CyConX travel report Day Two Cyber Norm session

2日目の最後は、私のブログでおなじみDr. Anna-Maria Osulaさん(以下、マリアさんですね)のモデレータによるサイバー規範のセッションです。

国際的なサイバー規範の発展-障害・新たな始まりそして将来(International Cyber Norms Development – Interruptions, New Beginnings and the Way Ahead)です。
ちなみに、セッションの様子は、こんな感じです。

YOUTUBEにもあがりました

最初にマリアさんから、サイバー規範の説明がありました。国際連合のGGE(政府専門家グループ-Group of Governmental Experts on Information Security)においては、法的拘束力あるルール、自発的に遵守されるルール、(国内的な)ルールから成り立つものと理解されている、という説明がありました。

(高橋)この点は、「国際関係において、規範とは、あるアイデンティティを有している行為者の適切な行為の標準をいう。」とされています。そして、「サイバー規範は、• 実際の国家実行・活動を表現するルール• 望ましい国家実行を支援する望ましいルール•一般に嫌悪されるものに基づいた拒絶ルール として理解される」ことになります。GGEの議論については、私のブログの「サイバー規範に関する国連GGEの失敗」をごらんください。

Mr. Ben Hiller氏(Cyber Security Officer, OSCE)は、「規範-サイバー外交における信義の跳躍」(Norms – A Leap of Faith in Cyber Diplomacy)です。

国際政治の観点からみていこうということだそうです。サイバーは、国際的な政治的な立場によって左右されてきました。おおきな文脈が重要だということになります。北朝鮮・ロシア/ウクライナの事件もあります。また、難民の問題も起きています。南シナ海の問題もありますほとんど信頼のないところに混乱がおきているのです。
サイバーセキュリティの政策交渉に何を意味しているのか、ということになります。
国際連合では、4つの柱のアプローチがあります(2015GGE)。

1 規範/国際法 2 信頼醸成手段 3国際協調 4能力向上およびトレーニング です。広い観点からみると、非常に興味深いといえるでしょう。

また、この4つ柱をそれぞれ独立に考えることはできません。 規範を豊かにしていくことが、それ自体、安定性をますといえるのでしょうか。
あと、規範が遵守されない場合にどのように対応するのでしょうか。
現在のプラットフォームを最大化すること-それには、理由があること。
主権は、存在しているし、重視する理由がある。国際的な対話は、信義のもとになされる必要がある。

Mr. Cédric Sabbah氏(Ministry of Justice, Israel)は、”Pressing Pause: A New Approach for International Cybersecurity Norm Development”というプレゼンです。 (ビデオだと25分くらいから)

最初にサイバー規範と実際の国家実行について考えてみましょう。
規範が、国際間の安定について過大な期待がなされているのではないか、ということです。
Hollis氏の論文によると、規範とは、「一定の共同体における適切な、もしくは不適切な行動についての期待の共有」と定義されています。UN GGE2015の報告も規範についてふれています。そして、平和、セキュリティおよび安定性についてのリスクを減少しうる、自発的な、拘束力のない規範があるとしています。
しかしながら、2018年の段階においては、地理的な課題、概念的な課題、技術が急速に発展としての課題となっているという状態です。
複雑な課題があるといわなければなりません。
新しく注目すべき領域として「民間サイバーセキュリティ」を提案します。情報共有、サイバーセキュリティとプライバシー、民間におけるアクティブ防御、クラウドにおけるサイバーセキュリティです。
民間サイバーセキュリティにおける規範の議論は、ボトムアップでなされる過程になります。
まずは、ベストプラクティス(NISTの枠組み)などがあり、その複製が基本になります。また、FIRST、OECD.UNICTRALなどのフォーラムでの議論、民間のサイバーセキュリティ関係者によってアジェンダが議論さ、サイバー外交の成果が、トップダウンでインプットされることになります。ケーススタディが、実際の対応が重要な役割をすることになります。また、ブダペスト条約(サイバー犯罪条約)や中国と米国の合意(2015)などが重要な役割を果たすことになります。
フリーサイズの解決策はないです。実際のニーズに応じた対応が規範を発展させることになります。

Jeff Kosseff准教授(Assistant Professor, US Naval Academy Cyber Science Department Developing Collaborative and Cohesive Cybersecurity Legal Principles)は、「協調的/結合された法的原則の発展」(Developing Collaborative and Cohesive Cybersecurity Legal Principles)です

国内法の発展についてより注目すべきであるという立場です。
Kosseff准教授は、サイバーセキュリティ法を情報セキュリティのCIAを促進しようとする国内法をサイバーセキュリティ法と考えます。ちなみに彼は、Cyber Security Lawの著者でもあります。
現在のシステムは、よくできているとはいえないでしょう。機密性については、発展していますが、IやAについては、十分ではないでしょう。議論の目標を、CIAの実現におくべきでしょう。
不十分なサイバーセキュリティは、ワナクライにしてもミライにしてもl世界的なインパクトを与えています。だからこそ、他の国のサイバーセキュリティに関する国内法に関しても関心をもたないといけないわけです。

A国の防御を十分に行うことは、B国にも利益を与えますし、抑止効果を有します。民間企業が防御に従事することに対するインセンティブになります。さらに他の国の成功例・失敗例から学ぶことも利益になります。

GDPRが話題になっていますが、データ保護の利益という考え方は、世界において、十分な理解を得ているのでしょうか。米国における表現の自由という考え方と共通の認識にいたっていないという認識です。セキュリティにおいては、国際共通の理解を得る必要があります。

世界的な規範のモデルとしては、三つのモデルがあります。サイバー犯罪条約(ブダペスト条約)、戦争の法/タリンマニュアル、OECDのプライバシー保護および国際的なデータ流通のガイドラインです。

サイバーセキュリティの法的な原則の目標は、現在のサイバーセキュリティの脅威に対抗するように法を現代化すること、規則の統一化、強制的/協力的な法の調和、サプライチェーンの安全です。

法を現代化すること

 CIA triad(機密性/完整性/可用性の三角形)についていえば、どのようにして、完整性・可用性を取り扱うことができるか、ということです。ランサムウエアをどのようにして停止できるのか、というようなことです。

規則の統一化

情報漏洩通知法は、統一されるべき、一般的な原理は、類似の法を発展させる基礎となるべき、要件を揃えることにむけて前進すべきということができます。米国でいえば、50もの違うほうがあるわけですし、そのなかで、情報の種類が違うと対応が違います。これに対応するのは、きわめて時間を消費してしまうということがいえます。

強制的/協力的な法の調和

規則 対 インセンティブ
他の規制分野との違いとしては、政府の目的は、産業の目的と一致する
公共と民間の協力のための余地が大きい(脅威情報の共有、教育・人材育成、税制度によるインセンティブ)

