サイバーセキュリティ戦略と「法」

サイバーセキュリティ戦略・サイバーセキュリティ 2018が決定しました。
具体的な案はこちらです(資料1)

報道は、こちら。(たとえば、ZD Net 政府の新たなサイバーセキュリティ戦略が決定–東京五輪後も視野)

資料は、概要と意見募集の結果も含まれているので非常に大部になります。

サイバーセキュリティ戦略の重点施策は(1)経済社会の活力の向上および持続的発展、(2)国民が安全で安心して暮らせる社会の実現、(3)国際社会の平和・安定および我が国の安全保障への寄与、(4)横断的施策――の4項目になるので、それらで興味のあるものをピックアップしてみましょう。

(1)経済社会の活力の向上および持続的発展

「経済社会の活力の向上および持続的発展」は、新たな価値創出を支えるサイバーセキュリティの推進、多様なつながりから価値を生み出すサプライチェーンの実現、安全なIoTシステムの構築にわけて論じられています。

「サプライチェーンのつながりの端で起こったサイバーセキュリティの問題が、実空間、さらには、経済社会全体にこれまで以上に広く波及し、甚大な悪影響を及ぼすおそれがある。」(戦略16頁)という表現からわかるようにダウンストリームに注目されていますね。世界的には、サプライチェーンという用語は、むしろ、機器が自分の手元にくるまでにセキュアなのか、ということのほうが一般的ですね。
ただ、17頁ででるように官公庁の調達物資のセキュリティについても今後は、考えていきますというのは、非常にいい傾向なのかと思います。
(事務所のアクセスの足回りは、Nuroなので、偉そうなことはいえない私です)

安全なIOTシステムについては、でました「責任分界点」ですね(戦略18頁)。我がブログの一番人気用語です。ここでは、「責任分界点(既知の脆弱性への対応に関する製造者責任や運用者等の安全管理義務などインシデント発生時における各主体の法的責任を含む)」という形で、liabilityの用語をいれている意味で、物理的な安全管理基準の適用範囲という実定法上(たとえば、電気通信事業法41条ね)に限定すべきという私の立場にケンカを打っているわけですが、とりあえず、「含む」として、実定法上は、ここらへんはいれないのが一般だけど、許してね、という感じがでているので許すことにしましょう。

「範囲や定義、物理安全対策」もふれています。自動車の安全基準といっても、これから、つながるシステムのうちのどこまでが、「自動車システム」なのか、という考え方がでてきますね。その意味で、「範囲や定義、物理安全対策」という意味が書いてあるんでしょうね。深いです。

「脆弱性対策」(戦略18頁)の「機器製造事業者、電気通信事業者、利用者等の各々の主体の相互理解と連携の下で取り組むべきである」という用語も深いですね。脆弱性研究会(脆研)が脆弱性についての一定の調整作業等をおこなっていますが、通信機器については、さて、どうしましょうか、ということもでてくるわけでしょうね。まさに「連携の下で取り組むべきである」というのは、そのとおりなのですが、どうするといいのか、実際に考えていかないといけません。

(2)国民が安全で安心して暮らせる社会の実現

国民が安全で安心して暮らせる社会の実現は、国民・社会を守るための取組、官民一体となった重要インフラの防護、政府機関等におけるセキュリティ強化・充実、大学等における安全・安心な教育・研究環境の確保、2020 年東京大会とその後を見据えた取組、従来の枠を超えた情報共有・連携体制の構築にわけて論じられています。

これらの項目のなかで、法的な観点から、興味深い点としては、以下の点になるかと思います。

「サイバー関連事業者等と連携し、脅威に対して事前に積極的な防御策を講じる「積極的サイバー防御」を推進する。具体的には、国は先行的防御を可能にするための脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用、ボットネット対策等、サイバー犯罪・サイバー攻撃による被害を未然に防止できるような取組を推進する」という記載(戦略21頁)が、気になります。

