トラストサービスフォーラムinベルリン Day2 その1 後半

次は、「PKIは、どのくらい使われるか(How much PKI is in:PSD2; eIDAS; GDPR)」というArno Fiedler( Nimbus)さんの話です。欧州の規範を利用してeIDASを実装するという趣旨での話です。スライドは、こちらです。

欧州は、現在、デジタル単一市場を目指しており、決済については、SEPA(単一決済エリア)が目指されていることになります。
ここで、特に、決済サービス指令2(PSD2)のための技術的標準をみることになります。
ちなみに、決済サービス指令2の 本文はこちら)で、についての簡単な説明についてはこちらです。

関連する規定としては、

第29条トレーサビリティ

決済サービス提供者は、決済サービスユーザー、他の決済サービスプロバイダー、および商人を含む他の企業の間で確立された通信セッションが、タイムスタンプなどに依拠するように、確かにしなければならない

第34条 証明書

識別のために、(略) 支払いサービス提供者は、規則(EU)No 910/2014の第3条(30)に記載されているような電子シールのための、または第3条(39)第35条に記載されているようなウェブサイトの認証のための認定証明書に依拠しなければならない。

通信セッションのセキュリティ

1 ./ インターネットによるデータ交換に際して、データの機密性および完全性を保護するために、強力で広く認識されている暗号化技術を使用して、各通信セッションを通して通信相手間で安全な暗号化が適用される

とされています。
また、GDPRにおいては、32条の仮名化、32条の取扱の安全措置が、関連してることになります。
eIDAS要件では、5条(データ取扱および保護)、13条(責任および証明の責任)、15条(ユニバーサルアクセス)、16条(罰則)、19条(セキュリティ要件)がかかわってきます。
最後に、欧州のeIDとがブルーワンダーになるようにということで、プレゼンは、終了です。

次は、Andrea Röck(Universign, ETSI STF 524 expert)さんの「ETSIの電子署名と署名検証サービス」(ETSI ESI and Signature Validation Services)というプレゼンです。スライドは、こちら
基本的な内容は、(1)eIDASにおける標準のアップデート(2)署名検証サービスです。
(1)eIDASにおける標準のアップデート
最初にフレームワークは、こちらです。

アップデートされたものとしては、CA Policy Requirements: EN 319 411-1/2、決済サービス指令2のもとでの適格証明書のアップデート、リモート署名に関して、信頼しうるシステムのためのCEN(欧州標準化委員会)標準(EN規格については、こちらhttps://rnavi.ndl.go.jp/research_guide/entry/theme-honbun-400383.php )、生成のプロトコルとコンポーネント要件、内容配達証明、長期保存、トラストリスト、監査要件の補充、機械による取扱の様式があります。具体的なものは、スライドにあげられています。また、最後に、欧州のトラストサービスについての国際的承認の話がでています。

個人的には、「決済サービス指令2(PSD2) のもとでの適格証明書のアップデート」と「欧州のトラストサービスについての国際的承認」が気になるところです。

PSD2については、委任規則が本人確認等についての細かい点を定めています。

具体的には、「2015/2366(EU)指令における強力な利用者識別および通信の一般かつ安全なオープンな標準に関する委員会委任規則(Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication )」になります。この委任規則の本文は、こちらでみれます。

また、欧州のトラストサービスについての国際的承認」においては、「Study report on Global Acceptance of EU Trust Services」(‘DTR/ESI-000123)があげられています。スケジュールをみることができますが、まだ、早期案の作成中のようです。また、ワークショップがふれられていて、ターゲットとして日本が最初にあがっているのは、興味深いところです。

(2)署名検証
「ETSI STF 524」(特別タスクフォース 524)ですが、これは、2016年に始まり、三つのドキュメントがでています。
TS 119 102-2: Validation Report(https://www.etsi.org/standards-search#search=TS119102-2
TS 119 441: Policy Requirements for TSPs Providing Signature Validation Services(https://www.etsi.org/deliver/etsi_ts/119400_119499/119441/01.01.01_60/ts_119441v010101p.pdf
TS 119 442: Protocol for Signature Validation Services (https://portal.etsi.org/webapp/WorkProgram/Report_WorkItem.asp?WKI_ID=47246
あと、関連のドキュメントもあります。