サプライチェーンの安全

政府と産業界によって、ベストプラクティスについての実質的な対話がなされるであろう。

質疑応答では、どのようにして、協調していくのか、という点についての議論がなされました。

セッション終了後は、宮殿のまえで、パーティ、そのあとは、タウンホールの前のお店で、おもしろいスープを楽しんで、タリン大学の学生さんとなぜか、意気統合して、12時すぎに、ホテルに。

カテゴリー: 情報セキュリティ | CyConX travel report Day Two Cyber Norm session はコメントを受け付けていません。

CyConX travel report Day Two Due Diligence session (2)

Due Diligence sessionの続きです。

Mr. Peter Z. Stockburger(senior managing associate with Dentons)です。彼のテーマは、”グレイゾーンから慣習国際法に-予防原則をいかにして採用し、サイバースペースにおけるデューデリジェンスを透明化するか(From Grey Zone to Customary International Law: How Adopting The Precautionary Principle May Help Crystallize The Due Diligence Principle In Cyberspace)”というものです。同名の原稿が予稿集になります。

デューデリジェンスの考え方は コルフー海峡事件や1996年の包括的核兵器禁止条約の勧告的意見書にも現れています。また、2010年 ウルグアイ川のPulp Mills事件ICJ判決においては、予防原則を認めています。なお、この事件の判決はこちら。この判決では、国家は、「その領域で、または、その管轄におけるいかなる領域においても、発生する活動が、他の国家の環境に重要な影響を与えることを開始するために、いかなる手段をも毛採用すべき義務がある」としています。

この予防原則は、環境法では、一般的なものである。2015年のICJ判決で、コスタリカとニカラグアにおけるコスタリカのサン・ジュアン側における道路検察の事件でも確認されています。

環境分野においては、環境インパクトアセスメントを行うべきとされた。この考え方をサイバーに適用することを提案する。あるべき法(lex ferenda)としての提案です。

サイバーインパクトアナリシス(CIA)は、NIST/DHS/ISO標準の枠組みのもとになされる。国家が、他の国に対して、サイバー活動または、インフラが、国境をまたいだ、損害を惹起するのに利用されるのを知る、または、そうかもしれないと信じる理由がある時に行動し、通知することになる。

Prof. Karine Bannelier(Associate Professor of International Law at the University Grenoble Alpes  ,Grenoble Alpes CyberSecurity Institute )は”確実性と柔軟性-デューデリジェンス原則の作為義務と「変化要素」(Between Certainty and Flexibility : Obligations of Conduct and “Variability Factors” in the Due Diligence Principle)”という講演です。
彼女は、義務の存在とその偽の適用に関する現代の課題についてのお話でした。サイバー領域におけるデューデリジェンス義務は、サイバーディリジェンスといわれるほどになっていること。
しかしながら、「デューデリジェンス原則の規範的不確実性」が現代の課題になっているということです。加重責任(aggravated responsibility)の神話が存在していて、どのように、影響を判断するかというのが課題である、ということです。特に、ヨーロッパ人権条約8条と、大量監視とのバランスが問題になっており、サイバーインハクトアセスメントが必要るだろう、とのことでした。

このあと、質疑応答になりました。

この質疑応答で興味深かったのは、ヨーロッパ人権条約と、デューデリジェンスの義務の関係はどうか、ということになります。シュミット先生からは、各国に対して、国内における人権の擁護を求めており、国際人権法を整備する義務がある、もし、デューデリジェンス義務が衝突する場合には、対応することが「feasible」ではなくなる、ということになるという回答がありました。この点は、すごい疑問だったところなので、疑問解決です。

カテゴリー: 情報セキュリティ | CyConX travel report Day Two Due Diligence session (2) はコメントを受け付けていません。

CyConX travel report Day Two Due Diligence session (1)

Dr. Kubo Mačák先生の司会によるDue Diligence sessionです。タリン・マニュアル2.0のメインテーマは、武力攻撃の閾値(スレッシュホールド-ほとんど、業界人には、日本語化してますね)以下の紛争-低強度紛争(Low Intensity Conflict)の場合についての、主権概念の分析(規則4)、干渉の禁止(規則66)やこのセッションのテーマのデューデリジェンス(規則10)だと思います。

でもって、講師のメンバーが、Prof. Michael Schmitt、 Mr. Peter Z. Stockburger、Prof. Karine Bannelierになります。
Prof. Michael Schmittは、タリン・マニュアルのプロジェクトの筆頭編集者であり、武力行使の基準に関するシュミットスケールでもおなじみです。高橋個人的には、2015年のLaw Courseで、サイバー国際法のブートキャンプの講義を受けたのですが、そのときのメイン講師でもあります。なので、個人的にもお話をさせてもらっていたりします。

Mačák先生の仕切りによるセッションの最初は、シュミット先生の講義です。講演者は、それぞれ15分で、講演することと言い渡されていたのですが、きわめて濃密な授業でした。
講義メモとして、他の資料も含めて、ちょっと講義録風にしてみます。

国家が、国家主権を侵害することは許されません。「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」(パルマス島事件 1928)とされています 。この国家主権は、対内主権(Internal Sovereignty)、対外主権(External Sovereignty)にわけて論じられます。
サイバースペースにおいて、これらの概念が展開される場合、地理的な視点が重要になります。
対内主権(Internal Sovereignty)は、
「国際的な義務に違反しないかぎりにおいて、国家は、その領域におけるサイバーインフラおよびサイバー活動に対して主権(sovereign authority)を行使しうる」(タリンマニュアル ・ルール1)
と考えることができます。(マニュアル2.0では、規則2)

これは、具体的には、(1)サイバーインフラストラクチュアは、国家による法的・規制的コントロールにある(2)領土に関する主権は、国家に対してサイバーインフラを防衛する権限を与える(3)国家は、主権を有するが、管轄権を有しない(例、領域における大使館、軍事施設)場合があるということを意味すると解されています。

対外主権(External Sovereignty)とは、国家がその対外関係において相互に独立であり、自らの意思によって合意したこと以外には、拘束されないということをいいます。
これは、サイバー的な文脈においては、「国際関係において、権限が対外主権を制限する国際法によって限定・制限されていない限り、サイバー作戦に従事することは自由である」ということを意味します。
これは、主権平等原則(主権国家は、相互に対等・平等である)とも密接な関係がある。この対外主権に関する国際先例としてローチュス号事件(常設国際司法裁判所1927)、核兵器使用の合法性事件(国際司法裁判所1996)があります。
タリンマニュアル2.0は、国家責任の観点から、規則14において「国家は、自国に帰属し、それに帰責しうるサイバー作戦において、国際的な義務に違反する場合には、国際的な法的責任を負う」と明らかにしています。

