国際的なサイバーテロの用語についての追加

前のエントリで、国際的なサイバーテロの用語について、簡単な概念考察をしてみましたが、ちょっとだけ、追加します。

というのは、サイバーセキュリティ基本法附則2条は、事態対処法21条1項に規定する緊急事態に相当するサイバーセキュリティに関する事象などが生じて、国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に「国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるもの等を防御する能力の一層の強化を図るための施策について、幅広い観点から検討するものとする。」と定めています。

したがって、サイバーテロリズムという概念は、さらに、緊急事態対処という概念との関係を考察する必要があるので、その点を追加しておいたほうがよいように思えます。サイバーセキュリティ基本法は、国際的な関係をも念頭に作られていますという説明がなされることがあるのですが、それは、この附則2条のことを念頭にいっています。

事態対処法21条1項の緊急対処事態というのは、何かというと、概念としては「国及び国民の安全に重大な影響を及ぼす緊急事態」ということになります。でもって、緊急対処事態とは何かということになります。国民保護のページによると「武力攻撃の手段に準じる手段を用いて多数の人を殺傷する行為が発生した事態又は当該行為が発生する明白な危険が切迫していると認められるに至った事態で、国家として緊急に対処することが必要なものをいいます。」ということです。でもって、緊急対処事態については、攻撃対象施設等による分類や攻撃手段による分類がなされています。この場合、多数の人の殺傷等の結果、国家対応の必要性などが要件になります。単なる金銭要求は、どうか、(また、それが大規模な場合は、どうか)ということも問題になりそうです。

国民保護のページでは、サイバーの文字は、見受けられませんが、サイバーセキュリティ基本法2条は、この緊急対処事態への該当性を可能性としては、考慮しているように思えます。もっとも、実際にどの程度、このような事態になりうるか、というのは、問題にも思えます。このような単独でのサイバーテロの実際の可能性は、それこそ、幅広い観点から検討すべきものなのかもしれません。

もっとも、実際にサイバーによる緊急対処事態の発生可能性が存在するということになれば、まさに、同法の「情勢の集約並びに事態の分析及び評価を行うための態勢の充実、各種の事態に応じた対処方針の策定の準備、  警察、海上保安庁等と自衛隊の連携の強化を図る」(21条2項)ということになると考えられます。対外的な情報収集の仕組みを整備し、そこで、特にサイバーに関する情報を分析して、国民に提供するとともに、警察・防衛の連携を図るということもこの条文では、考えうるように思われます。

おまけでいうと、国内法の問題だと、政府が、どの段階で、どのような対処機構によって対応するかという問題もあります。これについては、論文を書く際のネタに使おうかとおもっています。

カテゴリー: 情報セキュリティ | 国際的なサイバーテロの用語についての追加 はコメントを受け付けていません。

(国際的な)「サイバーテロ」の用語について

メディア用語で、よく、「サイバーテロか?」とか出てくるわけですが、これについては、結構、いろいろな場合を含んで、みんな共通の理解があると思って、話を進めると話がかみ合わなくなるので注意しましょう。(なお、以下、学問的に使う場合には、サイバーテロリズム、定義にこだわらない用語法としては、サイバーテロといいます)

制定法からいきます。

「サイバー」とは、一般に「電気通信手段を用いて」という意味で用いられるということでいいと思います。

「テロリズム」については、「特定秘密の保護に関する法律」12条2項は、テロリズムについて、「政治上その他の主義主張に基づき、国家若しくは他人にこれを強要し、又は社会に不安若しくは恐怖を与える目的で人を殺傷し、又は重要な施設その他の物を破壊するための活動をいう。」としています。

あと、国会議事堂、内閣総理大臣官邸その他の国の重要な施設等、外国公館等及び原子力事業所の周辺地域の上空における小型無人機等の飛行の禁止に関する法律(平成二十八年法律第九号)の6条1項は、「政治上その他の主義主張に基づき、国家若しくは他人にこれを強要し、又は社会に不安若しくは恐怖を与える目的で人を殺傷し、又は重要な施設その他の物を破壊するための活動をいう」としています。

次に、国会質疑からは、「テロリズムの定義などに関する質問主意書」においては、「政府としてのテロリズムの定義に関する統一した定義はあるのか。政府としてのテロリズムの定義を示されたい。」などの質問がなされており、これに対して、「「テロリズム」とは、一般には、特定の主義主張に基づき、国家等にその受入れ等を強要し、又は社会に恐怖等を与える目的で行われる人の殺傷行為等をいうと承知している」という回答がなされています。

国際的な観点からみるときには、
「テロリズムに対する資金供与の防止に関する国際条約」(1999年12月9日採択、2002年4月10日発効)で、
同条約2条1項bは、「あらゆる文民に対して、あるいは武力紛争状態において戦闘行為に直接参加していないあらゆる人に対して、死又は重大な身体的損傷を引き起こすことを目的とした(中略) いかなる行為も、その行為が、その性質又は状況に照らして、住民を威嚇し、又は政府若しくは国際機関に行為若しくは不作為を強制することを目的とする場合」には、犯罪を構成する
としています。
また、
国際連合1995年2月17日の「「国際テロリズム撲滅のための方法」決議は、
「国連加盟国は,全てのテロ行為.方法,実行を犯罪として、そして正当化不能なものとして、誰によってなされたものであろうと、国家そして人民間の友好関係を脅かすもの、国家の安全および領土的一体性を脅かすものを含み、その無条件の非難を厳粛に承認する。」
としています。

これらの観点からするとき、法的には、「電気通信手段を用いて、政治上その他の主義主張に基づき、国家若しくは他人にこれを強要し、又は社会に不安若しくは恐怖を与える目的で人を殺傷し、又は重要な施設その他の物を破壊するための活動をいう。」をサイバーテロリズムと定義することができるでしょう(広義のサイバーテロリズム)。

