シリア攻撃、「人道的措置」か「国際法違反」か 専門家に聞く

「シリア攻撃、「人道的措置」か「国際法違反」か 専門家に聞く」という日経新聞の記事が出ています。

サイバー領域に関する武力紛争法を研究していくと、このような国際人道法(International Humanitarian law)の観点を勉強することになります。

この記事では、ふれられていませんが、学問的には、このような介入(intervention)は、人道的介入(humanitarian intervention)といわれています。

外国の報道でも、この国際法上の議論についての紹介がなされているので、わが国でも、この議論が紹介されているのは、すごくいいことかとおもいます。

(たとえば、Syria, chemical weapons and the limits of international law
とか
Did air strikes on Syria break international law? The questions Corbyn must ask May
ですね)

教科書的には、1980年代までは、あまり明確に国家実行としては、意識されてはいませんでしたが、1990年代以降に国家実行として意識されるようになってきたとされます(日本の教科書、結構、このあたり冷淡ですね。Christine Gray “International Law and the Use of Force”33以下は、きちんと論じています)。

日本的には、この上野先生のページが詳しいですね

まず、アメリカとフランスがクルド(Kurds)/シーア派(Shiittes)に対する人道的支援の根拠(1991)としてこの理論が用いられたそうです。
その後、イギリスが、人道的介入を明確な根拠として援用するようになってきたそうです。

そのあと、コソボが代表的な人道的介入の事例としてあげられています。

上野先生の事例だと、ユーゴ、ルワンダなどの例もあげられています。

日経は、違法とする立場にも結構、分量をさいていますけど、個人的には、人道的介入を認める立場のほうが、多数説かなと思っています。どうでしょうか。

サイバードメインを利用しての人道的な問題が発生する状況というのは、なかなか、考察しがたいかと思います。その意味では、サイバー法で、人道的介入が議論される状況は、生じないかと思いますが、内戦状況にある国において、あるところで、インフラの途絶が発生した場合には、それに対して、武力による介入が正当化されないのか、もしくは、サイバー力(たとえば、攻撃サイトに対して、これを封じ込める)による介入というのは、発生しうるのか、ということが、あとすこしすると議論されるようになるのかもしれません。

カテゴリー: 武力紛争法 | シリア攻撃、「人道的措置」か「国際法違反」か 専門家に聞く はコメントを受け付けていません。

政府、サイバー被害の深刻度指標 対抗措置の判断基準に

「政府、サイバー被害の深刻度指標 対抗措置の判断基準に」という記事があります。

前のポストでふれた深刻度を結局、対抗措置に対する基準にするという趣旨が述べられています。
また、サイバー防衛の戦略については、「官民が連携して事前の防御策を強化する「積極的サイバー防御」を推進するとした。」ということと、「「政治、経済、技術、法律、外交その他の取りうる全ての有効な手段を選択肢として保持」とも定めた。」ということが述べられています。

前の部分については、「積極的サイバー防御」とされていますが、この日本語は、世界的なactive cyber defenseとといっていることが違うので、日本語の「パーソナルデータ」みたいなものであることに注意しましょう。世界的には、他のネットワーク領域内における情報を取得すること(場合によっては、民間企業)をactive cyber defenseと呼ぶことが多いです。もっとも、英国は、自律的な防御システムを利用した防御をproactive defenseと読んだりします。

後者については、高市エッセイおよび他のブログについてもふれた、対抗措置の整備ということになるかとおもいます。これは、興味深いもので、タリン2.0レベルに追いついたということになるのかもしれません。

具体的な戦略が明らかになるのが期待されるかとおもいます。

カテゴリー: アクティブ防衛, 対抗措置, 情報セキュリティ | 政府、サイバー被害の深刻度指標 対抗措置の判断基準に はコメントを受け付けていません。

高市早苗「安全保障分野のサイバーセキュリティ」について

高市早苗「安全保障分野のサイバーセキュリティ」というコラムがでています。

コラムの前半は、具体的な国家支援攻撃の具体例および各国のサイバードメインの認識が紹介されています。
これらの認識をもとに、後半では、「政治的には困難で大きな課題ではありますが、私は個人的に、「サイバー反撃を行わざるを得ない場合の法的課題の整理」や「サイバー反撃権の根拠法整備」については、作業を開始するべき時が来ていると考えています。」という意見が述べられています。

