2018年米国サイバー戦略をどう見るのか

結局、メディアのような「サイバー兵器を使いやすくなる」とか、「攻撃的対処も可能に」「先制攻撃の権限拡大」とか、威勢のいい表現は、見つけることができませんでした。

むしろ、文言を見ていくと、同盟国とのインテリジェンスをも活用した攻撃の責任帰属の確定とその公的アナウンスによって、外向的手法で、安全なネットワークを構築していこうという実務的な手法の強調が重要視されていると私は、読んでみました。

ソニーピクチャーズでのオバマ大統領のTVインタビュー、NotPetyaでのアナウンスメントと、サイバー戦略としての継続性をみるわけです。

メディアの論調としては、異なりますが、Law & Policyの専門の分析がどのように分析をしているのか、ちょっと聞いてみたいところです。

 

米国サイバー戦略の分析(柱4)

ピラーIV:アメリカの影響力を先進させる

この柱は、米国がインターネットのイノベーションの多くを生んだものと見ていること、国際的なサイバー問題のためのリーダーシップをとっていることにふれています。目的としては、長期にわたる公開性、相互流用性、セキュリティ、信頼性を保持することといっています。

この柱は、「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」と「国際サイバーキャパシティを構築する」から成り立っています。

「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」においては、産業革命以来の比類なき発展がなされていること、人権・基本権をめぐる争いがおきていること、米国は、オープンで、相互運用可能で、信頼性が高く、安全なインターネットを守り、促進するという原則にたつこと、というだとされています。

優先行動として

  • 「インターネットの自由を守り、促進する」
  • 「同様の国、産学官、市民社会との連携」
  • 「インターネットガバナンスのマルチステークホルダーモデルを推進する」
  • 「相互運用可能で信頼性の高い通信インフラストラクチャ/インターネット接続を促進する」
  • 「米国の企業のための市場の促進と維持」

があげられています。

「国際サイバーキャパシティを構築する」は、パートナーに防衛し、米国を援助する能力を供えさせ、より広い外交、経済、安全保障の目標達成に貢献すること、これを通じて、戦略的パートナーシップを構築すること、アメリカの影響力を構築するのち重要であること、などが述べられています。

このために優先してなすべき行動としては、「サイバーキャパシティビルディングの取り組みを強化する」があげられ、ここでは、同盟国・パートナー国のサイバー能力の強化と相互運用性の強化が述べられています。

米国サイバー戦略の分析(柱3)

柱3は、「強さを通して平和を保つ」です。
これは、さらに、「責任ある国家行動の規範によるサイバー安定性の向上」と「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」にわけて論じられます。

「責任ある国家行動の規範によるサイバー安定性の向上」では、「世界的なサイバー規範の遵守を奨励する」ことが優先事項であるとされています。国際法と責任ある国家の行動についての自主的な拘束力のない規範は、それを遵守することによってサイバースペースでの予測可能性や安定性を促進することが述べられています。

「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」では、この意味が「悪意あるサイバー行動に対して防止、対応、抑止のためのすべての道具が利用可能である。これは、外交、情報、軍事(キネティックおよびサイバー)、経済的、諜報、帰属の公表、法執行能力を含む」ものとされています。
この表現でもって、トランプ政権は、サイバー反撃を許容するように、政策を変更したと報道されているようです。
私は、個人的には、オバマ政権からのポリシを変更するものではない、と認識しています。

  • このための優先事項としては、客観的/協調的なインテリジェンスによるリード・制裁を課す・サイバー抑止イニシアチブを構築する・悪意のあるサイバーインパクトと情報操作があげられています。
    「客観的/協調的なインテリジェンスによるリード」においては、情報コミュニティは、悪意ある行為の特定と帰属決定にすべてのサイバーインテリジェンスを用いて世界をリードしていること、この結果は、世界のパートナーと共有されること、が強調されています。

(コメント)行為者の特定は、identificationで、それが、どこの責任になるかを決定するのが、attributionという用語になっています。この点は、私のブログエントリでふれてますが、特定にアトリビューションを用いる用語法に対する私の違和感は、英語でも、正しかったようです。
あと、インテリジェンスコミニュティによる行為者特定の重要性は、NotPetyaのエントリでもふれました(Kaljulaidエストニア大統領のキーノートです)ので、その実務を念頭においた用語ですね。

  • 「制裁を課す」将来の悪事を抑止するために、迅速かつ透明性のある制裁(consequences)を課すこと、世界のパートナーと協同していることが論じられています。
  • 「サイバー抑止イニシアチブを構築する」制裁の実行は、同様のマインドをもった国家の同盟のもとでなされるときには、インパクトがあって、強いメッセージとなること、米国は、国際的なサイバー抑止力イニシアチブを開始するつもりであること、そのイニシアチブは、インテリジェンスの共有・責任帰属決定の支え・責任ある行動の公の指示表明・悪事行為者に対する共同での制裁実行を含むものであること、が述べられています。

