サイバーセキュリティ戦略と「法」

サイバーセキュリティ戦略・サイバーセキュリティ 2018が決定しました。
具体的な案はこちらです(資料1)

報道は、こちら。(たとえば、ZD Net 政府の新たなサイバーセキュリティ戦略が決定–東京五輪後も視野)

資料は、概要と意見募集の結果も含まれているので非常に大部になります。

サイバーセキュリティ戦略の重点施策は(1)経済社会の活力の向上および持続的発展、(2)国民が安全で安心して暮らせる社会の実現、(3)国際社会の平和・安定および我が国の安全保障への寄与、(4)横断的施策――の4項目になるので、それらで興味のあるものをピックアップしてみましょう。

(1)経済社会の活力の向上および持続的発展

「経済社会の活力の向上および持続的発展」は、新たな価値創出を支えるサイバーセキュリティの推進、多様なつながりから価値を生み出すサプライチェーンの実現、安全なIoTシステムの構築にわけて論じられています。

「サプライチェーンのつながりの端で起こったサイバーセキュリティの問題が、実空間、さらには、経済社会全体にこれまで以上に広く波及し、甚大な悪影響を及ぼすおそれがある。」(戦略16頁)という表現からわかるようにダウンストリームに注目されていますね。世界的には、サプライチェーンという用語は、むしろ、機器が自分の手元にくるまでにセキュアなのか、ということのほうが一般的ですね。
ただ、17頁ででるように官公庁の調達物資のセキュリティについても今後は、考えていきますというのは、非常にいい傾向なのかと思います。
(事務所のアクセスの足回りは、Nuroなので、偉そうなことはいえない私です)

安全なIOTシステムについては、でました「責任分界点」ですね(戦略18頁)。我がブログの一番人気用語です。ここでは、「責任分界点(既知の脆弱性への対応に関する製造者責任や運用者等の安全管理義務などインシデント発生時における各主体の法的責任を含む)」という形で、liabilityの用語をいれている意味で、物理的な安全管理基準の適用範囲という実定法上(たとえば、電気通信事業法41条ね)に限定すべきという私の立場にケンカを打っているわけですが、とりあえず、「含む」として、実定法上は、ここらへんはいれないのが一般だけど、許してね、という感じがでているので許すことにしましょう。

「範囲や定義、物理安全対策」もふれています。自動車の安全基準といっても、これから、つながるシステムのうちのどこまでが、「自動車システム」なのか、という考え方がでてきますね。その意味で、「範囲や定義、物理安全対策」という意味が書いてあるんでしょうね。深いです。

「脆弱性対策」(戦略18頁)の「機器製造事業者、電気通信事業者、利用者等の各々の主体の相互理解と連携の下で取り組むべきである」という用語も深いですね。脆弱性研究会(脆研)が脆弱性についての一定の調整作業等をおこなっていますが、通信機器については、さて、どうしましょうか、ということもでてくるわけでしょうね。まさに「連携の下で取り組むべきである」というのは、そのとおりなのですが、どうするといいのか、実際に考えていかないといけません。

(2)国民が安全で安心して暮らせる社会の実現

国民が安全で安心して暮らせる社会の実現は、国民・社会を守るための取組、官民一体となった重要インフラの防護、政府機関等におけるセキュリティ強化・充実、大学等における安全・安心な教育・研究環境の確保、2020 年東京大会とその後を見据えた取組、従来の枠を超えた情報共有・連携体制の構築にわけて論じられています。

これらの項目のなかで、法的な観点から、興味深い点としては、以下の点になるかと思います。

「サイバー関連事業者等と連携し、脅威に対して事前に積極的な防御策を講じる「積極的サイバー防御」を推進する。具体的には、国は先行的防御を可能にするための脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用、ボットネット対策等、サイバー犯罪・サイバー攻撃による被害を未然に防止できるような取組を推進する」という記載(戦略21頁)が、気になります。

「アクティブ防衛」という用語との関係については、以前のエントリでふれたことがあります。法的に厳密にみた場合に、これらの取り組みは、サイバー犯罪・攻撃の実行行為がなされる以前と実行行為がなされた以降の対応が、含まれているのは、考えておいたほうがいいように思います。

まず、世界的に「アクティブ(サイバー)防衛」というのは、「実行行為がなれた以降」に、その実行行為がなされたことを契機にして、実行行為者に対して、強制力を行使することによって、証拠の収集・将来の実行行為の抑止をなしうるのか、というのを議論するのに、使われるのが「主たる」場合(このように法的に整理して論じる論者も多くはないです)です。

エントリの「アクティブサイバー防衛手段(active cyber defense measure)確実化法」でも、攻撃者に対するアクセスを論じていることからも、わかるかと思います。

ここで、日本でいう「積極的サイバー防御」の推進、というのをそのまま「日本でもアクティブ防衛方針になりました」というと、例によって、ロスト・イン・トランスレーションになります( communicatonを当然に遠隔通信と訳するがごとし)。

「脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用」は、むしろ、サイバーインテリジェンスのうちの、事前のインテリジェンスと捉えるほうが言いように思います。「ボットネット対策等」については、情報共有と、実際のテイクダウン、場合によっては、ホワイトワーム投入作戦があります。特に、テイクダウン作戦、ホワイトワーム投入作戦については、法的な整理が必要なので、夏の間に論文をまとめることにしましょう。(関係省庁さんからの委託調査でもいいです)

あと、仮想通貨、自動運転車についても言及されているのは、興味深いです(戦略21頁)。

サイバー犯罪への対策について、「新たな捜査手法の検討」がはいっています(戦略21頁)。この点は、注目ですが、GPS捜査最高裁判決みたいに、オレオレ合法論で突っ走ったりしないようにということでしょうか。

個人的には、サイバー攻撃より、熱波攻撃対応で、夕方から夜中に競技をするようなスケジュール変更を早急に考えることのほうが、優先順位が高そうな気がしますけども、それは、さておきましょう(警備の問題があるのかもしれませんが)。

(3) 国際社会の平和・安定及び我が国の安全保障への寄与
国際社会の平和・安定および我が国の安全保障への寄与としては、自由、公正かつ安全なサイバー空間の堅持、我が国の防御力・抑止力・状況把握力の強化、国際協力・連携について論じています。

ここでは、特に、「国際社会の平和と安定及び我が国の安全保障のため、サイバー空間における法の支配を推進することが重要である。」(戦略32頁)は、注目されます。これは、基本的には、わが国としては、このような観点を打ち出していたわけですが、これだけ明確に記載してあるとインパクトがあるなあと改めて思います。「これまでに明らかにされた責任ある国家の行動規範について、着実な履行・実践を通じ普遍化を進める。そうした規範を国際社会に広げ、国家実行を積み重ねていくことで、規範に反する行動を抑止する。」ということで、まさに、サイバー規範の重視ということで、なかなか、責任ある宣言だなあと思います。

また、「サイバー攻撃に対する国家の強靱性を確保し、国家を防御する力(防御力)、サイバー攻撃を抑止する力(抑止力)、サイバー空間の状況を把握する力(状況把握力)のそれぞれを高めることが重要である。」(戦略33頁)も重要です。

「防衛産業が取り扱う技術情報等は、それが漏洩・流出した場合の我が国の安全保障上の影響が大きいため、安全な情報共有を確保する仕組みの導入、契約企業向けの新たな情報セキュリティ基準の策定、契約条項の改正等の取組を行う。これらについて、官民連携の下、下請け企業等を含めた防衛産業のサプライチェーン全体に適用することを前提とした検討を行う。」というのは、防衛産業サイバー基盤という感じになるのでしょうか。興味深いです。

「伊勢志摩サミットにおいて G7 首脳が確認したとおり、一定の場合には、サイバー攻撃が国際法上の武力の行使又は武力攻撃となり得る」(戦略33頁)
まさに、わが社のここの記載(サイバー攻撃と武力行使)みてね、ということで、一般的な国際法コミュニティの見解そのものになります。

「また、G7 ルッカ外相会合において確認したとおり、悪意のあるサイバー攻撃等武力攻撃に至らない違法行為に対しても、国際違法行為の被害者である国家は、一定の場合には、当該責任を有する国家に対して均衡性のある対抗措置及びその他の合法的な対応をとることが可能である」(同)ということで、これも、ちゃんと対抗措置についてコメントがなされており、さらに合法的な対応(外交その他)についてもコメントがなされています。きわめて法的な記述であり、興味深いです。

「同盟国・有志国とも連携し、脅威に応じて、政治・経済・技術・法律・外交その他の取り得る全ての有効な手段と能力を活用し、断固たる対応をとる。」まさに、SONYピクチャーズ事件、ワナクライ事件、NotPetya事件などでの各国の国家実行 (CyCon Xでも何回か話にでました)をベースにした記述です。

これらは、まるで、シュミット先生のまとめを聞いているみたいな記述です。

興味深いというか、むしろ、戦略文書にこれだけ法的に、しかも正確な記述がはいってきたということで感慨深いものがあります。

(4)横断的施策

横断的施策は、人材育成、研究開発の推進、研究開発の推進、全員参加による協働が述べられています。興味深い点は、以下のところでしょうか。

「政府機関や企業等の組織を模擬したネットワークに攻撃者を誘い込み、攻撃活動を把握すること」(戦略40頁)がふれられています。攻撃がなされている間に、受信者(?)が、真の受信者の代わりに、デコイに通信してあげるという、個人的には「通信の秘密」との整理は、どうなっているの?作戦のひとつになります(解釈論としては、「取扱中とはいえない」とか、「受信者の承諾がある」とかいうのかと思いますが、通信は、一方の承諾でいいというのは、例外だったよね、とかあります)。