では、一般社会ではどうか、というと、2000年に中央官庁のホームページが相次いで改ざんされたことがあった。その当時、サイバーテロか、という報道がなされた記憶があります。あと、「インターネット等の情報インフラに破壊活動を行うこと。ホームページの改ざんやデータの破壊などのネットワークへの不正侵入、大量の接続要求を送りサーバをパンクさせる「サービス許否(denial-of-service)」攻撃、コンピューターウィルスが主な手口などという解説も見受けられます。上の法的な用語と比較してみましょう。ここでは、もはや、「人を殺傷し、又は重要な施設その他の物を破壊」という要件が、単なる情報のインテグリティの侵害にまで、広がっています。その意味で、テロという用語が、インフレを起こしているということがいえるでしょう。 まさに非常に広範囲の事象がサイバーテロというメディア用語で語られることに注意しなければいけません。

 

この図は、サイバーテロという用語が、国家責任が発生する場合であると否とを問わず、また、生命身体・財産の損壊という要素がなくても、使われる用語であるということを示しています。メディアは、このように、テロという言葉のインパクトの強さを利用して、記事のインパクトを強めようとすることがあるので気をつけないといけません。

ところで、テロのインフレ化を嘆いていれば、いいわけではないというのが、サイバーテロリズムという用語の問題点です。

実は、国際連合が「国家そして人民間の友好関係を脅かすもの、国家の安全および領土的一体性を脅かすもの」をも、テロリズムの概念で理解するということにしたので、テロリズムの中に、いわば、国家の主権を侵害する行為が含まれるようになったのです。普通は、国家の主権(領土・国民を統治する権力)をおびやかすのは、国家の行為だったわけで、テロリズムは、国家間の権利義務とは、関係のないところで論じていればよかったわけです。テロリズムは、犯罪であって、国家の関係である国際法とは無関係ということがいえたわけです。ところが、国家の主権を侵害する行為としてのテロリズムも、テロリズムという用語で検討する必要がでてきたわけです。国際法的には、国際的違法行為(international wrongful act)なわけですが、これもテロリズムという概念の中に含みうることになります。もっとも、国際テロリズムといっても、国内法的には、構成要件に該当する違法な行為になるので、犯罪を構成することになります。
これを示したのが、次の図になります。

この図は、国内法の次元から、サイバーテロ(再広義)を分析したものです。一番右側が、ボヤけているのは、理屈的には、国内法的には、違反するけど、国家が非公然行為として活動するので、証拠は残らず、国内法として処罰することが困難であるということを意味しています。

非国家主体であっても、国内法に違反すれば、その法執行として処罰されることになります。ただし、国際的な要素のために証拠の収集、身柄の引き渡し等に困難があるために、処罰の困難性があることになります。

そうだとすると、国内法によって実力をもって、防衛行為をなしうるようにできないのか、という問題もおこります。国内法執行機関による防衛行為/民間による防衛行為です。「サイバーテロに対する対抗的な手段」「サイバーテロの対策のコメントください」というようなメディア用語は、この部分(国内法的な防衛行為)を指していたりするので、(以下のような国家責任の生じる行為に対しての国としての対抗措置の問題と混乱しやすく)非常にやっかいです

次に国際法の次元からサイバーテロを検討することにします。このような観点から、次の図を説明することができます。

一番左側がぼやけているのは、これは、国際法の側面から見たときに、国家責任が発生しえないようなサイバーテロは、国際法として検討されるレベルに出てこないということをものがたっています。

そこから右側は、国際的違法行為(international wrongful act)というように分類されます。この場合には、国際法の見地から、対抗措置の問題が発生するので、このような対応でもって、問題を解決すればいいのではないか、ということになります。サイバーテロリズムには、国際的違法行為(international wrongful act)を含まないという用語法ができるわけです(狭義のサイバーテロリズム)。法的には、このような用語法が一般的に思えます。

一番右側が、国家によるサイバー攻撃・サイバーインテリジェンスです。単なる情報操作であっても、国家主権侵害性があるのではないか、というのが、一番右側が、Y軸の上にはみ出ている問題点です。

右から二番目は、国家責任が発生するサイバー作戦を示しています。この国家責任が、どのような場合に発生するのか、という論点については、国連のガイドラインで、効果的な支配(effective control)基準で判断するということになります。

その左は、現在においては、国家が、デューデリジェンスを行使しない場合には、その国家において、被害国にたいして、国際的違法行為であるとして対抗措置をとることができます。(デューデリジェンスについては、論文を公表する予定です)さらにこの対抗措置には、有形力の行使も含まれるわけですが、わが国においては、どのような仕組みで、どのように発動するのかという国内法の整備の問題も起こりうるわけです。

なお、これは、デューデリジェンス違反による結果が甚大(武力攻撃レベル)の場合には、自衛権の行使としての武力行使が正当化さることになります。いわゆる対テロ戦争におけるアフガニスタンに対する空爆は、この理で正当化されると考えられています。

ということで、メディア用語のサイバーテロを離れたとしても、国際的サイバーテロリズムは、国内法の観点からみるのか、国際法の観点から見るのか、というのでいろいろな論点を含んでいることがわかります。

 

 

カテゴリー: 対抗措置, 情報セキュリティ | (国際的な)「サイバーテロ」の用語について はコメントを受け付けていません。

CyCONの予稿集

CyCON 2017の予稿集が公開されています。ページは、こちらです

Kubo Mačák 氏のThe Impact of the Development of the Cyber Law of War on General International Lawは、いろいろいな次元から、サイバー国際法の発展を述べています。講演のほうは、こちらで。

あと、 Peter Z. Stockburger 氏のart10は、国家責任に関する「実効的なコントロール」理論から、国家実行が「コントロールと能力」テストに移行しているのではないか、というのは、個人的には、個々の国家実行についての解釈が事実誤認?というところはありますが、問題提起としては興味深いと思います。(講演は、同じページで)

Eliza Watt氏のart 06は、人権法の域外適用・そして、その効力について検討するもので、議論としては、興味深いです。(個人的には、解釈論としては無理があるようにも思いますが)紹介されている英国の判決例は、いつか調べたいです。(講演は、こちら)

このあたりは、講演を聞いて興味深かった論文ですね。Eliza氏の論考は、きちんと判決例からも見てみたいですね。

Martin LibickiのThe Coming of Cyber Espionage Normsは、サイバー規範をさらに詳細に検討しています。

Max SmeetsのOrganisational Integration of Offensive Cyber Capabilities:A Primer on the Benefits and Risksは、攻撃的サイバー能力の検討です。OCC(Offensive Cyber Capabilities)というのは、わが国でも、「サイバー攻撃能力」と呼ばれいてるかと思いますが、この用語が何を指すのか、この統合というのは、どういうことか、わが国にどう当てはまるのか、というのは、研究する必要がありますね。