(コメント)トランプ政権が「攻撃を最優先」にしたという評価は、この文章を正面からみるときに、誤解を招くものといえるでしょう。というか、実務的な活動をしらない「誤報」ということができます。責任帰属決定を公にして、行為者に対する抑止とするという実務的な対応が、重視されていること、NotPetya対応が、法と政策の観点からは、きわめてリーディングケースであったことが評価されるべきだったと思います。
日本だと、NotPetyaは、スルーされがちなのですが、そこを評価するのが、プロだと思います。

  • 「悪意のあるサイバーインパクトと情報操作」これは、選挙過程への海外勢力の介入に対しての対応になります。外国政府・民間企業・アカデミアとともに、市民の権利・自由を守りながら、適切なツールを用いて対抗していくことかが述べられています。

米国サイバー戦略の分析(柱2)

柱2は、「アメリカの繁栄を促進する」です。
これは、さらに、「活気あふれるデジタル経済を育む」「米国の独創性を育んで保護する」「優秀なサイバーセキュリティ人材を育成する」からなりたっています

「活気あふれるデジタル経済を育む」ための優先的な行動としては、適応可能でセキュアなテクノロジー市場にインセンティブを与える・革新の優先順位付け・次世代インフラへの投資・国境を越えたデータの自由な流れを促進する・新興技術における米国のリーダーシップを維持する・フルライフサイクルサイバーセキュリティを促進するがあげられています。

  • 「適応可能でセキュアなテクノロジー市場にインセンティブを与える」というのは、セキュアの技術を採用するための市場の障害を克服し、ベストプラクティスを促進する戦略を発展させるために連邦政府が努力するということです。
  • 「革新の優先」は、サイバー脅威を減少させるイノベーティブな能力を発展、共有、構築するのに障害となる政策的障害を排除しようということです。
  • 「次世代インフラへの投資」について、次世代技術(5G、AI、量子コンピューティングなど)の技術の進展のために連邦政府は、協力するということです。
  • 「国境を越えたデータの自由な流れを促進する」については、国家安全の名のもとに、データローカライゼーションや規制の強化をはかる国家が増加しているのに対して米国企業の競争力を減退させるとし、オープンで自由な情報の流通に努力するとしています。
  • 「新興技術における米国のリーダーシップを維持する」においては、米国のサイバーセキュリティのイノベーションを押し進め、堅固な世界的なセキュリティ市場における障害を減少させるとしています。
  • 「フルライフサイクルサイバーセキュリティを促進する」については、システムの脆弱性を減少させ、攻撃が柔軟に回復させるものとし、さらに、テスト、訓練し、運用のベストプラクティスを発展されるとしています。さらに、調整された脆弱性公表、クラウド(crowd)ソースのテストなどのイノベーティブな評価を促進させるとしています。

「米国の独創性を育んで保護する」は、さらに、米国における外国資本による投資と運用の見直しのためのメカニズムの更新・強力でバランスの取れた知的財産保護システムを維持する・アメリカのアイデアの機密性と完整性を守る、という優先事項があげられています。

  • 「米国における外国資本による投資と運用の見直しのためのメカニズムの更新」については、電気通信ネットワークが国民生活にとって重要であることから、FTCのライセンスの基準を見直すものとしています。
  • 「強力でバランスの取れた知的財産保護システムを維持する」については、特許、登録商標、著作権の知的の国際的な保護システムを発展させ、敵国が米国の調査と発展を、不当な方法で利得するのを防止するとしています。
  • 「アメリカのアイデアの機密性と完整性を守る」については、いままで、他国が、違法にアイディアなどを奪われてきており、それに対抗するよう努力するとされています。

「優秀なサイバーセキュリティ人材を育成する」においては「才能のパイプラインを構築し維持する」「アメリカの労働者のスキルアップと教育機会の拡大」「連邦のサイバーセキュリティ労働力を強化する」「エグゼクティブ・オーソリティを使用して才能を強調し報酬を与える」が優先事項であるとされています。

米国サイバー戦略の分析(柱1)

トランプ政権の国家サイバー戦略を分析します。4つの柱があることは、前で述べました

1 は、「アメリカ人民、国土、生活様式の保護」です。さらにこれは、「連邦のネットワーク/情報を安全にする」「重要インフラを安全にする」「サイバー犯罪と戦い、インシデントレポートを改良する」にわけて論じられています。