「アクティブ防衛」という用語との関係については、以前のエントリでふれたことがあります。法的に厳密にみた場合に、これらの取り組みは、サイバー犯罪・攻撃の実行行為がなされる以前と実行行為がなされた以降の対応が、含まれているのは、考えておいたほうがいいように思います。

まず、世界的に「アクティブ(サイバー)防衛」というのは、「実行行為がなれた以降」に、その実行行為がなされたことを契機にして、実行行為者に対して、強制力を行使することによって、証拠の収集・将来の実行行為の抑止をなしうるのか、というのを議論するのに、使われるのが「主たる」場合(このように法的に整理して論じる論者も多くはないです)です。

エントリの「アクティブサイバー防衛手段(active cyber defense measure)確実化法」でも、攻撃者に対するアクセスを論じていることからも、わかるかと思います。

ここで、日本でいう「積極的サイバー防御」の推進、というのをそのまま「日本でもアクティブ防衛方針になりました」というと、例によって、ロスト・イン・トランスレーションになります( communicatonを当然に遠隔通信と訳するがごとし)。

「脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用」は、むしろ、サイバーインテリジェンスのうちの、事前のインテリジェンスと捉えるほうが言いように思います。「ボットネット対策等」については、情報共有と、実際のテイクダウン、場合によっては、ホワイトワーム投入作戦があります。特に、テイクダウン作戦、ホワイトワーム投入作戦については、法的な整理が必要なので、夏の間に論文をまとめることにしましょう。(関係省庁さんからの委託調査でもいいです)

あと、仮想通貨、自動運転車についても言及されているのは、興味深いです(戦略21頁)。

サイバー犯罪への対策について、「新たな捜査手法の検討」がはいっています(戦略21頁)。この点は、注目ですが、GPS捜査最高裁判決みたいに、オレオレ合法論で突っ走ったりしないようにということでしょうか。

個人的には、サイバー攻撃より、熱波攻撃対応で、夕方から夜中に競技をするようなスケジュール変更を早急に考えることのほうが、優先順位が高そうな気がしますけども、それは、さておきましょう(警備の問題があるのかもしれませんが)。

(3) 国際社会の平和・安定及び我が国の安全保障への寄与
国際社会の平和・安定および我が国の安全保障への寄与としては、自由、公正かつ安全なサイバー空間の堅持、我が国の防御力・抑止力・状況把握力の強化、国際協力・連携について論じています。

ここでは、特に、「国際社会の平和と安定及び我が国の安全保障のため、サイバー空間における法の支配を推進することが重要である。」(戦略32頁)は、注目されます。これは、基本的には、わが国としては、このような観点を打ち出していたわけですが、これだけ明確に記載してあるとインパクトがあるなあと改めて思います。「これまでに明らかにされた責任ある国家の行動規範について、着実な履行・実践を通じ普遍化を進める。そうした規範を国際社会に広げ、国家実行を積み重ねていくことで、規範に反する行動を抑止する。」ということで、まさに、サイバー規範の重視ということで、なかなか、責任ある宣言だなあと思います。

また、「サイバー攻撃に対する国家の強靱性を確保し、国家を防御する力(防御力)、サイバー攻撃を抑止する力(抑止力)、サイバー空間の状況を把握する力(状況把握力)のそれぞれを高めることが重要である。」(戦略33頁)も重要です。

「防衛産業が取り扱う技術情報等は、それが漏洩・流出した場合の我が国の安全保障上の影響が大きいため、安全な情報共有を確保する仕組みの導入、契約企業向けの新たな情報セキュリティ基準の策定、契約条項の改正等の取組を行う。これらについて、官民連携の下、下請け企業等を含めた防衛産業のサプライチェーン全体に適用することを前提とした検討を行う。」というのは、防衛産業サイバー基盤という感じになるのでしょうか。興味深いです。

「伊勢志摩サミットにおいて G7 首脳が確認したとおり、一定の場合には、サイバー攻撃が国際法上の武力の行使又は武力攻撃となり得る」(戦略33頁)
まさに、わが社のここの記載(サイバー攻撃と武力行使)みてね、ということで、一般的な国際法コミュニティの見解そのものになります。

