急増するIoT機器への攻撃、対策に不可欠な法的整備とは?

前のエントリの関係で、WirelessWire News「急増するIoT機器への攻撃、対策に不可欠な法的整備とは?」という記事についてもみていきましょう。

IoTセキュリティ総合対策では、「脆弱性対策に係る体制の整備」「民間企業等におけるサイバーセキュリティ対策の促進」、セキュリティ関連技術の「研究開発の推進」、セキュリティ関連の「人材育成の強化」、「国際連携の推進」がでています。

ここで、「脆弱性」という用語について、もう一回考え直してみました。

私(高橋)が委員を務めているIPAの脆弱性研究委員会では、2002年から、脆弱性についての対応についての枠組みを検討してきています。

そこでは、脆弱性については、「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)をいう。」と定義されています(経済産業省告示第十九号・第1・1・3(3))。

ここで、弱いパスワードというのは、この脆弱性に含まれるのか、という問題があるだろうと思います。不正アクセスとの関係でいえば、識別符号に関する不正アクセスと、脆弱性悪用の不正アクセスがあることはふれましたが、普段の会話としては、用語的には、後者の場合のみを脆弱性と呼んでいるように感じます。(ただし、上の定義でも、ウエブアプリケーションの場合は、これに限られません)

そうだとするとこの記事も「パスワード設定が脆弱であるIoT機器を広域スキャンを実施して調査し、脆弱性がある機器に関する情報をICT-ISAC経由で通信事業者に提供する」を「パスワード設定が脆弱であるIoT機器を広域スキャンを実施して調査し、アクセスに対して脆弱である機器に関する情報をICT-ISAC経由で通信事業者に提供する」と表現しておいてもらえるといいのかな、と思ったりします。

この場合は、「NICTが行う脆弱性調査は、NICTが作成した実施計画について総務省が関係行政機関と協議の上で認可する」という表現も、「NICTが行う脆弱な識別符号に関する調査は、NICTが作成した実施計画について総務省が関係行政機関と協議の上で認可する」という表現になりますね。

一定のプログラムに伴うものを脆弱性と呼び、それ以外を脆弱な設定とでも定義したら、すっきりするのかなとか、ふと思ってみました。

カテゴリー: IoT, 情報セキュリティ | 急増するIoT機器への攻撃、対策に不可欠な法的整備とは? はコメントを受け付けていません。

NICT法改正と不正アクセス禁止法

電気通信事業法およびNICT法が改正されました。「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」ということになります。条文は、こちらです。
基礎的な資料は、こちら

このうちのNICT法改正の部分についてみていきます。オムニバス法というのかと思いますが、そのうちのNICTの調査権限のほうについてまとめてみましょう。

趣旨としては、「国立研究開発法人情報通信研究機構(以下「機構」という。)は、平成三十六年三月三十一日までの 間、特定アクセス行為を行い通信履歴等の電磁的記録を作成すること、特定アクセス行為による電気通信の送信先の電気通信設備に係る電気通信事業者に対し、送信型対電気通信設備サイバー攻撃のおそれ への対処を求める通知を行うこと等の業務を行うこととすること。 」ということになります

条文も、ちょっと分析してみましょう。

1 組織法上の根拠

一定の行為をなすにあたっては、まずは、組織法上の根拠が必要です。その点については
(国立研究開発法人情報通信研究機構法の一部改正)
第二条
(略)
2 機構は、第十四条及び前項に規定する業務のほか、平成三十六年三月三十一日までの間、次に掲げる業務を行う。
一 特定アクセス行為を行い、通信履歴等の電磁的記録を作成すること。

このように「特定アクセス行為」というのが、キーとなる概念になります。これは、
2条4
「特定アクセス行為 」

 機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信元とする電気通信の送信をおこなう行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能にかかる他人の識別符号(当該識別符号について電気通信事業法第52条第1項または第70条第1項第1号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。)を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。

と定義されています。

この特定アクセス行為について、どう考えるのか、というと、
不正アクセス禁止法2条・4項・1号における不正アクセス禁止行為の定義から、

「及び国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき同法附則第八条第二項第一号に掲げる業務に従事する者がする同条第四項第一号に規定する特定アクセス行為を除く」

とされていて、不正アクセス禁止法の定める構成要件から、除かれるという定めになっています。

この除外規定は、不正アクセス禁止法のいわば、NICTが行う場合の特別法ということになるので、NICTが行う場合には、構成要件に該当すると解されることはないことになります。

一般論としては、以上になるわけですが、気になるのは、この規定は、従来の不正アクセス禁止法との関係からいくとどう位置づけられるのか、ということになります。
識別符号は、アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされているなどの性格を有するものである(不正アクセス禁止法2条2項)。
「通常、この番号、記号等として用いられているのが相手方ごとに付けられるIDとその相手方以外のものが知らないようにされているパスワードである」とされています。

上記の定義から、①特定利用を認める相手方ごとに違うものであること、②その相手方以外に用いることができないようなものであることの2つの要件を備える必要がある と考えられています。これは、特定利用を認める相手方ごとに違うものであることを求めるので、「複数の利用権者等に同一の符号が付されないようにするとともに、どの利用権者等に付されたものであるかが分かるように付されていることが必要」と解されています。

もっとも、具体的な事例となると明らかではありません。

「guest」、「anonymous」等の誰もが特定電子計算機を利用できるように広く公開されているID.パスワードについては、識別符号に該当しないと解される一方で、特定電子計算機の特定利用の一部(例えばウエブサイトの閲覧)についてはすべてのネットワーク利用者に許諾し、その他の特定利用全体はアクセス管理者のみがID・パスワードを入力して行うような場合には、利用権者等は複数存在し、符号によりアクセス管理者を他の利用権者と区別して識別することができるから、当該ID.パスワードは識別符号に該当すると解されています 。

いわゆるデフォルトで不特定多数が認知しうるものは、どうか、ということですが、上の解釈でいえば、もはや識別符号とはいえないということになりそうですが、明確ではありません。

そこで、特に、NICTが業務として、「弱いパスワードとして考えられたもの(不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないもの)」をいれて、アクセスする行為については、不正アクセスとして構成要件に該当しないとした、ということになります。

このような行為を構成要件該当性から除外するのは、適切か、という問題は、調査をされる側から考える場合に、明らかになってきます。このブログでもふれましたが、アクセスされる側からすると、NICTがアクセスしたのか、どうか、というのは、よくわからないわけです。不正にアクセスされたとなれば、それに対して、対策をとらなければならないわけです。それに対して、「通信履歴等の電磁的記録を作成すること」を義務づけて、透明性を確保するのであるから、例外として認めましょう、ということで、セキュリティの機密性に対する侵害の例外を認めたわけです。