ところで、「主権を侵害する」というのは、どういうことでしょうか。これは、介入(intervention)を受けないという原則に対する深刻な悪影響を受けない権利を侵害されるということになります。国家は、他の国の国際法上の権利を侵害することはできないのです。他の国において爆発を起こすような行為をなしてはいけないことになるというのは、武力行使(use of force)/介入の禁止を侵害するということになります。これに対して、機密文書を保有する権利というのは、国際法上の原則とは関係がないので、主権侵害とは考えられないということになります。
この「深刻な」というところは、特に環境法で分析されているところだそうです。Trail Smelter disputeというのがあって、カナダと合衆国の間で議論になった事件だそうです。
ボットネットによる攻撃が、この介入の禁止原則に違反するか、という点については、タリンマニュアルの専門家でも意見が一致しなかったとのことです。

(高橋)この部分は、タリン2.0で充実した部分に思われます。特に、強制(coercion)をベースにした介入からの自由を中核とした主権の論述は、詳細で勉強になります。もっとも、証拠としてのデータ取得が、この「主権侵害」というのとどう考えるのか、というのは、今度、聞いてみたいと思います。

ところで、上の介入の禁止原則といっても、これは、国家行為として、なすことは許されないということであって、民間の行為としては、国家間の規範に対しては、関係がないということになります。とはいっても、いかなる場合にも、国家が民間の行為に対して責任を負うことがないといえるのかというのは別問題です。ここで、近時、きわめて注目されているデューディリジェンスの法理のサイバー分野に対する適応を考える必要があるということになります。

デューディリジェンスの法理とは、「(負の影響を回避・軽減するために)その立場に相当な注意を払う行為又は努力」といった意味になります。
現在の国際法において、国際社会が国家に要請する注意義務が存在するという考え方が採用されています。この概念が、国際司法裁判所で明言されているものとして、コルフー海峡事件の判決がある。この事件において裁判所は、「すべての国家は、その領域が他の国家の権利に背く行為に利用されるのをしりながら許容することはできない義務がある」と論じています。これは、国際法における積極的義務(主要ルール)の一つです。

サイバー作戦についても、このデューディリジェンスが論じられるべきことになります。タリンマニュアル2.0規則6(デューデリジェンス(一般原則))は、「国家は、自国の領域または自国の政府の支配下にある領域もしくはサイバーインフラストラクチュアが、他の国家の権利に栄気宇を与え十大で有害な結果を生じるサイバー作戦/工作のためにしようされることを許さないよう、相当の注意を払わなければならない」としています。

また、特に近時、サイバー領域におけるデューディリジェンスの議論が盛んになってきている 。この法理を現実に適用する場合の問題について検討する。「知りながら」というのは、どのような場合をいうのか、という問題がある。この点については「現実に悪意(Actual knowledge)であることのみならず、悪意と同視しる場合(Constructive knowledge)をも含むと解されている。この義務が認められるべき被害のレベルは、厳密には、不明確である。

また、デューディリジェンスを遵守することとは「停止する」ことで足りるのか、防止することまで要するか、という点について争いがある。多数の見解は、敵対的な活動を終了させる必要はあるが、防止する義務は存在しないというものである。また、合理的な手法のすべてを採用するべきというベストエフォートの義務(Feasible Actionをとるべき義務)がある。

結果がそれでも生じた場合には、国家の国際的な責任に関する法に従うことになります。

現代のデューデリジェンス論の課題は、防止することができない国家において、支援を受忍することを求めることはできないということです。

カテゴリー: 情報セキュリティ, 武力紛争法 | CyConX travel report Day Two Due Diligence session (1) はコメントを受け付けていません。

CyConX travel report Day Two keynote &AI Panel

Day Two Key Noteです。

Mr. Thomas Dullien氏(Staff Software Engineer, Google Project 0)は、「セキュリティ 、ムーアの法則、安価の複雑性のアノマリ」です。
コンピュータを取り巻く情勢は、複雑性が増していること、セキュリティの問題がエスカレーティングしていることがあげられます。トランジスターの密度が、上がっています。
セキュリティは、向上しているものの、コンピューティングがよく早急に発展しています。
ここで、「安価の複雑性のアノマリー」を考えることができます。
単純さをシミュレートして、アノマリーを引き起こすのは、何かということになります。ここで、安価というのは、コンピューターが安価になったということです。4つの課題があります。
ソフトウエア、ソフトウエアのサプライチェーン、ハードウエアのセキュリティ・サプライチェーン、デバイスの検査の欠如です。
ソフトウエアのセキュリティは、見えない複雑性を示しています。ソフトウエアは、安価になっており、小さなミスが、大きな結末につながります

問題は、信頼のならないソフトウエアを含むこと、どのようにシステムを構築するか-利用しうる技術、システムを検査しうるシステムとして構築すること、課題になるでしょう。
なお、このスライドも公開されています。

Mr. Eugenio Santagata氏は、CY4GATEの CEOです。 “Electronic Warfare meets Cyber” (電子戦は、サイバーと出会う)です。
電子戦は、敵側の攻撃を利用できなくするものである、といいます。
電子戦の攻撃は、サイバー戦のアプローチと並びたつものです。
その課題としては、CEMA(サイバーおよび電磁気環境攻撃-cyber and electromagnetic environment attack)になります。
ここでの作戦のサイクルを考える必要がある。
作戦のサイクルは、インテリジェンス&分析、ミッション準備、ミッション実行(受動攻撃、スマートジャミング、情報レイヤー攻撃)でできています。
CMEAを可能にする3つのものは、知識・技術・サイバーレジリエンスです。

あのMr. Bruce Schneier氏(現在は、 Harvard Kennedy School)です。「高度に接続された世界におけるセキュリティとプライバシ」です。
スマートフォーンは、コンピュータに電話がついたものであって、すべてが変わってしまった。
市場は、セキュリティにお金を払わない、セキュリティのテストは、また、困難である。
その一方で、Miralマルウエアの事件があり、カジノがハッキングされた事件もあった。PGPの脆弱性の事件もあった。コンピュータの進歩のなかで、どんどん速くなってきている。また、ホテルのキーがハックされたこともあった。パッチで対応するものの、どのようにしてセキュリティを確保するかという問題がある。
歴史をさかのぼってみれば、1976年の段階では、消費者は、何もわからなかった。消費者の機器は、10年単位で、変化してきた。スマートフォンは、デケァクトのコントローラーになっている。また、サプライチェーンの問題は、重大である。
法執行機関は、ISMSキャッチャーを利用し、すべての情報を取得することができる。状況は悪化しているのではないか。

(ちょっと、集中力がきれたので、メモがきちんとしていないので飛ばします)

Mt.John Frank氏(Microsoft’s Vice President, EU Government Affairs.)は、「サイバースペースでのトラストを最大化する」というスピーチです。