「また、G7 ルッカ外相会合において確認したとおり、悪意のあるサイバー攻撃等武力攻撃に至らない違法行為に対しても、国際違法行為の被害者である国家は、一定の場合には、当該責任を有する国家に対して均衡性のある対抗措置及びその他の合法的な対応をとることが可能である」(同)ということで、これも、ちゃんと対抗措置についてコメントがなされており、さらに合法的な対応(外交その他)についてもコメントがなされています。きわめて法的な記述であり、興味深いです。

「同盟国・有志国とも連携し、脅威に応じて、政治・経済・技術・法律・外交その他の取り得る全ての有効な手段と能力を活用し、断固たる対応をとる。」まさに、SONYピクチャーズ事件、ワナクライ事件、NotPetya事件などでの各国の国家実行 (CyCon Xでも何回か話にでました)をベースにした記述です。

これらは、まるで、シュミット先生のまとめを聞いているみたいな記述です。

興味深いというか、むしろ、戦略文書にこれだけ法的に、しかも正確な記述がはいってきたということで感慨深いものがあります。

(4)横断的施策

横断的施策は、人材育成、研究開発の推進、研究開発の推進、全員参加による協働が述べられています。興味深い点は、以下のところでしょうか。

「政府機関や企業等の組織を模擬したネットワークに攻撃者を誘い込み、攻撃活動を把握すること」(戦略40頁)がふれられています。攻撃がなされている間に、受信者(?)が、真の受信者の代わりに、デコイに通信してあげるという、個人的には「通信の秘密」との整理は、どうなっているの?作戦のひとつになります(解釈論としては、「取扱中とはいえない」とか、「受信者の承諾がある」とかいうのかと思いますが、通信は、一方の承諾でいいというのは、例外だったよね、とかあります)。

また、「政府機関や重要インフラ事業者等のシステムに組み込まれている機器やソフトウェアについて、必要に応じて、不正なプログラムや回路が仕込まれていないことを検証できる手段を確保することが重要である」(戦略40頁)。イギリスのGCHQにいったときに、技術の担当の方は、このような業務をになっていましたね。お約束ですが、GCHQの組織は、「ロンドンのとある映画会社の地下深く」 (オジサマお待ちかね-オープニング)にありました(?-UFOっていうテレビみたいだね、というのが私の感想)。
日本だとクールジャパンのセットかなんかをつくって、そこの地下に調査会社つくるとか、いかがでしょうかね。

「中長期を視野に入れて、サイバーセキュリティと、法律や国際関係、安全保障、経営学等の社会科学的視点、さらには、哲学、心理学といった人文社会学的視点も含めた様々な領域の研究との連携、融合領域の研究を促進する。」(戦略41頁)です。まあ、戦略のここらへんというのは、どうも、帳尻あわせみたいな感じがするわけですが、このような視点は、本当に大事なので、ぜひとも実現してほしいと思います。
CyConに自費でいって、詳細な報告書あげているわけですが、これが自腹感満載というのは、来年は、なんとかしていただきたいと思います。出張報告に私のブログ使った人は、ぜひとも、私の来年の旅行に、貢献してほしいなあと考えていたりします。

ということで、非常に興味深いサイバーセキュリティ戦略でした。

NICT法改正と不正アクセス禁止法

電気通信事業法およびNICT法が改正されました。「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」ということになります。条文は、こちらです。
基礎的な資料は、こちら

このうちのNICT法改正の部分についてみていきます。オムニバス法というのかと思いますが、そのうちのNICTの調査権限のほうについてまとめてみましょう。

趣旨としては、「国立研究開発法人情報通信研究機構(以下「機構」という。)は、平成三十六年三月三十一日までの 間、特定アクセス行為を行い通信履歴等の電磁的記録を作成すること、特定アクセス行為による電気通信の送信先の電気通信設備に係る電気通信事業者に対し、送信型対電気通信設備サイバー攻撃のおそれ への対処を求める通知を行うこと等の業務を行うこととすること。 」ということになります

