トラストサービスフォーラムinベルリン Day1 その2

トラストサービスフォーラムinベルリン Day1 の2は、11時45分から13時までの「「認証のための提案された規制枠組におけるトラストサービス」というパネルです。

最初は、簡単な自己紹介がなされました。

そのあと、最初は、モデレーターのSlowmir GorniakさんによるCyber Security Package 2018 の解説です。サイバーセキュリティ戦略、サイバーセキュリティインシデント報告、NISガイドライン、サイバーセキュリティ法提案を考えることができます。
サイバーセキュリティ法提案のなかで、ENISAは、欧州のサイバーセキュリティを担当する永続の機関になるとともに、第2のパートにおいては、認証過程に貢献することになります。このプロセスは、任意的に、ICTデバイスやサービスなどについての認定を統一しようというもので、考え方としてはアンブレラであって、セクター間のものです。
この点については、Day2で詳しくみていくことにします。(名称は、「ENISA(サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」案

参加者から、認証やデバイスについて、考えを述べることになりました。

Herbertさんからは、リモート署名が、普及しつつある場になっているということにふれました。署名指令がマキシマムの標準であったものにくらべると、eIDASは、最低限の標準になっているという点が注目すべきであるといえます。

Stefanoさんからは、電子署名指令からの流れやたくさんの議論があったことが議論されました。オランダの市場が立ち上がりました。トラストサービスプロバイダもある。現在では、統一指令があり、認証商品がある、それに、eIDAS規則がある、欧州の統一されたものがある、チャレンジである。サイバーセキュリティ法については、重要なものであると考えています、ということでした。

Boryannさんからは、ドイツの電子署名法にもとづいての認証のリリースがあって、それに従事していたことが話されました。

Delosさんからは、ISO17065の仕組みに則ったeIDASの仕組みの説明がなされました。スライドは、こちらです。

eIDASの認証認定スキームは、欧州認定協力(EA)が、765/2008にもとづいて、ISO/IEC 17065、EN319 403、とeIDAS要件にもとづいてなされます。具体的には、eIDASの適合性認定機関が(Conformity Accreditation Body)、適合性評価機関によるeIDAS認証スキームによって、適格サービスプロバイダやそのサービスが提供されることになります。それが、監督機関に通知されて、トラストリストに掲載されることになるのです。
ここで、一つの問題は、適格署名生成機器(QSCD,Qualified Signature Creation Devices)です。適格トラストサービス提供者が、そのなかで、適格署名を生成するということは、一つの論点になっています。現在の者は、スマートカードのようなデバイスに適合したものになっています。新しいものは、適格トラストサービス提供者が、その手元で作成する場合を考えなければなりません。
次は、Boryannさんは、QSCDの認証について、リスト化されているようになっているという話がなされました。

そのあとは、Q&Aのセッションになりました。QSCDのスキームは、十分であるのか、とか、の質問がなされました。具体的なやりとりは、省略します。

トラストサービスフォーラムinベルリン Day1 その1

ベルリンでのトラストサービスフォーラムの出張メモです。

トラストサービスフォーラムは、ENISAが、D-TRUSTと共同で開催している会議になり、今年が、4回目になります。10月23、24日とベルリンで開催されました。具体的な紹介は、こちらになります。

出席者は、120-30名という感じでしょうか。

スケジュールとプレゼンテーションの各ファイルは、こちらからダウンロードできます。

では、早速、午前中の前半のセッション(1000-1115)をみていきましょう。

1 歓迎の言葉(Anders Gjøen)

最初の導入は、Anders Gjøenさんです。スライドは、こちらです。
私たちは、デジタル社会におけるトラストがいたるところで、役に立っているのをみることができます。

EIDAS規則を簡単に見るとすると、二つの章が異なった規則と要件を述べているということになります。2章は、eID手段の相互認証であり、3章は、電子トラストサービスです。さらに9章では、電子ドキュメントについて述べられています。(スライド3頁目)
2018年には、電子署名も進歩しています。トラストリストを一覧でみることができ、サクセスストーリーにもなりました。接続ツールの準備や認証のテストケースが準備されています。また、協力ネットワークにおける意見が準備されています。協力がなされているエリアとしては、専門家グループ、ETSI、ENISA、産業界、国連、第三国などがあります。

eIDASの果たしている役割は、マネーロンダリング指令(AML5)、PSD2指令、越境における一回限り原則、デジタルにける顧客知しゅうの原則、会社法、虚偽情報対応、GDPR対応などがあります。(16頁目)