また、「政府機関や重要インフラ事業者等のシステムに組み込まれている機器やソフトウェアについて、必要に応じて、不正なプログラムや回路が仕込まれていないことを検証できる手段を確保することが重要である」(戦略40頁)。イギリスのGCHQにいったときに、技術の担当の方は、このような業務をになっていましたね。お約束ですが、GCHQの組織は、「ロンドンのとある映画会社の地下深く」 (オジサマお待ちかね-オープニング)にありました(?-UFOっていうテレビみたいだね、というのが私の感想)。
日本だとクールジャパンのセットかなんかをつくって、そこの地下に調査会社つくるとか、いかがでしょうかね。

「中長期を視野に入れて、サイバーセキュリティと、法律や国際関係、安全保障、経営学等の社会科学的視点、さらには、哲学、心理学といった人文社会学的視点も含めた様々な領域の研究との連携、融合領域の研究を促進する。」(戦略41頁)です。まあ、戦略のここらへんというのは、どうも、帳尻あわせみたいな感じがするわけですが、このような視点は、本当に大事なので、ぜひとも実現してほしいと思います。
CyConに自費でいって、詳細な報告書あげているわけですが、これが自腹感満載というのは、来年は、なんとかしていただきたいと思います。出張報告に私のブログ使った人は、ぜひとも、私の来年の旅行に、貢献してほしいなあと考えていたりします。

ということで、非常に興味深いサイバーセキュリティ戦略でした。

「サイバー攻撃の国際法」(タリン・マニュアル2.0の解説)を読む前に

「サイバー攻撃の国際法(タリン・マニュアル2.0の解説)」という本があります。今年の5月くらいに販売になって、結構、情報セキュリティのまわりの人たちでも購入した人が多いと思います。

帯は、「国際社会が抱える深刻な問題にいかに対応するかを分かりやすく解説」というフレーズです。ちなみに、左が、タリン・マニュアル2.0で、厚いです。

膨大なタリンマニュアルをコンパクトにまとめた本として、非常に役に立ちます。特に、タリンマニュアル本体の規則の何番だったか、と思い出せないときに、規則をほとんど一覧できるのは、すごく役にたちます。

その一方で、情報セキュリティの関係者で法律の素養をあまり有していない人には、非常に、理解が困難なのではないか、と心配しています。

2015年5月にタリンのCCDCoEで受けた授業のメモをもとにタリンマニュアルが何か、について、簡単に触れておくことにしましょう。

(1)国際法のルールを記載するもの

上の帯に「サイバー攻撃に関する国際法のルール」と記されていますが、これが、理解を困難にしているのではないか、と思ったりします。

国際法というのは、Laws of Nationsであって、国と国との間の関係について述べるものです。たとえば、他の国のテロリストから攻撃をうけるけど、そのテロリストの攻撃の証拠を取得して、処罰しましょう、というのは、刑法の国際的な適用の問題になるので、(刑法という)国内法の問題になります。

テロリストというような「国」とは認められないものは、「直接には、」国際法の舞台にはでてこないことになります。(ここで、直接には、といったのは、そのようなテロリストの活動を野放しにしている国家のデューデリジェンスの問題やら、テロリストに対する武力攻撃についての国連の対応の問題などで、テロリストも国際法の舞台にでてくることがあるということです)

あと、人権・プライバシというのも、「直接には」国際法の舞台にはでてきません。また、ここで、「直接」という但書がでているのですが、これは、各国家は、構成員のプライバシを重視する義務を負っているので、その義務との関係で、プライバシの問題が国際法の問題としてでてくることがあり得るということです。いま一つは、特に欧州でのプライバシ問題を考えると、欧州人権条約は、条約でありながら、欧州各国の国内法のなかで、欧州人権裁判所で判断がなされるということです(この適用関係については、「国際人権法の有効性についての一考察 ―欧州人権条約とイギリス国内法秩序の関係を中心に―」という論文があります )。

(2)Black letter と解説からなるもの

法律の世界で、Black Le tter Lawという用語があります。

これは、広く認められていて議論の必要がないものとして考えられている規範を精確に記述したものです。中谷本のはしがきでblack letter ruleとコメンタリーの双方について一言一句検討し、という用語がありますが、その意味です。コメンタリーについては、シュミット先生のいうところによると、合理的な解釈を記載しているということになります。

このための重要な役割を果たしているのが、IGE(International Group of Experts-国際専門家グループ)になります。これで、どのように進行していくかは、中谷本のはしがきに詳しいので、参照するといいと思います。

(3)タリン・マニュアルは、以下とは違う

タリン・マニュアルは、発表された当時、NATOの戦略的な文書と新聞報道がなされたことかありますが、このような新聞報道は、「おろかもの(Idiot)」だといわれています。

NATOのドクトリンでもありません。

また、ありうるべき法(lex ferenda)でもありません。

現在、ある法(lex lata)の姿をできるかぎり客観的に映し出そうとした国際法の本ということになります。国際法については、それ自体、拘束力のある法であると拘束力のない法であるとをとわず記述されていることになります。