Mission Assurance:Shifting the Focus of Cyber Defenceは、能力と資産の機能とレジリエンス(柔軟な維持能力)を保護し、確かにするというミッション・アシュアランスというのが、サイバーでどのように考えられるのか、また、集団自衛というのがどのように認識されるのか、という問題提起のようです。

あと、Kenneth GeersのCore Illumination: Traffic Analysis in Cyberspaceは、Traffic Analysis を詳しく分析しています。個人的には、じっくりと読んでみたいですね。

今回の予稿は、技術的分野が少ない用におもえます。私的には、分析のしがいがあるのですが、うまく分析の時間を見つけられるといいなあと思います。

カテゴリー: 未分類 | CyCONの予稿集 はコメントを受け付けていません。

CyCon2017 travel memo 11) Day4

タリンからは、ヘルシンキまで、フェリーで2時間弱でした。前は、中央駅から、すこし遠いところのホテルでしたが、今回は、中央駅の真ん前のHotelli Seurahuone Helsinkiというホテル。なんといっても、便利な環境です。空港までも、中央駅からFinAirのバスでいけます。
Forumというデパートの地下のフードコートで、腹ごしらえして、この日は、終了。

6月3日は、ヘルシンキを観光です。いい景色で、マーケット広場を歩いて、腹ごしらえ。

あとは、ヘルシンキ大聖堂は、壮観。

ということで、充実した旅行でした。

しかも、帰りの飛行機の中でみた映画が、”Hidden Figures“です。

本当によかったです。IT業界関係者には、特におすすめです。計算好きのあなた。コンピュータや宇宙好きのあなたにもおすすめです。
だまされたとおもって見ましょう(日本公開は、9月だそうですが)。

あと、IBMは、Hidden Figuresのこのようなページも作っています。
Overlooked heroes from technology’s early days inspire tomorrow’s STEM leaders

STEM(Science,Technology,Engineering,Mathematics)というのは、注目すべき言葉ですね。この映画とともに流行らせたいですね。(だって、セキュリティ人材が不足するとかいうだけで、お給料を増やしましょうとか、STEM教育を充実させましょうとか、という言葉は出てこない国ですからね。何事も、根性で、乗り越えられるとおもっているんでしょう)
(Tech crunch STEM〔科学・テクノロジー・工学・数学〕教育の将来は12歳女子の教育にかかっている
映画「Hidden Figures」は、女の子たちをSTEMヒーローの道へと誘う)

“Hidden Figures”っていうタイトルで見ていてよかったような気もします(FinAirですから日本語の説明は、なかったと思う?)。もし、「ドリーム 私たちのアポロ計画」とか、だったら、みていたかな?。宇宙ものは、好きなので、見ていたとは思いますが、邦題にセンスがないなあと。(もっとも、邦題は、アポロ計画の文言を削除したそうです-こんなので、炎上商法しないでほしいですが)。

CodeBlueで、STEM教育関係で、この映画とも関係づけて、誰か話してくれるといいですね。そういう社会を動かせるような話を聞けるコンフェレンスにしていきたいですね。(去年は、e-Estoniaの話を聞けたんですよ。->ITの世界の最先端のアンテナでしょ)

カテゴリー: 未分類 | CyCon2017 travel memo 11) Day4 はコメントを受け付けていません。

CyCon2017 travel memo 10) Day3

CyCON 最終日は、みんなディナー(とそのあと)のつかれが残っているのか、ゆったりめの出足です。

最初は、Plenary Panel: Cyber Defence Exercises – Locked Shields, Cyber Europe and Cyber Coalition
Mr. Jim Ngさんの司会で、
Mr. Tom Koolen, Collective Training and Exercises, NATO Communications and Information Agency
Dr. Rain Ottis, Associate Professor, Tallinn University of Technology
Dr. Panagiotis Trimintzios, NIS Expert, Programme Manager, ENISA
から、サイバー防衛演習のパネルです

Trimintziosは、”Cyber Europe”のオーガナイザーですが、たくさんの国から、サイバー防衛の演習をするという意義があるという話でした。
Ottisさんは、CyCONの技術のアドバイスをしているすが、どのように運営するのか、どのようなタイプの技術的問題があるのか、ということを検討することが、主たる仕事であるとのことです。そして、社会を発展させる、ためのシナリオを作成し、現時点においての技術を入れ込むとのことです。このような作業には、リソースが必要になってきます。
また、どのように構築するのか、という点については、どのように組み合わせるか、というのをみて、効果的に、演習を特定化します。

成功させるためのポイントについてのディスカッションになって、
Ottisさんは、小さく始めること、すべてのステップが挑戦になる、最初の年が成功すれば、次の年は、目的を設定することになる
Koolenさんは、資金をかけることと、成果は、金銭では評価することができないことに留意すべき
ということになりました。

次のパネルは、Plenary Panel: Cyberstability and the Future of the Internet
前にも触れましたが、Ms. Marina Kaljurandは、サイバー空間安定化グローバル委員会のコミッショナーです。
パネリストは
Mr. Carl Bildt, Chair, Global Commission on Internet Governance
Mr. Michael Chertoff, Co-Chair, Global Commission on the Stability of Cyberspace
Prof. Wolfgang Kleinwächter, Professor Emeritus, University of Aarhus
Mr. Jeff Moss, CEO, DEF CON
Ms. Latha Reddy, Co-Chair, Global Commission on the Stability of Cyberspace
です
最初のJeff Mossは、技術的な観点からの、独立的な専門家の支援が重要であるという話がなされました。
Latha Reddyさんは、インドの方ですが、インドは、いまや、5億人が、接続しているようになりました、という話です。
Chertoffさんは、サイバー空間安定化のためには非常なリソースを必要とするという話をしました。
Bildtさんは、10年前には、スマートフォーンで、今は、仮想現実などの技術が出てきている。まさに技術が破壊的なイノベーションをもたらしている。
Kleinwächterさは、デジタル・エコノミーが進化し、すべてがデジタル化しているという話でした。
このパネルで興味深かったのは、Kaljurandコミッショナーが、サイバー空間安定化グローバル委員会の独自性?をCyCONで強調しているように聞こえたところでしょうか。
彼女は、法律家なので、国際法と政治的規範の違いはわかっていますとして、政治的な規範は、国際法でまだ決まっていないことを決めようとするもの。政治的規範は、政治的規範を守ろうとすることです。経済的インフラをまもろうというシナリオを作成することが、そのようなことです。技術的なコミュニティには、サイバー(空間)安定化とサイバーセキュリティを実現してもらいたいと希望します。ということでした。