前半部分は、業界の人にとっては、当然の前提なので、ここでは、ふれません。
後半について、ちょっと検討していきます。といっても、ちょっとした感想です。

(1)タリン・マニュアルが紹介されていますが、この知識は、タリン・マニュアル1.0の段階のご紹介ですね。タリン・マニュアル2.0は、むしろ、「武力攻撃」の閾値以下の場合についての主権や対抗措置、デューデリジェンスについての詳細な分析がなされています。

(2)日本で「サイバー自衛権行使の可否」を議論することには、相当な困難が予想されます。>となっていて、証拠取得の困難性等からのアトリビューションの困難性があげられています。これは、他の国にとっても、ほとんど同じです。なぜに日本で、となっているのでしょうか。情報機関の貧弱さをいっているのか、証拠取得方策の問題をいっているのか、どうなのでしょうか。むしろ、自衛権にもとづく「有形力」の行使が議論されていないというのをいいたいのかもしれません。そうだとすると、アトリビューションの困難性をいうのはおかしいことになりますね。

そのあと、有識者ヒアリングについての話なので、スルーして、

(3)「『第1次提言』の執筆中で、本部長である私自身も時間を見つけてはパソコンに向かって作業中です。」とのことです。
多分サイバーセキュリティ戦略の改訂の話で、対抗措置の整理を考えているという報道に対応しているのかとおもいます。これは、昔、ブログでふれていますが、「自衛権」として整理するのか、「対抗措置」で整理するのか、ということが論点としてあるということかとおもいます。

法的な観点から、耐えられるような、第一次提言をお待ちしています、ということになりますね。

カテゴリー: 未分類 | 高市早苗「安全保障分野のサイバーセキュリティ」について はコメントを受け付けていません。

「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について

内閣官房内閣サイバーセキュリティセンター(NISC)から「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集がでています。

これは、「サイバー攻撃によりシステムの不具合が発生し、それが「重要インフラサービス障害」(以下、「サービス障害」といいます。)にまで至ってしまった場合に、そのサービス障害が国民社会に与えた影響の深刻さを表す」ものになります。

「重要インフラサービス障害」とは、「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」と定義されています。

「重要インフラサービスの安全かつ持続的な提供に支障」という要件に該当した場合に、どのような効果が発生するのか、というのが、気になります。

もともととしては、「重要インフラの情報セキュリティ対策に係る第4次行動計画」に基づいており、この計画は、「サイバーセキュリティ基本法」(平成26年法律第104号)の基本理念にのっとっているので、この要件に該当する場合は、「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合」(サイバーセキュリティ基本法附則2条)ということになるかと思います。

この場合の法的な効果としては、「国民の生命、身体又は財産に重大な被害が生じ、又は生じるおそれがある緊急の事態への対処及び当該事態の発生の防止」(内閣法15条1項の内閣危機管理監の職務)に該当することになる、というのか組織法上の効果になるかと思います。

具体的な政府の対応手法を発動させるのか、という点についていえば、「我が国の平和と独立並びに国及び国民の安全の確保に関する法律(以下、事態対処法という)」についていえば、同法21条の「国及び国民の安全に重大な影響を及ぼす緊急事態」と上の「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」が、同一であるのか、という解釈上の論点が発生します。

もし、この重要インフラ支障事態(?)が、上の「国及び国民の安全に重大な影響を及ぼす緊急事態」と同一であるならば、法的には、同法21条2項の
「一 情勢の集約並びに事態の分析及び評価を行うための態勢の充実
二 各種の事態に応じた対処方針の策定の準備
三 警察、海上保安庁等と自衛隊の連携の強化」
の措置をとることができることになります。

国際法的には、このサイバー攻撃が、主権の侵害をおよぼす(干渉)ものであれば、国際的違法行為として対抗措置を許容するということになりそうです。主権の絶対性の対象となる物に関する干渉(interference)は、国際法の侵害になるとされているわけです。ここで、干渉とは、そのものに損傷(damage)を与えるか、もしくは、その機能を重大に損なわせることをいいます。