彼によると2017年は、技術発展とサイバーセキュリティ上の脅威においてパラダイムシフトがおきました。

民間人、インフラおよび民主党を標的にした軍拡競争が行われました。WannaCryとNotPetyaがその例です。
今、動きを変えなければいけません。存在している国際法を構築し、低強度紛争においては、法がないので、サイバー規範を進歩させなければなりません。
民主主義のプログラムを守らなければなりません。私たちのデモクラシーを防衛するパートナーシップを構築し、選挙のインテグリティ(完整性)についての大西洋委員会をつくるのです。

サイバーセキュリティの技術の調和を図らなければならないです。デジタル・ジュネーブ条約です。

  •  より強い防御
  •  攻撃なし
  •  能力向上
  • 集団行動
    です。
    サイバー攻撃に対する説明責任を向上させるべきです。
    政府が攻撃的なサイバー攻撃をする場合には、国民に対して説明責任を追います。

昨年の12月19日に、WannaCryは、北朝鮮であるとアメリカ合衆国、Facebookその他が攻撃者決定をしました。
NotPetyaは、ロシアであると米国政府は、決定をしました。

(高橋)デジダル・ジュネーブ条約ですが、すこし宛、明確になってきています。特に、低強度紛争をも念頭においていることが明確になって、意味がはっきりしたような気がします。インテリジェンスは、国際法としては、原則として、放置されているわけですが、それを条約によってコントロールするというのは、興味深いものだと思います。攻撃者認定が、抑止もしくは説明責任の観点から、重視されてきているのも興味深いです。

ここで、AIパネルです。

R.E. Burnett教授(National Defense University)
戦時におけるAIであり、これは、狭いAIとなります。自律型ロボットであり、人間の反応時間を凌駕することになります。
(1)人間の兵士 対 機械兵士
社会的なインパクトが大きいことになる。高度にストレスのかかる状況で、だれもみていない状態での活動ということになる。
(2)AIタイプ 偵察
新しいタイプの作戦セットが存在しており、リモートコントロールで、ヒューマン・オン・ザ・ループ型の活動になる。
実際には、高解像度で、大容量の記憶容量を誇る機会が存在している。どのようにして展開するのかということで、新しい抑止力になっている。
自律型兵器システムは、AIによる将来であり、そのデモンストレーションが行われる。
また、ソーシャルメディアのツールも、その範疇に入ることになる。

Dr. Sandro Gaycken(Short CV – Founder & Director, Digital Society Institute, ESMT Berlin – Directorなど)は、”AI Dominance”についての話です。
AIは、攻撃についての多大な潜在能力を秘めている。
AIは、AIによって予測しうるし対処しうる。
戦略レベルでは、AI対AIになる。
自律型兵器システム(AWS)は、大量なデータを分析し、情報のドミナンスがある。技術的AIを独占することは勝利を確実にする。
金融市場の操作をも可能にずく。
戦略レベルでは、フルスペクトラムでの独占、戦略的AIの概念的利用は、勝利につながる。標的の操縦もなしうる。
AIの独占力は、敵側を弱体化することによってなしうる。
作戦のデザイン、訓練における監督、きわめて高い複雑性、オープンシステムの必然性、セキュリティは、確認が困難になる。改竄がAIによってなされた場合には、奇妙なことが起こりうる。

Mr. Jaan Tallinn( founding engineer of Skype and Kazaa)です。
狭いAIと一般AIの混乱について語ります。また、AIとモラルについての話です。

このあと、AWSは、禁止されるべきか、死亡者数を減少させるのか、ということについて議論が戦わされました。

(高橋)世界の現実は、AWSをめぐって、きわめて高度かつ現実的なレベルでAIの利用について議論をしています。日本においては、研究さえも禁止されている状態(それも、根拠として、きわめて曖昧なものによって)で、それが結局において安全保障を弱める結果になってしまうのではないか、とか思いながら、聞いていました。

カテゴリー: AI, 情報セキュリティ | CyConX travel report Day Two keynote &AI Panel はコメントを受け付けていません。

CyConX travel report Day One Book launch & evening

Valeriano Brandon, Benjamin Jensen, Ryan Maness.” The  Evolving Nature of Cyber Power and Coercion”(Oxford University Press, March 2018)゛のご紹介です。

セッションのモデレーターは、Vihul先生。

政治学の先生らによる、いままでのサイバーセキュリティの192エピソードの実証的研究だそうです。サイバースペースの将来を描いていますということだそうです。基本的なスタンスは、サイバー工作/作戦は、国際関係の安定性を増す、ということです。
「サイバーインテリジェンスは、情報戦争の際たるもの」とかの用語がでてきて、法律家との間との用語法とのギャップに、流して聞いていました。

(高橋) ちなみに、インテリジェンスは、実際は、関係国の情報の齟齬をなくすので、結局としては、関係の安定化に資するという立場が一般だったりします。

ちなみに、YoutubeでValeriano先生の同名のプレゼンがあります。このビデオは、この本の基本的な説明になっているみたいなので、話の内容が更よく分かります。

シュミット先生が質問として、「戦略」という用語をどのような意味で使っているのか、「強制(coercion)」という用語は、どのような意味か、ということをきいてました。

個人的には、「積極的な工作」というものを考えて、その分析のタームに、「強制(coercion)」という要素をいれるべきではないか、と考えていたので、シュミット先生に、「強制(coercion)」について、個人的に質問してきました。「介入(intervention )」のところに、詳細に記載してあります、ということでした。
あとで、見ておきます。

てもって、Day one終了。

この日は、日本人チームで、12人くらいで、タリンで異業者交流会(?)な、お食事会もありました。

カテゴリー: 情報セキュリティ | CyConX travel report Day One Book launch & evening はコメントを受け付けていません。

CyConX travel report Day One  Security and Fundamental Rights session

Cyberspace, Security and Fundamental Rightsというセッションです。

アジェンダには、国家は、テロリストや極右・極左を封じ込めるために、努力をしているが、セキュリティと基本権、特に国際的な人権規定や標準との調和を図るようなっており、自由で、オープンな社会においてリスクは、存在するか、という問題が提起されています。

最初は、Prof. Wolfgang Kleinwächterで、 GCSC(サイバースペースの安定化についてのグローバル委員会-Global Commission on Stability in Cyberspace )の委員です。
“Cybersecurity and Digital Rights: Do we need another European Charter for Cyberspace?”という講演です。

タイトルからいったときに、「EUにおける基本権憲章」(CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION (2012/C 326/02))が前提となります。これを前提に、まず、現代におけるデジタル基本権という議論を検討していくことになります。

この議論のきっかけとして、サイバースペースを考えるときに、世界情報社会サミット(2003)(The World Summit on the Information Society (WSIS) )とNet Mundial 2014 がをみていくことになる。