Matthias Wiedenhorst (TÜVIT)は、「監査報告の苦闘(The struggleofauditreporting)」です。スライドは、こちら

eIDAS3条(18)による適合性評価機構が、国家評価機構としてなす組織は、実質的に唯一であるということになる。

評価の一般的なマトリックスは、TR 119 000, V1.2.1により、 ETSI EN 319シリーズが、トラストサービスプロバイダの監査についてのひとつの欧州の標準ということになる。
しかしながら、監査報告の枠組みについては、いろいろな枠組みが存在することになります。

まずは、ENISAのトラストサービスの適合性評価ガイドライン(Conformity assessment of Trust Service Providers – Technical guidelines on trust services)。(https://www.enisa.europa.eu/publications/tsp-conformity-assessment

ETSI TS 119 403-2 V1.1.1 (2018-07)(https://www.etsi.org/deliver/etsi_ts/119400_119499/11940302/01.01.01_60/ts_11940302v010101p.pdf
ETSI TS 119 403-3(https://docbox.etsi.org/esi/Open/Latest_Drafts/ESI-0019403-3v007-for-public.pdf

結局、ひとつの様式にするのは、現実的ではないとして、誰が、問題点を解決するのであろうかという問いがなされます。

適合性評価機関委員会(ACAB-c)か、FESA(トラストサービス提供者への監督機関フォーラム)か、または、EUか、ということになります。

トラストサービスフォーラムinベルリン Day2 その1前半

CA Day – Wednesday, 24 October 2018

Kim Nguyenさんの簡単なWelcomeのあと、Sławomir Górniak (ENISA)さんの「サイバーセキュリティパッケージと新しいENISAの役割」(The Cybersecurity Package and the new role of ENISA)の講演です。スライドはこちらです。

ENISAは、サイバーセキュリティ法のもとで、サイバーセキュリティ庁として改組されることになり、その説明になります。
個人的には、2010年に調査の関係でクレタ島を訪問したのが記憶にのこっています。

ENISAは、欧州共同体の能力向上、政策立案、専門的分析等をその行動としています。
2017年のユンカー大統領が、サイバーセキュリティ庁としてサイバー攻撃に対抗するということをいったのが、その最初になります。映像は、こちらです。その際のプレスリリースは、こちら

Cyber Security Package 2018は、Day1でも簡単にでてきました。サイバーセキュリティ法関係のドキュメント関係は、こちらです。
サイバーセキュリティ法提案、サイバーセキュリティ戦略、プループリント、「NISの最大利用」コミュニケを考えることができます。

サイバーセキュリティ法(「ENISA(サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」案)は、こちらです。)

2018年12月11日に、議会と理事会、委員会は、政治的に合意にいたっています(https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_en)。

同法は、6つの目的をもっています。具体的には、
1 EUおよび加盟国レベルでの能力と備えの向上
2 利害関係者の協力と調整を改善する
3 加盟国の行動を補完するためのEUレベルの能力の向上
4 EUにおけるサイバーセキュリティ意識の促進
5 サイバーセキュリティ保証の透明性の向上
6 認証スキームの細分化を避ける
になります。

この提案は、二つのパートからなりたっています。タイトル2は、ENISA-「EUサイバーセキュリティ庁」(3条から42条)で、一方、タイトル3は、サイバーセキュリティ認証枠組み(43条以下)です。より、強制的な政策が必要であることから、適切な資源があって、永続的な立場を与えるということで、ENISAの役割を強化する必要があったわけです。
より強靱なENISAは、法律と政策の任務、能力構築、運営協力、市場と認証、意識向上、研究とイノベーション、国際協力を課題とするわけです。

前者は、ENISAを強化し、補強するもので、特に、政策策定と実施の役割、 業務協力の役割 – ブループリント、 研究資金プログラムへの参加の点について変更が加えられています。

後者は、「EUレベルのサイバーセキュリティ認証の枠組み」であって、 候補スキームの作成におけるENISAの役割、 「欧州サイバーセキュリティ認証グループ」のためにENISAが提供する事務局的支援が述べられています。