それだけ、IoT機器に対するセキュリティの維持の要請が高いと認識されたということになります。

この改正に関して、では、たとえば、「ログイン後に、システム情報を取得するというコマンドを入力することはどうなるの?」という話がでています。「電気通信設備の特定利用をし得る状態にさせる行為をいう。」のは、構成要件該当性から除外されるわけですが、では、特定利用をしうる状態のもとで、さらに特定利用を現実的にする行為は、どうか、ということです。

これは、はっきりしないということになるかと思います。私(高橋)個人の解釈としては、コマンド入力も、基本は、システムの反応をなしうる状態を惹起しているので、解釈として「特定利用をし得る状態にさせる行為」であり、構成要件から除外されると解釈しています。ただし、その場合は、「国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき」という規定で、そのような行為がどのくらい限定されるのか、ということになるかと思います。

いま、一つ、留意しておくのは、「侵入テスト」という用語との関係ということになります。「侵入」という用語については、一般に、他人などのID/パスワードの利用によるアクセスと脆弱性を悪用してのアクセスの双方の場合に用いられます。

しかしながら、今回、この改正で認められているのは、「特定アクセス行為」なので、「他人などのID/パスワードの利用によるアクセス」ということになります。一方、「脆弱性を悪用してのアクセス」を許容しているわけではないので、NICTが、「侵入テスト」業者に変身したというわけではありません。

本来は、このような解説は、立法担当官が、コメントすべきなのかなあとも思いますし、まあ、このくらいは、条文を読めばわかるでしょ、ともいえそうな気もします。(ただ、不正アクセス禁止法との関係は、コメントはできないのかなあとも勘繰ったりしています)

なには、ともあれ、大きな「アクティブ・サイバー防御」という流れのなかにもはいる手法ですし、興味深いものということができます。

いま一ついうと、日本のドメインの中だけに限らないと、他の国のインフラのIoT機器にアクセスしたりすると、問題が起きたりしますね。これは、おもしろい国際法の問題ということで、そのうちに。

カテゴリー: IoT, アクティブ防衛, 情報セキュリティ | NICT法改正と不正アクセス禁止法 はコメントを受け付けていません。

専門家風の用語の落とし穴「アトリビューション」

セキュリティコミュニティ的には、「インチキ・サイバー用語」が、いま流行しています。

私のブログでも、人気エントリの「責任分界点」は、まさにインチキ・サイバー用語を正確に理解しましょうという趣旨かと思います。それが他に説明してくれる人も分析もないので、根強い人気をもっているのでしょうね。

いま、一つ、「アトリビューション」も、この分類に入る可能性があります。犯人Aがサイバー攻撃を行った場合に、種々の状況から、その被害結果を惹起したのは、犯人Aであるというのを「アトリビューション」という用語を用いるのが用法として正解なのか、ということがひっかかるのです。

アトリビューションが、どのような側面で使われているか、というのをみていくと、

(1 )代位責任などの場合(wikipedia)

  これだと、現実に刑罰行為を起こしていない被告人に対して責任が拡大する法的原則をいう、とされています。代位責任、共謀、予備などを例にあげています。

なお、手元のcriminal lawの教科書は、英国のも米国のも、attributionという用語を用いていません。(Card,Cross and Jones とPodger,Hening,Taslitz &Garciaでは、触れられていません)

(2)会社代表者の行為を会社の行為と見なす場合

 Corporate attributionになるわけですが、会社法の場合でも代表者の行為が会社の行為とみなされるので、まさに責任の主体に対する帰属の問題が発生しますね。

(3)過失犯の場合

“Rethinking Criminal Law”は、この場合を取り扱っています。

(4)国際法の国家責任の場合

これは、たとえば、国家Aと親しいサイバー攻撃グループが、国家Bの重要インフラをマヒさせましたというような事案が代表的な場合です。(国家の機関でない場合に、そのような行為の結果は、国家に帰属するか、という意味でいいます)

その一方で、犯人Aの意図的な行為によって結果が発生した場合には、その行為は、犯人Aに帰属するとは、あまりいわないので、その場合に、アトリビューションというのは、どうも語感から、ピンとこないわけです。

(1)から(3)までは、国内法におけるアトリビューションの問題で(4)は、国際法のアトリビューションになります。

特に国際法においては、証拠としては、インテリジェンス報告が用いられること、国としての意思決定がなされること、証拠の優越で足りること、などで、国内法の刑事裁判とは、異なった原理で、アトリビューションがなされます。

また、行為者が決定された場合、その行為者が国家の機関でない場合には、国家責任の法理で、国家が、効果的なコントロールを有していない場合には、その行為は、国家に帰属しないということがいわれます。

これらの例をみるときに、wikipediaの説明のようにみずからの実行行為者の識別に際して、アトリビューションというのは、含まれないように思われます。

ただ、問題なのは、セキュリティの会議かなんかで、実行行為者の識別をアトリビューションとか呼ぶと、なにか専門的なこと知っているように見えてしまうということのような気がします。

世界的にも、国内法と国際法をきちんとわけて、議論するセキュリティ専門家は、国際法コミュニティ以外では、ほとんどみないので、どうしようもないのですが、アカデミズムに耐えられる用語法は、常に心がけておきたいなと思います。

 

カテゴリー: 情報セキュリティ | 専門家風の用語の落とし穴「アトリビューション」 はコメントを受け付けていません。

Cybersecurity Tech Accord 

Cybersecurity Tech Accordに新たな11社が、参加するということがアナウンスされました

もともとの合意の翻訳についての記事は、こちらになります

この文章の意味をどうとらえるか、というのが問題になるかと思います。

個人的に興味深いのは、「我々は、政府が無実のユーザーや企業に対してサイバー攻撃を引き起こす際の幇助を致しません。」という文言だったりします。

当然じゃないの、と考えるとしたら、もうすこし考えてみましょう。自分たちのサービスをもとに、「軍事的対象物」に対するサイバー攻撃がなされたとしましょう。国際法レベルでは、もし、攻撃の契機があれば、そのサイバー攻撃が、目標として軍事的対象物に対してなされれば、適法になります。「それを幇助しません」ということができるのでしょうか。政府との契約に、除外事項をつけるのか、債務不履行の責任は負うのか、国際法と契約法は別といいきってしまうのか、などの問題がありそうに思えます。

カテゴリー: 情報セキュリティ, 武力紛争法 | Cybersecurity Tech Accord  はコメントを受け付けていません。

「サイバー攻撃の国際法」(タリン・マニュアル2.0の解説)を読む前に

「サイバー攻撃の国際法(タリン・マニュアル2.0の解説)」という本があります。今年の5月くらいに販売になって、結構、情報セキュリティのまわりの人たちでも購入した人が多いと思います。