  • 「連邦のネットワーク/情報を安全にする」では、連邦民間サイバーセキュリティの管理と監督を一元化する、リスク管理と情報技術の連携を調整する、連邦サプライチェーンのリスク管理の改善、連邦請負業者のサイバーセキュリティを強化する、政府がベストプラクティスと革新的なプラクティスを導くことを確実にする、にわけて論じられています。
    •  「連邦民間サイバーセキュリティの管理と監督を一元化する」では、主として、DHSの権限の強化が語られています。
    •  「リスク管理と情報技術の連携を調整する」では、大統領令13833によるCIOの権限強化が論じられています。
    •  「連邦サプライチェーンのリスク管理の改善」では、サプライチェーンのリスクをを機関の調達と連邦の要件に統合することなどが語られています。
    •  「連邦請負業者のサイバーセキュリティを強化する」では、請負業者のリスクマネージメントとテスト、調達、遠隔調査、対応を契約ベースでなしうることにすることが語られています。また、大統領令13800報告の統一的な購買についてもふれられています。
    •  「政府がベストプラクティスと革新的なプラクティスを導くことを確実にする」では、政府からの補助金を受領するには、サイバーセキュリティ基準を満たすことが求められるとされています。
  • 「重要インフラストラクチャを安全にする」では、役割と責任の見直し、特定された国家的リスクに応じた行動の順位付け、サイバーセキュリティイネーブラーとしての情報通信技術プロバイダーの活用、私たちの民主主義を守る、サイバーセキュリティ投資へのインセンティブ化,国家研究開発投資の順位付け、輸送と海洋のサイバーセキュリティを向上させる、スペースサイバーセキュリティの向上、にわけて論じられています。
  • 「役割と責任の見直し」では、サイバーセキュリティリスクマネジメントおよび事案対応に関して、連邦機関と民間の役割と責任を見直すことが述べられています。
  • 「特定された国家的リスクに応じた行動の順位付け」においては、甚大なリスクに対しては、民間企業と連邦は協調して対応することが述べられています。
  • 「サイバーセキュリティイネーブラーとしての情報通信技術プロバイダーの活用」においては、プライバシーと市民の自由を保護しながら、情報通信技術プロバイダーは、情報通信セキュリティとレジリエンスを向上させるために連邦と協働しなければならないとしています。
  • 「私たちの民主主義を守る」は、選挙過程に関する脅威に関する情報の共有を向上することを述べています。
  • 「サイバーセキュリティ投資へのインセンティブ化」では、重要インフラにおいてセキュリティの投資が、利益を生むことを理解してもらうことなどを述べています。
  • 「国家研究開発投資の順位付け」では、連邦が、調査・開発が優先されるように改変されることがふれられています。
  • 「輸送と海洋のサイバーセキュリティを向上させる」では、物の輸送が、重要であり、国際的な輸送がサイバー手段によってリスクにさらされているのに対して対応することが明らかにされています。
  • 「宇宙サイバーセキュリティの向上」は、測位・ナビ・時刻(PNT)、インテリジェンス・監視・偵察(ISR)、衛星通信・天候モタリングの観点から、重要であることが述べられています。
  • 「サイバー犯罪を取り除き、インシデントレポートを改善する」では、インシデントレポートとレスポンスの改善、電子監視とコンピュータ犯罪法の近代化、サイバースペースにおける国境を越えた犯罪組織からの脅威を軽減する、海外にいる犯罪者の身柄確保(apprehension)を改善する、犯罪サイバー活動に対抗するパートナー国の法執行能力を強化する、わけて論じられています。
  • 「インシデントレポートとレスポンスの改善」では、サイバーインシデントの連邦への早急に報告の重要性をといています。
  • 「電子監視とコンピュータ犯罪に関する法の近代化」では、法執行機関の能力を拡張する改正、民事仮処分を通じての犯罪インフラの停止、悪意ある活動者に対する適切な制裁を課すことが強調されています。
  • 「サイバースペースにおける国境を越えた犯罪組織からの脅威を軽減する」においては、海外の犯罪組織に対して、法執行機関に対して、捜査および起訴する有効な法的ツールを準備することが述べられています。
  • 「海外にいる犯罪者の身柄確保(apprehension)を改善する」においては、米国政府は、海外の犯罪者を特定し、裁判に引き出すまでを改良すること、適法な犯罪人引き渡し手法の協力を促進するように努力することが述べられています。
  • 「犯罪サイバー活動に対抗するパートナー国の法執行能力を強化する」においては、パートナー国の法執行機関の協力が必要であること、それらの国の能力を強化することは、米国の利益でもあることが述べられています。

この柱1においては、特に刑事的手続に関しての新たな動向について注目したいところです。

「トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる」?