加盟国における大規模なパイロットプロジクト(PEPPOLやSTORK)があって、それらが、ボトムアップで、個々のサービスに提供されるのに対して、eIDAS規則は、上から法として枠組を与えています。

CEF(Connecting Europe Facility)は、eIDと電子署名において、種々の提案をなそうとしています。
次は、何になるのでしょうか。グローバリゼーション、スムーズな経験への需要が増加しており、その一方で、個人情報の利用についての懸念があります。 デジタルアイデンティティの市場は、混雑し、大変化しています。公的部門と民間の依存は、相互に高くなっており、サイバーセキュリティのリスクが増加するとともに、新規技術は、勃興しています。これらが、eIDやトラストサービスの進化をもたらす要因といえるでしょう。
EUは、未来への投資をなしています。

2 eIDAS規則-曲がり角を曲がって(Andreas Mitrakas)

このスライドは、こちらです。

EU戦略の全体像があります(同スライド2頁目から)。

中心にデジタル単一市場、サイバーセキュリティ戦略を起き、それをNIS指令、GDPR、eプライバシー規則提案、サイバーレジリアンス・競争的・イノベーテヤブなサイバーセキュリティ育成、eIDAS規則が取り囲んでいるわけです。
ENISAは、この戦略のなかで、重大な役割を示しています。その図解をみてみましょう(スライド3頁目)

この図でわかるように研究、トラスト提供事業者のためのガイドライン、事件報告、トラストサービスフィ―ラムの柱をそれぞれささえているのです。
研究には、適格ウエブサイト認証証明書、標準のためのマッピングがあります。上記トラスト提供事業者のためのガイドラインのガイドラインには、セキュリティ枠組、トラストサービスプロバイダのためのガイドライン、監査枠組、開始・監督・終了のガイド、頼れるバートナーのガイドなどがあります。また、インシデント報告については、19条専門家委員会、CIRAS-T報告ツールがあります。
eIDASの成功ストリーとしては、モバイルコネクス、ドイツの保険ドットコムなどがあります。
EUのサイバーセキュリティ認証枠組の基本的な要素をみることができます。

スキームの範囲

プロセス、製品・サービスのタイプ・カテゴリを含む

評価の過程において標準への参照を行う CAB(認証認定団体)のサイバーセキュリティ要件の特定

特定の評価クライテリア及び方法の利用

申請者のCABへの情報提供
マークやラベルの利用条件

認証証の維持および延長の条件

認定証明書/EU適合宣言のモニタリング・適合の規則 脆弱性報告のルール

CABにおける記録維持

同種のエリアにおける国家・国際スキームの特定

EU適合宣言の内容

有効期間

開示原則

相互認証

また、以下のような実施のスキームを考えることができます。

3  2017年トラストサービスセキュリティインシデント分析(Evgenia Nikolouzou)

このスライドは、こちらになります。

最初に、リスクアセスメント、セキュリティ手法、インシデンドレスポンスのトライアングルを考えることができます。


これは、各国において監督機関から監督されており、テレコム枠組指令13条、eIDAS規則19条、NIS指令14条および16条でふれられています。
時系列的にも、2011年5月テレコム・セキュリティ侵犯報告、2016年7月eIDASトラストサービスセキュリティ侵害報告、2018年5月NIS指令侵犯報告開始となっています。また、規則40条に基づく電気通信規範が準備されています。

セキュリティインシデント報告は、サービス提供事業者や監督機関にとっての学習のツールであるといえます。eIDASは、セキュリティ侵害について強制的に監督機関に通知する仕組みをとっています。監督機関は、越境のインパクトがある場合には、これをENISAに伝えることになっており、19条にもとづく報告書を作成しています。
各国の監督機関と加盟国の監督機関、委員会、ENISAの関係の図は、以下のようになります。