帯は、「国際社会が抱える深刻な問題にいかに対応するかを分かりやすく解説」というフレーズです。ちなみに、左が、タリン・マニュアル2.0で、厚いです。

膨大なタリンマニュアルをコンパクトにまとめた本として、非常に役に立ちます。特に、タリンマニュアル本体の規則の何番だったか、と思い出せないときに、規則をほとんど一覧できるのは、すごく役にたちます。

その一方で、情報セキュリティの関係者で法律の素養をあまり有していない人には、非常に、理解が困難なのではないか、と心配しています。

2015年5月にタリンのCCDCoEで受けた授業のメモをもとにタリンマニュアルが何か、について、簡単に触れておくことにしましょう。

(1)国際法のルールを記載するもの

上の帯に「サイバー攻撃に関する国際法のルール」と記されていますが、これが、理解を困難にしているのではないか、と思ったりします。

国際法というのは、Laws of Nationsであって、国と国との間の関係について述べるものです。たとえば、他の国のテロリストから攻撃をうけるけど、そのテロリストの攻撃の証拠を取得して、処罰しましょう、というのは、刑法の国際的な適用の問題になるので、(刑法という)国内法の問題になります。

テロリストというような「国」とは認められないものは、「直接には、」国際法の舞台にはでてこないことになります。(ここで、直接には、といったのは、そのようなテロリストの活動を野放しにしている国家のデューデリジェンスの問題やら、テロリストに対する武力攻撃についての国連の対応の問題などで、テロリストも国際法の舞台にでてくることがあるということです)

あと、人権・プライバシというのも、「直接には」国際法の舞台にはでてきません。また、ここで、「直接」という但書がでているのですが、これは、各国家は、構成員のプライバシを重視する義務を負っているので、その義務との関係で、プライバシの問題が国際法の問題としてでてくることがあり得るということです。いま一つは、特に欧州でのプライバシ問題を考えると、欧州人権条約は、条約でありながら、欧州各国の国内法のなかで、欧州人権裁判所で判断がなされるということです(この適用関係については、「国際人権法の有効性についての一考察 ―欧州人権条約とイギリス国内法秩序の関係を中心に―」という論文があります )。

(2)Black letter と解説からなるもの

法律の世界で、Black Le tter Lawという用語があります。

これは、広く認められていて議論の必要がないものとして考えられている規範を精確に記述したものです。中谷本のはしがきでblack letter ruleとコメンタリーの双方について一言一句検討し、という用語がありますが、その意味です。コメンタリーについては、シュミット先生のいうところによると、合理的な解釈を記載しているということになります。

このための重要な役割を果たしているのが、IGE(International Group of Experts-国際専門家グループ)になります。これで、どのように進行していくかは、中谷本のはしがきに詳しいので、参照するといいと思います。

(3)タリン・マニュアルは、以下とは違う

タリン・マニュアルは、発表された当時、NATOの戦略的な文書と新聞報道がなされたことかありますが、このような新聞報道は、「おろかもの(Idiot)」だといわれています。

NATOのドクトリンでもありません。

また、ありうるべき法(lex ferenda)でもありません。

現在、ある法(lex lata)の姿をできるかぎり客観的に映し出そうとした国際法の本ということになります。国際法については、それ自体、拘束力のある法であると拘束力のない法であるとをとわず記述されていることになります。

(4)タリン・マニュアルのカバー範囲

タリン・マニュアルが何かカバーするのか、という点については、タリン・マニュアルが、武力紛争というスレッシュホールド(閾値)を越えた紛争の論点(ユス・アド・ベルム、ユス・イン・ベロ、主権、管轄、国家責任)を論じているのに対して、タリン・マニュアル2.0が、武力紛争というスレッシュホールド(閾値)以下の活動についても重視をしている点で異なっています。特に、主権・国家責任・デューデリジェンスについては、叙述が非常に詳細になっているところは、注目されるところだろうと思われます。

しかしながら、上述のように国際法の記述であることから、人権論・国内の電気通信法についてふれることはありません。また、ハックバックやいかにして、会社の活動をコントロールするか、というのもこの範囲ではありません。

(5)高橋の視点

まずは、武力紛争法を英語の教科書で勉強したりすると、日本語の訳語の何を当てているのかとかを、このような簡潔な本を読むことで理解できるのは、きわめて有意義です。

それはさておき、国際的なサイバー攻撃に対して、国際法の世界でどのような議論がなされているのか、特に米国においてどのような議論がなされているのか、また、外交の世界でどのような認識がなされて、どのような対応がなされているか、というのを知るためには、タリン・マニュアル2.0のエッセンスが、凝縮されている本は、きわめて役にたつということができると思います。

その一方で、民間企業が、どのように対処すべきかという問題については、国際法の知識というより国内法の刑法や電気通信法の知識が重要になってくるということができると思います。しかも、それらが、国際法の種々の原則と微妙な緊張関係のなかでバランスをとらないといけないとなっているのが現代の課題だということができるでしょう。

そのためには、タリン・マニュアル2.0は、基礎的な情報を与えてくれますが、国内法については、みずからの視点で、国内法を展開させなければいけないということになるかと思います。

 

 

 

 

カテゴリー: リスク, 対抗措置, 情報セキュリティ, 武力紛争法, 通信の安全/プライバシ | 「サイバー攻撃の国際法」(タリン・マニュアル2.0の解説)を読む前に はコメントを受け付けていません。

CyConX travel report Day Three

最終日です。

朝はMr. Luc Dandurand ( Head of Cyber Operations, Guardtime)です。
テーマは、「サイバードメインにおける準備とレジリエンス-投資におけるリターンを最大化するために」です。ビデオは、こちらです

レジリエンスです。完璧なセキュリティが困難である以上、いかにして、サイバー攻撃に耐えられるかということになります。ボクシングでいえば、攻撃から、できる限り早く回復することができる能力ということになります。スタミナ、意思のパワー、自信になります。対応の95パーセントは、技術であって、5パーセントは、人間になります。

準備に関する投資から、最善の投資リターンを得るためにどのようにするべきでしょうか。訓練に、投資することでノリターンをどう得るのでしょうか。将来へのプランと夢や希望と投資を調整するということになります。

将来というのは、IoT、スマートホーム、スマートシティなどいろいろいなものがあります。すべてのものがつながっていくのです。また、自動運転自動車やトラックがあります。バイオセンサーも実現するでしょう。すべてが、実現しつつあります。サプライチェーンの問題があります。大きな計算機にもチップは、はいっています。そのチップの製造業者からの鎖が確保されないといけません。人工知能の問題もあります。思考・信条システムに対するサイバー攻撃というのもあります。なりすまし(Re-enactment 画像等の合成による)や表情の認識もあります。政治家の画像を作成してしまうことも可能です。同じメッセージでも画像によって意味が異なってくるのです。これらが現在、行われているとはいいませんが、将来、使われるようになるでしょう。