WSIS

2003年ジュネーブ宣言(Declaration of Principles Building the Information Society: a global challenge in the new Millennium)

2014年 Net Mundial 2014

JPNICの解説は、こちら。声明の日本語訳

WSIS+10(2015)が注目される。

また“Charter of digital fundamental rights of the European Union”も注目です。デジタル基本権を必要とするのでしょうか。解釈の基本的な枠組みであり、多数の利害関係者の協力の手順によってなされたものになります。

(高橋)これは、かなり議論を呼んでいる案文のようです。詳細な分析は、またの機会に。

ここで、全般的な(Holistic)アプローチが必要になります。 検討されるべき局面としては、サイバーセキュリティ、デジタル経済、人権論、技術があります。

次は、Dr. Krisztina Huszti-Orban (ミネソタ大学人権センター)です。タイトルは、「中間伝達者とカウンターテロリズム・自己規制と法執行のアウトソースの間に/Internet Intermediaries and Counter-Terrorism: Between Self-Regulation and Outsourcing Law Enforcement」です

これは、予稿に論文が入っています。

現代的な課題としては、中間伝達者とカウンターテロリズムとの関係がある。テロリズムなどの過激な思想の伝達手段としてSNSを利用しようというものがいる。
中間伝達者は、言論の自由のオンラインプラットフォームとしての役割を果たしている。公的なものとして重要な役割である。ここで、公共の利益との関係がある。
内容に関する取締機能がSNS提供者にアウトソースされているということができる。
人道的危機の一方で、サービス約款が存在している。その約款にもとづいて、コンテンツに対して削除、ブロック、制限がなされている。現状においては、中間伝達者は、人権についての責任を負うものとは位置づけられてはない。また、監視監督がなされるということもない。
(予稿ですと、テロリズムと極端主義の定義のディレンマも論じられています)
SNSは、人権を超えたところにいるが、プラットフォームに対して、制裁を課すという方向性も考えなければならない。
ドイツでは、ネットワーク執行法(Gesets zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken)を定めている。これは、200万ユーザ以上のメディアプラットフォームに対して、明らかに違法なコンテントのアクセスに対するブロック(24時間以内)などを定めている(怠った場合には、5千万ユーロまでの罰金)。
AIの利用がなされて、そのアルゴリズムによって過剰対応などの問題も生じてきている。

(高橋)ここでいう中間伝達者は、SNSなどのプラットフォームなので、わが国では、中間伝達者として電気通信事業者が真っ先に、念頭に浮かぶのとは事情が異なってきます。SNSは、電気通信事業の途上にあるのか、しかしながら、国外の事業者なので、監督がきかないのか、という論点がありましたね。(参照は、こちら-電気通信事業参入マニュアル[追補版])

Prof. Théodore Christakis(グルノーブル・アルプス大学)”国境を超えた法執行のデータに対するアクセスと人権/Law Enforcement Cross-border Access to Data and Human Rights”です。

このブログでも、マリア博士の論文CLOUD法でもふれた国境を超えたアクセスの問題です。

国境を超えて法執行機関がデータがアクセスすることをどのように考えるか、ということに対して、(1)MS事件(2)米国のCLOUD法(3)EUのe証拠提案から検討しています。

この前提知識として、EUのデータ保護に関する29条委員会は、法執行機関の国境を超えたアクセスを領土主権に対する侵害(interefernece )になるとしています。

MS事件については、特に、事件の経緯の記事(プライバシーか安全か、Microsoftと米国政府の全面対決の結果は?)と最高裁の判断についての記事(Microsoftのデータ保護問題に決着――米最高裁、 CLOUD法成立により過去のデータ提出命令を無効と決定)をおすすめします。ということで、講演でも、簡単にふれただけでした。

でもって、MS事件は、解決したわけですが、問題としては、なおも残っています。

次は、クラウド法のもとでのMS事件の分析です。

事件自体としては、上の最高裁判所の判決のように解決しています。データが「物理的に」保存されていたアイルランドは、国として、主権侵害であるということになるのでしょうか。また、アイルランドのMSは、データ保護違反となるか、という問題もあります。

(高橋)GDPR48条は、「第三国とEU 又は加盟国間で有効とされている共助条約のような国際協定に基づく場合に限り、本章における移転に関する他の根拠を侵害することなく、認められるか又は執行力を有することができる。」としています。

そうだとすると、アイルランドMSは、罰金を課せられることになりますね。(この問題は、Marc Rich事件とNova Scotia事件があるのですが、それは、このCyConメモが終わったら紹介ですね)まさに「しっぺ返し」です。逆に、アイルランドMSから、米国MSのデータが要求された場合には、どうでしょうか。

さらに、一般論の問題に移ります。

二国間協定というのが、どのような内容で、どのような国との間で締結されるのか、というのが大きな問題であるということですね。

(高橋)それはそうでしょう。米国提出命令が、日本で保存されているデータに対して、そのまま及ぶとされた場合に、日本の個人情報が、域外に移転します。提出命令は、日本における捜索差押令状とは、レベルが全く違うので、それでいいのか、という問題提出になります。

さらに彼の分析は、EUにおけるe-Evidence 提案におよびます。

これは、デジタル時代の犯罪に対応するもので、規則(刑事事件における電子証拠に対する欧州提出および保全命令)および指令 (刑事手続における証拠収集ための法的代表設置の調和に関する指令)の形をとって、2018年4月17日に提案されているものです。

 

となります。4つのデータタイプというのは、顧客、アクセス、通信、内容になります。

この部分は、私も検討不足でした。詳しくは、次の機会に検討しておきたいと思います。

質疑応答で、Kuboさんという優秀な研究者の方から、SNSという民間企業に対する国の規制の関与の仕方に対する質問がなされました。これに対しては、国家は、人権を保護する義務があるので、それによって、一定の規制が正当化されるだろうという見解が述べられました。

カテゴリー: 情報セキュリティ | CyConX travel report Day One  Security and Fundamental Rights session はコメントを受け付けていません。

CyConX travel report Day One Espionage session

30 May 1400-1515
Cyber Espionage and International Lawです。

この問題意識は、まさにアジェンダに記載されているとおりです。私のブログでも、何回か触れているところです。「平時におけるサイバーエスピオナージは、それ自体、国際法に反するわけではない。しかしながら、どのような手法が適法で、どのような手法が不適法か、という確実な考えはない。このセッションは、さらにこれらのトピックについての議論を進ませようというものである。」というのが、アジェンダです。この目的は、達成されたでしょうか。