後者についてみていきましょう。認証については、

「「特定の要件を満たしていることの証明と公正な第三者認証の提供」もしくは、「「定義された一連の基準規格に対する独立した認定機関による製品、サービス、およびプロセスの正式な評価、および適合性を示す証明書の発行」という定義がなされています。もともとは、コモンクライテリアによってさだめられていたところです。各国における相互承認は、SOG-IS(情報システムセキュリティ上級グループ-)による相互承認協定によっています(https://www.sogis.org/)。

EU戦略の全体像との関係については、Day1のとおりです。

この枠組みの特徴は、国家ICTセキュリティ認証イニシアチブによる断片化を回避、相互承認を促進する、保証レベル(基本、実質、高)を定義する、手順を簡素化し、IT製品とサービスの展開にかかる時間とコストを削減する、ヨーロッパの製品とサービスの競争力と品質を向上させる、購入するICT製品やサービスに対するユーザーの自信を高めるの特徴を有しています。

提案された枠組みにおける重要な要素は、範囲(過程、製品、サービス)、参照される標準、適合性評価機関のためのサイバーセキュリティ要件、申し込み者によって適合性評価機関に提供される情報、マーク・ラベル利用/証明書の条件、適合性に関するモニタリングルール、脆弱性報告のルール、証明書の内容(機関、開示、相互承認)です。

外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明

「外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明」という記事がでています。

外務談話は、こちらです。

NISC注意喚起は、こちらです。

まず、APT10が、国際法的に、どのように位置づけられるのか、ということになります。

まず、このような攻撃が、国家に帰属する行為であることがポイントになります。国家の帰属については、タリンマニュアル2.0の規則17「非国家主体によってなされたサイバー作戦は、次の場合に国家に帰属する(以下、略)」という原則が適用されることになります。「中国・天津にある公安当局と連動して」というのが、そこになります。

でもって、同規則32の解説によると「データ入手を目的として他国のサイバー・インフラにハッキングした所、そのインフラの機能が停止した場合」主権侵害になります。この案件では、そのレベルだったと認定されれば、主権侵害となり、これら一連の行為は、中国の国際的違法行為ということになります。この場合、同規則20によって、国家は「対抗措置(性質上サイバーであるか否かを問わないをとる権限を有する」とされます。

本件は、上記国際的違法行為を認定しているかは、微妙に思えますが、外交としての責任決定(アトリビューション)を行っているとなると思います。

ところで、これが異例か、ということになります。アメリカでは、前から行っています(ソニーピクチャー事件のオバマコメント やWannaCry、NotPetya事件でのコメント)。

外務省も「中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても,サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており,サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。」となっており、上の外交としての、帰属表明・非難となっているように思えます。

その意味で、国際的な規範が、国家の実行によって明らかになってきている、というような気がします。

—12月22日 追記—

でもって、「上記国際的違法行為を認定しているかは、微妙に思えます」としました。これは、中谷ほか「サイバー攻撃の国際法-タリンマニュアルの解説」に依拠して、エントリを書いたわけです。そこでは、機能の停止が主権侵害の要件とされています。でもって、情報の取得のみで主権侵害ではないのか、ということになります。タリンマニュアル2.0オリジナルを読んだところ、規則32のコメント6以下のところでは、種々の場合について、多数説において主権侵害と解される場合などが論じられています。この件についていえば、多数説レベルだと機能喪失(コメント6)、人権侵害(コメント6)、被侵害国内での活動を伴う場合(コメント9)、計画全体が、武力の行使の予備行為の場合(コメント10)などで主権侵害を認めている。また、少数説は、重大性(コメント8-合意に達しない)があれば、主権侵害と考えます。

 

“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声

トラストサービスの報告の途中で、ちょっとコメントを挟んでしまいます。

“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声というNHKのニュースがあります。

司法が判断するのは、当然だとしても、その段階で技術的な正確な評価がシステム的にはいってこないというのは、問題かもしれません。検察庁も、やっと人をITまわりのところに出向させるようになってきているのですが、それをうまくシステム的にいくところまでもっていってほしいです。

ということで、米国の2001年段階(17年前)の状況をみてみましょう。

司法省の捜索・差押マニュアルからです)

(1)連邦の区の段階では、どの連邦検察官事務所にも、コンピュータ電気通信コーディネーター(以下「CTC」)として任命された連邦検察官補が、少なくとも一人は、配置されていた。