トランプ政権が、公表した「NATIONAL CYBER STRATEGY(国家サイバー戦略)」に関して、Tech Crunchは、「トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる」という記事をあげています。

この記事の内容としては、現政権としては大統領指令PPD-20を破棄して「“攻撃の最優先”(offensive step forward)」という表現をとるようになった。“大統領の指示はこれまでの抑制を逆転して、実質的に、関連部門からの攻撃的なサイバー作戦を可能にするものだ”。ということだそうです。

このような記事を読むと、すぐにトランプ政権は、サイバー攻撃に対して、サイバー的な手法を用いて、攻撃者に対して、実際の被害が発生するような攻撃的な手法を採用するようになったというイメージを持ちそうになります。はたして、そうなのか、いままで、特にソニーピクチャーズやNotPetyaなどの事件において国家実行として行われてきたものを変更するのか、それについては、実際の文章をみていかないといけないような気がします。

戦略自体は、序と4つの柱からなりたっています。

4つの柱は「アメリカ人民、国土、生活様式の保護」「アメリカ反映の促進」「強靱さによる平和の保全」「アメリカ影響の進展」です。

序は、ここに至る道筋と前進とにわけて論じられています。前者においては、オープンなインターネットの考え方をもと米国は、これを発展させてきたが、競争者/敵(ロシア・イラン・北朝鮮)は、インターネットを米国の軍事、経済、政治力の及ばないところとみて主権の影に隠れて、他の国の法を侵しているとしています。
前進においては、サイバースペースを確保することが戦略の基礎であり、技術の進展と政府や民間部門の効率的な運営が必要なるとしています。また、ポリシとしては悪意あるサイバー活動やそのエスカレーションを防止するために、コストを賦課することを採用しなければならないとしています。このコスト賦課は、サイバー/非サイバーを問わないということも記載されています。

さて、どうも文章の上からは、「サイバー兵器」を使ってどうの、ということは感じられません。次では、具体的な柱を見ていくことにしましょう。

ジョセフ・ナイ 露のサイバー攻撃 戦闘伴わぬ「新兵器」

読売新聞 2018年8月26日 一面には、ジョセフ・ナイ氏の「露のサイバー攻撃 戦闘伴わぬ「新兵器」」という記事(地球を読む)が掲載されています。

2017年5月1日には、「サイバーと倫理-国際紛争防ぐ規範必要」という記事(地球を読む)が掲載されていたのについては、このブログでも取り上げたのですが、1年4月ほどのインターバルで、再度、「グレーゾーン」での攻防により重点を置いた論考を示しています。

論考は、
(1)「ハイブリッド戦争」という用語とともにサイバー攻撃が行われていたこと。ただし、補助的な攻撃手段であること。
(2)物理的な損害に応じて比例原則にもとづいてなされる米国の軍事ドクトリンについて。
(3)真の危険は「グレーゾーン」での攻防にあるかもしれないこと。
(4)偽情報拡散のスピードと低コストが、「完璧な武器」としてのサイバーによる情報操作を生んでいること
(5)DNCハックは、武力攻撃(軍事攻撃となっていますが、こっちのほうがいい感じ)の閾値を越えるまえで行動をとめていること
(6)オバマ元大統領が、戦術の危険をしっていたにもかかわらず、厳しい対応をとらなかったこと/トランプ政権も措置がとれていないこと
(7)新兵器に立ち向かうためには、広範な国家的対応を組織する戦略が求められる/拒否的抑止も必要
(8)選挙担当職員の訓練/政治宣伝の発信元表示の義務づけ/外国による政治宣伝を違法とする/ファクトチェックのための独立機関
(9)外交の努力の必要性(信頼醸成措置の確保)
(10)悪用には、代償が伴うことを示すこと
などの内容であるといえます。

まさに、2018年におけるサイバースペースをめぐるひとつの問題点とそれに対する米国の代表的な見方を示しているように思えます。

前提として、国家による他の国家に対する情報工作は、伝統的に、なんら問題ではないと考えられてきたことを前提として知っておく必要があります。(読売新聞や、サンケイ新聞の成り立ちあたりを調べれば、よくわかるかと)

まさに、(5)の武力攻撃の閾値を越えない限りは、ホワイトであったわけです(というか、放任行為)。
しかしながら、ネットワークがまさに世界を変えたわけです。生命身体に実際の損害が生じるのでなければ、何をやっても、それは、国際社会が関知するところではない、としてきたところが、人々が、ネットを通じて、自らの政治的な意見を決定するようになってくると、生命身体の損害を生じさせる行為でもって、他の国の独立性を脅かすよりも、ネットでの意見を工作して、政治的な体制を変更させた方が、より、効果的になってくるわけです。

そうすると、その工作の対象国の政治的な独立性を、虚偽の情報やハッキング等で手にいれた情報を基盤として、政治工作を行うことが、従来のような放任行為でいいのか、という問題が生じるわけです。これが、「グレイゾーン」といわれているところです。この用語については、「タリンマニュアル2.0 パネル」でのエントリで、シュミット先生のコメントのところできちんと説明しています。(2017年のCyConでもシュミット先生のテーマは、グレーゾーンです)

法的には、政治過程の操作については、国際法違反(この場合、国際的違法行為として制裁措置が発動できる)とすべきだろうとされているところです。そして、これに対して、国内的にも、種々の措置をとるべきであろうということで、(8)の提案になるわけです。