Ms. Liis Vihul( CEO, Cyber Law International)の”Cyber Espionage in the Current International Law Paradigm”は、現在の国際法の解釈論を簡潔にまとめて問題提起をしています。
ちなみに、Vihulさんは、タリン2.0の特にデューデリジェンスのメインの担当者だったようです。2015年に、私が、Law Courseを聞いたときに、デューデリジェンスのところを説明してくれました。
今は、CLIという自分の会社を作って(でも、事務所は、CCDCoEのなかだそうです)、トレーニングで世界を飛び回っているそうです。twitterで、お互いにフォローしあっています。

タリン2.0では、エスピオナージの部分と、非国家組織による対応の部分に議論が集中しているとのことです。タリン2.0の議論としては、エスピオナージそれ自体は、規制されていない、国際法違反になりえない、とされています。なお、規則32を参照しましょう。
しかしながら、意図していない損害を惹起した場合(たとえば、インフラへの損害)、国際法の禁止の原則に違反する場合(たとえば、外交通信尊重の原則)については、国際法に違反しうることになります。

Ms. Ianneke Borgersen Karlsen(上級法アドバイザー・ノルウエイ防衛省)の ”Addressing the Elephant – a Practitioner’s View”です。
彼女の意見は、タリン2.0に対する複雑な感情という話から始まりました。
規制がないというのは、国家実行を表していないではないか。果たして、規則がないのか、という疑問です。そもそも、国内法や規則、ドクトリンやマニュアルが存在しており、規制が総体として存在していると認識すべきであるというのです。また、国家間には、機密の相互協定があり、これらに従うことは一貫した国家実行になっています。
国家は、これに関する違反があったとしても、我慢している。というのは、利用可能な制裁が存在しない、国家的/国際的な判決が存在していないのです。
そもそも、エスピオナージを定義してみると、その目的(政治的目的のために、とされるのが通常なので)を考えるときに、非常に曖昧なものになってきます。
彼女は、むしろ、「特別法(lex specialis)」アプローチを採用するべきではないかと主張します。
結局、国家主権および介入の禁止によって、特定の手法と工作が限定されるべきであるということになります。

(高橋)国際法と国内法の交錯という問題になります。国内法による制約を意識して、国内法の解釈を調和させるべきということなのかもしれません。ただ、解釈論としては、タリン2.0の結論と異なるところはなさそうです。

Mr. Asaf Lubin( Yale大学講師)”Cyber Law and Espionage Law As Communicating Vessels”です。
なお、Lubin氏の同名の論文が論文集に所収されています。

サイバーエスピオナージは、国際法の盲点であり、いままでにたった3冊の本しかでておらず、書かれた論文も100前後である。エスピオナージは、法的な問題を超えた構成であると考えられている。
従来のハニートラップで、机の上のデータを謄写すれば、エスピオナージの法となり、無権限で情報を取得するときには、低強度サイバー工作とされる。実際としては、用語を整理する必要がある。

オーバーラップするところに、サイバーエスピオナージを考えるべきであろうと提案しています。
まさに、「意思疎通のための道具」としての定義ということになります。

高橋)論文をみると直接にエージェントを通じての取得(エスピオナージ)と情報の取得に限らないサイバー工作とにわけているので、用語としては、むしろ、最初のサイバーエスピオナージとは、という定義から、きっちりした方が、議論としては、すっきりするだろうなあと考えたりします。
「政治目的で」「隠密裏に」「情報を取得する行為」がエスピオナージで、それを電気通信手段を通じて行うと定義することで議論は足りるというのが私の意見だったりします。

Lubin先生によると、探索の契機の法(Jus ad Exploratione)、探索中の法(Jus in Exploratione)、探索後の法(Jus pas Exploratione)にわけて考えることができることになります。
また、「スパイの権利」とその制限として成立すべきだという意見でした。この権利を正当化するのは、国家安全などのためであるにすぎない。これらの権利は、種々の制限法理に服することになります。

図示すと、こんな感じです。まわりが制限法理です。これによってスパイの権利が制限されことになります。

高橋)この日のキーノートとかを聞いていくと、むしろ、外国政府による政治的な意見の工作が国際法的にどうなるのか、というところにフォーカスした議論を聞いてみたかったです。エスピオナージは、上でふれたように「情報の取得」に限ってしまうので、その意味で、お題の問題かもしれません。サイバーインテリジェンスと国際法というテーマであったならば、情報工作と国際法が聞けたかもですね。どうなのでしょうか。

カテゴリー: 情報セキュリティ | CyConX travel report Day One Espionage session はコメントを受け付けていません。

CyConX travel report Day One Keynote 4/4

30 May 1140-1240
Plenary Panel: Social Media and Cyber Security です。

Mr. Keir Giles(チャタムハウス)です。連合王国の政策の観点からです。
地方選挙は、支援を求めている状況であるということです。軍事的工作がなされて、過激な思想が、支持をえたりすることになります。
プラットフォームの武器化が進んでいるというのが現状であるということになりす。

Mr. Janis Sarts(NATO Strategic Communications Centre of Excellence (Riga))です。

2017年のトルコの国民投票では、不正があたのではいか、という噂がでて、ネットで不正の動画が流され、不信感が高まったという。オンラインでの動きになり、抗議の動きがなされている。また、マルウエアなども核酸したということもあった。プロパガンダもなされている。NATOとしては、この動きに対して、協力して対応すべきかどうかという問題が存在している。
CyberNATOという動きがあるのは、元大統領の話ででも出ているところである。データは、強力であり、誤ったプロファイリングがなされてしまうこともある。しかしながら、電源をいれない(アンプラグ)わけにはいかない。
実際の損害は何になるだろうか。プラットフォームの不正利用ということになるが、これに対しては、規制ということも考えられる。プラットフォームの問題なのか、人間の問題なのであろうか、という問題もあると指摘しています。人間は、操作されのを、楽しんでいる可能性もあるとしています。
Ilves元大統領は、現在のデモクラシーの危機をいっているが、まさにそのような状況が適用るだろう。

Ms. Camille Francoisさんは、ソーシャルメディアの偽情報および操作に対して、強調した対応を強調しました。

(ちょとこのパネルは、集中力が続きませんでした。)

――――――――
Gen. Robert B. Neller, Commandant, US Marine Corps
Challenge of the Cyber Domainというキーノートです。

サイバードメインの進化の中で、紛争やキャンペーンの方法が変化している。そして、争われるドメインも言論や信号の扱われるなかへと変化している。また、外宇宙は、究極の高原である。
紛争に関する法(最終手段性、比例原則、偶発的損害など)が、これらの変容に対してどのように適用されるのであろうか。
作戦(operation)は、重点の中心をなすものであって、能力(capability)であると考えられたものである。今は、ネットワークである。
政治指導者に対して、質問事項がある。多大なデータをどのように考えているのか。GPSによるロケーションデータを利用し、教会や病院を敬っている。しかしながら、敵側は、そうではないとしたら、どうするべきなのか。
人工知能が自律的な決定をなす場合に、どのように対抗すべきなのであろうか。