サイバー能力のための費用は高いのか、アドバイスを考えます。他のドメインを考えましょう。AIM-54フェニックスというミサイルを考えましょう。これらとスケール感、効果の観点から考える必要があるわけです。

では、サイバー演習は、どうでしょうか。LocK Shieldという演習があります。成功しており、国によって、インシデント対応を競っています。成功の秘訣は、カスタマイズされた演習に従事することといえるでしょう。
常に、カスタマイズされた演習で、現実的なシナリオに対処するようにすること、演習のプログラムを大きな目的をもって、適切な範囲で作成することです。

まとめると、
未来は、予測できないし、コントロールしえない、そして、技術の進展により、早急にやってくる
備えは、人間の行動に対して集中することを要求する
サイバー演習をカスタマイズすることは、備えについての投資効果を最大化する
サイバー演習のプログラムは、打たれ強さを強化する

Ms. Kimberly Dozier氏の司会による「サイバー攻撃から国家を防衛する」(Defending a Nation Against Cyber Attacks)です。ビデオは、こちらです。

議論の例として「もし、ロシアがエストニアの電力網をマヒさせて、交通信号が使えなくなり、病院のICUが使えなくなったとしたら、NATOや欧州は、どうするのでしょうか」をあげて、議論が始まりました。

Amb. Sorin Ducaru,は、たくさんの対応があるでしょうということです。対応、被害の低減、他のドメインの対応もあるでしょう。政治的な対応としては、文脈とインパクトから考えます。他の攻撃とリンクしているのか、また生命や財産が損なわれているか、ということで対応を考えていくことになります。条約4条の問題になります。武力攻撃のレベルに達しているのかということです。

Mr. Rod Beckstrom( Founder and CEO)

世界のすべての国が抱えている問題は、電力網がマヒしてしまうということで、これは、脆弱であるということができます。すべての物は、ハックできる、すべてのものは、つながっている、すべては、脆弱である、ということがいえます。

Mr. Koen Gijsbergs(Junior Research Fellow, University of Oxford)

UN GGE2015は、国家は、お互いに重要インフラを攻撃してはならないというので、合意したというのは、覚えておくべきです。脆弱性は、平等であるということでしょう。非対称ではないです。

発電所に対する攻撃が、武力攻撃にあたるのか、とか、攻撃者決定は、いまだ難しい問題であるというこができます。

次は抑止力に対する議論です。

Ducaruは、抑止力は、マルチドメインにわたるものです。敵側との意思の伝達によります。NATOは、サイバーは、集団防衛に関連してきます。攻撃者決定は、難しい問題ですが、技術的なものと人的インテリジェンスを用いて、行います。困難であるということはないです。

貿易問題で名前をあげて非難したようなことがサイバーでおき得るのかという問題については、Gijsbergs氏は、反応の曖昧さというのが、一つの問題だろうと考えています。何がおきているのかというのがよくわからないということがあります。レジリエンスや抑止力という考え方は、合理的なのかと考えています。一番いいアプローチですが、サイバー攻撃というのは、それほどの影響を与えられない。NATOのネットワークがダウンするとストップしてしまう。

Beckstrom氏は、レジリエンスが、抑止力になるというのは、同意するが、Gijsbergs氏がエストニアの電力網は、フィンランドの電力網によっているので、打たれ強いというのには、反対だとしました。エスピオナージは、国際的に許容されています。信頼のない状況において協同するというのは、おおきな課題になります。また、反撃が、本当に難しいことになります。これも課題です。

Ducaru氏は、外国的な制裁は、21世紀の攻撃でも適用されうると考えます。政府が、公的に攻撃者指定をすることは、外向的な制裁として認識されるでしょう。攻撃者決定のあとに何か来るのかということになります。

Beckstrom氏は、抑止力というのは、サイバードメインにおいてどのようなものであるのか、というのを検討すべきと考えています。選挙における情報操作を考えてみましょう。人間の行動が変化しています。社会学的な変化があって、それが抑止力にどう変化を与えるのか、ケーススタディになります。また、AIの進展によって、どのように打たれ強くなるのかということも検討課題です。

Ducaru氏は、抑止力を考えるときに、世界の情勢の変化を考えないといけないと考えます。政府と会社の距離がさらに大きくなっているのですか。また、中国の発展も重要です。5年前は、世界で大きなインターネットの会社をあげたときに、トップ20のうち3社だったのが、今は、9社になります。政府の諜報能力を利用し、自分たちの産業に活用しているのです。彼らの文化は、そのようなもので、それは、私たちには、存在しません。

質疑応答では、比例原則をめぐる質疑応答(明確な回答はないということ)、ボットネットをめぐる質疑応答(ボットネットのテイクオーバーでオランダにサーバーがあったので、テイクダウンがなしえたということ-ハンザ事件)などがなされました。

Plenary Panel: Quantum Computing – Security Game Changer?については、メモは、パスします。
ちなみにビデオは、こちらです

Col. Andrew Hall, Director, Army Cyber Institute, US Military Academyの陸軍サイバー機構(Army Cyber Institute)のお話です。ビデオは、こちらです。

ACIは、多分野にわたる施設です。

レジデントは、10の学術分野に従事します。その分野とは、行動および生活科学、システムエンジニアリング、電子工学、コンピュータサイエンス、政治学、政策、法、倫理、数学、歴史です。

具体的なものとしては、オペレーションリサーチ、ミリタリインテリジェンス、情報工作、心理工作、シミュレーション作戦、広報です。

調査研究の分野では、二つの分野(法と政策/実際の演習)があります。いろいろな企業とパートナーシップを結んでいます。Jack Voltic という演習が行われています。記事は、こちら。また、ACIは、サイバーデヘフェンスレビューというアカデミック・ジャーナルを出版しています。

最後に、「ロボット軍は、いらない、あなた方をつかうつもりだ」という言葉で締めくくりました。

最後のセッションは、 Dr. Trey Herrのモデレートによる「議論-新興技術とサイバーセキュリティ」(Discussion: Emerging Technologies and Cyber Security)です。
スピーカーは、Dr. Kevin Jones(Airbus)とDr. Brian M. Pierce(DARPA)です。

Pierce博士は、サイバー抑止のための技術というタイトルです。
現状の技術は、ガラスでできた家のなかで、作業をしているようなものである。脆弱だし、ヒビもはいり易い。また、匿名性・偶発的影響という問題がある。攻撃者決定の対応が存在している。これらに対しては、打たれ強いこと/状況認識/正確な反応が解決策となる。
ガラスの部屋の上から、攻撃者を迎撃するモデルということになる。