(4)タリン・マニュアルのカバー範囲

タリン・マニュアルが何かカバーするのか、という点については、タリン・マニュアルが、武力紛争というスレッシュホールド(閾値)を越えた紛争の論点(ユス・アド・ベルム、ユス・イン・ベロ、主権、管轄、国家責任)を論じているのに対して、タリン・マニュアル2.0が、武力紛争というスレッシュホールド(閾値)以下の活動についても重視をしている点で異なっています。特に、主権・国家責任・デューデリジェンスについては、叙述が非常に詳細になっているところは、注目されるところだろうと思われます。

しかしながら、上述のように国際法の記述であることから、人権論・国内の電気通信法についてふれることはありません。また、ハックバックやいかにして、会社の活動をコントロールするか、というのもこの範囲ではありません。

(5)高橋の視点

まずは、武力紛争法を英語の教科書で勉強したりすると、日本語の訳語の何を当てているのかとかを、このような簡潔な本を読むことで理解できるのは、きわめて有意義です。

それはさておき、国際的なサイバー攻撃に対して、国際法の世界でどのような議論がなされているのか、特に米国においてどのような議論がなされているのか、また、外交の世界でどのような認識がなされて、どのような対応がなされているか、というのを知るためには、タリン・マニュアル2.0のエッセンスが、凝縮されている本は、きわめて役にたつということができると思います。

その一方で、民間企業が、どのように対処すべきかという問題については、国際法の知識というより国内法の刑法や電気通信法の知識が重要になってくるということができると思います。しかも、それらが、国際法の種々の原則と微妙な緊張関係のなかでバランスをとらないといけないとなっているのが現代の課題だということができるでしょう。

そのためには、タリン・マニュアル2.0は、基礎的な情報を与えてくれますが、国内法については、みずからの視点で、国内法を展開させなければいけないということになるかと思います。

 

 

 

 

自衛隊、サイバー反撃能力保有へ…武力伴う場合

「自衛隊、サイバー反撃能力保有へ…武力伴う場合」という記事がでています

「「国家の意思に基づく我が国に対する組織的・計画的な武力の行使」と認められるサイバー攻撃への反撃能力は、専守防衛の原則に矛盾しない」というのが、ポイントです。

ただし、この「武力の行使」と認められる場合は「通常兵器などによる物理的な攻撃も受けた場合に限定する」ということだそうです。

新聞記事のお約束として、記事に対して法律論文を読むかのような感じで、理論的に分析することはナンセンスであることは理解していますが、問題点を認識するために、この記事を精確なものとして分析してみましょう。

基本的には、「武力の行使」がわが国に対してなされた場合に、サイバー手法による反撃を認めるという内容が記載されるということのようです。
サイバー手法による作戦(サイバー作戦)が有効なものとして議論されている現状からすると、やっと、世界の通常の議論にキャッチアップしているというように認識します。
わが国では、当然に、具体的な交戦規定がないとなにもできないので、これを整備するという意味もあるでしょうから、その意味で、重要だと考えられます。

ただし、議論としては、いろいろと世界的な潮流とずれているところがあります。ピックアップしてみましょう。

基本的には、武力行使については、武器の性質ではなく、結果が重要である(国連憲章2条の解釈)という立場が有力になりつつある現在(この点については、「サイバー攻撃と武力行使」を参照ください)において、武器の性質にこだわった記載をなすというのは、時代遅れであると考えていいかと思います。

また、「武力行使」というのに該当するか、というレベルは、極めて深刻な被害を引き起こしかねない武器による攻撃が必要とされるということになる(これも、上の固定ページのシュミット・アナリシスのところを参照)ので、そのような場合に、作戦の種別を限定されているほうがおかしいという議論もあるように思えます。

むしろ、一番重要なのは、サイバー作戦による攻撃が、武力行使のレベルに達していない場合について、国際的な理論とどう合わせて、どのような対応を枠組みを定めていくのか、というのが一つの問題になります。この点で、非常に参考になるのが、Liis Vihul 先生の「Hacking terrorist infrastructure:International Law Analysis」(counterterrorism-yearbook 2018 157ページ以下)という論文です。武力行使の閾値に満たないサイバーテロリズムに対して、国際法のもとで、どのように位置づけるのか、また、反撃というのは、国際法上、限界があるのか、どのような根拠で許容されるのかというのが議論されています。

ISISのようなテロリスト集団から、サイバー手法によって、国民の富が奪われる時がきたら、国として、どのような対応をすべきなのでしょうか。また、それには、法の体制は、十分に整っているのでしょうか。現在ある法的な理論で分析は、可能な問題といえるのですが、だれも指摘していないかと思います。