条文も、ちょっと分析してみましょう。

1 組織法上の根拠

一定の行為をなすにあたっては、まずは、組織法上の根拠が必要です。その点については
(国立研究開発法人情報通信研究機構法の一部改正)
第二条
(略)
2 機構は、第十四条及び前項に規定する業務のほか、平成三十六年三月三十一日までの間、次に掲げる業務を行う。
一 特定アクセス行為を行い、通信履歴等の電磁的記録を作成すること。

このように「特定アクセス行為」というのが、キーとなる概念になります。これは、
2条4
「特定アクセス行為 」

 機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信元とする電気通信の送信をおこなう行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能にかかる他人の識別符号(当該識別符号について電気通信事業法第52条第1項または第70条第1項第1号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。)を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。

と定義されています。

この特定アクセス行為について、どう考えるのか、というと、
不正アクセス禁止法2条・4項・1号における不正アクセス禁止行為の定義から、

「及び国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき同法附則第八条第二項第一号に掲げる業務に従事する者がする同条第四項第一号に規定する特定アクセス行為を除く」

とされていて、不正アクセス禁止法の定める構成要件から、除かれるという定めになっています。

この除外規定は、不正アクセス禁止法のいわば、NICTが行う場合の特別法ということになるので、NICTが行う場合には、構成要件に該当すると解されることはないことになります。

一般論としては、以上になるわけですが、気になるのは、この規定は、従来の不正アクセス禁止法との関係からいくとどう位置づけられるのか、ということになります。
識別符号は、アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされているなどの性格を有するものである(不正アクセス禁止法2条2項)。
「通常、この番号、記号等として用いられているのが相手方ごとに付けられるIDとその相手方以外のものが知らないようにされているパスワードである」とされています。

上記の定義から、①特定利用を認める相手方ごとに違うものであること、②その相手方以外に用いることができないようなものであることの2つの要件を備える必要がある と考えられています。これは、特定利用を認める相手方ごとに違うものであることを求めるので、「複数の利用権者等に同一の符号が付されないようにするとともに、どの利用権者等に付されたものであるかが分かるように付されていることが必要」と解されています。

もっとも、具体的な事例となると明らかではありません。

「guest」、「anonymous」等の誰もが特定電子計算機を利用できるように広く公開されているID.パスワードについては、識別符号に該当しないと解される一方で、特定電子計算機の特定利用の一部(例えばウエブサイトの閲覧)についてはすべてのネットワーク利用者に許諾し、その他の特定利用全体はアクセス管理者のみがID・パスワードを入力して行うような場合には、利用権者等は複数存在し、符号によりアクセス管理者を他の利用権者と区別して識別することができるから、当該ID.パスワードは識別符号に該当すると解されています 。

いわゆるデフォルトで不特定多数が認知しうるものは、どうか、ということですが、上の解釈でいえば、もはや識別符号とはいえないということになりそうですが、明確ではありません。

そこで、特に、NICTが業務として、「弱いパスワードとして考えられたもの(不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないもの)」をいれて、アクセスする行為については、不正アクセスとして構成要件に該当しないとした、ということになります。

このような行為を構成要件該当性から除外するのは、適切か、という問題は、調査をされる側から考える場合に、明らかになってきます。このブログでもふれましたが、アクセスされる側からすると、NICTがアクセスしたのか、どうか、というのは、よくわからないわけです。不正にアクセスされたとなれば、それに対して、対策をとらなければならないわけです。それに対して、「通信履歴等の電磁的記録を作成すること」を義務づけて、透明性を確保するのであるから、例外として認めましょう、ということで、セキュリティの機密性に対する侵害の例外を認めたわけです。