政治宣伝の発信元表示の義務づけ/外国による政治宣伝を違法とする/ファクトチェックのための独立機関 などは、上述のような伝統的な考え方が、ネットワーク社会の発展によって変貌してきた証拠ということができるでしょう。

その一方で、表現の自由という考え方が、外国による不当な影響力の行使という考え方でもって揺さぶられているという見方もできると思います。非常に興味深い論点です。もっとも、わが国の場合に、いまのところ、どの程度の危険があるのか、というのは、不明確ですし、緊急の対応の必要があるとはいえないのではないか、というのも事実に思えていたりします。

サイバーセキュリティ戦略と「法」

サイバーセキュリティ戦略・サイバーセキュリティ 2018が決定しました。
具体的な案はこちらです(資料1)

報道は、こちら。(たとえば、ZD Net 政府の新たなサイバーセキュリティ戦略が決定–東京五輪後も視野)

資料は、概要と意見募集の結果も含まれているので非常に大部になります。

サイバーセキュリティ戦略の重点施策は(1)経済社会の活力の向上および持続的発展、(2)国民が安全で安心して暮らせる社会の実現、(3)国際社会の平和・安定および我が国の安全保障への寄与、(4)横断的施策――の4項目になるので、それらで興味のあるものをピックアップしてみましょう。

(1)経済社会の活力の向上および持続的発展

「経済社会の活力の向上および持続的発展」は、新たな価値創出を支えるサイバーセキュリティの推進、多様なつながりから価値を生み出すサプライチェーンの実現、安全なIoTシステムの構築にわけて論じられています。

「サプライチェーンのつながりの端で起こったサイバーセキュリティの問題が、実空間、さらには、経済社会全体にこれまで以上に広く波及し、甚大な悪影響を及ぼすおそれがある。」(戦略16頁)という表現からわかるようにダウンストリームに注目されていますね。世界的には、サプライチェーンという用語は、むしろ、機器が自分の手元にくるまでにセキュアなのか、ということのほうが一般的ですね。
ただ、17頁ででるように官公庁の調達物資のセキュリティについても今後は、考えていきますというのは、非常にいい傾向なのかと思います。
(事務所のアクセスの足回りは、Nuroなので、偉そうなことはいえない私です)

安全なIOTシステムについては、でました「責任分界点」ですね(戦略18頁)。我がブログの一番人気用語です。ここでは、「責任分界点(既知の脆弱性への対応に関する製造者責任や運用者等の安全管理義務などインシデント発生時における各主体の法的責任を含む)」という形で、liabilityの用語をいれている意味で、物理的な安全管理基準の適用範囲という実定法上(たとえば、電気通信事業法41条ね)に限定すべきという私の立場にケンカを打っているわけですが、とりあえず、「含む」として、実定法上は、ここらへんはいれないのが一般だけど、許してね、という感じがでているので許すことにしましょう。

「範囲や定義、物理安全対策」もふれています。自動車の安全基準といっても、これから、つながるシステムのうちのどこまでが、「自動車システム」なのか、という考え方がでてきますね。その意味で、「範囲や定義、物理安全対策」という意味が書いてあるんでしょうね。深いです。

「脆弱性対策」(戦略18頁)の「機器製造事業者、電気通信事業者、利用者等の各々の主体の相互理解と連携の下で取り組むべきである」という用語も深いですね。脆弱性研究会(脆研)が脆弱性についての一定の調整作業等をおこなっていますが、通信機器については、さて、どうしましょうか、ということもでてくるわけでしょうね。まさに「連携の下で取り組むべきである」というのは、そのとおりなのですが、どうするといいのか、実際に考えていかないといけません。

(2)国民が安全で安心して暮らせる社会の実現

国民が安全で安心して暮らせる社会の実現は、国民・社会を守るための取組、官民一体となった重要インフラの防護、政府機関等におけるセキュリティ強化・充実、大学等における安全・安心な教育・研究環境の確保、2020 年東京大会とその後を見据えた取組、従来の枠を超えた情報共有・連携体制の構築にわけて論じられています。

これらの項目のなかで、法的な観点から、興味深い点としては、以下の点になるかと思います。

「サイバー関連事業者等と連携し、脅威に対して事前に積極的な防御策を講じる「積極的サイバー防御」を推進する。具体的には、国は先行的防御を可能にするための脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用、ボットネット対策等、サイバー犯罪・サイバー攻撃による被害を未然に防止できるような取組を推進する」という記載(戦略21頁)が、気になります。

「アクティブ防衛」という用語との関係については、以前のエントリでふれたことがあります。法的に厳密にみた場合に、これらの取り組みは、サイバー犯罪・攻撃の実行行為がなされる以前と実行行為がなされた以降の対応が、含まれているのは、考えておいたほうがいいように思います。