でもって、この深刻度評価基準ですが、何の効果をもたらすのか、というのが、私のレベルでは分析できないので、基準として、妥当なのか、どうかというのもコメントできないですね。

(ちなみに、脆弱性に関しては、脆弱性自体の深刻度と、社会に対する影響度というのを分けています。用語も統一されていないというのも微妙な感じがしますね)

カテゴリー: Cyber Physical System, IoT, 対抗措置, 情報セキュリティ | 「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について はコメントを受け付けていません。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(下)

CLOUD法の条文をみてきました。果たして、この法が、「政府は企業が保有する個人情報を容易にアクセス可能に」するための法なのでしょうか。私には、到底、そのように思えません。

法の骨格としては、有線ないし電子通信の内容を求める法的プロセスに関しては、105条において、外国の法的手続を米国の立場から検討して、一定のレベルを満たしている場合には、行政協定を締結することによって認証して、その外国の一定の命令を、米国の国内法のもとでも効力を有するものとして、プロバイダに対して、保存、開示等の義務を課すというものだと理解しています(103条(a))。

ここで、気がついたいくつかの点についてコメントしていきましょう。

(1)有線ないし電子通信の「内容」を求める
(2)命令と国内法の矛盾
(3)データへのアクセスと執行管轄
(4)行政協定
(5)外国の命令の効力

(1)有線ないし電子通信の「内容」を求める

私が、「通信の秘密」の数奇な運命で指摘したポイントになりますが、「通信」に関する構成要素は、大きくわけて、内容と通信データ部分があるわけで、CLOUD法は、その内容に関する外国の命令についての取り扱いに関する規定になります。
日本だと、令状(court warrant)によって求めるのは、当然だろうと思っている人がおおいわけですが、通信に対するデータへのアクセスについては法執行機関の命令(裁判所の関与なし)による場合もあったりします。
米国でも、通信データ部分については、裁判所の提出命令(subpoena)だったりします。英国は、法執行機関、情報機関その他が、独自に命令を執行可能です。あと、行政命令という立て付けの国もあったはずです。

これらに対して、発令国が、海外のプロバイダに対して、提出を命令した場合に、その命令の米国内の効力が、どうなるの?というのがメインの論点になるかとおもいます。そんな命令は主権侵害でしょ、だす発令国のほうがおかしいじゃん、かというと、そうとはいえないわけで、プロバイダが発令国に(営業)主体をもっていれば、その主体に対して、提出しなさい(保存場所をとわない)というのは、当然のように思えます。(MS事件が、この発令国・データ所在国が逆の場合)

(2)命令と国内法の矛盾
この場合に、海外発令の命令に従う場合の免責効力(104条)がないと、マークリッチ事件(裁判所侮辱とスイスの預金者保護の矛盾が発生した事件)のようなことになります。要は、提出に応じると米国で、個人情報漏洩だといわれて刑事罰、提出しないと、発令国で、裁判所侮辱です。(類似の事案として、Nova Scotia事件とかもあり、これも別のエントリでふれるべき事案ですね)

ちなみに、105条は、内容という文言がなくなっていたりして、解釈的には、どうなんだろうかと考えたりもするところです。
データに外国の法執行機関がアクセスしたとして、それに対して、このCLOUD法は、それを米国の執行管轄(主権)の侵害と考えるのだろうか、何か、語っているのだろうかという論点があります。

(3)データへのアクセスと執行管轄
一国の国の内部で保存されているデータについて、そのデータのアクセス管理権限について、管理者の意図に反してアクセスすることは、執行管轄権(主権)の侵害になるのか、という論点があります。この点については、ブダペスト条約(サイバー犯罪条約)の制定の際に、議論がもっとも白熱したところです。(クラウドなので、場所が特定できないというツッコミはなしで-ただ、)。
この点については、マリア博士の博士論文を紹介したところにも関連します。基本的には、主権侵害と解する立場のほうが多いです。わが国では、国外保存がわかったら、捜査はしないというのが実務ですね。

この論点は、実は、いま、またホットになりつつあるような気がします。「アクティブ防衛」という用語のもとに海外における証拠の直接取得が議論になりつつあります。オランダ政府は、法執行機関における海外の所在不明のクラウド上の証拠取得を認めていたりします。このCLOUD法は、(なんらの認証行為をへていない段階においては、)それを米国の執行管轄(主権)の侵害としているように思えます。