 

ENISAは、eIDAS規則19条の枠組のガイドラインを公表しています(Article 19 Incident reporting) 。報告の閾値を定めるのは、困難なチャレンジであり、二つのアプローチ(シナリオによる場合/インパクトのある資産による場合)が利用されています。

2017年版においては、13の事件が紹介されています。
43パーセントが、電子署名・電子シールの作成に影響をあたえたものになります。根本原因としては、システムミス、第三者のミスが多いです。およそ半分の事案が国境を越えるインパクトがあるものである。

結論としては、インシデント報告のメカニズムは、実働しており、その要件は、成熟しつつあります。脅威と事件の十分な情報の交換に貢献しており、国境を越えた協力と事件情報の共有がきわめて重要である。ということがいえます。

4 Enisaの活動のアップデート(Goriak)

このスライドは、こちらです。

ENISAは、種々のガイドラインを公表しています。

2017年12月には、適格サービス事業者の標準に基づいた推奨事項、トラストサーヒズ事業者の統合評価、トラスストサービス事業者のセキュリティ枠組、トラストサービス規定の開始/監督/終了のガイドラインを発表しています(https://www.enisa.europa.eu/topics/trust-services/technical-guidance-on-qualified-trust-services)。

また、2018年 には、eIDAS/トラストサービスの実装と理解の概観 がそれぞれ、公表されています(https://www.enisa.europa.eu/publications/eidas-overview-on-the-implementation-and-uptake-of-trust-services)。

2018年の活動プログラムとしては、トラストサービスの実装と理解の概観、新たな標準の評価、ROCA脆弱性 、eIDASの監査の研究、eIDAS/NIST/Mobile Connect/その他との保証レベルのマッピングなどがあります。

また、新しい標準の評価として、CID(EU)2016/650があり、新しい標準自体としては、EN419 221-5(TSPの暗号モジュールの保護プロファイル)、CEN EN 419 241-2(サーバ署名における信頼しうるシステム)があります(スライド4頁)。
eIDAS監査を世界的に、受容させるという目標がある。このために、eIDAS 一致評価報告とよびそれに関連する要件をうかがう推奨事項を提案するのが目的である。特に、QWAC (適格ウエブサイト認証証明書)の監査の受容を促進することである(スライド5頁)。

ちなみに上でふれたROCA脆弱性(Return of the Coppersmith Attackの脆弱性)ですが、infineonのチップにおいて、秘密鍵を公開鍵から生成できるというものです。エストニアのeIDカードにも存在したものであって、実害は、報告されなかったのですが、攻撃の可能性があったためにカード取り替えということになりました。私のeResidencyカードは、新しいやつなので、交換されたあとのものだ、ということを受領するときに説明をうけました。

トラストサービスフォーラムinベルリン 観光編

10月23日、24日にベルリンを訪問して、トラストサービスフォーラムに出席してきました。

なので、続けて、その会議で議論された状況を報告していきたいと思います。

まずは、ベルリンの写真から。ベルリンは、会議の翌日(25日)に、町中を歩いてみました。ただ、あいにく小雨模様だったので、町の中心街を訪問するくらいでした。

訪問場所は、

ブランデンブルグ門に

フンボルト大学

チェックポイントチャーリー

と、あと、いくつかの博物館を見て回りました。

でもって、実質3日いただけで、日本に戻る旅となりました。が、トラストサービスフォーラムでは、きちんと分析すると、EUのサイバーセキュリティに関する非常に重要な情報をうることができたような気がします。

くわしくは、次から。

 

総務省「トラストサービスに関する調査の請負」を落札いたしました。

株式会社ITリサーチ・アートは、平成30年度 総務省「トラストサービスに関する調査の請負」を落札させていただきました。

調査事項は、

  • 我が国とEU におけるトラストサービスに関する法制度等の対応関係及び差異の調査
  • 電子署名及び認証業務に関する法律における課題の抽出

となり、さらに、調査の結果の中間報告をワークショップにおいて報告をなした上で、その議論をもとに調査報告書をまとめることになります。

当社としては、我が国とEU におけるトラストサービスに関する法制度等をなすとともに、中国および韓国のトラストサービスに関する法制度をも調査すべく、現在調査に従事しております。