そこで、サイバーテロの総合的分析という論文をGWに書くことにしています。公表されるときが来るといいなあと思います。

政府、サイバー被害の深刻度指標 対抗措置の判断基準に

「政府、サイバー被害の深刻度指標 対抗措置の判断基準に」という記事があります。

前のポストでふれた深刻度を結局、対抗措置に対する基準にするという趣旨が述べられています。
また、サイバー防衛の戦略については、「官民が連携して事前の防御策を強化する「積極的サイバー防御」を推進するとした。」ということと、「「政治、経済、技術、法律、外交その他の取りうる全ての有効な手段を選択肢として保持」とも定めた。」ということが述べられています。

前の部分については、「積極的サイバー防御」とされていますが、この日本語は、世界的なactive cyber defenseとといっていることが違うので、日本語の「パーソナルデータ」みたいなものであることに注意しましょう。世界的には、他のネットワーク領域内における情報を取得すること(場合によっては、民間企業)をactive cyber defenseと呼ぶことが多いです。もっとも、英国は、自律的な防御システムを利用した防御をproactive defenseと読んだりします。

後者については、高市エッセイおよび他のブログについてもふれた、対抗措置の整備ということになるかとおもいます。これは、興味深いもので、タリン2.0レベルに追いついたということになるのかもしれません。

具体的な戦略が明らかになるのが期待されるかとおもいます。

「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について

内閣官房内閣サイバーセキュリティセンター(NISC)から「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集がでています。

これは、「サイバー攻撃によりシステムの不具合が発生し、それが「重要インフラサービス障害」(以下、「サービス障害」といいます。)にまで至ってしまった場合に、そのサービス障害が国民社会に与えた影響の深刻さを表す」ものになります。

「重要インフラサービス障害」とは、「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」と定義されています。

「重要インフラサービスの安全かつ持続的な提供に支障」という要件に該当した場合に、どのような効果が発生するのか、というのが、気になります。

もともととしては、「重要インフラの情報セキュリティ対策に係る第4次行動計画」に基づいており、この計画は、「サイバーセキュリティ基本法」(平成26年法律第104号)の基本理念にのっとっているので、この要件に該当する場合は、「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合」(サイバーセキュリティ基本法附則2条)ということになるかと思います。

この場合の法的な効果としては、「国民の生命、身体又は財産に重大な被害が生じ、又は生じるおそれがある緊急の事態への対処及び当該事態の発生の防止」(内閣法15条1項の内閣危機管理監の職務)に該当することになる、というのか組織法上の効果になるかと思います。

具体的な政府の対応手法を発動させるのか、という点についていえば、「我が国の平和と独立並びに国及び国民の安全の確保に関する法律(以下、事態対処法という)」についていえば、同法21条の「国及び国民の安全に重大な影響を及ぼす緊急事態」と上の「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」が、同一であるのか、という解釈上の論点が発生します。

もし、この重要インフラ支障事態(?)が、上の「国及び国民の安全に重大な影響を及ぼす緊急事態」と同一であるならば、法的には、同法21条2項の
「一 情勢の集約並びに事態の分析及び評価を行うための態勢の充実
二 各種の事態に応じた対処方針の策定の準備
三 警察、海上保安庁等と自衛隊の連携の強化」
の措置をとることができることになります。

国際法的には、このサイバー攻撃が、主権の侵害をおよぼす(干渉)ものであれば、国際的違法行為として対抗措置を許容するということになりそうです。主権の絶対性の対象となる物に関する干渉(interference)は、国際法の侵害になるとされているわけです。ここで、干渉とは、そのものに損傷(damage)を与えるか、もしくは、その機能を重大に損なわせることをいいます。

でもって、この深刻度評価基準ですが、何の効果をもたらすのか、というのが、私のレベルでは分析できないので、基準として、妥当なのか、どうかというのもコメントできないですね。

(ちなみに、脆弱性に関しては、脆弱性自体の深刻度と、社会に対する影響度というのを分けています。用語も統一されていないというのも微妙な感じがしますね)

「ワナクライ」北朝鮮の国家行為と認定

米国は、ワナクライの重大サイバー攻撃を北朝鮮が行為者であると認定しました(the United States is publicly attributing the massive WannaCry cyberattack to North Korea. )

ホワイトハウスの公式リリースです。

この認定に続けて、ボッサート報道官は、「私たちはこの主張を軽く行っているわけではありません。私たちは証拠を有していますし、それをパートナーと行っています。

他の政府や民間企業も同意します。英国、オーストラリア、カナダ、ニュージーランド、日本が私たちの分析を見ており、彼らは私たちと一緒に北朝鮮がWannaCryを行ったと告発しています。」といいます。

また、マイクロソフトを始め民間企業も同じであるとしています。

そして、「行為者特定(attribution)は、責任を追求するためのステップですが、最後のステップではありません。」とか、「トランプ大統領は自由な世界の同盟国および責任ある技術企業を集め、インターネットのセキュリティとレジリエンスを高めました。産業界と良き政府との協力は、安全保障の向上をもたらし、もはや待つ余裕はない。」とも述べています。