あと、この論点を聞くと、実務家だと、証拠開示手続のコモンロー国とシビルロー国の対立を思い出します。米国は、外国の手続に関連して、地方裁判所が、ディスカバリ命令を発令するかという点についての争いがあって、いわゆるインテル基準によって多判断がなされているということもあります(この点については、また、別のエントリで、ふれます)。

(4)行政協定

そもそも、日本の枠組みでいえば、刑事に関しての相互共助になります。刑事共助とは、「一般に、外国の刑事事件の捜査、訴追
等に必要な証拠(証言、供述、物件等)が自国にある場合に、当該外国の要請により、当該外国の捜査当局に代わってこれらの証拠を取得し、提供することなど、刑事分野における国家間の協力」をいいます。

この点については、この「欧州 27 か国への刑事共助ネットワークの拡大 ~日・EU刑事共助協定~」が資料としてわかりやすいです。

でもって、わが国の枠組みとしては、
ア)刑事共助条約を締結していれば、その条約に基づいて。
イ)締結していない場合については、原則として、外交ルートを通じて国際礼譲による捜査共助を要請
ウ)日本政府が、外国の刑事事件の捜査に必要な証拠の提供等について外国政府から協力を求められた場合、「国際捜査共助等に関する法律」に基づき捜査共助を実施し得る
ということになっています。

わが国では、条約もしくは、外交ルートが、このような刑事捜査の枠組みであるのに対して、CLOUD法は、行政協定での命令の効力を認めるということになります。保存されたデータへのアクセスが、国民の権利義務に関するものであるとすれば、行政協定で、自動的に、外国の命令に効力を認めるというのは、なかなか理解しがたいところかとおもいますが、第三者にゆだねられているデータというのは、プライバシの「合理的期待」としては、低いし、そのレベルを決めるのは、法的な権利義務の問題とはいわないとすれば、行政協定ということになるのかもしれません。難しいところです。

(5)外国の命令の効力

この外国の命令の効力が、アメリカ国内でも認められるということは、法的には、その提出によって他の法的義務の不履行に対する抗弁となりうるということと、発令国において、不履行に対する制裁が、アメリカにおいても正当なものとして認識されるということになりそうです。

また、当然ですが、そのような命令をもとに、米国内で、外国命令を執行しようとしても、その執行行為は、米国における主権を侵害するものではない、ということになるかとおもいます。

この帰結になってきますが、たとえば、米国内のプロバイダに名誉棄損の証拠が存在している場合に、被害者が、被害届けを提出し、法執行機関が、その被害者の居住国のプロバイダの現地法人に対して令状や開示命令をもとめた場合に、その国の司法機関は、米国に所在するデータに対して開示する旨の命令を発令することは実益としても存在するということになってきます。
この発令国と米国とで、認定される行政協定が締結されていれば、その命令が直接に米国で執行されうるということになります。
(プロバイダーに対して命令が行われる)

将来的には、発令国において、その命令の行為が、海外に対して、一定の手続のともに、直接に証拠取得をなす行為が許容されているような場合については、そのような行為(たとえば、侵害行為に対して、追跡の上、盗まれたドキュメントにビーコンを埋め込んで追跡するような行為)が許容されていれば、米国におけるデータに対してのアクセスも許容されるということになりそうです。そのような法的枠組みが行政協定として認証されるのか、という問題はありそうですが、このような発展性のある法であるということは認識しておくべきだろうとおもわれます。

ということで、かなりの難問であり、またた、米国における捜査と開示の実務については、まったく実務の感覚がないのにかかわらず、分析するのは、極めて困難ですが、分析としては、このようになるのかなというところです。

カテゴリー: 情報セキュリティ, 通信の安全/プライバシ | CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(下) はコメントを受け付けていません。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(中)

104条は、「現在の通信法に対する追加修正条項」です。

119章の2511(2)条に、電気通信サーヒスのプロバイダーが、2523条を満たす行政協定に従った外国政府の命令に応じて通信内容を傍受し、開示することは、違法ではない。などの規定を追加し、その上で、この場合の開示等においては、プロバイダーが責任を負わないこと/裁判所命令に応じた場合が抗弁になることを記載しています。