CTC は、コンピュータ関連の犯罪の広範囲にわたるトレーニングを受けて、自己の地区の内で捜索・差押マニュアルでカバーされる話題に関連する専門的技術を提供することを主たる責務としています。

(2)ワシントンDC の米国司法省の刑事課の中のいくつかのセクションがコンピュータ関連の分野に専門的技術を持っている。
ここらへんは、我が国も結構、専門的な技術のレベルでは、準備が整っているようにみえるのですが、どうでしょうか。

(3)コンピュータ犯罪と知的財産セクション(以下「CCIPS」)が常設されている。
一般の執務時間中は、少なくとも2 人のCCIPS 法務官が、捜査官と検察官に対してコンピュータ犯罪の事案で起こる他の事柄と同様に捜索・差押等の話題について質問に答え、支援を提供すべく勤務している。
捜索・差押マニュアルには、「CCIPS の代表番号は(202)514-1026 である。執務時間後は、ジャスティス・コマンドセンター(202)514-5000を通じてCCIPS に連絡をとることができる。」という記載があります。

ということなので、必要なのは、システム的に完備することのような気がします。
個人的には、技術者と司法が協力すべきだ、といってみても仕方がないような気がします。

2018年米国サイバー戦略をどう見るのか

結局、メディアのような「サイバー兵器を使いやすくなる」とか、「攻撃的対処も可能に」「先制攻撃の権限拡大」とか、威勢のいい表現は、見つけることができませんでした。

むしろ、文言を見ていくと、同盟国とのインテリジェンスをも活用した攻撃の責任帰属の確定とその公的アナウンスによって、外向的手法で、安全なネットワークを構築していこうという実務的な手法の強調が重要視されていると私は、読んでみました。

ソニーピクチャーズでのオバマ大統領のTVインタビュー、NotPetyaでのアナウンスメントと、サイバー戦略としての継続性をみるわけです。

メディアの論調としては、異なりますが、Law & Policyの専門の分析がどのように分析をしているのか、ちょっと聞いてみたいところです。

 

米国サイバー戦略の分析(柱4)

ピラーIV:アメリカの影響力を先進させる

この柱は、米国がインターネットのイノベーションの多くを生んだものと見ていること、国際的なサイバー問題のためのリーダーシップをとっていることにふれています。目的としては、長期にわたる公開性、相互流用性、セキュリティ、信頼性を保持することといっています。

この柱は、「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」と「国際サイバーキャパシティを構築する」から成り立っています。

「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」においては、産業革命以来の比類なき発展がなされていること、人権・基本権をめぐる争いがおきていること、米国は、オープンで、相互運用可能で、信頼性が高く、安全なインターネットを守り、促進するという原則にたつこと、というだとされています。

優先行動として

  • 「インターネットの自由を守り、促進する」
  • 「同様の国、産学官、市民社会との連携」
  • 「インターネットガバナンスのマルチステークホルダーモデルを推進する」
  • 「相互運用可能で信頼性の高い通信インフラストラクチャ/インターネット接続を促進する」
  • 「米国の企業のための市場の促進と維持」

があげられています。

「国際サイバーキャパシティを構築する」は、パートナーに防衛し、米国を援助する能力を供えさせ、より広い外交、経済、安全保障の目標達成に貢献すること、これを通じて、戦略的パートナーシップを構築すること、アメリカの影響力を構築するのち重要であること、などが述べられています。

このために優先してなすべき行動としては、「サイバーキャパシティビルディングの取り組みを強化する」があげられ、ここでは、同盟国・パートナー国のサイバー能力の強化と相互運用性の強化が述べられています。

米国サイバー戦略の分析(柱3)

柱3は、「強さを通して平和を保つ」です。
これは、さらに、「責任ある国家行動の規範によるサイバー安定性の向上」と「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」にわけて論じられます。

「責任ある国家行動の規範によるサイバー安定性の向上」では、「世界的なサイバー規範の遵守を奨励する」ことが優先事項であるとされています。国際法と責任ある国家の行動についての自主的な拘束力のない規範は、それを遵守することによってサイバースペースでの予測可能性や安定性を促進することが述べられています。