ここら辺になると、法と規範の定義になってくるので、具体的には、なんともいえないところです。成文化されたものを法といい、それ以外のものを規範というのは、一つの定義といえますね。実質的法源という用語を用いると、規範意識の伴う国家実行も国際法の一部となるのでしょうから、ほとんど、違いがなくなるのかな、とか思ったりします。難しい問題ですね。

今一つは、Jeffが、サイバーセキュリティの議論の用語が、あまりにも、ミリタリすぎるのではないか、という疑問を呈したところです。「攻撃(attack)」「キルチェーン」「サイバー弾丸(bullet)」とか、あまりにも、用語が軍事的すぎており、実際のサイバー世界で起きていることとは、距離があるのではないか、という疑問でした。
この点は、私も同感なのですが、このパネルでは、具体的な突っ込んだ議論はなされませんでした。

世界各国の軍の関係者において、サイバー作戦の議論がなされており、しかも、その攻撃的な利用についての準備がなされていることは、十分に理解するのですが、個人的には、すべてをその文脈で理解することはできないし、むしろ、バランスを失するのではないかと常々おもっています。国際法的な分析の意味は、十分にあるとは思いますが、国内法の国際法の側面のほうがはるかに実際の問題に関係しているし、むしろ、今後は、国内法と国際法の両次元の出会う部分の研究が一番重要になるのではないかな、と考えています。

あとは、Q&Aになって、Jeffが、共有地の問題を考えないといけないね。コモンズの悲劇とか、ただ乗りの問題があると指摘したのは、本当にそうだなと同意してました。

最後のキーノートは、Wade Shen氏による「情報ドメインと紛争の将来」です。
Sputnikが1957年10月4日に宇宙にいってから、サイバースペースで勝利することは、課題となってきていました。そのためには、
(1)ハックの不可能なシステムを作る
重要システムの交換、構築されていないシステムの利用
(2)攻撃の自動探知
スモール・ボット・ネット テスト、機械学習
(3)レスポンスの自動対応
信頼できるミッションのために自動化
孤立化・損害の最小化が対象になるとされます。
(4)今後
自動的な防衛として、脆弱性の探知と自動的なパッチがなされるようになるでしょう。
とのことでした。

でもって、終了です。来年は、10回目の記念ですというコメントがなされて、また、来年もあいましょうということで解散。来年のテーマは、発表されませんでした。
ペーパーに載るくらいの論文がかけるといいなあとか思ったりします。

ということで、解散。

広場に遊びに行ったら、ガールズバンドがライブをやっていました。すこし、寒かったので、きれいな脚は、コートで隠されていました。

ターミナルDから、ヘルシンキに向かいます。

カテゴリー: サイバー規範, 情報セキュリティ | CyCon2017 travel memo 10) Day3 はコメントを受け付けていません。

CyCon2017 travel memo 9) Day2 午後の部 その2

Day2 午後の部は、法律が終わると、あとは、法律がなくなるので、ポリシのセッションに移動です。
Mr Alex Klimburgの司会で、

Mr. William H. Saito, Special Advisor to the Cabinet Office, Government of Japan
Dr. James Lewis, Senior Vice President, Center for Strategic and International Studies
Ms. Elina Noor, Director, Foreign Policy and Security Studies, Institute of Strategic and International Studies Malaysia
Prof. Isaac Ben Israel, Head of the Blavatnik Interdisciplinary Cyber Research Center, Tel-Aviv University
Mr. Olaf Kolkman, Chief Internet Technology Officer, Internet Society
のパネルディスカッションです。
タイトルは、「Nations Preparing the Battlespace」です。

NATOだから、仕方がないわけですが、CyCONの最大の課題は、ミリタリ・アプローチの限界がなかなか議論されないということかな、と思います。日本にいるよりは、国際的には、「有形力行使に結びつくサイバー作戦」のコントロールというのは、きわめて大きい課題であることは、わかるのですが、そのような有形的な結果をもたらすのが、決して容易ではないというのが、なかなか、会議の中で、共有されていないような気がします。この「Battlespace」という用語は、そのような課題を明らかにしているようにおもえました。

さて、ウイリアム斎藤さんは、日本の対応を述べて、あと、各国のポリシの話のご紹介でした。そのあと、議論は、国際法の有効性に移ってきました。この点は、国際法の世界の人にとって、国際法も、法であることは、当然なのです(確かに、以前から、議論はありますが)が、外の人から、何かいわれてもなあ、という感じで、あまり集中できなかったのが、本当のところです。

ただ、日本と「Battlespace」との関係だと、どうしても、国内法としての憲法との関係、統一的な諜報組織の不整備などが議論されるべきだったような気もしますが、世界的には、そこら辺は、あまりにも、ささいな問題と認識されるのでしょうかね。

Dinnerは、Seaplane Harbourです。
潜水艦があったりとか

大砲の展示があったりとか

です。

あと、アトラクションとしてのコーラスグループも登場です。

日本グループで話したり、国際法の若手の先生たちと話をしたりしました。Codeblueにおいでとかもいっぱいいってきました。

あとは、二次会までいきました。二次会では、日本のアニメの話とかをしたりした記憶があります。今回は、早くて、午前1時には、ホテルに到着していた気がします

カテゴリー: 未分類 | CyCon2017 travel memo 9) Day2 午後の部 その2 はコメントを受け付けていません。

CyCon2017 travel memo 8) Day2 午後の部 その1

Da2の午後は、”Emerging International Law Applicable to Cyberspace”という法律セッションです。

Mr. Sean Kanuck氏は、サイバー空間安定化グローバル委員会のリサーチ・アドバイザリグループの議長ですが、 ‘The Core of Defending Cyberspace: Legal Limits Emerge from Strategic Reality’というタイトルで話をしました。サイバー空間安定化グローバル委員会というのは、ジョゼフ・ナイの記事のエントリでもふれたのですが、UN GGEのサポートだそうです。Day3の午後から、会議をタリンで開くということで、関係者が、CyCONと掛け持ちです。