カテゴリー: 情報セキュリティ | CyConX travel report Day One Keynote 4/4 はコメントを受け付けていません。

CyConX travel report Day One Keynote 3/4 Facebook& info operation

Mr. Alex Stamos氏( Chief Security Officer, Facebook)の講演は、「情報工作、選挙およびFacebook」です。ビデオは、このページです。スライドも一緒です。

これも、Facebookが、選挙に与える影響について、誠実に対応している姿勢がよく分かるプレゼンでした。個人的には、セキュリティは、情報の内容については、あまり関心をおくことがないですし、個人的には、ノンホリに近いので、いままで、勉強していなかったのですが、今後は、デジタル化社会における民主的な意見形成とソーシャルネットワークという論点もフォローの領域にいれたいと思います。

さて、内容のメモです。

最初は、FBの発展のグラフィックです。今では、2.2ビリオンの人が利用しています。99.9の人が、ポジティブなために利用しています。その一方で悪い目的のために利用しているのに対しては、一線を引いて対応しています。そのリスクを低減しようと考えています。

特に選挙に関するリスクは、政治的な関連性があるというだけではなく、FBの理想とする価値(言論の自由・思想の自由)に対する攻撃ということができます。

サイバーウッドストックのテーマといえば、CCRやジョーコッカーになりますが、敵のグループを理解し、対応することが重要になります。

この敵の行為者は、(1)商業的な動機からフェイクニュースを提供するものたち、(2)外国政府の影響を受けた工作者、(3)国内の影響をうけた工作者、(4)個人の参加者に4つに分けることができます。

(1)商業的な動機からフェイクニュースを提供するものたち

彼らは、その動機は、クリックを稼ぐこと、ときには、政治的な信条に動かされることがあります。技術的には、大衆製品のテンプレートのサイトを利用したり、偽のアカウントを利用したりします。広告費の安いところから、偽のペルソナによって高い広告費を表示させようとします。これに対する対応としては、削除、減少、通知になります。FBは、実名方針があるので、それにしたがっていなものとして削除することができます。ニュースフィードのアルゴリズムによって、フェイクニュースとして、表示されにくくすることができます。また、論争となっている事実については、ダッシュボードで、そのような事実であると表示するということができます。

(2)外国政府の影響を受けた工作者

次のカテゴリは、外国政府の影響を受けた工作者になります。DCleaks(Fancy Bearが運営していた)やDNCハッキングに関連して、米国政府が、外国政府の関与があったとして、アカウントの閉鎖を命じたという種類の案件ということになります。この種の事案は、国内の分断や、同盟国との分断を図ろうとするものです。

技術としては、新しいストーリーを考えて、それを増幅させようとするものになります。その結果、普通の人が、伝達して、従来からのニュース組織まで到達して、それが、正当なニュースとして伝達されるようになってくるのです。広告は、聴衆を引きつける手段ということになります。聴衆が世代を更新していくのに使われます。情報の面で、操作を図ろうとするのです。

これに対する対応は、広告とページの順位の透明性になります。フェースブックでは、すべての政治的トピックに関する広告は、選挙運動に関するものも含めて、厳格な基準のもと(物理的な所在、政府のIDなど)に許容されることになっています。すべての広告が、運営される組織が、特定されることになっています。いかなる政治的活動も、検索によって、どのような組織によって提供されているのかを見ることができるようになっています。

適切な選挙運動は、公衆の最大の利益のために行われているので、非常に個別化の進んだ広告や工夫された(hyper device)広告は、報道からは見れるようになっています。

また、組織化されたグループについては、脅威インテリジェンスグループがあり、調査を行っています。そのグループは、各国の言語に習熟しています。

さらに情報操作については、それを把握できるようにポリシを拡大しています。新しいフェイクアカウントを探知するシステムを構築しています。発見したアカウントを機械に学習させていくのです。

(3)国内の影響を与える運営者

国内の影響を与える運営者がいます。国内の聴衆に影響を与えようとするもので、通常は、与党側ですが、必ずしもそうとは限りません。国家側のメディアを増幅したり、反対意見・活動家の意見が拡散されるのを抑制したりします。ドキシングを使ったりします。また、場合によっては、外国のプロバイダーとかを利用します。

運営者が誰かというのは、複雑だったりします。政府や与党、国家所有もしくは、その傾向のメディア、政治的動機を有する、無償のグループ、海外からもありうる金銭的な動機による専門家、組織されたトローリング・グループ(例 アノニマス)などがいます。

これに対する対応は、広告とページの順位の透明性、執行を手作業でもしくは自動で行います。また、組織的な報告/フラグ付けを探知することを拡張し、協調された影響力の行使に対する政策を拡張しています。また、国によっては、活動家や人権団体との関係も構築しており、選挙のサイクルなどに応じた対応をしています。

(4)個人の参加者

最後のカテゴリは、個人の参加者になります。このグループは、自らの信念を広め、他人に対して不快感を十期することを目標にしています。

これらの個人は、ポストを積極的にシェアしており、クリックをするように推し進めています。政治的「敵」に対して、挑発的メッセージを流したり(トローリング)、恫喝したりします。フェイクニュースをコピペしたりします。

対応手法は、個人の権利に対して尊重された上でなされなければなりません。ニュースフィードのクリッグベイト(クリックを誘うウェブページやリンクや動画や広告など)の減少やコミュニティの基準を実行に移すこと、議論のある投稿にその旨を付け加えることなどになります。

フェースブックは、民主主義国家と共に、協同していて、関係を構築しています。また、アカデミックとも協力しています。

 

カテゴリー: 情報セキュリティ | CyConX travel report Day One Keynote 3/4 Facebook& info operation はコメントを受け付けていません。

CyConX travel report Day One Keynote 2/4

1010-1300o のキーノート、パネルのメモです。Ilves元大統領の講演は、こちらでも、みることができます

Ilves元大統領のスピーチは、サイバーNATOの必要性をケーススタディ、近似動向を踏まえて民主主義の危機という観点から唱えるもので、非常によく構成された、きわめてレベルの高いものと考えます。サイバー安全保障の関係者にとって、分析が必須となるものではないでしょうか。

(なので、詳細なメモで、Stamos氏の講演ともわけます)

ちなみに、新聞報道でも、大きく扱われています

H.E. Toomas Hendrik Ilves(元エストニア大統領)です。テーマは、「If Liberal Democracies Are to Survive the Digital Era, They Have to Create a New Defence Organization」です。

お約束で、ウッドストックでは、MC5のKick Out the Jamsがいいね、ということで、始まりました。(というか、パンクのハシリなんですね。多分、ミュンヘン・セキュリティ・コンフェレンスから、おじ様がたで、昔話に花咲かせていたんだろうなあと勝手に想像してしまいます。メタルやパンクが人気な北ヨーロッパであります。)