それだけ、IoT機器に対するセキュリティの維持の要請が高いと認識されたということになります。

この改正に関して、では、たとえば、「ログイン後に、システム情報を取得するというコマンドを入力することはどうなるの?」という話がでています。「電気通信設備の特定利用をし得る状態にさせる行為をいう。」のは、構成要件該当性から除外されるわけですが、では、特定利用をしうる状態のもとで、さらに特定利用を現実的にする行為は、どうか、ということです。

これは、はっきりしないということになるかと思います。私(高橋)個人の解釈としては、コマンド入力も、基本は、システムの反応をなしうる状態を惹起しているので、解釈として「特定利用をし得る状態にさせる行為」であり、構成要件から除外されると解釈しています。ただし、その場合は、「国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき」という規定で、そのような行為がどのくらい限定されるのか、ということになるかと思います。

いま、一つ、留意しておくのは、「侵入テスト」という用語との関係ということになります。「侵入」という用語については、一般に、他人などのID/パスワードの利用によるアクセスと脆弱性を悪用してのアクセスの双方の場合に用いられます。

しかしながら、今回、この改正で認められているのは、「特定アクセス行為」なので、「他人などのID/パスワードの利用によるアクセス」ということになります。一方、「脆弱性を悪用してのアクセス」を許容しているわけではないので、NICTが、「侵入テスト」業者に変身したというわけではありません。

本来は、このような解説は、立法担当官が、コメントすべきなのかなあとも思いますし、まあ、このくらいは、条文を読めばわかるでしょ、ともいえそうな気もします。(ただ、不正アクセス禁止法との関係は、コメントはできないのかなあとも勘繰ったりしています)

なには、ともあれ、大きな「アクティブ・サイバー防御」という流れのなかにもはいる手法ですし、興味深いものということができます。

いま一ついうと、日本のドメインの中だけに限らないと、他の国のインフラのIoT機器にアクセスしたりすると、問題が起きたりしますね。これは、おもしろい国際法の問題ということで、そのうちに。

Private Sector Cyber Defense: Can Active Measures Help Stabilize Cyberspace?

Wyatt Hoffmanさんなどの”Private Sector Cyber Defense: Can Active Measures Help Stabilize Cyberspace?”という報告書をご紹介します。

この報告書は、Cernegie  Endowment for International Peaceが2017年に公表したものです。民間部門は、アクティブサイバー防衛手法(以下、ACDといいます)をサイバーセキュリティの実務にとりいれるようになる、そして、それを政府や社会は、適切にコントロールをすべきという報告書になります。

同報告書は、ACDの手法を受動性/能動性によって分類・分析し、その利点とリスクを最初にあげています(7頁から10頁)。

利点 リスク
より潜在的な脅威についての知識を得、攻撃者の能力および意図について知ることができ、不意打ちを予防し、資産の防護に役立つ

 

ミスにより、または、攻撃者の操作により思わぬ攻撃を受ける

 

攻撃者に対してどこで、いつ、どのようにという選択肢の範囲が広い

 

関係のない第三者コンピュータに対して、または、攻撃者であると誤って特定されことによって破滅的/損害を与えることの結果としての偶発的な被害
防御側のネットワークに対しての侵入が行われたあとであっても、計画された/継続中の作戦を破滅/停止する拡張された能力 攻撃者が、ACD手段に対して対応する結果として攻撃者と防御者におけるエスカレーションがおきる。
データの利用を制限し、攻撃を複雑化する/攻撃者の直接ないし間接的なコストをあげる(特に、特定する)ことによって、将来の攻撃を抑止する 外部のネットワークに影響を与えることにより政治的もしくは法的な結果も引き起しかねず、戦略的意味が不確実である

 

その上で、状況犯罪予防(Situational Crime Prevention (SCP))との類似性を検討しています(14頁から18頁)。

そして、同報告書は、政府と民間部門の権限や役割について考察していて、民間部門の権限は、政府部門の協力、監督、裁判所命令によってなされるべきだとしています。

米国や世界の動向を見た上で、同報告書は、健全な原則の発展と責任ある利用を促進するようなインセンティブを促進することが必要であるとしています。

同報告書は、そのあと、民間企業において、ACDが必要になってきているとしており、特に、金融機関においては、その動機が強く、オランダが、その影の市場になっていると紹介しています。