さらに技術の進展としては、自動化の挑戦がなされている。機械対機械である。
サイバー攻撃者決定においては、高精度な攻撃者認定がなしうる、もっとも、公的な攻撃者認定は、防衛能力によって調整さることになる。

国家保安のためのサイバー抑止については、特に「信頼」を考えることが重要であって、メディアのフォレンジックスやAIの活用が問題となるだろう。

Jones博士は、種々の技術のトレンドを解説していきました。
具体的なものとしては、防御のトレンド、サイバー攻撃のトレンド、発展中のサイバートレンド、国家のサイバートレンドです。

防衛のトレンドでは、サービスとしての防御、モバイル危機の防御に注目すべきであるとのことでした。
サイバー攻撃のトレンドでは、犯罪、ハクティビスト・国家行為などでそれぞれの境界線は、きわめて曖昧になってきていること、また、自動的な攻撃が多いこと、サービスモデルとして行われるようになってきていることなどが、紹介されました。

発展中のサイバートレンドとしては、自動化があり、人工知能とは異なるとしていました。
また、ブロックチェーンは、サプライチェーン問題の解決には、有望であろうということでした。

国家のサイバートレンドとしては、国家の重要インフラ防衛が問題である。もっとも、世間にいわれているように物理的な損害を惹起することは困難であるので、サイバー戦争という状況になるか、というのは、疑問であるということでした。

ということで、自分の勉強のためのメモは終了です。全体的に見たときに、SNSでの世論介入、disinformationという言葉が飛び交ったというのが印象深かったような気がします。電気通信手段を経ての物理的な損害の惹起というよりも、政治的な議論に対する念入りな情報工作というのが、かなり真剣に議論されているという感じでした。もっとも、日本で、そこまでの問題は、現実化するのかなと思いながらも、CyCon Xでいろいろな刺激をうけました。

次回は、2019年5月28日から5月31日までです。テーマは、「静かなる戦い-silent battle」です。ちなみにクロージングは、こちら。サイバーウッドストックも終了です。平和、愛、サイバー、太陽。

当社の売り上げが、きちんとでて、出張費がまかなえますように。今年度の調査も頑張りましょう。

カテゴリー: 情報セキュリティ | CyConX travel report Day Three はコメントを受け付けていません。

CyConX travel report Day Two Cyber Norm session

2日目の最後は、私のブログでおなじみDr. Anna-Maria Osulaさん(以下、マリアさんですね)のモデレータによるサイバー規範のセッションです。

国際的なサイバー規範の発展-障害・新たな始まりそして将来(International Cyber Norms Development – Interruptions, New Beginnings and the Way Ahead)です。
ちなみに、セッションの様子は、こんな感じです。

YOUTUBEにもあがりました

最初にマリアさんから、サイバー規範の説明がありました。国際連合のGGE(政府専門家グループ-Group of Governmental Experts on Information Security)においては、法的拘束力あるルール、自発的に遵守されるルール、(国内的な)ルールから成り立つものと理解されている、という説明がありました。

(高橋)この点は、「国際関係において、規範とは、あるアイデンティティを有している行為者の適切な行為の標準をいう。」とされています。そして、「サイバー規範は、• 実際の国家実行・活動を表現するルール• 望ましい国家実行を支援する望ましいルール•一般に嫌悪されるものに基づいた拒絶ルール として理解される」ことになります。GGEの議論については、私のブログの「サイバー規範に関する国連GGEの失敗」をごらんください。

Mr. Ben Hiller氏(Cyber Security Officer, OSCE)は、「規範-サイバー外交における信義の跳躍」(Norms – A Leap of Faith in Cyber Diplomacy)です。

国際政治の観点からみていこうということだそうです。サイバーは、国際的な政治的な立場によって左右されてきました。おおきな文脈が重要だということになります。北朝鮮・ロシア/ウクライナの事件もあります。また、難民の問題も起きています。南シナ海の問題もありますほとんど信頼のないところに混乱がおきているのです。
サイバーセキュリティの政策交渉に何を意味しているのか、ということになります。
国際連合では、4つの柱のアプローチがあります(2015GGE)。

1 規範/国際法 2 信頼醸成手段 3国際協調 4能力向上およびトレーニング です。広い観点からみると、非常に興味深いといえるでしょう。

また、この4つ柱をそれぞれ独立に考えることはできません。 規範を豊かにしていくことが、それ自体、安定性をますといえるのでしょうか。
あと、規範が遵守されない場合にどのように対応するのでしょうか。
現在のプラットフォームを最大化すること-それには、理由があること。
主権は、存在しているし、重視する理由がある。国際的な対話は、信義のもとになされる必要がある。

Mr. Cédric Sabbah氏(Ministry of Justice, Israel)は、”Pressing Pause: A New Approach for International Cybersecurity Norm Development”というプレゼンです。 (ビデオだと25分くらいから)

最初にサイバー規範と実際の国家実行について考えてみましょう。
規範が、国際間の安定について過大な期待がなされているのではないか、ということです。
Hollis氏の論文によると、規範とは、「一定の共同体における適切な、もしくは不適切な行動についての期待の共有」と定義されています。UN GGE2015の報告も規範についてふれています。そして、平和、セキュリティおよび安定性についてのリスクを減少しうる、自発的な、拘束力のない規範があるとしています。
しかしながら、2018年の段階においては、地理的な課題、概念的な課題、技術が急速に発展としての課題となっているという状態です。
複雑な課題があるといわなければなりません。
新しく注目すべき領域として「民間サイバーセキュリティ」を提案します。情報共有、サイバーセキュリティとプライバシー、民間におけるアクティブ防御、クラウドにおけるサイバーセキュリティです。
民間サイバーセキュリティにおける規範の議論は、ボトムアップでなされる過程になります。
まずは、ベストプラクティス(NISTの枠組み)などがあり、その複製が基本になります。また、FIRST、OECD.UNICTRALなどのフォーラムでの議論、民間のサイバーセキュリティ関係者によってアジェンダが議論さ、サイバー外交の成果が、トップダウンでインプットされることになります。ケーススタディが、実際の対応が重要な役割をすることになります。また、ブダペスト条約(サイバー犯罪条約)や中国と米国の合意(2015)などが重要な役割を果たすことになります。
フリーサイズの解決策はないです。実際のニーズに応じた対応が規範を発展させることになります。

Jeff Kosseff准教授(Assistant Professor, US Naval Academy Cyber Science Department Developing Collaborative and Cohesive Cybersecurity Legal Principles)は、「協調的/結合された法的原則の発展」(Developing Collaborative and Cohesive Cybersecurity Legal Principles)です