ワークショップおよび調査報告書で、調査の結果を、世間に問うべき努力してまいりたいとおもいます。関係者各位、特に、トラストサービスにかかわる方々、いろいろと事情をお聞かせいただきたいということでお話を伺うことにあるかとおもいます。その際は、よろしくお願いします。

2018年米国サイバー戦略をどう見るのか

結局、メディアのような「サイバー兵器を使いやすくなる」とか、「攻撃的対処も可能に」「先制攻撃の権限拡大」とか、威勢のいい表現は、見つけることができませんでした。

むしろ、文言を見ていくと、同盟国とのインテリジェンスをも活用した攻撃の責任帰属の確定とその公的アナウンスによって、外向的手法で、安全なネットワークを構築していこうという実務的な手法の強調が重要視されていると私は、読んでみました。

ソニーピクチャーズでのオバマ大統領のTVインタビュー、NotPetyaでのアナウンスメントと、サイバー戦略としての継続性をみるわけです。

メディアの論調としては、異なりますが、Law & Policyの専門の分析がどのように分析をしているのか、ちょっと聞いてみたいところです。

 

米国サイバー戦略の分析(柱4)

ピラーIV:アメリカの影響力を先進させる

この柱は、米国がインターネットのイノベーションの多くを生んだものと見ていること、国際的なサイバー問題のためのリーダーシップをとっていることにふれています。目的としては、長期にわたる公開性、相互流用性、セキュリティ、信頼性を保持することといっています。

この柱は、「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」と「国際サイバーキャパシティを構築する」から成り立っています。

「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」においては、産業革命以来の比類なき発展がなされていること、人権・基本権をめぐる争いがおきていること、米国は、オープンで、相互運用可能で、信頼性が高く、安全なインターネットを守り、促進するという原則にたつこと、というだとされています。

優先行動として

  • 「インターネットの自由を守り、促進する」
  • 「同様の国、産学官、市民社会との連携」
  • 「インターネットガバナンスのマルチステークホルダーモデルを推進する」
  • 「相互運用可能で信頼性の高い通信インフラストラクチャ/インターネット接続を促進する」
  • 「米国の企業のための市場の促進と維持」

があげられています。

「国際サイバーキャパシティを構築する」は、パートナーに防衛し、米国を援助する能力を供えさせ、より広い外交、経済、安全保障の目標達成に貢献すること、これを通じて、戦略的パートナーシップを構築すること、アメリカの影響力を構築するのち重要であること、などが述べられています。

このために優先してなすべき行動としては、「サイバーキャパシティビルディングの取り組みを強化する」があげられ、ここでは、同盟国・パートナー国のサイバー能力の強化と相互運用性の強化が述べられています。

米国サイバー戦略の分析(柱3)

柱3は、「強さを通して平和を保つ」です。
これは、さらに、「責任ある国家行動の規範によるサイバー安定性の向上」と「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」にわけて論じられます。

「責任ある国家行動の規範によるサイバー安定性の向上」では、「世界的なサイバー規範の遵守を奨励する」ことが優先事項であるとされています。国際法と責任ある国家の行動についての自主的な拘束力のない規範は、それを遵守することによってサイバースペースでの予測可能性や安定性を促進することが述べられています。

「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」では、この意味が「悪意あるサイバー行動に対して防止、対応、抑止のためのすべての道具が利用可能である。これは、外交、情報、軍事(キネティックおよびサイバー)、経済的、諜報、帰属の公表、法執行能力を含む」ものとされています。
この表現でもって、トランプ政権は、サイバー反撃を許容するように、政策を変更したと報道されているようです。
私は、個人的には、オバマ政権からのポリシを変更するものではない、と認識しています。

  • このための優先事項としては、客観的/協調的なインテリジェンスによるリード・制裁を課す・サイバー抑止イニシアチブを構築する・悪意のあるサイバーインパクトと情報操作があげられています。
    「客観的/協調的なインテリジェンスによるリード」においては、情報コミュニティは、悪意ある行為の特定と帰属決定にすべてのサイバーインテリジェンスを用いて世界をリードしていること、この結果は、世界のパートナーと共有されること、が強調されています。