世界範囲での脅威の評価という国家インテリジェンスの役割が、重要であり、歴史的な文脈での理解が必要であるといいます(宇宙法と同様。そして、平時においても、戦時と同様に攻撃的な能力が、必要であるといいます。これに対する規範は、ジュネーブ条約であって、ハーグ条約ではないです。重要となっている概念の傾向は、介入(Intervention)、産業およびインフラ、間接的、情報のインテグリティであるということができます。
国際司法裁判所は、その規定(statute)38条(1)で「国際法に従って裁判することを任務とし、次のものを適用する。」
a 一般又は特別の国際条約で係争国が明らかに認めた規則を確立しているもの
b 法として認められた一般慣行の証拠としての国際慣習
c 文明国が認めた法の一般原則
d 法則決定の補助手段としての裁判上の判決及び諸国の最も優秀な国際法学者の学説。
としているのですが、規範的なものと積極的な実行とのジレンマがあります。

これらのものを明らかにするためには、共通の行為(commonality)を明らかにして、実際の問題となるおそれを明らかにして、ルールを提案することによって発展させる必要があります。

Kubo Mačák博士は’From the Vanishing Point Back to the Core: The Impact of the Development of the Cyber Law of War on General International Law’というプレゼンです。昨年、CyCONで、すこし話をした英国の大学の先生です。となりに座ったので、覚えている?と聞いたら、覚えていてくれたので、今年は、いろいろとお話をしました。とにかく、優秀な人です。でもって、プレゼンも最高です。(なお、以下は、むしろ、セッションペーパーからのまとめになります)
このプレゼンのコンセプトは、以下の図であらわすことができます。

「Vanishing Point(消失点)」という表現は、Hersch Lauterpacht卿の「戦争法は、国際法の消失点である」という言葉に由来します。 サイバーセキュリティを検討していくのに際して、ミリタリアプローチから、その外側へと考察が広がっていくことになります。すると、国際法の概念のなかに、いままでの議論が溶けていくような感覚を示している言葉だと理解しました。

そして、この広がりは、システム的、概念的、目的論的(teleological)から、観察することができるとしています。

システム的次元というのは、もともとは、国際法は、戦時の法と、平時の法を峻別するというのでできています。そして、サイバー作戦に対する国際法の検討は、もともとは、戦時の法に関してなされてきています。タリンマニュアルが、戦時の法を主たる領域として、考察していたのは間違いない事実になります。ある意味、米国のミリタリ・プロジェクトを反映していたのです。ところが実態は、当然に、武力攻撃の閾値にいたる攻撃は、ほとんど考察しがたいのです。そこで、実態に則した考察をなしたときに、不介入、主権、国家責任の問題に考察の重点が移ってきました。タリン2.0の重点の移行は、まさにこの次元からのものということができます。

概念的次元というのは、戦時の法から、一般的な国際法へと思想、概念、アプローチの移行を考えることができるということです。国際法におけるサイバー作戦の非物理的な影響に概念化について考えます。文民は、「攻撃」対象には、されないというのが、戦時法の規定になります。では、これがサイバー作戦において、どのような適用がなされるのか、具体的には、この文民「攻撃」禁止の規範が適用される「攻撃」とは、何をいうのか、という問題があるのです。
この点についての一つの説は、「バイオレンス」をもちいることをいう(有形力にこだわらない)という説で、その一方で、ある説は、生命・身体・有体物の破壊をいうとします。タリン・マニュアルにいては、機能テストが採用されています。そして、その結果として、この機能テストが一般的な国際法の概念に対しても適用されるようになってきているのです。

目的論的(teleological)というのは、戦時の法の規制が、一般の原則にも適合しうるのではないかということです。フランスのTV5への攻撃で、TV5は、12チャンネルにわたって、12時間放送ができなかったのですが、攻撃対象の規制から考えて、違法とすべきではないのか、ということになってきています。主権侵害、違法な干渉行為ということもできますが、かかる規制違反から違法とすることもできるのではないか、ということがいえます。

非常に示唆に富むプレゼンかと思います。タリン1.0が「実用的ではないね」というのを、認めた上で、国際法の一般規定とサイバーの関係を明らかにして、今後、戦時の法原則を平時にどのように取り入れるかが、一つのポイントになるだろうということかと思います。デジタル・ジュネーブ条約が、戦時と平時を混ぜてるのではないか、ということを、ここで書いていましたが、ある意味で、今後の国際法とサイバーセキュリティの進む方向として、戦時のルールをもとにした平時のルールの構築ということになるのではないか、というところまで考えさせてくれます。

Peter Stockburger氏の- ‘Control and Capabilities Test: Toward a New Lex Specialis Governing State Responsibility for Third Party Cyber Incidents’ (proceedings paper)
になります。

このプレゼンは、国家責任の成立する場合について、国連の国家責任ガイドラインの解釈が、国家実行のなかで、別のテストに移っているのではないか、という提案になります。
大原則としては、国家は、国際的違法行為(international wrongul act)に対して、責任を負うが、それは、(事実上、もしくは、法的に)国の機関がなした行為に対して責任をおうにすぎません。言い換えれば、単純な私人の行為に対しては、責任を負うことはないのです。しかしながら、一定の場合においては、私人の行為が、国家に帰属することがあると解されています。それは、どのような場合かというのが問題である。特に、サイバーについては、私人が、国家機関と同様の作戦を実行することができることから、この国家責任が成立するのは、いつか、という問題が重要とされています。