国内法の発展についてより注目すべきであるという立場です。
Kosseff准教授は、サイバーセキュリティ法を情報セキュリティのCIAを促進しようとする国内法をサイバーセキュリティ法と考えます。ちなみに彼は、Cyber Security Lawの著者でもあります。
現在のシステムは、よくできているとはいえないでしょう。機密性については、発展していますが、IやAについては、十分ではないでしょう。議論の目標を、CIAの実現におくべきでしょう。
不十分なサイバーセキュリティは、ワナクライにしてもミライにしてもl世界的なインパクトを与えています。だからこそ、他の国のサイバーセキュリティに関する国内法に関しても関心をもたないといけないわけです。

A国の防御を十分に行うことは、B国にも利益を与えますし、抑止効果を有します。民間企業が防御に従事することに対するインセンティブになります。さらに他の国の成功例・失敗例から学ぶことも利益になります。

GDPRが話題になっていますが、データ保護の利益という考え方は、世界において、十分な理解を得ているのでしょうか。米国における表現の自由という考え方と共通の認識にいたっていないという認識です。セキュリティにおいては、国際共通の理解を得る必要があります。

世界的な規範のモデルとしては、三つのモデルがあります。サイバー犯罪条約(ブダペスト条約)、戦争の法/タリンマニュアル、OECDのプライバシー保護および国際的なデータ流通のガイドラインです。

サイバーセキュリティの法的な原則の目標は、現在のサイバーセキュリティの脅威に対抗するように法を現代化すること、規則の統一化、強制的/協力的な法の調和、サプライチェーンの安全です。

法を現代化すること

 CIA triad(機密性/完整性/可用性の三角形)についていえば、どのようにして、完整性・可用性を取り扱うことができるか、ということです。ランサムウエアをどのようにして停止できるのか、というようなことです。

規則の統一化

情報漏洩通知法は、統一されるべき、一般的な原理は、類似の法を発展させる基礎となるべき、要件を揃えることにむけて前進すべきということができます。米国でいえば、50もの違うほうがあるわけですし、そのなかで、情報の種類が違うと対応が違います。これに対応するのは、きわめて時間を消費してしまうということがいえます。

強制的/協力的な法の調和

規則 対 インセンティブ
他の規制分野との違いとしては、政府の目的は、産業の目的と一致する
公共と民間の協力のための余地が大きい(脅威情報の共有、教育・人材育成、税制度によるインセンティブ)

サプライチェーンの安全

政府と産業界によって、ベストプラクティスについての実質的な対話がなされるであろう。

質疑応答では、どのようにして、協調していくのか、という点についての議論がなされました。

セッション終了後は、宮殿のまえで、パーティ、そのあとは、タウンホールの前のお店で、おもしろいスープを楽しんで、タリン大学の学生さんとなぜか、意気統合して、12時すぎに、ホテルに。

カテゴリー: 情報セキュリティ | CyConX travel report Day Two Cyber Norm session はコメントを受け付けていません。

CyConX travel report Day Two Due Diligence session (2)

Due Diligence sessionの続きです。

Mr. Peter Z. Stockburger(senior managing associate with Dentons)です。彼のテーマは、”グレイゾーンから慣習国際法に-予防原則をいかにして採用し、サイバースペースにおけるデューデリジェンスを透明化するか(From Grey Zone to Customary International Law: How Adopting The Precautionary Principle May Help Crystallize The Due Diligence Principle In Cyberspace)”というものです。同名の原稿が予稿集になります。

デューデリジェンスの考え方は コルフー海峡事件や1996年の包括的核兵器禁止条約の勧告的意見書にも現れています。また、2010年 ウルグアイ川のPulp Mills事件ICJ判決においては、予防原則を認めています。なお、この事件の判決はこちら。この判決では、国家は、「その領域で、または、その管轄におけるいかなる領域においても、発生する活動が、他の国家の環境に重要な影響を与えることを開始するために、いかなる手段をも毛採用すべき義務がある」としています。

この予防原則は、環境法では、一般的なものである。2015年のICJ判決で、コスタリカとニカラグアにおけるコスタリカのサン・ジュアン側における道路検察の事件でも確認されています。

環境分野においては、環境インパクトアセスメントを行うべきとされた。この考え方をサイバーに適用することを提案する。あるべき法(lex ferenda)としての提案です。

サイバーインパクトアナリシス(CIA)は、NIST/DHS/ISO標準の枠組みのもとになされる。国家が、他の国に対して、サイバー活動または、インフラが、国境をまたいだ、損害を惹起するのに利用されるのを知る、または、そうかもしれないと信じる理由がある時に行動し、通知することになる。

Prof. Karine Bannelier(Associate Professor of International Law at the University Grenoble Alpes  ,Grenoble Alpes CyberSecurity Institute )は”確実性と柔軟性-デューデリジェンス原則の作為義務と「変化要素」(Between Certainty and Flexibility : Obligations of Conduct and “Variability Factors” in the Due Diligence Principle)”という講演です。
彼女は、義務の存在とその偽の適用に関する現代の課題についてのお話でした。サイバー領域におけるデューデリジェンス義務は、サイバーディリジェンスといわれるほどになっていること。
しかしながら、「デューデリジェンス原則の規範的不確実性」が現代の課題になっているということです。加重責任(aggravated responsibility)の神話が存在していて、どのように、影響を判断するかというのが課題である、ということです。特に、ヨーロッパ人権条約8条と、大量監視とのバランスが問題になっており、サイバーインハクトアセスメントが必要るだろう、とのことでした。

このあと、質疑応答になりました。

この質疑応答で興味深かったのは、ヨーロッパ人権条約と、デューデリジェンスの義務の関係はどうか、ということになります。シュミット先生からは、各国に対して、国内における人権の擁護を求めており、国際人権法を整備する義務がある、もし、デューデリジェンス義務が衝突する場合には、対応することが「feasible」ではなくなる、ということになるという回答がありました。この点は、すごい疑問だったところなので、疑問解決です。

カテゴリー: 情報セキュリティ | CyConX travel report Day Two Due Diligence session (2) はコメントを受け付けていません。

CyConX travel report Day Two Due Diligence session (1)

Dr. Kubo Mačák先生の司会によるDue Diligence sessionです。タリン・マニュアル2.0のメインテーマは、武力攻撃の閾値(スレッシュホールド-ほとんど、業界人には、日本語化してますね)以下の紛争-低強度紛争(Low Intensity Conflict)の場合についての、主権概念の分析(規則4)、干渉の禁止(規則66)やこのセッションのテーマのデューデリジェンス(規則10)だと思います。