(コメント)行為者の特定は、identificationで、それが、どこの責任になるかを決定するのが、attributionという用語になっています。この点は、私のブログエントリでふれてますが、特定にアトリビューションを用いる用語法に対する私の違和感は、英語でも、正しかったようです。
あと、インテリジェンスコミニュティによる行為者特定の重要性は、NotPetyaのエントリでもふれました(Kaljulaidエストニア大統領のキーノートです)ので、その実務を念頭においた用語ですね。

  • 「制裁を課す」将来の悪事を抑止するために、迅速かつ透明性のある制裁(consequences)を課すこと、世界のパートナーと協同していることが論じられています。
  • 「サイバー抑止イニシアチブを構築する」制裁の実行は、同様のマインドをもった国家の同盟のもとでなされるときには、インパクトがあって、強いメッセージとなること、米国は、国際的なサイバー抑止力イニシアチブを開始するつもりであること、そのイニシアチブは、インテリジェンスの共有・責任帰属決定の支え・責任ある行動の公の指示表明・悪事行為者に対する共同での制裁実行を含むものであること、が述べられています。

(コメント)トランプ政権が「攻撃を最優先」にしたという評価は、この文章を正面からみるときに、誤解を招くものといえるでしょう。というか、実務的な活動をしらない「誤報」ということができます。責任帰属決定を公にして、行為者に対する抑止とするという実務的な対応が、重視されていること、NotPetya対応が、法と政策の観点からは、きわめてリーディングケースであったことが評価されるべきだったと思います。
日本だと、NotPetyaは、スルーされがちなのですが、そこを評価するのが、プロだと思います。

  • 「悪意のあるサイバーインパクトと情報操作」これは、選挙過程への海外勢力の介入に対しての対応になります。外国政府・民間企業・アカデミアとともに、市民の権利・自由を守りながら、適切なツールを用いて対抗していくことかが述べられています。

米国サイバー戦略の分析(柱2)

柱2は、「アメリカの繁栄を促進する」です。
これは、さらに、「活気あふれるデジタル経済を育む」「米国の独創性を育んで保護する」「優秀なサイバーセキュリティ人材を育成する」からなりたっています

「活気あふれるデジタル経済を育む」ための優先的な行動としては、適応可能でセキュアなテクノロジー市場にインセンティブを与える・革新の優先順位付け・次世代インフラへの投資・国境を越えたデータの自由な流れを促進する・新興技術における米国のリーダーシップを維持する・フルライフサイクルサイバーセキュリティを促進するがあげられています。

  • 「適応可能でセキュアなテクノロジー市場にインセンティブを与える」というのは、セキュアの技術を採用するための市場の障害を克服し、ベストプラクティスを促進する戦略を発展させるために連邦政府が努力するということです。
  • 「革新の優先」は、サイバー脅威を減少させるイノベーティブな能力を発展、共有、構築するのに障害となる政策的障害を排除しようということです。
  • 「次世代インフラへの投資」について、次世代技術(5G、AI、量子コンピューティングなど)の技術の進展のために連邦政府は、協力するということです。
  • 「国境を越えたデータの自由な流れを促進する」については、国家安全の名のもとに、データローカライゼーションや規制の強化をはかる国家が増加しているのに対して米国企業の競争力を減退させるとし、オープンで自由な情報の流通に努力するとしています。
  • 「新興技術における米国のリーダーシップを維持する」においては、米国のサイバーセキュリティのイノベーションを押し進め、堅固な世界的なセキュリティ市場における障害を減少させるとしています。
  • 「フルライフサイクルサイバーセキュリティを促進する」については、システムの脆弱性を減少させ、攻撃が柔軟に回復させるものとし、さらに、テスト、訓練し、運用のベストプラクティスを発展されるとしています。さらに、調整された脆弱性公表、クラウド(crowd)ソースのテストなどのイノベーティブな評価を促進させるとしています。