105条は、外国政府によるデータへのアクセスについての行政協定です。

119章の2523条に外国政府によるデータへのアクセスについての行政協定を追加するという条項です。
(a)項の定義のあと、(b)項は、行政協定の要件というタイトルです。

そこでは、司法長官が、以下の事項について、国務長官の賛同を得て、以下の要件を満たす協定であることを認定して、議会に対して書面で、提出します。

その場合に判断される要件としては、
(1)外国の法が、プライバシー・市民の自由についての堅固かつ手続的な保障を有しているかどうか、
(2)外国政府がUSシチズンに関する情報を収集・維持・拡散を最少限化する適切な手続を採用しているかどうか、
(3)協定の条件が、暗号の解読の義務づけ等の義務を課すようなことがないこと
(4)外国政府が、その所在をとわず、米国パーソンを標的にしえないこと(AおよびB項)、外国政府によってなされる命令が、重要犯罪の防止、探知、捜査、起訴のためであること、人名、アカウント、住所、機器などによって特定がなされること、国内法に準拠していること、法的な根拠にもとづいてなされること、裁判所によって命令が審査されること、傍受に関する命令については種々の限定事項に関する命令によること(以上(D項)、外国政府は、相互保障のあるアクセス権限をみとめること(I項)、などです。
(c)項は、司法審査からの排除をうたっています。ただし、議会は、審査をなすことができます((d)項(4))。

また、司法長官は、行政協定を5年ごとに見直します((f)項)。

106条は、解釈の規則で、18巻の3512条、28巻の1782条に従う共助要請を排除するものと解されてはならないとされています。

さて、基本的な考察のための材料が揃いました。

この法律をどのような意味をもつものとして考えるのかについては、次のエントリで検討してみましょう。

カテゴリー: 情報セキュリティ, 通信の安全/プライバシ | CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(中) はコメントを受け付けていません。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか?(上)

「米国でCLOUD法成立、政府は企業が保有する個人情報を容易にアクセス可能に」という記事がでています。

プライバシー関係の法に関するネットの記事は、条文にあたらないで、意図的な法律家の妥当ではない解釈に基づいたコメントを集めただけのがよくあるので、このような記事を見たときは、疑ってかかったほうがいいです。

日本でも、「ネットワーク監視法」騒ぎは、サーベイランス(通信途上の監視)とプリザベーション(過去記録の保全)を意図的に混在させる法律家(日弁連ともいう)が、社会を混乱させましたね。教訓にしましょう。

でもって、CLOUD法です。結論から言うと、この法律に素人さんは、コメントしないほうがいいとおもいます。

その理由ですが、条文を以下に述べていきますが、みてもらえれば、わかるとおもいます。

法律自体は、2018年統合適用法(とでもいうのかな)(Consolidated Appropriations Act,2018.)(条文自体が、2232ページ)のなかで、最後のディビジョンVの部分 CLOUD法に記載されています。(2201ページから)

各条文を見ていくと

101条は、タイトルです。「適法なデータの国外利用の明確化法(‘Clarifying Lawful 4 Overseas Use of Data Act’’ or the ‘‘CLOUD Act’’.)」といいます。

102条は、議会の現状認識(CONGRESSIONAL FINDINGS. です。
議会としては、
(1)通信プロバイダーの保有するデータへの適時のアクセスの重要性
(2) そのようなデータへのアクセスの可能性は、米国の法域に属するサービスプロバイダによって外国においてカスタディ、コントロールまたは、保存されているデータに対してアクセスが可能ではないことによって 害されている(being impeded)
(3) 外国政府は、米国のプロバイダーによって保存されている電子データに対してアクセスを求めていることが増加していること
(4) 電気通信プロバイダーは、外国政府からの電子データに対する提出要求に対して、米国法が、開示を禁止しているのに、法的利害衝突を感じること
(5)外国法は、 保存通信法が開示を拒絶する場合においてと同様の利益衝突を生み出しうること
(6)米国と外国政府が、法の支配とプライバシと市民の自由の保護の観点から、共通のコミットメントを共有する一方で、国際的合意が利害衝突に対して解説策を提供しうること 
としています。