まず、世界的に「アクティブ(サイバー)防衛」というのは、「実行行為がなれた以降」に、その実行行為がなされたことを契機にして、実行行為者に対して、強制力を行使することによって、証拠の収集・将来の実行行為の抑止をなしうるのか、というのを議論するのに、使われるのが「主たる」場合(このように法的に整理して論じる論者も多くはないです)です。

エントリの「アクティブサイバー防衛手段(active cyber defense measure)確実化法」でも、攻撃者に対するアクセスを論じていることからも、わかるかと思います。

ここで、日本でいう「積極的サイバー防御」の推進、というのをそのまま「日本でもアクティブ防衛方針になりました」というと、例によって、ロスト・イン・トランスレーションになります( communicatonを当然に遠隔通信と訳するがごとし)。

「脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用」は、むしろ、サイバーインテリジェンスのうちの、事前のインテリジェンスと捉えるほうが言いように思います。「ボットネット対策等」については、情報共有と、実際のテイクダウン、場合によっては、ホワイトワーム投入作戦があります。特に、テイクダウン作戦、ホワイトワーム投入作戦については、法的な整理が必要なので、夏の間に論文をまとめることにしましょう。(関係省庁さんからの委託調査でもいいです)

あと、仮想通貨、自動運転車についても言及されているのは、興味深いです(戦略21頁)。

サイバー犯罪への対策について、「新たな捜査手法の検討」がはいっています(戦略21頁)。この点は、注目ですが、GPS捜査最高裁判決みたいに、オレオレ合法論で突っ走ったりしないようにということでしょうか。

個人的には、サイバー攻撃より、熱波攻撃対応で、夕方から夜中に競技をするようなスケジュール変更を早急に考えることのほうが、優先順位が高そうな気がしますけども、それは、さておきましょう(警備の問題があるのかもしれませんが)。

(3) 国際社会の平和・安定及び我が国の安全保障への寄与
国際社会の平和・安定および我が国の安全保障への寄与としては、自由、公正かつ安全なサイバー空間の堅持、我が国の防御力・抑止力・状況把握力の強化、国際協力・連携について論じています。

ここでは、特に、「国際社会の平和と安定及び我が国の安全保障のため、サイバー空間における法の支配を推進することが重要である。」(戦略32頁)は、注目されます。これは、基本的には、わが国としては、このような観点を打ち出していたわけですが、これだけ明確に記載してあるとインパクトがあるなあと改めて思います。「これまでに明らかにされた責任ある国家の行動規範について、着実な履行・実践を通じ普遍化を進める。そうした規範を国際社会に広げ、国家実行を積み重ねていくことで、規範に反する行動を抑止する。」ということで、まさに、サイバー規範の重視ということで、なかなか、責任ある宣言だなあと思います。

また、「サイバー攻撃に対する国家の強靱性を確保し、国家を防御する力(防御力)、サイバー攻撃を抑止する力(抑止力)、サイバー空間の状況を把握する力(状況把握力)のそれぞれを高めることが重要である。」(戦略33頁)も重要です。

「防衛産業が取り扱う技術情報等は、それが漏洩・流出した場合の我が国の安全保障上の影響が大きいため、安全な情報共有を確保する仕組みの導入、契約企業向けの新たな情報セキュリティ基準の策定、契約条項の改正等の取組を行う。これらについて、官民連携の下、下請け企業等を含めた防衛産業のサプライチェーン全体に適用することを前提とした検討を行う。」というのは、防衛産業サイバー基盤という感じになるのでしょうか。興味深いです。

「伊勢志摩サミットにおいて G7 首脳が確認したとおり、一定の場合には、サイバー攻撃が国際法上の武力の行使又は武力攻撃となり得る」(戦略33頁)
まさに、わが社のここの記載(サイバー攻撃と武力行使)みてね、ということで、一般的な国際法コミュニティの見解そのものになります。

「また、G7 ルッカ外相会合において確認したとおり、悪意のあるサイバー攻撃等武力攻撃に至らない違法行為に対しても、国際違法行為の被害者である国家は、一定の場合には、当該責任を有する国家に対して均衡性のある対抗措置及びその他の合法的な対応をとることが可能である」(同)ということで、これも、ちゃんと対抗措置についてコメントがなされており、さらに合法的な対応(外交その他)についてもコメントがなされています。きわめて法的な記述であり、興味深いです。

「同盟国・有志国とも連携し、脅威に応じて、政治・経済・技術・法律・外交その他の取り得る全ての有効な手段と能力を活用し、断固たる対応をとる。」まさに、SONYピクチャーズ事件、ワナクライ事件、NotPetya事件などでの各国の国家実行 (CyCon Xでも何回か話にでました)をベースにした記述です。