さらに、マイクロソフトやフェースブックなどが北朝鮮のサイバー攻撃用のエクスプロイットを無効化し、作戦を停止させていること、アカウントを停止したこと、諜報機関やサイバーセキュリティのプロ達の仕事を誇りにおもうことなどを述べて、ジーネット・マンフラさんにコメント役が交代になりました。ジーネットさんは、もっぱら、防御のための協力などの発言なので、省略。

Q&Aになります。「遅すぎたのではないか」「Marcus Hutchinsは、どうなっているのか」「北朝鮮は、相当、孤立した国(fairly reclusive country)なので、どう責任を問うのか」「民間にもっと望むことは」「北朝鮮は、、どのくらい稼いだのか?」「この行為に対する米国の結果は?」「北朝鮮の人を逮捕したのか」「暗号通貨の追跡はしているのか」などの質問がなされて、それぞれ興味深い回答がなされています。法的には、責任論と、米国の結果、暗号通貨のところがおもしろいようにおもいます。

責任論についていえば、民間人の攻撃参加の問題が存在しうわけですが、この件は、すべて北朝鮮内で、しかも、政府の指示のもとになされたという認定をしています。かなり、証拠があるみたいですね。

「ワナクライ」サイバー攻撃に北朝鮮が関与と米政府=報道

「ワナクライ」サイバー攻撃に北朝鮮が関与と米政府=報道というニュースがでています。

ボサート米大統領補佐官(国土安全保障・テロ対策担当)の発言だそうです。記事においては、「ボサート補佐官は、政府の見方は「証拠に基づいている」と述べた」とのことですし、「米国政府は調査結果に応じた対応策を取るとした。」ということです。

「ホワイトハウスは19日に北朝鮮政府を非難する公式声明を出す見込み。」ということだそうです。
国際法的な見地からは、2014年12月のソニーピクチャーズ事件と同様の論点になるかと考えられます。この事件については、このブログで何回かふれています。

(特に、オバマ大統領 対抗措置を明言 をあげておきます)

この事件は、「武力の行使」のいき値を超えていないので、サイバーバンダリズムという位置づけになるであろうこと、多分、北朝鮮の軍、諜報機関の行動であると断定しうる(法的には、証拠の優越でたります)証拠があるであろうこと、対抗措置としては、通常であれば、資産凍結、人的交流の禁止などが選択されるであろうこと(ただし、既にもうほとんど、考えうる手段はとっているような気がします)、などがいえるかとおもいます。

どちらにしても、公式声明が待たれます。

(国際的な)「サイバーテロ」の用語について

メディア用語で、よく、「サイバーテロか?」とか出てくるわけですが、これについては、結構、いろいろな場合を含んで、みんな共通の理解があると思って、話を進めると話がかみ合わなくなるので注意しましょう。(なお、以下、学問的に使う場合には、サイバーテロリズム、定義にこだわらない用語法としては、サイバーテロといいます)

制定法からいきます。

「サイバー」とは、一般に「電気通信手段を用いて」という意味で用いられるということでいいと思います。

「テロリズム」については、「特定秘密の保護に関する法律」12条2項は、テロリズムについて、「政治上その他の主義主張に基づき、国家若しくは他人にこれを強要し、又は社会に不安若しくは恐怖を与える目的で人を殺傷し、又は重要な施設その他の物を破壊するための活動をいう。」としています。

あと、国会議事堂、内閣総理大臣官邸その他の国の重要な施設等、外国公館等及び原子力事業所の周辺地域の上空における小型無人機等の飛行の禁止に関する法律(平成二十八年法律第九号)の6条1項は、「政治上その他の主義主張に基づき、国家若しくは他人にこれを強要し、又は社会に不安若しくは恐怖を与える目的で人を殺傷し、又は重要な施設その他の物を破壊するための活動をいう」としています。

次に、国会質疑からは、「テロリズムの定義などに関する質問主意書」においては、「政府としてのテロリズムの定義に関する統一した定義はあるのか。政府としてのテロリズムの定義を示されたい。」などの質問がなされており、これに対して、「「テロリズム」とは、一般には、特定の主義主張に基づき、国家等にその受入れ等を強要し、又は社会に恐怖等を与える目的で行われる人の殺傷行為等をいうと承知している」という回答がなされています。

国際的な観点からみるときには、
「テロリズムに対する資金供与の防止に関する国際条約」(1999年12月9日採択、2002年4月10日発効)で、
同条約2条1項bは、「あらゆる文民に対して、あるいは武力紛争状態において戦闘行為に直接参加していないあらゆる人に対して、死又は重大な身体的損傷を引き起こすことを目的とした(中略) いかなる行為も、その行為が、その性質又は状況に照らして、住民を威嚇し、又は政府若しくは国際機関に行為若しくは不作為を強制することを目的とする場合」には、犯罪を構成する
としています。
また、
国際連合1995年2月17日の「「国際テロリズム撲滅のための方法」決議は、
「国連加盟国は,全てのテロ行為.方法,実行を犯罪として、そして正当化不能なものとして、誰によってなされたものであろうと、国家そして人民間の友好関係を脅かすもの、国家の安全および領土的一体性を脅かすものを含み、その無条件の非難を厳粛に承認する。」
としています。