私人の行為が、どのような場合に国家の行為と認識されるかという論点についての従来の判断でもっとも代表的なものは、ニカラグア事件についての国際司法裁判所の事件です。また、一般的なものとして国連のILC(国際法委員会)による「国家責任条文」があります 。この第8条は、「もし、私人またはそのグループが、行為をなすにあたり、実際に、国家の指示もしくはコントロールを受けている場合には、彼らの行為は、国家行為と考えられる」としています。一般には、「効果的コントロール」テストといわれています。そして、タリンマニュアルの国際法専門家たちも効果的コントロールテストが、一般ルール(lex generalis)であると認めているのです。

しかしながら、Stockburger氏は、2014年の国家実行(state practice)は、サイバー作戦について、特別ルール(lex specialis)として、「コントロールと能力」テストが採用されているのではないか、と主張しています。「コントロールと能力」というのは、第三者の手法、動機、場所と国家が同様の能力を有しているかで総合判断するというテストといえるようにおもえます(paperでは、明確な定義はない)。
そして、彼は、Sony 2014、Iran2016、Russia 2016/2017、Yahoo breachをこの国家実行としてあげていました。

個人的な意見としては、Sony2014とRussia 2016/2017については、米国政府の認定は、むしろ、国家機関の行為であるという認定だったはずなので、彼の主張は、法的なものとして、独自ではないか、というように考えています。質疑応答の際にも、不明確なテストで広げるのは、賢明ではない、という立場からの質問がなされました。

もっとも、現在の国際法の立場としては、国家のデューデリジェンスの立場から、国家責任が認められるようになってきているので、むしろ、そちらのほうに、関心が移ってきているのではないか、というようにも思いました。

カテゴリー: サイバー規範, 情報セキュリティ | CyCon2017 travel memo 8) Day2 午後の部 その1 はコメントを受け付けていません。

CyCon2017 travel memo 7) Day2 午前の部

Day2の午前の部です。夕方には、ディナーもあるし、ある種、ハイライトの日です。

Mr Martin Ruubel( President of Guardtime)による「政府、防衛、そしてブロックチェーン-ハイプを超える?」という講演です。

Guardtimeは、KSI blockchain技術を商品化している会社で、今回のCyCONのスポンサーさんの一つです。アイスブレーカーの会場は、Guardtimeさんのロゴが、舞っていました。さて、サイバーセキュリティを考えるときに、正確な記録プロセスをインテグリティをもって行うこと、それには、ハッシュ値が有効になります。
FireEyeのレポートによると、企業は、侵入を受けてから、それに気がつくまで、205日ほどかかってしまう。同社は、2008年春から、政府の仕組みに導入をなし、2012年からは、すべての重要なデータをブロックチェーン技術を用いて、記録するサービスを開始しました。
Ruubel氏によると、ロッキードマーチン社においても利用されており、ブロックチェーンは、軍をブロックチェーンに乗せるものではなく(NOT)、ネットーワーク、システムとデータのインテグリティを確保するものであり(IS)、既に、利用可能である(READY)であるものです。

次は、Katie Moussourisさんで、彼女は、Luta Security, Inc.のCEOで、脆弱性開示およびバグ・バウンティの専門家です。

私は、IPAの脆弱性研究会の早期警戒パートナーシップの枠組みづくりに2003年から取り組んでいることもあって、非常に今日にある講演です。テーマは、”Existential crisis;Theatre of Absurd”(実存的危機-不合理の劇場)です。

彼女は、ワッセナーアレンジメントに2013年に、侵入ソフトウエアが加わった話、脆弱性開示、侵入テスト、バグバウンティについて説明します。また、英国の脆弱性コーディネーション・パイロットのアドバイザを務めており、そのパイロットプログラムで協力したというアナウンスは、こちらになります。

講演終了後に、彼女と日本の脆弱性の早期警戒パートナーシップのことを参考にしているだろうということを聞きました。昨年、日本とも情報交換をしているという趣旨の話をしていました。なんと、カラオケファンとのことで、ぜひとも日本であいたいね、そのときは、西麻布に連れて行くよ、という約束をしました。

Michael Schmitt先生の講演は、タイトルは、「Tallinn Manual 2.0 & Gray Zones in International Law」です。このブログで、たびたび紹介しているタリン2.0の発表パネルでもふれられた内容がメインでした。
Tallinn Manual 2.0 は、平時の法をも対象にしており、総合的な性格を有している。ロシアの近時の動向は、タリン2.0においても、いまだ明確な解釈が与えられていない論点によるものであって、非常に「賢明」な行動ということがてできるであろう。法的には、グレイゾーンがあり、また、対応行動は、複雑な要素を有する。米国民主党全国委員会ハック(DNCハック)は、その意味で、非常に賢明なものであった、とい評価される。

また、攻撃者特定(アトリビューション)も難しい問題である。法の合理的判断によるが、2007年のエストニア・ロシア問題のように難しい問題である。インテリジェンスも利用した、事実問題ということになる。
また、政治のレイヤーになり、政治家が入ってくる。
国家責任も問題となり、規範に同意するものも国家である。小国家もステップに入ってくることができる。国家がスタートということになる。

そのあとは、Plenary Panel: Defending the Core – Critical Internet Infrastructure and IoT-Enabled Threatsでした。

パネリストからは、ボットネットの話、IoTデバイスの話、ハックバックの話などがでました。しかしながら、どうもハックバックという用語が、きわめて、感覚的に使われているような気がして、個人的には、あまり、真剣に聞けませんでした。ということで、詳しくは、スルーということでご容赦のほどを。

ということで、お昼となりました。

カテゴリー: 情報セキュリティ | CyCon2017 travel memo 7) Day2 午前の部 はコメントを受け付けていません。

CyCon2017 travel memo 6) Day1 午後の部

午後は、”Law Session: International Humanitarian Law and Cyber Activities”を、前の2列目あたりで、聴講しました。名物 マイク・シュミット教授とは、2015年のブートキャンプで、特訓を受けたこともあって、顔なじみという感じになりました。挨拶したときに、タリン2.0の出版パネルは、すごい面白かったです、と感想を述べて挨拶しました。