報告書は、民間部門がACDを行うことのリスクと便益を紹介しています。

リスク 便益
法執行行為への妨害と予期せぬ政治的結果 政府負担の軽減と資源の必要とされる領域への集中
不必要なリスクの甘受と防御能力の欠如による大規模な漏えい 迅速な対応と効果の増大
国家をまたぐ種々の法に対する複雑な管理 サイバーセキュリティのシステム的な長期の向上

また、これらの考察をもとに、攻撃のスペクトラムとともに、そのリスクとの関係について考察しています(19-21頁)。

この考察のあと、報告書は、海事事件(特にソマリア沖のアデン湾の海賊)において民間会社(private security contractors (PMSCs))が警備をなすことになってから、急激に被害が減少したこと、まだ民間警備請負業者と契約している会社については、保険料が安くなるという仕組みも採用されたことなどを紹介しています(23-31頁)。

政府としては、武力は、自らが独占して保持していたいわけですが、海賊の実際の前には、民間警備会社を認めざるを得なかったわけです。むしろ、協会の結成とガイドラインの構築のほうが現実的となったわけです。

2011年には、海事業警備保障協会(Security Association of the Maritime Industry (SAMI))が結成され、ISO 28007(船舶と海事技術—民間海事警備会社(PMSC)のためのガイドライン) は、船舶における民間武装警備請負(PCASP) の行為についてのガイドライン)が制定されています。

この報告書においては、無法が広がるところでは、自力で防衛する傾向が広がること、リスクとのトレードオフは、避けられないこと、政府のコントロールがきかない場合には、民間が、規制を回避しようとする傾向があること、民間の行動が、組織的にエスカレーションしてしまうというのは根拠がない/過大な恐れであること、インセンティブが、規範とベストプラクティスをコントロールしうること、一時しのぎの方法であるが、安定した関係を発展させるための方法ともなること、などが、この実際が変化した理由であると分析しています。

これらの考察のもとに、現実的な原則とそれに基づいたACDの利用を図るべきであって、その遵守のためにインセンティブを活用することであると提言しています(33頁以降)。

そして、そのために、規範的な原則が提言されています。その原則には、目的限定、範囲および期間、必要性、比例の原則、効果の原則、監視の原則、協力の原則、説明責任の原則、責任の原則、裁量の原則があげられています。

3月にワシントンDCを訪問したときに、著者のHoffmanさんにインタビューさせてもらいました。適切な行為規範の設定とそれを利用している場合のインセンティブ(保険料の低減)というアイディアは、卓見だと感じました。もっとも、法律的には、上のリスクででている強制的契機を受ける組織やその組織の属する国からすると、そのような行為を許容しうるのか、という問題は大きいと思います。

 

 

政府、サイバー被害の深刻度指標 対抗措置の判断基準に

「政府、サイバー被害の深刻度指標 対抗措置の判断基準に」という記事があります。

前のポストでふれた深刻度を結局、対抗措置に対する基準にするという趣旨が述べられています。
また、サイバー防衛の戦略については、「官民が連携して事前の防御策を強化する「積極的サイバー防御」を推進するとした。」ということと、「「政治、経済、技術、法律、外交その他の取りうる全ての有効な手段を選択肢として保持」とも定めた。」ということが述べられています。

前の部分については、「積極的サイバー防御」とされていますが、この日本語は、世界的なactive cyber defenseとといっていることが違うので、日本語の「パーソナルデータ」みたいなものであることに注意しましょう。世界的には、他のネットワーク領域内における情報を取得すること(場合によっては、民間企業)をactive cyber defenseと呼ぶことが多いです。もっとも、英国は、自律的な防御システムを利用した防御をproactive defenseと読んだりします。