でもって、講師のメンバーが、Prof. Michael Schmitt、 Mr. Peter Z. Stockburger、Prof. Karine Bannelierになります。
Prof. Michael Schmittは、タリン・マニュアルのプロジェクトの筆頭編集者であり、武力行使の基準に関するシュミットスケールでもおなじみです。高橋個人的には、2015年のLaw Courseで、サイバー国際法のブートキャンプの講義を受けたのですが、そのときのメイン講師でもあります。なので、個人的にもお話をさせてもらっていたりします。

Mačák先生の仕切りによるセッションの最初は、シュミット先生の講義です。講演者は、それぞれ15分で、講演することと言い渡されていたのですが、きわめて濃密な授業でした。
講義メモとして、他の資料も含めて、ちょっと講義録風にしてみます。

国家が、国家主権を侵害することは許されません。「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」(パルマス島事件 1928)とされています 。この国家主権は、対内主権(Internal Sovereignty)、対外主権(External Sovereignty)にわけて論じられます。
サイバースペースにおいて、これらの概念が展開される場合、地理的な視点が重要になります。
対内主権(Internal Sovereignty)は、
「国際的な義務に違反しないかぎりにおいて、国家は、その領域におけるサイバーインフラおよびサイバー活動に対して主権(sovereign authority)を行使しうる」(タリンマニュアル ・ルール1)
と考えることができます。(マニュアル2.0では、規則2)

これは、具体的には、(1)サイバーインフラストラクチュアは、国家による法的・規制的コントロールにある(2)領土に関する主権は、国家に対してサイバーインフラを防衛する権限を与える(3)国家は、主権を有するが、管轄権を有しない(例、領域における大使館、軍事施設)場合があるということを意味すると解されています。

対外主権(External Sovereignty)とは、国家がその対外関係において相互に独立であり、自らの意思によって合意したこと以外には、拘束されないということをいいます。
これは、サイバー的な文脈においては、「国際関係において、権限が対外主権を制限する国際法によって限定・制限されていない限り、サイバー作戦に従事することは自由である」ということを意味します。
これは、主権平等原則(主権国家は、相互に対等・平等である)とも密接な関係がある。この対外主権に関する国際先例としてローチュス号事件(常設国際司法裁判所1927)、核兵器使用の合法性事件(国際司法裁判所1996)があります。
タリンマニュアル2.0は、国家責任の観点から、規則14において「国家は、自国に帰属し、それに帰責しうるサイバー作戦において、国際的な義務に違反する場合には、国際的な法的責任を負う」と明らかにしています。

ところで、「主権を侵害する」というのは、どういうことでしょうか。これは、介入(intervention)を受けないという原則に対する深刻な悪影響を受けない権利を侵害されるということになります。国家は、他の国の国際法上の権利を侵害することはできないのです。他の国において爆発を起こすような行為をなしてはいけないことになるというのは、武力行使(use of force)/介入の禁止を侵害するということになります。これに対して、機密文書を保有する権利というのは、国際法上の原則とは関係がないので、主権侵害とは考えられないということになります。
この「深刻な」というところは、特に環境法で分析されているところだそうです。Trail Smelter disputeというのがあって、カナダと合衆国の間で議論になった事件だそうです。
ボットネットによる攻撃が、この介入の禁止原則に違反するか、という点については、タリンマニュアルの専門家でも意見が一致しなかったとのことです。

(高橋)この部分は、タリン2.0で充実した部分に思われます。特に、強制(coercion)をベースにした介入からの自由を中核とした主権の論述は、詳細で勉強になります。もっとも、証拠としてのデータ取得が、この「主権侵害」というのとどう考えるのか、というのは、今度、聞いてみたいと思います。

ところで、上の介入の禁止原則といっても、これは、国家行為として、なすことは許されないということであって、民間の行為としては、国家間の規範に対しては、関係がないということになります。とはいっても、いかなる場合にも、国家が民間の行為に対して責任を負うことがないといえるのかというのは別問題です。ここで、近時、きわめて注目されているデューディリジェンスの法理のサイバー分野に対する適応を考える必要があるということになります。

デューディリジェンスの法理とは、「(負の影響を回避・軽減するために)その立場に相当な注意を払う行為又は努力」といった意味になります。
現在の国際法において、国際社会が国家に要請する注意義務が存在するという考え方が採用されています。この概念が、国際司法裁判所で明言されているものとして、コルフー海峡事件の判決がある。この事件において裁判所は、「すべての国家は、その領域が他の国家の権利に背く行為に利用されるのをしりながら許容することはできない義務がある」と論じています。これは、国際法における積極的義務(主要ルール)の一つです。

サイバー作戦についても、このデューディリジェンスが論じられるべきことになります。タリンマニュアル2.0規則6(デューデリジェンス(一般原則))は、「国家は、自国の領域または自国の政府の支配下にある領域もしくはサイバーインフラストラクチュアが、他の国家の権利に栄気宇を与え十大で有害な結果を生じるサイバー作戦/工作のためにしようされることを許さないよう、相当の注意を払わなければならない」としています。

また、特に近時、サイバー領域におけるデューディリジェンスの議論が盛んになってきている 。この法理を現実に適用する場合の問題について検討する。「知りながら」というのは、どのような場合をいうのか、という問題がある。この点については「現実に悪意(Actual knowledge)であることのみならず、悪意と同視しる場合(Constructive knowledge)をも含むと解されている。この義務が認められるべき被害のレベルは、厳密には、不明確である。

また、デューディリジェンスを遵守することとは「停止する」ことで足りるのか、防止することまで要するか、という点について争いがある。多数の見解は、敵対的な活動を終了させる必要はあるが、防止する義務は存在しないというものである。また、合理的な手法のすべてを採用するべきというベストエフォートの義務(Feasible Actionをとるべき義務)がある。

結果がそれでも生じた場合には、国家の国際的な責任に関する法に従うことになります。

現代のデューデリジェンス論の課題は、防止することができない国家において、支援を受忍することを求めることはできないということです。

カテゴリー: 情報セキュリティ, 武力紛争法 | CyConX travel report Day Two Due Diligence session (1) はコメントを受け付けていません。

CyConX travel report Day Two keynote &AI Panel

Day Two Key Noteです。

Mr. Thomas Dullien氏(Staff Software Engineer, Google Project 0)は、「セキュリティ 、ムーアの法則、安価の複雑性のアノマリ」です。
コンピュータを取り巻く情勢は、複雑性が増していること、セキュリティの問題がエスカレーティングしていることがあげられます。トランジスターの密度が、上がっています。
セキュリティは、向上しているものの、コンピューティングがよく早急に発展しています。
ここで、「安価の複雑性のアノマリー」を考えることができます。
単純さをシミュレートして、アノマリーを引き起こすのは、何かということになります。ここで、安価というのは、コンピューターが安価になったということです。4つの課題があります。
ソフトウエア、ソフトウエアのサプライチェーン、ハードウエアのセキュリティ・サプライチェーン、デバイスの検査の欠如です。
ソフトウエアのセキュリティは、見えない複雑性を示しています。ソフトウエアは、安価になっており、小さなミスが、大きな結末につながります