このパネルの前半は、Dr. Russell Buchanさんのモデレートによるユス・イン・ベロに関するセッションです。

Mr. Laurent Giselは、赤十字国際委員会法律顧問(Legal Adviser, International Committee of the Red Cross (ICRC))ですが、 ‘サイバー敵対行為の効果に対する国際人道法と基本的民間インフラの防護の確保のチャレンジ(IHL and the Challenges in Ensuring the Protection of Essential Civilian Infrastructures against the Effects of Cyber Hostilities)’の発表です。

まずは、赤十字国際委員会は、2015年の報告書でも明らかですが(すみません、報告書は ここにあるのですが、どの部分を指しているかは、よくわかりませんでした)、人的コストのかかること、民間インフラの脆弱なこと、相互接続性の問題を基本的に懸念しているということです。ここで問題となるのは、「両用」の対象の問題です。(文民は、攻撃の対象としてはいけないとされていますが)、タリンマニュアル2.0では、101で、両用の場合は、軍事対象となるとされています。ただ、サイバースペースでは、 冗長性とレジリエンスが考慮されるべきであるとされます。文民対象物に対する偶発的な危害は、許容されることになり、無差別攻撃の禁止と事前通告が、実際の要件ということになります。現在は、国際人権法が適用されるかどうかではなくて、どのように適用されるかという問題であるということができるでしょう。ウクライナの電力発電所に対する攻撃作戦は、適用がなされることになります。また、医療等のデータは、どうか、ということになります。タリン2.0では、ルール100で、データは、対象ではないとされています。ということは、作戦の対象になりうるということです。また、サイバーウエポンという用語についての定義はありますが、運動(kinetic)兵器よりは、標準化されているとはいえません。

これに対して、質疑応答で、シュミット教授から、基本的な民間インフラに対する特別の保護についての質問(というか解説)がありました(シュミット先生自体は、この説をとっていなかったような気がします)。「基本的な」とは何か、ということなのですが、それは、特別な保護を要するのは何か、という問題に戻るというようなやりとりがなされました。

Dr. Heather Harrison Dinniss, Senior Lecturer at the International Law Centre of the Swedish Defence University – ‘The Nature of Objects: Data as a Military Objective’ということで、彼女の主張は、、「The Nature of Objects: Targeting networks and the challenge of defining cyber military objectives」、で明らかにされているとのことです。
基本的には、論点として、対象のmateriality、Qualification、Specificityが問題となります。
materialityは、仮想化・インテグリティ・データが問題となります。
Qualificationは、nature, location, purpose or use, make an effective contribution to military action(なお、追加議定書 52条(2))
Specificityについては、紛争当事者がどの程度まで、特定すべきなのか(具体的には、コードなのか、コンポーネントか、システムか、ネットワークか)
という問題があるということです。

Mr. Tassilo Singer, Research Associate, University of Passauの主張は、 ‘The Extension of the Period for Direct Participation in Hostilities Due to Autonomous Cyber Weapons’ (proceedings paper)として論考集に採録されています。これは、敵対行為の直接参加(Direct Participation Hostilities,DPH) の論点です。なお、この直接参加の論点については、、赤十字国際委員会のマニュアル、が参考になります。
さて、直接参加とされると、この間は、そのものが文民として受けている直接の攻撃からの保護(上述のように文民は、攻撃の対象としてはいけないとされています)を受けなくなります。この点について、サイバーにおいては、特に回転ドア(昼は farmer、夜は、fighter)の問題がありえます。具体的には、攻撃を自動コントロールにすることができ、また、将来のポイントを起動するポイントにすることができます。また、時間を指定するロジックボムも使えるのです。この考えられる時間枠を延長することを提案しています。

ということで、休憩をはさんで、後半になります。

後半は、The Right to Privacy Onlineです。
Ido Sivan-Sevillaさんの講演からです。Idoさんとは、前日、アイスブレーカー懇親会の場所がわからなくて、すこし話していたところ、イスラエルから来たんだと話していたので、Kerenさんを日本に呼んだんだよ、とかいって、いろいろと話すようになりました。「Dynamic Tradeoffs: Security and Privacy in Cyberspace in U.S. Laws and Regulations 1968-2017」というタイトルで、1967年の最高裁決定(Katz v. United States)から、2017年までの動向を、行政府、立法府、司法府にわけて、また、具体的に法執行、国家安全、サイバーセキュリティの観点から、プライバシー保護と、それを弱化する動きから、具体的な動向を分析するプレゼンテーションでした。非常に興味深い分析でした。

次は、Ms. Eliza Wattさん( Visiting Lecturer/Doctoral Researcher, University of Westminster)の ‘The Role of International Human Rights Law in the Protection of Online Privacy in the Age of Surveillance’ というプレゼンです。
このプレゼンは、今回のCyCONでも、一番、興味を持ちました。まさに、バルクによる監視が許されるのか、それを国際人権法の観点から考えるというものでした。彼女が問題として提起したのは、市民的及び政治的権利に関する国際規約(International Covenant on Civil and Political Rights、ICCPR)17条と、ヨーロッパ人権条約(European Convention on Human Rights)8条です。まず、英国においては、制定法において、法執行機関・情報機関において、国内通信と国際通信についての峻別がなされています(RIPA2000.8条、Investigatory Powers Act136条(3))。
この峻別が許されるのか、というのが彼女の問題提起です。これに関しては、英国においては、捜査権限審判所におけるいくつかの判断がでています。具体的には、Privacy Internationa ほか対GCHQほか(2014)、Human Rights Watch 対 外務・英連邦大臣事件(2016)があります。
解釈論としては、ICCPR2条(1)の「この規約の各締約国は、その領域内にあり、かつ、その管轄の下にあるすべての個人に対し、人種、皮膚の色、性、 言語、宗教、政治的意見その他の意見、国民的若しくは社会的出身、財産、 出生又は他の地位等によるいかなる差別もなしにこの規約において認められる権利を尊重し及び確保することを約束する。」の文言の「管轄の下」をより広く解することによって、これらの事件によって、国内・国外の区別なしに、一般的傍受を違法なものとすることができるのではないか、という問題提起でした(virtual control testの採用を主張)。
実際に、解釈論としても、バルクの国際通信の傍受を違法とした、英国の審判所の判断があるということです。これらについては、また、おって詳細に研究したいとおもっています。
このプレゼンに対して、海外の通信に対するインテリジェンスは、国際法的には、違法にはならないのではないかという質問がなされました。Elizaさんの回答は、国際人権法的には、違法になるのだ、という主張をしていました。個人的には、国際法的な理論と、特別法とでもいうべきICCPRの衝突なのか、また、ICCPRは、それ自体で権利を制限するのか、という論点があるなあと考えました。難しい論点かもしれません。