これらは、まるで、シュミット先生のまとめを聞いているみたいな記述です。

興味深いというか、むしろ、戦略文書にこれだけ法的に、しかも正確な記述がはいってきたということで感慨深いものがあります。

(4)横断的施策

横断的施策は、人材育成、研究開発の推進、研究開発の推進、全員参加による協働が述べられています。興味深い点は、以下のところでしょうか。

「政府機関や企業等の組織を模擬したネットワークに攻撃者を誘い込み、攻撃活動を把握すること」(戦略40頁)がふれられています。攻撃がなされている間に、受信者(?)が、真の受信者の代わりに、デコイに通信してあげるという、個人的には「通信の秘密」との整理は、どうなっているの?作戦のひとつになります(解釈論としては、「取扱中とはいえない」とか、「受信者の承諾がある」とかいうのかと思いますが、通信は、一方の承諾でいいというのは、例外だったよね、とかあります)。

また、「政府機関や重要インフラ事業者等のシステムに組み込まれている機器やソフトウェアについて、必要に応じて、不正なプログラムや回路が仕込まれていないことを検証できる手段を確保することが重要である」(戦略40頁)。イギリスのGCHQにいったときに、技術の担当の方は、このような業務をになっていましたね。お約束ですが、GCHQの組織は、「ロンドンのとある映画会社の地下深く」 (オジサマお待ちかね-オープニング)にありました(?-UFOっていうテレビみたいだね、というのが私の感想)。
日本だとクールジャパンのセットかなんかをつくって、そこの地下に調査会社つくるとか、いかがでしょうかね。

「中長期を視野に入れて、サイバーセキュリティと、法律や国際関係、安全保障、経営学等の社会科学的視点、さらには、哲学、心理学といった人文社会学的視点も含めた様々な領域の研究との連携、融合領域の研究を促進する。」(戦略41頁)です。まあ、戦略のここらへんというのは、どうも、帳尻あわせみたいな感じがするわけですが、このような視点は、本当に大事なので、ぜひとも実現してほしいと思います。
CyConに自費でいって、詳細な報告書あげているわけですが、これが自腹感満載というのは、来年は、なんとかしていただきたいと思います。出張報告に私のブログ使った人は、ぜひとも、私の来年の旅行に、貢献してほしいなあと考えていたりします。

ということで、非常に興味深いサイバーセキュリティ戦略でした。

国立研究開発法人情報通信研究機構の中長期目標の改正案に対する サイバーセキュリティ戦略本部の意見

サイバーセキュリティ戦略本部 第19回会合のなかで、
「国立研究開発法人情報通信研究機構の中長期目標の改正案に対するサイバーセキュリティ戦略本部の意見」が公表されています。

資料は、こちら(報道発表) と、こちら(資料7)

まずは、いわゆるNICT法改正をめぐるいろいろな問題について、ちょっと前のエントリで検討しておきました。

サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 25 条第1項第1号に基づいて、とありますが、同号は、

第二十五条 本部は、次に掲げる事務をつかさどる。
一 サイバーセキュリティ戦略の案の作成及び実施の推進に関すること。
となっています。
なので、この条文は、サイバーセキュリティ戦略案の枕言葉となります。

同法第 12 条第5項において準用する同条第3項の規定は

5 前二項の規定は、サイバーセキュリティ戦略の変更について準用する。

となって、準用される3項は

3 内閣総理大臣は、サイバーセキュリティ戦略の案につき閣議の決定を求めなければならない。

ですね。なので、サイバーセキュリティ戦略の変更については、戦略本部がOKといっているという流れになります。
で、「サイバーセキュリティ戦略本部としては示された中長期目標の改正案については妥当な内容であると判断」というしコメントがでています。

でもって、良く考えると、サイバーセキュリティ戦略本部が、NICTの中長期計画案にコメントをつけることができる根拠条文は何?ということになります。

「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」の2条(国立研究開発法人情報通信研究機構法の一部改正)が、NICT法を改正しています。
それによって、前のエントリで触れた特定アクセス行為が新機構法8条2項によって認められています。そして、この特定アクセス行為に関する部分については、総務大臣は、サイバーセキュリティ本部の意見を聞くことができることになっています。

これは、上の「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」の附則2条(準備行為)2項において

総務大臣は、独立行政法人通則法(平成十一年法律第百三号)第三十五条の四第一項の規定により中長期目標(第二条の規定による改正後の国立研究開発法人情報通信研究機構法(以下この条及び附則第六条において「新機構法」という。)附則第八条第二項に規定する業務に係る部分に限る。)を変更しようとするとき、又は独立行政法人通則法第三十五条の五第一項の規定による中長期計画(新機構法附則第八条第二項に規定する業務に係る部分に限る。)の認可をしようとするときは、この法律の施行の日(以下この条において「施行日」という。)前においても、サイバーセキュリティ戦略本部の意見を聴くことができる。

となっています。厳密に考えると、以下のふれるように、この意見書は、新機構法附則第八条第二項に規定する業務に係る部分に限る中長期計画の認可に対する意見書のように思えます。
とすると、根拠条文として、上の附則2条(準備行為)2項をひいておくべきだったような気がします。
どうなのでしょうか。

