをとるべきなのか、実際の進展を見守りたいです。

(4)人材育成の強化

毎度おなじみ、人材育成です。

具体的な話としては、実践的サイバー防御演習(CYDER)の充実、2020 年東京大会に向けたサイバー演習の実施、若手セキュリティ人材の育成の促進、IoT セキュリティ人材の育成などが含まれています。基本的には、堅実なオブジェクトかとはおもいます。が、

METIもMICも、いつも、これではありますが、セキュリティ人材のために、経済的待遇がよくなるようなインセンティブを考えない「人材育成」論は、ガソリンのないエンジン、電気のない電気自動車のようなものです。

おまけに、セキュリティの三要素よりも、量子暗号を先に教える大学のカリキュラムに触れない人材育成論は、ナンセンスなので、個々のお題目は、電気自動車の充電の方式を語っているようにしかおもえないので、評論はパスします。

(5)国際連携の推進
「平成 31 年には G20 が我が国で開催されることを見据え、サイバーセキュリティ分野における国際協調に向けて主導的な役割を果たしていくこと」
多分、平成31年は、別の元号になっているだろうというツッコミはさておくとして、大事なことなので、ぜひとも関係者の方々には、頑張っていただきたいですね。

でもって、
ASEAN 各国との連携
国際的な ISAC 間連携
国際標準化の推進
サイバー空間における国際ルールを巡る議論への積極的参画
が具体的な項目として上がってきています。

これらは、本当に重要なので、ぜひとも実現してもらいたいとおもいます。サイバーノームズのコミュニティに日本の関係者が、コミュニティの顔としてはいってこれるような日がくるのをお待ちしています。
コミュニティとしては、すごく狭いので、日本で、きちんと、国際法がわかって、しかも、国内の努力を世界に説明できる人がいれば、すごく世界で存在感がでるのにとおもっていたりします。ただ、この問題はアジア共通かもしれません。韓国も、も存在感は、いま一つですね。他の国ですと、サイバーノームのコミュニティの人は、ほとんどいないような気もします。(なんといっても、タリンレポートが自腹というのは、いい加減にしてほしいです)

結局、サイバーセキュリティにおける法と政策というのは、日本においては、ビジネスとしては、厳しいのでしょう。それでも、自分としては、97年に最初の講演をしてから、いい経験をたくさんしてきたとはおもいます。ただし、後輩におすすめできるかとか、この世界に誘えるかというのは、ためらってしまうのが現実ですね。そこらへんが、日本におけるサイバーセキュリティの国際連携や人材育成の最大の問題だとおもいます。

CODE BLUE Speakers

当社 代表取締役の高橋が実行委員をしておりますCODE BLUEですが、今年(2017)のスピーカーが発表されました。プレスリリースは、こちら

今年は、キーノート、ジェネラルトラックで、法と政策に関する発表が準備されています。

キーノートはパトリック・オキーフ さん(ドイツ NATO法律顧問)です。彼は、もともとは、スペースエンジニアだったので、今、法律顧問に転身しています。宇宙法にも興味を持っています。サイバースペースと国家主権の関わりということであれば、わが国では、なかなか注目されない分野(しかし、世界では、まさに一番のホットトピック)のお話なので、非常に、役に立つと思います。

あと、法律/政策分野からは、「サイバーセキュリティのための国家安全保障と官民パートナーシップ:強みと課題」と題して、ステファーノ・ミレ(イタリア大西洋委員会サイバーセキュリティ委員会委員長)さんが発表します。ミレさんは、10年ほど前から、私の調査でも度々お手伝いをしてくれました。ヨーロッパのセキュリティに関する政策についての専門家です。今回が日本の初訪問ということだそうです。私もあえてうれしいです。

ユーストラックでも「事例から考える脆弱性と法」  橋本早記&武田真之 (日本 慶應義塾大学)が、アクセプトされています。情報セキュリティと法律の分野は、なかなか、担当者が少ないのですが、ぜひとも若い人には、頑張ってもらって、わが国のサイバーセキュリティを牽引してもらいたいですね。

サイバー規範に関する国連GGEの失敗

サイバーノームについては、ジョセフナイさんの読売新聞の記事に関して、簡単に触れています。その一方で、今年の6月には、国連のGGE(政府専門家グループ)が、サイバーセキュリティと規範についての報告書をまとめるのに失敗しています。

GGEでの議論の動向などについては、このページが分かりやすいかとおもいます。

国連のGGEは、いままでに、

2004-2005 第一次GGE

2009-2010 第二次GGE

2012-2013  第三次GGE

2014-2015  第四次GGE

2016-2017  第五次GGE

となっています。いままでに報告書も出されています。第4回報告書については、土屋先生の記事をどうぞ。

でもって、第5次の議論が、どのような経緯で、失敗に終わった(報告書を出すことができなかった)というのについて

The UN GGE Failed. Is International Law in Cyberspace Doomed As Well?
を参考にまとめてみましょう。

パラグラフ34の、国際法が、どのように情報通信技術の利用について適用されるのか、という点についての同意がなされなかったからであるとされています。
具体的には、このパラグラフが、国連憲章の原則と国際人道法の適用が、サイバースペースの「軍事化」をもたらしうる、支持し得ないプラグラフであるとする国がありました。また、他の国は、武力行使の閾値に達しない場合に「対抗措置」の権利を認めることは、行為の不安定化を導きかねないとしたのです。

この記事によると、2016-17のGGEは、特定の規範について合意してきたとされます。
「すべての国家は、その領域が他の国家の権利に背く行為に利用されるのを知りながら許容することはできない義務がある」という、デューディリジェンスの法理が、サイバー分野に対して適応されるとしていたことについて、その際の「知りながら」の意味について合意することを求めていました。そして、悪意のあるサイバーツールの利用を防止するために段階を踏むことを合意していました。また、第三者に対して攻撃的な目的でサイバースペースを利用すること、DNS に影響を与えることは、許容されないことについて合意するところまできていたにも関わらず流れてしまったのです。

国連憲章の枠組みが適用されうるとしたことから、国家の自衛の権利が、武力攻撃(憲章51条)の閾値を超えた場合に適用されないという国は、ないように思えます。実際には、キューバは、情報技術の悪用が悪用された際に、「武力攻撃」の概念に該当しうるというのに反対しています。一方で、インドは、パキスタンのサイバー攻撃に対して、従来の手法によって対抗する選択肢を望んでいます。

今一つの論点は、国際人道法(IHL)のサイバー作戦に対する適用についてです。過去において、中国は、IHLの適用が、軍事的活動を正当化すると反対してきました。現在においては、むしろ、この論点は、軍事的目的物の点になっています。無差別攻撃の禁止や民間インフラの攻撃の禁止の原則が適用される結果、攻撃的なサイバー攻撃方法を採用している国においては、文民のネットワークや重要インフラに対して影響を与えるサイバー兵器の実際のテストをすることができなくなるというのです。

また、パラグラフ34は、情報通信技術を要してなさる国際的違法行為に対して、国家は、対抗する権利を有するということに関する記載です。これに関して、対応の措置が、雑な対応をもたらしかねないという議論がなされたのです。

この記事によると、2016-17のGGEは、情報共有チャンネルについての合意、行為者特定のについての調査、非国家行為者の介入の制限などのほうが、より重要だったように思えるということでした。

このGGEの失敗については、Schmitt先生とLiis先生のブログ、USのMarkoff氏報告書ガーディアンの記事などの資料もあります。これらについては、いつか機会があれば、検討してみたいとおもいます。