103条は、「記録の保存(preservation)、法的プロセスの相互の互譲(comity)」です。

(a)項で、要求と通信および記録の開示、(b)項で、有線ないし電子通信の内容を求める法的プロセスの互譲分析について定めています。

(a)項は、合衆国法典18巻、121章2713条で、「保存(preservation)、開示等の義務に関しての保存通信法の改正条項」を追加します。具体的には、「電気通信プロバイダー等は、通信、記録、情報が、米国内に存しようがしまいが、本章に定める義務に準拠して有線・電気通信の内容の保存、バックアップ、開示しなければならない」としています。(これによって、条項の一覧も追加)

(b)項は、法的プロセスの互譲(comity)の規定をおいています。
具体的には、同2703条に、(h)項として 「有線ないし電子通信の内容を求める法的プロセスの互譲分析」を追加します。

その(1)は、定義規定であって、「認証外国政府‘qualifying foreign government’」「USパーソン(United States person)」の定義をそれぞれ定めます。

(2)は、電気通信サービスのプロバイダーが、本節の手続にしたがって開示を求められた場合の棄却もしくは変更の申立の規定です。(A)は、一定の場合にプロバイダーがそれらを求めることができるという権限に関する規定、(B)は、裁判所が、棄却もしくは変更を認めることができる場合についての規定です。具体的には、プロバイダーが、外国の法に違反することになる場合、総合的事情の判断のもとに、棄却もしくは変更がみとめられるべき場合であって、顧客等が、USパーソンではなく、合衆国に居住しない場合に、そのような判断をなすことができるとされています。

(3)は、互譲分析で、上の(2)の判断をなす場合の総合的に考慮されるべき事情を述べています。具体的には、(A)開示を求める調査の利益を含む合衆国の利益、(B)開示の禁止を解除することについての認証外国政府の利益(C)プロバイダーに課せられた相矛盾する法的要求に関して制裁が結果として課される可能性、程度、性質(D)通信が求められている顧客等の場所、国籍、彼らの合衆国との関連性、(外国において3512条に基づいて手続きがなされている場合)その外国との関連性、(E)プロバイダーが、合衆国に対して有する関連性および合衆国における存在、(F)開示が求められる情報の調査における重要性、(G)適時であって効果的なアクセスであって、より重大な否定的な影響を惹起しない手段による開示の可能性、(H)3512条に基づいて外国政府のために手続きがなされている場合において、援助要求をしている外国政府の調査の利益、があげられています。

(4)は、プロバイダーは、争っている場合において、裁判所が、特段の定めをしないかぎり、保全をなさなくてはならないが、開示を義務づけられないというものです。

(5)は、(A)認証外国政府における組織に対して、電気通信プロバイダー等が、この法的手続がなされていることを開示することは、保護命令(2705条)違反にはならないこと、(B)や(C)は、上記の保護命令の規定やコモンローの互譲分析を変更するものではないこと、を述べています。

以下、104条以下は、次のエントリです。

カテゴリー: 情報セキュリティ, 通信の安全/プライバシ | CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか?(上) はコメントを受け付けていません。

オランダの責任ある開示ガイドライン

オランダのサイバーセキュリティのページをみていたら、「責任ある開示」のガイドラインに遭遇しました。

構成は、

1 脆弱性とは何か(Wat is een kwetsbaarheid)

2 責任ある開示(Responsible Disclosure)

3 責任(Verantwoordelijkheden)

4  責任ある開示のための基礎固め(Bouwstenen voor Responsible Disclosure)

この部分は、

4.1 組織

4.2 報告者

4.3 NCSC

となっています

機械翻訳を使って意味をみてみると、組織がみずから、脆弱性情報を受領する体制を整えて、報告者は、それに対して報告する、そして、組織と報告者でもって合意をなして、利用者に効果的に脆弱性情報を伝えるためにNCSCが一定の役割を果たす(報告書と組織のコミュニケーションの仲立ちもするようですが)という仕組みに見えます。