これらの観点からするとき、法的には、「電気通信手段を用いて、政治上その他の主義主張に基づき、国家若しくは他人にこれを強要し、又は社会に不安若しくは恐怖を与える目的で人を殺傷し、又は重要な施設その他の物を破壊するための活動をいう。」をサイバーテロリズムと定義することができるでしょう(広義のサイバーテロリズム)。

では、一般社会ではどうか、というと、2000年に中央官庁のホームページが相次いで改ざんされたことがあった。その当時、サイバーテロか、という報道がなされた記憶があります。あと、「インターネット等の情報インフラに破壊活動を行うこと。ホームページの改ざんやデータの破壊などのネットワークへの不正侵入、大量の接続要求を送りサーバをパンクさせる「サービス許否(denial-of-service)」攻撃、コンピューターウィルスが主な手口などという解説も見受けられます。上の法的な用語と比較してみましょう。ここでは、もはや、「人を殺傷し、又は重要な施設その他の物を破壊」という要件が、単なる情報のインテグリティの侵害にまで、広がっています。その意味で、テロという用語が、インフレを起こしているということがいえるでしょう。 まさに非常に広範囲の事象がサイバーテロというメディア用語で語られることに注意しなければいけません。

 

この図は、サイバーテロという用語が、国家責任が発生する場合であると否とを問わず、また、生命身体・財産の損壊という要素がなくても、使われる用語であるということを示しています。メディアは、このように、テロという言葉のインパクトの強さを利用して、記事のインパクトを強めようとすることがあるので気をつけないといけません。

ところで、テロのインフレ化を嘆いていれば、いいわけではないというのが、サイバーテロリズムという用語の問題点です。

実は、国際連合が「国家そして人民間の友好関係を脅かすもの、国家の安全および領土的一体性を脅かすもの」をも、テロリズムの概念で理解するということにしたので、テロリズムの中に、いわば、国家の主権を侵害する行為が含まれるようになったのです。普通は、国家の主権(領土・国民を統治する権力)をおびやかすのは、国家の行為だったわけで、テロリズムは、国家間の権利義務とは、関係のないところで論じていればよかったわけです。テロリズムは、犯罪であって、国家の関係である国際法とは無関係ということがいえたわけです。ところが、国家の主権を侵害する行為としてのテロリズムも、テロリズムという用語で検討する必要がでてきたわけです。国際法的には、国際的違法行為(international wrongful act)なわけですが、これもテロリズムという概念の中に含みうることになります。もっとも、国際テロリズムといっても、国内法的には、構成要件に該当する違法な行為になるので、犯罪を構成することになります。
これを示したのが、次の図になります。

この図は、国内法の次元から、サイバーテロ(再広義)を分析したものです。一番右側が、ボヤけているのは、理屈的には、国内法的には、違反するけど、国家が非公然行為として活動するので、証拠は残らず、国内法として処罰することが困難であるということを意味しています。

非国家主体であっても、国内法に違反すれば、その法執行として処罰されることになります。ただし、国際的な要素のために証拠の収集、身柄の引き渡し等に困難があるために、処罰の困難性があることになります。

そうだとすると、国内法によって実力をもって、防衛行為をなしうるようにできないのか、という問題もおこります。国内法執行機関による防衛行為/民間による防衛行為です。「サイバーテロに対する対抗的な手段」「サイバーテロの対策のコメントください」というようなメディア用語は、この部分(国内法的な防衛行為)を指していたりするので、(以下のような国家責任の生じる行為に対しての国としての対抗措置の問題と混乱しやすく)非常にやっかいです

次に国際法の次元からサイバーテロを検討することにします。このような観点から、次の図を説明することができます。

一番左側がぼやけているのは、これは、国際法の側面から見たときに、国家責任が発生しえないようなサイバーテロは、国際法として検討されるレベルに出てこないということをものがたっています。

そこから右側は、国際的違法行為(international wrongful act)というように分類されます。この場合には、国際法の見地から、対抗措置の問題が発生するので、このような対応でもって、問題を解決すればいいのではないか、ということになります。サイバーテロリズムには、国際的違法行為(international wrongful act)を含まないという用語法ができるわけです(狭義のサイバーテロリズム)。法的には、このような用語法が一般的に思えます。

一番右側が、国家によるサイバー攻撃・サイバーインテリジェンスです。単なる情報操作であっても、国家主権侵害性があるのではないか、というのが、一番右側が、Y軸の上にはみ出ている問題点です。

右から二番目は、国家責任が発生するサイバー作戦を示しています。この国家責任が、どのような場合に発生するのか、という論点については、国連のガイドラインで、効果的な支配(effective control)基準で判断するということになります。