「米国の独創性を育んで保護する」は、さらに、米国における外国資本による投資と運用の見直しのためのメカニズムの更新・強力でバランスの取れた知的財産保護システムを維持する・アメリカのアイデアの機密性と完整性を守る、という優先事項があげられています。

  • 「米国における外国資本による投資と運用の見直しのためのメカニズムの更新」については、電気通信ネットワークが国民生活にとって重要であることから、FTCのライセンスの基準を見直すものとしています。
  • 「強力でバランスの取れた知的財産保護システムを維持する」については、特許、登録商標、著作権の知的の国際的な保護システムを発展させ、敵国が米国の調査と発展を、不当な方法で利得するのを防止するとしています。
  • 「アメリカのアイデアの機密性と完整性を守る」については、いままで、他国が、違法にアイディアなどを奪われてきており、それに対抗するよう努力するとされています。

「優秀なサイバーセキュリティ人材を育成する」においては「才能のパイプラインを構築し維持する」「アメリカの労働者のスキルアップと教育機会の拡大」「連邦のサイバーセキュリティ労働力を強化する」「エグゼクティブ・オーソリティを使用して才能を強調し報酬を与える」が優先事項であるとされています。

米国サイバー戦略の分析(柱1)

トランプ政権の国家サイバー戦略を分析します。4つの柱があることは、前で述べました

1 は、「アメリカ人民、国土、生活様式の保護」です。さらにこれは、「連邦のネットワーク/情報を安全にする」「重要インフラを安全にする」「サイバー犯罪と戦い、インシデントレポートを改良する」にわけて論じられています。

  • 「連邦のネットワーク/情報を安全にする」では、連邦民間サイバーセキュリティの管理と監督を一元化する、リスク管理と情報技術の連携を調整する、連邦サプライチェーンのリスク管理の改善、連邦請負業者のサイバーセキュリティを強化する、政府がベストプラクティスと革新的なプラクティスを導くことを確実にする、にわけて論じられています。
    •  「連邦民間サイバーセキュリティの管理と監督を一元化する」では、主として、DHSの権限の強化が語られています。
    •  「リスク管理と情報技術の連携を調整する」では、大統領令13833によるCIOの権限強化が論じられています。
    •  「連邦サプライチェーンのリスク管理の改善」では、サプライチェーンのリスクをを機関の調達と連邦の要件に統合することなどが語られています。
    •  「連邦請負業者のサイバーセキュリティを強化する」では、請負業者のリスクマネージメントとテスト、調達、遠隔調査、対応を契約ベースでなしうることにすることが語られています。また、大統領令13800報告の統一的な購買についてもふれられています。
    •  「政府がベストプラクティスと革新的なプラクティスを導くことを確実にする」では、政府からの補助金を受領するには、サイバーセキュリティ基準を満たすことが求められるとされています。
  • 「重要インフラストラクチャを安全にする」では、役割と責任の見直し、特定された国家的リスクに応じた行動の順位付け、サイバーセキュリティイネーブラーとしての情報通信技術プロバイダーの活用、私たちの民主主義を守る、サイバーセキュリティ投資へのインセンティブ化,国家研究開発投資の順位付け、輸送と海洋のサイバーセキュリティを向上させる、スペースサイバーセキュリティの向上、にわけて論じられています。
  • 「役割と責任の見直し」では、サイバーセキュリティリスクマネジメントおよび事案対応に関して、連邦機関と民間の役割と責任を見直すことが述べられています。
  • 「特定された国家的リスクに応じた行動の順位付け」においては、甚大なリスクに対しては、民間企業と連邦は協調して対応することが述べられています。
  • 「サイバーセキュリティイネーブラーとしての情報通信技術プロバイダーの活用」においては、プライバシーと市民の自由を保護しながら、情報通信技術プロバイダーは、情報通信セキュリティとレジリエンスを向上させるために連邦と協働しなければならないとしています。
  • 「私たちの民主主義を守る」は、選挙過程に関する脅威に関する情報の共有を向上することを述べています。
  • 「サイバーセキュリティ投資へのインセンティブ化」では、重要インフラにおいてセキュリティの投資が、利益を生むことを理解してもらうことなどを述べています。
  • 「国家研究開発投資の順位付け」では、連邦が、調査・開発が優先されるように改変されることがふれられています。
  • 「輸送と海洋のサイバーセキュリティを向上させる」では、物の輸送が、重要であり、国際的な輸送がサイバー手段によってリスクにさらされているのに対して対応することが明らかにされています。
  • 「宇宙サイバーセキュリティの向上」は、測位・ナビ・時刻(PNT)、インテリジェンス・監視・偵察(ISR)、衛星通信・天候モタリングの観点から、重要であることが述べられています。
  • 「サイバー犯罪を取り除き、インシデントレポートを改善する」では、インシデントレポートとレスポンスの改善、電子監視とコンピュータ犯罪法の近代化、サイバースペースにおける国境を越えた犯罪組織からの脅威を軽減する、海外にいる犯罪者の身柄確保(apprehension)を改善する、犯罪サイバー活動に対抗するパートナー国の法執行能力を強化する、わけて論じられています。
  • 「インシデントレポートとレスポンスの改善」では、サイバーインシデントの連邦への早急に報告の重要性をといています。
  • 「電子監視とコンピュータ犯罪に関する法の近代化」では、法執行機関の能力を拡張する改正、民事仮処分を通じての犯罪インフラの停止、悪意ある活動者に対する適切な制裁を課すことが強調されています。
  • 「サイバースペースにおける国境を越えた犯罪組織からの脅威を軽減する」においては、海外の犯罪組織に対して、法執行機関に対して、捜査および起訴する有効な法的ツールを準備することが述べられています。
  • 「海外にいる犯罪者の身柄確保(apprehension)を改善する」においては、米国政府は、海外の犯罪者を特定し、裁判に引き出すまでを改良すること、適法な犯罪人引き渡し手法の協力を促進するように努力することが述べられています。
  • 「犯罪サイバー活動に対抗するパートナー国の法執行能力を強化する」においては、パートナー国の法執行機関の協力が必要であること、それらの国の能力を強化することは、米国の利益でもあることが述べられています。