日本の早期警戒パートナーシップが、IPAやJPCERT/CCの積極的な役割を前に打ち出していたのに比較すると、NCSCが控えめな役割と見えるかも知れません。

具体的に、どのように動いているのか、聞いてみたいような気もしますね。

なお、このガイドラインは、2012年のようですLetter of the letter of the Responsible Disclosure

カテゴリー: 情報セキュリティ, 脆弱性対応 | オランダの責任ある開示ガイドライン はコメントを受け付けていません。

JNSAセキュリティ十大ニュース

JNSAセキュリティ十大ニュースがでています。

個人的には、チャットボットを作ったこともあって、AIが完全に次の30年の大きなテーマになるだろうと直感した年でしたね。AIによる攻撃とAIによる防御でしょうね。

(ただ、AIといったって、どんな技術かという話なので、だまされてはいけませぬ。偽陽性とかもあるからね。)

IoT(10月4日 総務省が「IoTセキュリティ総合対策」を発表

個人的には、なぜ、MICの対策のみ?という感じですけどね。産業ITまわりとかで、イルベス元大統領がきたイベントとかも含めて、IoT全体とセキュリティに注目がなされたという位置づけでしょうか。

ランサムウエア(5月14日 IPAがランサムウェア「WannaCry」に関する注意喚起を発表 )

あたりが上位にきています。当然の結果ということでしょうか。ランサムウエアは、大きな問題ですね。

あと、時期の関係で入りませんでしたけど、BECの問題は、インパクトがありました(ブログだと、BEC v. SCAM

番外だと、政府関係者の経歴な話もありそうです。まあ、セキュリティ業界は、ホラと現実のバランスの上になりたっているなんていう自虐的な感じもしてしまいますが。

法的なテーマとしては、

12月20日 米国、サイバー攻撃に北朝鮮関与を断定(私のブログだと、「「ワナクライ」北朝鮮の国家行為と認定」)

10月31日 セキュリティ会社員がウイルス保管容疑で逮捕(同じく「お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について という会社のコメントについて」

ですね。

来年は、何が話題になるのでしょうか。

国家行為は、当然にエスカレートするでしょうね。(リアルな武力紛争時のサイバーの法的問題とかも起こりそうです。起きないことを望みますが)

宇宙まわりのセキュリティも出てくるかもしれません。(GPSを狂わせるとかが、起きたりとかね)

 

カテゴリー: 情報セキュリティ | JNSAセキュリティ十大ニュース はコメントを受け付けていません。

宇宙-サイバーセキュリティの最後のフロンティア ?(下)

チャタムハウスの「宇宙-サイバーセキュリティの最後のフロンティア ?」の報告書の最後の部分になります。

5章は「国際的協調の促進と他の政策手段(Promoting International Cooperation and Other Policy Measures)」です。

宇宙サイバーセキュリティレスポンスの原則

これは、体制と定義される伝統的なアプローチによるとされています。

政策の要求事項

種々懸念に関する要求を合わせる ものとなる。結局、関係者の共通の野望に対応するものとなり、ガバナンス、マネージメント、包含の原則によって発展され、促進されることになります。

体制行動のタイプ

宇宙サイバーセキュリティの運営・実装における重要な追加の原則および行動のタイプは、敏捷性およびイニシアチブ、行動者の中立性、リスクマネジメントです。

結局、ベスト・プラクティスをあげるとなると、以下のようになる。

意識を向上させる、

警戒(vigilance)を促す。

依存関係の特定。

脆弱性を認識する。

復元力と対応力を構築する。

将来的なハードウェアとソフトウェア。

調達戦略を策定する。

規制要件の特定。

軍事および民間の知識交換を含む経験の共有。

ベストプラクティスを確立する。

6章は、サイバーセキュリティ体制の実装(Implementation of a Space Cybersecurity
Regime)です。

そこでは、関連する国際組織やメカニズムというのは、ないために、宇宙のサイバーセキュリティの枠組みは、早急に、宇宙サプライチェーンとその提供物と調和される必要があります。

ワッセナーアレンジメントと二つの国連のプロセス(GGE-Space、GGE-Cyber)で発展しています。さらに、COPUOSにおいて宇宙とサイバーのガイドラインが議論されています。

これらの検討をもとに、7章において結論と推奨事項になります。

推奨事項としては、上記の10のベストプラクティスが詳細な事項とともに検討されています。

 

 

 

 

 

 

 

 

 

 

カテゴリー: 宇宙法 | 宇宙-サイバーセキュリティの最後のフロンティア ?(下) はコメントを受け付けていません。