その左は、現在においては、国家が、デューデリジェンスを行使しない場合には、その国家において、被害国にたいして、国際的違法行為であるとして対抗措置をとることができます。(デューデリジェンスについては、論文を公表する予定です)さらにこの対抗措置には、有形力の行使も含まれるわけですが、わが国においては、どのような仕組みで、どのように発動するのかという国内法の整備の問題も起こりうるわけです。

なお、これは、デューデリジェンス違反による結果が甚大(武力攻撃レベル)の場合には、自衛権の行使としての武力行使が正当化さることになります。いわゆる対テロ戦争におけるアフガニスタンに対する空爆は、この理で正当化されると考えられています。

ということで、メディア用語のサイバーテロを離れたとしても、国際的サイバーテロリズムは、国内法の観点からみるのか、国際法の観点から見るのか、というのでいろいろな論点を含んでいることがわかります。

 

 

サイバー攻撃に対抗措置 政府検討、電力や鉄道被害時

「サイバー攻撃に対抗措置 政府検討、電力や鉄道被害時」という記事がでています。

この記事は、ある意味で微妙な記事であるということができます。微妙というのは、ここでいう「対抗措置」というのが、国際法上の対抗措置をいっているのかが、明らかではないからです。
国際法で考えるときには、「国際違法行為(International wrongful act)」に対する「対抗措置とは、被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置」をいいます。広い意味では、それ自体違法な行為による対抗する「復仇」とそれ自身は違法ではない行為により対抗する「報復」とがあります。また、具体的な手法によって分類するときには、外交、交渉、インテリジェンス、武力による対抗があります。

「国際違法行為(International wrongful act)」については、タリン2.0の4章1以下で検討されています。ルール14は、「サイバーにおける国際違法行為(International wrongful cyber act)」として、「国家は、国際的法的義務違反を構成する国家に帰属しうるサイバー関連行為にたいして責任を負う」ことが明らかにされています。

その意味で、この記事をみてみましょう。まずは、この記事は、国家としての対応ポリシに対する記事であることが最初に留意されるべきです。攻撃元の「テロリスト」に対して、物理的な効果がないはずだ、ばかげているという評価は、全くこの記事の意味がわかっていないということになります。

「テロリストなどからのサイバー攻撃で重大な被害を受けたとき」という記載がありますが、これは、この記事の意味をわからなくしているといえます。国際法的には、「対抗措置」というのと、上記のような意味をもっている法的テクニカルタームです。なので、国家責任の発生する場合に限って議論される用語です。しかしながら、国家責任を考えないで、テロリストといっている段階で、国際法を議論しているのか、それとも、当社のエントリで、近頃よく出てきている「アクティブ防衛」の手法を語っているのか、非常に曖昧になっています。(なお、テロリストに対して「対抗措置」は、使えないというのは、タリン2.0の113ページ 7項をどうぞ)

それ以降の記載をみると、ある意味で、通常に国際法的な議論の枠組みで議論されていることにふれられているので、この「テロリストなど」から、というのが、暗に、「国家による支援を受けた」とか、「国家に帰属しうる攻撃があった」という趣旨で記載されていると「善解」するべき記事かと思われます。

では、人の良さを発揮して、国際法上の「対抗措置」についての議論だったとしましょう。この場合には、「サイバー手段による」という限定がついている段階で、世界的には、?がつく、ということを理解しておくべきかと思います。対抗措置をとりうることについては、タリン2.0のルール20において、「国家は、そもそも、サイバーの性質があろうとかなかろうと、他の国家の責に帰すべき国際的な義務に反する行為に対して、対抗措置をとる権限を有しうる」とされています。自衛のための武力行使をなしうるのと同様に、当然の権利ということができるでしょう。そして、一般には、手法として、外交、交渉、インテリジェンス、武力による対抗があるわけです。これは、まさに、オバマ大統領が、SPE事件で明言したように、具体的な手法を限定しないで、状況に応じた対応の裁量にもとづいて行使しうるものだと考えられます。当然に比例原則に従うべきものです(タリン2.0 ルール23)が、それは、手法の同一性を意味するものではありません。その意味で、この記事のように、本当に対抗措置として、サイバーによって限定するのであれば、何故に限定する必要があるのか、という点が明らかにされるべきかと思います。

現実的な問題として、このサイバーによる対抗措置をとるとして、誰が、なしうるのか、という問題があります。国際法的には、実力行使を伴うインテリジェンスとして把握されることが多いものかと思いますが、技能として実際に行いうるのは、誰なのか、という問題もあるでしょう。対外的なインテリジェンス機関を構築していく、ということになるのか、それとも、ミリタリに、そのような仕組みを構築するのか、あと、最初にふれた民間の防衛との分担、その法的権限をどうするのか、などの問題がでてくるかと思います。

(International Wrongful Actにたいして国際違法行為の訳をあてました)