この柱1においては、特に刑事的手続に関しての新たな動向について注目したいところです。

「トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる」?

トランプ政権が、公表した「NATIONAL CYBER STRATEGY(国家サイバー戦略)」に関して、Tech Crunchは、「トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる」という記事をあげています。

この記事の内容としては、現政権としては大統領指令PPD-20を破棄して「“攻撃の最優先”(offensive step forward)」という表現をとるようになった。“大統領の指示はこれまでの抑制を逆転して、実質的に、関連部門からの攻撃的なサイバー作戦を可能にするものだ”。ということだそうです。

このような記事を読むと、すぐにトランプ政権は、サイバー攻撃に対して、サイバー的な手法を用いて、攻撃者に対して、実際の被害が発生するような攻撃的な手法を採用するようになったというイメージを持ちそうになります。はたして、そうなのか、いままで、特にソニーピクチャーズやNotPetyaなどの事件において国家実行として行われてきたものを変更するのか、それについては、実際の文章をみていかないといけないような気がします。

戦略自体は、序と4つの柱からなりたっています。

4つの柱は「アメリカ人民、国土、生活様式の保護」「アメリカ反映の促進」「強靱さによる平和の保全」「アメリカ影響の進展」です。

序は、ここに至る道筋と前進とにわけて論じられています。前者においては、オープンなインターネットの考え方をもと米国は、これを発展させてきたが、競争者/敵(ロシア・イラン・北朝鮮)は、インターネットを米国の軍事、経済、政治力の及ばないところとみて主権の影に隠れて、他の国の法を侵しているとしています。
前進においては、サイバースペースを確保することが戦略の基礎であり、技術の進展と政府や民間部門の効率的な運営が必要なるとしています。また、ポリシとしては悪意あるサイバー活動やそのエスカレーションを防止するために、コストを賦課することを採用しなければならないとしています。このコスト賦課は、サイバー/非サイバーを問わないということも記載されています。

さて、どうも文章の上からは、「サイバー兵器」を使ってどうの、ということは感じられません。次では、具体的な柱を見ていくことにしましょう。