問題は、信頼のならないソフトウエアを含むこと、どのようにシステムを構築するか-利用しうる技術、システムを検査しうるシステムとして構築すること、課題になるでしょう。
なお、このスライドも公開されています。

Mr. Eugenio Santagata氏は、CY4GATEの CEOです。 “Electronic Warfare meets Cyber” (電子戦は、サイバーと出会う)です。
電子戦は、敵側の攻撃を利用できなくするものである、といいます。
電子戦の攻撃は、サイバー戦のアプローチと並びたつものです。
その課題としては、CEMA(サイバーおよび電磁気環境攻撃-cyber and electromagnetic environment attack)になります。
ここでの作戦のサイクルを考える必要がある。
作戦のサイクルは、インテリジェンス&分析、ミッション準備、ミッション実行(受動攻撃、スマートジャミング、情報レイヤー攻撃)でできています。
CMEAを可能にする3つのものは、知識・技術・サイバーレジリエンスです。

あのMr. Bruce Schneier氏(現在は、 Harvard Kennedy School)です。「高度に接続された世界におけるセキュリティとプライバシ」です。
スマートフォーンは、コンピュータに電話がついたものであって、すべてが変わってしまった。
市場は、セキュリティにお金を払わない、セキュリティのテストは、また、困難である。
その一方で、Miralマルウエアの事件があり、カジノがハッキングされた事件もあった。PGPの脆弱性の事件もあった。コンピュータの進歩のなかで、どんどん速くなってきている。また、ホテルのキーがハックされたこともあった。パッチで対応するものの、どのようにしてセキュリティを確保するかという問題がある。
歴史をさかのぼってみれば、1976年の段階では、消費者は、何もわからなかった。消費者の機器は、10年単位で、変化してきた。スマートフォンは、デケァクトのコントローラーになっている。また、サプライチェーンの問題は、重大である。
法執行機関は、ISMSキャッチャーを利用し、すべての情報を取得することができる。状況は悪化しているのではないか。

(ちょっと、集中力がきれたので、メモがきちんとしていないので飛ばします)

Mt.John Frank氏(Microsoft’s Vice President, EU Government Affairs.)は、「サイバースペースでのトラストを最大化する」というスピーチです。

彼によると2017年は、技術発展とサイバーセキュリティ上の脅威においてパラダイムシフトがおきました。

民間人、インフラおよび民主党を標的にした軍拡競争が行われました。WannaCryとNotPetyaがその例です。
今、動きを変えなければいけません。存在している国際法を構築し、低強度紛争においては、法がないので、サイバー規範を進歩させなければなりません。
民主主義のプログラムを守らなければなりません。私たちのデモクラシーを防衛するパートナーシップを構築し、選挙のインテグリティ(完整性)についての大西洋委員会をつくるのです。

サイバーセキュリティの技術の調和を図らなければならないです。デジタル・ジュネーブ条約です。

  •  より強い防御
  •  攻撃なし
  •  能力向上
  • 集団行動
    です。
    サイバー攻撃に対する説明責任を向上させるべきです。
    政府が攻撃的なサイバー攻撃をする場合には、国民に対して説明責任を追います。

昨年の12月19日に、WannaCryは、北朝鮮であるとアメリカ合衆国、Facebookその他が攻撃者決定をしました。
NotPetyaは、ロシアであると米国政府は、決定をしました。

(高橋)デジダル・ジュネーブ条約ですが、すこし宛、明確になってきています。特に、低強度紛争をも念頭においていることが明確になって、意味がはっきりしたような気がします。インテリジェンスは、国際法としては、原則として、放置されているわけですが、それを条約によってコントロールするというのは、興味深いものだと思います。攻撃者認定が、抑止もしくは説明責任の観点から、重視されてきているのも興味深いです。

ここで、AIパネルです。

R.E. Burnett教授(National Defense University)
戦時におけるAIであり、これは、狭いAIとなります。自律型ロボットであり、人間の反応時間を凌駕することになります。
(1)人間の兵士 対 機械兵士
社会的なインパクトが大きいことになる。高度にストレスのかかる状況で、だれもみていない状態での活動ということになる。
(2)AIタイプ 偵察
新しいタイプの作戦セットが存在しており、リモートコントロールで、ヒューマン・オン・ザ・ループ型の活動になる。
実際には、高解像度で、大容量の記憶容量を誇る機会が存在している。どのようにして展開するのかということで、新しい抑止力になっている。
自律型兵器システムは、AIによる将来であり、そのデモンストレーションが行われる。
また、ソーシャルメディアのツールも、その範疇に入ることになる。

Dr. Sandro Gaycken(Short CV – Founder & Director, Digital Society Institute, ESMT Berlin – Directorなど)は、”AI Dominance”についての話です。
AIは、攻撃についての多大な潜在能力を秘めている。
AIは、AIによって予測しうるし対処しうる。
戦略レベルでは、AI対AIになる。
自律型兵器システム(AWS)は、大量なデータを分析し、情報のドミナンスがある。技術的AIを独占することは勝利を確実にする。
金融市場の操作をも可能にずく。
戦略レベルでは、フルスペクトラムでの独占、戦略的AIの概念的利用は、勝利につながる。標的の操縦もなしうる。
AIの独占力は、敵側を弱体化することによってなしうる。
作戦のデザイン、訓練における監督、きわめて高い複雑性、オープンシステムの必然性、セキュリティは、確認が困難になる。改竄がAIによってなされた場合には、奇妙なことが起こりうる。

Mr. Jaan Tallinn( founding engineer of Skype and Kazaa)です。
狭いAIと一般AIの混乱について語ります。また、AIとモラルについての話です。

このあと、AWSは、禁止されるべきか、死亡者数を減少させるのか、ということについて議論が戦わされました。

(高橋)世界の現実は、AWSをめぐって、きわめて高度かつ現実的なレベルでAIの利用について議論をしています。日本においては、研究さえも禁止されている状態(それも、根拠として、きわめて曖昧なものによって)で、それが結局において安全保障を弱める結果になってしまうのではないか、とか思いながら、聞いていました。

カテゴリー: AI, 情報セキュリティ | CyConX travel report Day Two keynote &AI Panel はコメントを受け付けていません。