後者については、高市エッセイおよび他のブログについてもふれた、対抗措置の整備ということになるかとおもいます。これは、興味深いもので、タリン2.0レベルに追いついたということになるのかもしれません。

具体的な戦略が明らかになるのが期待されるかとおもいます。

アクティブサイバー防衛確実法

アクティブサイバー防衛については、何回か、ブログでふれているのですが、米国では、H.R.4036 – Active Cyber Defense Certainty Act(アクティブサイバー防衛確実法)が、下院に提案されています。

提案しているは、ジョージア州選出のTom Graves議員です。

条文は、こちらからどうぞ

内容的なものですが
1条 タイトル
2条 前提事実
3条 行為者特定技術利用例外
4条 アクティブサイバー防衛手段を採用した特定コンピータ犯罪の起訴の免除
5条 アクティブサイバー防衛手段利用の告知
6条 自主的なアクティブサイバー防衛手段の排他的レビュー
7条 サイバー詐欺・犯罪抑止のための連邦政府進捗の年次報告
8条 司法省サイバー犯罪訴追マニュアルのアップデートの要求
9条 期限条項
となっています。

注目すべき事項としては、なんといっても、4条において、「アクティブサイバー防衛手段(active cyber defense measure)」の定義がなされていることです。

条項によると、「アクティブサイバー防衛手段(active cyber defense measure)」とは、
「(Ⅰ)防御者によって、または防御者の指示で行われ、
かつ
(II)(aa)犯罪行為の行為者を特定して法執行機関/サイバーセキュリティを担当する米国政府機関などと情報を共有し
(bb)防御側のネットワークに対する不正な活動を中断する
または
(cc)攻撃者の行動を監視し、今後の侵入防御やサイバー防衛技術の開発を支援する
目的をもって、
攻撃者のコンピュータに無権限でアクセスして防御側のネットワークにアクセスし、情報を収集する行為
」をいう。
ただし、
(I)意図的に、他の人または組織のコンピュータに記録されている被害者に属していない操作不能な情報を破棄またはレンダリングする。
(II)(c)(4)項に記載されている身体的な傷害または金銭的損失を一顧だにせずに惹起する
(III)公衆衛生への脅威を生み出す
(IV)執拗なサイバー侵入(APT)の行為者特定のために仲介コンピュータ上で偵察を行うために必要な活動レベルを超えている
(V)意図的に仲介者のコンピュータに対する侵入的行為/遠隔アクセスを惹起する
(VI)意図的に、個人または団体のインターネット接続を断続的に中断し、結果として、(c)(4)に記載されている損害を惹起する
(Ⅶ)国家安全保障の情報のアクセスに関し(a)(i)に/政府機関のコンピュータに関して(a)(3)に/司法、国防、または国家安全保障の運営を促進するために政府機関によって、または政府機関のために使用されるコンピュータシステムに関して(c)(4)(a)(ii) V)に
記載されているコンピュータに影響を与える
場合は、ふくまれない」
と定義されています。

このようなアクティブサイバー防衛手段を採用した場合には、それらの行為については、刑事罰を免れるというのが、この法の提案趣旨ということになります。

また、3条においては、特定のための技術の利用(attributional technology)について、無権限アクセスに関する合衆国法典の規定を免れることになっています。
条文案としては、

1030条に、(K)項として
「この条項は、防御者の行為者特定技術を利用するのに適用されない。行為者特定技術とは、防御者が、侵入に際して、行為者を特定するために、プログラム、コード、指令を利用して、ビーコン、場所情報または、特定のためのデータを送り返すものをいう。」
と定義されています

まだ、具体的な設立の見通し等は、明らかになっていないようですが、議論のきっかけとしての意義は大きいものとおもわれます。

攻撃者の技術を用いて防御を行うというのは、大きな流れではありますね。
(セキュリティ業界では、攻撃側がレッドチーム、防御側がブルーチームになるわけですが、ブルーもレッドの力を学ぶとなると、スターワォーズ・エピソード8の世界観になりそうです)