それは、さておき、
サイバーセキュリティ戦略本部は、「総務大臣に対し、以下の事項を要請する。」として、特定アクセス行為に関する計画に関してと思われますが、

(1)調査の内容
実効性の高いものとなるように努めるとともに、適時に見直しが行われること

(2)調査の実施
十分な周知を行うとともに、機器の利用者への影響等を十分考慮すること。また、適切なパスワード設定の必要性について周知活動を行うこと

(3)調査の結果
調査手法の高度化/必要応じた情報共有

(4)関係省庁との連携
既に流通している IoT 機器等については、利用者、製造事業者、電気通信事業者等の様々な主体が関係することから、これらの有機的連携が確保された取組につながるよう、NISC をはじめとする関
係省庁との連携に努めること
の4項目が留意点として明らかにされています。

「NICT法改正と不正アクセス禁止法」のエントリで検討したことですが、NICTからするアクセス行為(適法なもの)による脅威があるか、どうか、というのは、被害システムとしては、わからないので、セキュリティからすると、それはそれで、問題が生じうるわけです。それでも、それを上回るメリットが、あるというのが法の態度なので、それについては、そういうものとして認識することになります。

しかしながら、単にアクセスするのみではなく、その後の調査行為も、不正アクセス禁止法違反とされないということになると考えられる(前のエントリ参照)とすれば、「十分な周知/機器の利用者への影響等を十分考慮」が必要になるのは、いうまでもありません。
また、それをふまえて、実際の調査手法についても「適時に見直しが行われる」ことが必要になるわけです。

総務省より「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負」報告書が公開されました。

ブロッキングと通信の秘密に関する考察を含んでいる「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負」報告書が公開されました。
リンクは、http://www.soumu.go.jp/main_content/000565925.pdfです。

同報告書につきましては、研究体制等についての「はしがき」部分がありませんでしたので、以下のご挨拶でもって「はしがき」にかえさせていただきます。

公開についてのごあいさつ

株式会社ITリサーチ・アート代表取締役 高橋郁夫

 本報告書は、2016年3月時点におけるいわゆる「権利侵害情報」に対しての種々の法域における対応をまとめたものです。「権利侵害情報」とは、「流通により他人の権利を侵害する情報」をいいます。具体的には、 名誉毀損情報、プライバシ侵害情報、著作権侵害情報等があります。

わが国においては、電気通信事業法において、通信の秘密を侵してはならないとされており(同法4条)、上記権利侵害情報に対して、ISPがどのような役割を果たすべきか/また、何らかの活動をなす場合にどのような根拠から許容されるのかという観点からも、具体的な議論がなされています。

その意味で、権利侵害情報に関して「通信の秘密/ISPの活動/社会における安全との調和に関する具体的な制度の適切な運用」がもっとも重要な課題の一つであるということができます。そのために、国際的な観点から、制度に関する基礎情報を独立した専門的な立場から収集することを調査の目的とした調査の結果の報告書になります。

上記の目的のために、当社は、
調査委員長
曽我部真裕(京都大学 法学研究科 教授)
のもと、
高橋郁夫(弁護士(駒澤綜合法律事務所)/宇都宮大学工学部講師/株式会社ITリサーチ・アート代表取締役)
がプロジェクトマネージャーとして
宮下紘 (中央大学 准教授)
笠原毅彦(桐蔭横浜大学 教授)
有本真由(弁護士/小川綜合法律事務所)
原田學植(弁護士/東京神谷町綜合法律事務所)
佐藤寧(弁護士/株式会社ITリサーチ・アート/駒澤綜合法律事務所)
からなる調査委員会を構成しました。

また、現地調査員として
Richard Abott(弁護士/ITコンサルタント)
Jonathan Armstrong(弁護士/ロンドン Cordery Compliance Limited)
Frédéric Sardain(弁護士/フランス・パリ Avocat a la Cour de Parisパリ控訴院付き弁護士)
Prof. Dr. Borges(ドイツ・ザールラント大学法情報研究所所長)
Stefan Mele(弁護士/イタリア ミラノCarnelutti Law Firm, Ce.Mi.S.S. (Italian Military Centre for Strategic Studies)
Dr.Grace Li教授(シドニーテクノロジー大学)
Taeeon Koo弁護士(ソウル TEK法律事務所)
台湾 情報工業策進會科技法律研究所
からの助力をえました。

折しも、わが国において、著作権に基づくブロッキングが許容されるべきかという議論がなされており、特に、比較法的な知見に基づいて具体的な立法論的な提案がなされるべき時期がきたものと考えられ、その時期に間に合うように、本報告書が公開されたのは、非常に幸いです。

この報告書が、著作権をめぐるブロッキングの議論に役立つことを祈っています。