民主主義が、危機に瀕しているのであり、場所に縛られることのない西側民主主義国家においてサイバーNATOの必要があるのではないか、それによって、大きな脅威に対応すべきではないか、という提案がなされています。

ロシアのAPT攻撃28(Fancy Bear)は、アメリカ、ドイツ、フランス、オランダ、ウクライナ の政府、政党、候補者、シンクタンクなどなどに対して、攻撃を仕掛けて情報を取得しました。また、World Anti-Doping Agency(世界アンチ・ドーピング機構、WADA)やTribunal arbitral du sport/Court of Arbitration for Sport(スポーツ仲裁裁判所、TAS/CAS)にも攻撃を仕掛けています。(トレンドマイクロブログ

新しいセキュリティ脅威は、従来は、考えなかったもので、政府は、対応に時間がかかってしまっています。国際的な組織(EUやNATO)はさらに時間がかかってしまいます。国連は、デジタル兵器の利用禁止に関する活動は、成功しませんでした。
脅威は、基本的には、それぞれの国家に関するものです。サイバーに残されたストックであるインテリジェンスは、国家のものであって、共有しうるものです。エストニアが、ワームを見つけたときに、NATOに報告したときに、君もかといったことを覚えています。
2007年の銀行、ニュースが、妨害されたときに、サイバー戦争というものがはじまったといえます。それまでは、サイバースパイというレベルで政治的なインパクトを与えうるというものではなかったのが、別のポイントに達したものですし、だから、始まったといえるのです。クラウゼビッツの戦争の定義は、「他の手段をもってする政治の継続である」ということなので、戦争の定義に該当するのです。この意味の戦争は、2007年以降、いろいろな形を変えて起こっています。ジョージア(2008)、ソニーピクチャーズ事件(2014)、グリッドに対するウクライナ(2016-17)、政治シンクタンクに対する攻撃(2016)、オランダ、イタリアの政府に対する攻撃、アメリカの諜報機関(NSA、CIA)の人員の心理的分析表など枚挙に暇がありません。

また、 政治的動機をもったD-Dos攻撃を認識したところから、従来のサイバーセキュリティの意識をマヒさせて、新たなレベルの脅威が始まっています。マルウエアで、重要インフラ(電力網、通信網、水道網、信号システムなど)を吹き飛ばしてしまうという攻撃が現実のものとなってきたのです。重要インフラの脆弱性は、政府と民間企業の最大の関心事になっています。これらの攻撃は、政府や軍事力を、孤立化させることとなり、伝統的な攻撃と同様です。Stuxnetワーム(2010)は、サイバーのパワーが、物理的な損害を与えうることを示しています。ウクライナの電力障害も同様です。ミライ攻撃は、IoTベースの攻撃ですし、WannaCryやNotPetyaも同様です。

これらのようにサイバー攻撃というのは、きわめて広い範囲を有する用語です。政府の重要インフラを損壊するのから、政治家の情報を開示して、政治のインテグリティを破壊するまでの意味があります。
1990年代からの安全保障についての会議からもあります。しかしながら、人々がサイバーの力を認識するのには時間がかかっています。5つ目のドメインであるというのは、2010年を越えてからです。サイバー攻撃に対する反撃は、サイバーであることを要しない、運動兵器にる対応も許容されるとしています。
NATOは、サイバープロパガンダをより工作的に把握しています。タリンのCCDCoE(ロシアの自殺点みたいなのですが)とラトビアの戦略的コミュニケーションセンター(StratCom)は、その例です。

近時、諜報機関を安全保障政策専門家に統合することになっていますが、彼らが、攻撃の対象になっています。情報操作、ドキシング(インターネットへのさらし行為)、資料の公表行為、ハッキングなどがあります。ヒラリークリントン事件、マクロン事件がその例です。偽の書類をサーバーにあげられて、それを公表されるということになれば、情報操作をなすことができます。フェークニュースを産業レベルで作成し、プロパガンダをおこない、ロボットのアカウントで拡散するという作戦です。IRA(フェイクニュース工場 )が、黒いアクティビストの活動を行っていたのです。FBでは、大統領選挙の前から、フェークニュースが、870万のフェークニュースがシェアされたという研究もあります(ロシアの「フェイクニュース工場」は米大統領選にどう介入したのか)。セキュアではない投票装置の不正操作もあります。
このようにデジタル時代においては、デモクラシーに対する新しい脅威は、劇的な変化を遂げているということができます。重要インフラに対する破壊から、「電子デモクラシーおよび公共の意見に対するソフトな不正操作」ということができるでしょう。

デジタル以前とは、二つの点が異なるでしょう。

その一つは、地理的な脅威が関係なくなってきていることです。NATOは、自由民主主義を地理的スペースに関連して防衛しています。戦車のロジスティックス、爆撃の対応、部隊の配置も地理的に関連しています。ICBMが、その脅威の最たるものでした。デジタルの脅威は、地理を問題としていません。

いま一つは、デジタル時代の自由民主主義自体は、artocratic(?)からの非対称の攻撃に対して、はるかに、脆弱なものであるということです。デジタル時代前は、偽情報は、ほとんど影響力を有していませんでした。自由民主主義は、投票過程の不正操作のみを心配していればよかったのです。現代では、敵国も表現の自由を有して、自由で公正な投票過程を享受しているのです。安全保障政策の観点からは、これは、敵国からするときわめて魅力的なものといえるでしょう。民主主義は、地理的な範囲を越えて存在します。安全保障を考え直すべきです。地理的な範囲を越えて、民主主義を守るということを考えるべきです。

このような考え方は、新しいものではありません。コミュニティやリーグ・デモクラシー(フルブライトやマケイン)の考え方です。現在は、民主主義が、危機に瀕しているのです。
CCDCoEは、既に、このような考え方にたっています。EUに参加していない国(フィンランド、スウェーデン、オーストリア)も参加していますし、日本やオーストラリアも参加しています。
私たちは、第二次世界対戦以来の平和や安全保障を支えてきた世界の統合/オープンという考え方に対する逆行(ポピュリスト)を経験しているのです。国家の統合、公表(データの流用)、お互いの信頼、情報の共有が、あらたな脅威に対する対抗手法です。
機械学習やAIベースのサイバー防御によることは、別の対抗方法です。
ロシアや中国は、このオープンネスという考え方とは別のところにいます。中央コントロール、国家的サイバースペス・検閲という考え方です。
最後にデモクラシーの将来について、楽観的になって、このために脅威に対して戦う共同体を考えましょう。

 

カテゴリー: 情報セキュリティ | CyConX travel report Day One Keynote 2/4 はコメントを受け付けていません。