あとは、 Lucy Purdon, Policy Officer for the Global South, Privacy International – ‘Cyber Security & Privacy: Giving The Tin Man A Heart’です。が、個人的には、彼女は、法律専門家ではないようですし、PIのポジショントークに終始していた印象だったので、スルーしました。

ということで、午後の部は、終了。
さすが、CyCONの法律の部は、面白いです。(もっとも、ポリシの部もかなり面白かったみたいですが) 安定のクオリティですね。

夕御飯は、タリンのタウンホール前のレストランで、地元のSakuビールを飲みながら、お食事。
Old town daysなので、8時からは、楽団の演奏が始まりました。

そのあとは、バンドの演奏。楽団の演奏は、ゆったりとレストランでビールを飲みながら聞いていましたが、バンドの演奏は、ちょうど帰ろうとおもっていた時だったので、真ん前で、青空の下、ディスコ状態で、45分くらい踊りました。これは、 この時期のタリンの一つの楽しみです。

カテゴリー: 未分類 | CyCon2017 travel memo 6) Day1 午後の部 はコメントを受け付けていません。

CyCon2017 travel memo 5) Day1 午前の部

Day1です。いよいよ開幕です。と思ったら、今年は、素敵なアカペラでオープニングです。

RSAは、毎回、バンドが登場して、セキュリティ絡みの替え歌を披露してくれて(Roll out some Encryptionなんてのもありました)、いい思い出になるのですが、エストニアは、大人らしく、素敵なアカペラで迎えてくれました。

Svenさんの開幕に続いて、エストニアのH.E. Ms Kersti Kaljulaid大統領のキーノートスピーチです。
昨年までのイルベス大統領は、ボウタイ姿で、キーノートを長めに話し、ついでにパネルにも登場するという大活躍だったわけですが、
(昨年の写真)

Kaljulaid大統領は、ちょっと控えめでしょうか。実業界、経済アドバイザ、ヨーロッパ監査審判所(?)(European Court of Auditors)を経て昨年よりエストニアの大統領です。

大統領は、共通の理解があるとして、サイバー衛生、技術面でのアドバンスの利益をあげます。2016年は、一つの国がほかの国に影響を及ぼした(米国大統領選を示唆?)ということもあげました。また、IoTにより、たくさんのデバイスがつながり、新しい種類のリスクが発生しており、具体的には、電力(ウクライナ発電所の事件)、ヘルスケアなどがあると指摘します。

このような状況のもとで、セキュリティ・バイ・デザイン、eIDを基礎としたセキュリティ、民間企業との連携が重要であると考えています。その上に、国際的に、国際法が重要になると指摘し、法の支配 対 ダークサイドの対立となると指摘しました。

このような状況のもとで、タリン2.0の試み、サイバーレジリエンス、サイバー衛生の重要性を指摘しました。

Sorin Ducaru大使(NATO)は、Raising out Game on MATOと題しての講演です。ポリシの発展を見受けることができ、また、中央NATOネットワーク、NATO防衛プレッジが発表されています。サイバースペースは、独自のドメインとなり、肯定的なマインドセットがポイントとなります。

Paul Nicholas(Microsoft)さんは、Cyber insecurityが見受けられるとして、Digital transformation dilenma(技術の進展によって攻撃が自動化されてより安全ではなくなる状態のようです) があると主張します。 デジタル・ジュネーブ条約の締結を提案します。この条約は、確立された、公平で、包摂的なもので、現状を分析しているところから、より、透明性が加えられるとされています。デジタルサイバー)・ジュネーブ条約については、詳しくは、このブログでは、ここで、検討しています。

Ralph Langner( Langner Communications)さんは、サイバーフィジカルシステムのCIAについてのドクトリンとしての受動的サイバーの力の話をしました。資料は、ここに公開されています。

休憩を挟んで、
Adm. Michelle Howard(提督)のキーノートです。タイトルは、「 リーダーシップと技術のチャレンジ-示唆・機会そして作戦の見地」です。
ちなみに提督は、雰囲気だけで、圧倒されます。

(提督の写真に)https://goo.gl/images/jZArA4

海軍の関係するドメインをこのような図で紹介しました。


それぞれのドメインには、示唆があって
深海は、国際的であること
海上は、光の速度であること
サイバースペースは、「サイバースペース時間」があること
だそうです。 これらの示唆に対する対応が重要であるということでした
次は、サイバーコマンダーパネルです。
Brig Gen Hans Folmer(准将)(オランダ) Lt Gen Ludwig Leinhos(中尉)(ドイツ)です
最初は、ドイツのサイバーポリシで、2016年3月に、サイバー情報技術・サイバー情報ドメインについての推奨事項が公表され、政府の能力を向上させるようにとされました。これを基に、11月に、ドイツのための戦略が交渉され、ときに、軍のインテリジェンス効果の機能を重視することがうたわれているとのことです。具体的に領域としては、重要なエリア・作戦・インテリジェンスがうたわれています。政府のアプローチとしては、サイバーについて関連する図を作成し、作戦指令を行うということだそうです。また、重要な点としては、CISOの責任を重視すること、また、軍にとってはチャレンジになるということだそうです。(ごめんなさい。集中力切れました。これは、ポリシをみてから分析したほうがよさそうです)。
オランダは、サイバードクトリンとして、軍の作戦において利用することができ、いっそう、そのドクトリンが理解されているということです。力を提供するというより、安全を提供しており、その意味で、「延長線」上にあることになる。ただし、サイバーは、「物理ドメインたりうる」ということを説得することは、チャレンジになる。それぞれを理解することが重要であり、人、人、人がポイントである。
サイバー作戦指令ということは、具体的には、まだ、十分ではないということでした。

カテゴリー: サイバー規範, 情報セキュリティ | CyCon2017 travel memo 5) Day1 午前の部 はコメントを受け付けていません。