「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」では、この意味が「悪意あるサイバー行動に対して防止、対応、抑止のためのすべての道具が利用可能である。これは、外交、情報、軍事(キネティックおよびサイバー)、経済的、諜報、帰属の公表、法執行能力を含む」ものとされています。
この表現でもって、トランプ政権は、サイバー反撃を許容するように、政策を変更したと報道されているようです。
私は、個人的には、オバマ政権からのポリシを変更するものではない、と認識しています。

  • このための優先事項としては、客観的/協調的なインテリジェンスによるリード・制裁を課す・サイバー抑止イニシアチブを構築する・悪意のあるサイバーインパクトと情報操作があげられています。
    「客観的/協調的なインテリジェンスによるリード」においては、情報コミュニティは、悪意ある行為の特定と帰属決定にすべてのサイバーインテリジェンスを用いて世界をリードしていること、この結果は、世界のパートナーと共有されること、が強調されています。

(コメント)行為者の特定は、identificationで、それが、どこの責任になるかを決定するのが、attributionという用語になっています。この点は、私のブログエントリでふれてますが、特定にアトリビューションを用いる用語法に対する私の違和感は、英語でも、正しかったようです。
あと、インテリジェンスコミニュティによる行為者特定の重要性は、NotPetyaのエントリでもふれました(Kaljulaidエストニア大統領のキーノートです)ので、その実務を念頭においた用語ですね。

  • 「制裁を課す」将来の悪事を抑止するために、迅速かつ透明性のある制裁(consequences)を課すこと、世界のパートナーと協同していることが論じられています。
  • 「サイバー抑止イニシアチブを構築する」制裁の実行は、同様のマインドをもった国家の同盟のもとでなされるときには、インパクトがあって、強いメッセージとなること、米国は、国際的なサイバー抑止力イニシアチブを開始するつもりであること、そのイニシアチブは、インテリジェンスの共有・責任帰属決定の支え・責任ある行動の公の指示表明・悪事行為者に対する共同での制裁実行を含むものであること、が述べられています。

(コメント)トランプ政権が「攻撃を最優先」にしたという評価は、この文章を正面からみるときに、誤解を招くものといえるでしょう。というか、実務的な活動をしらない「誤報」ということができます。責任帰属決定を公にして、行為者に対する抑止とするという実務的な対応が、重視されていること、NotPetya対応が、法と政策の観点からは、きわめてリーディングケースであったことが評価されるべきだったと思います。
日本だと、NotPetyaは、スルーされがちなのですが、そこを評価するのが、プロだと思います。

  • 「悪意のあるサイバーインパクトと情報操作」これは、選挙過程への海外勢力の介入に対しての対応になります。外国政府・民間企業・アカデミアとともに、市民の権利・自由を守りながら、適切なツールを用いて対抗していくことかが述べられています。

米国サイバー戦略の分析(柱2)

柱2は、「アメリカの繁栄を促進する」です。
これは、さらに、「活気あふれるデジタル経済を育む」「米国の独創性を育んで保護する」「優秀なサイバーセキュリティ人材を育成する」からなりたっています

「活気あふれるデジタル経済を育む」ための優先的な行動としては、適応可能でセキュアなテクノロジー市場にインセンティブを与える・革新の優先順位付け・次世代インフラへの投資・国境を越えたデータの自由な流れを促進する・新興技術における米国のリーダーシップを維持する・フルライフサイクルサイバーセキュリティを促進するがあげられています。

  • 「適応可能でセキュアなテクノロジー市場にインセンティブを与える」というのは、セキュアの技術を採用するための市場の障害を克服し、ベストプラクティスを促進する戦略を発展させるために連邦政府が努力するということです。
  • 「革新の優先」は、サイバー脅威を減少させるイノベーティブな能力を発展、共有、構築するのに障害となる政策的障害を排除しようということです。
  • 「次世代インフラへの投資」について、次世代技術(5G、AI、量子コンピューティングなど)の技術の進展のために連邦政府は、協力するということです。
  • 「国境を越えたデータの自由な流れを促進する」については、国家安全の名のもとに、データローカライゼーションや規制の強化をはかる国家が増加しているのに対して米国企業の競争力を減退させるとし、オープンで自由な情報の流通に努力するとしています。
  • 「新興技術における米国のリーダーシップを維持する」においては、米国のサイバーセキュリティのイノベーションを押し進め、堅固な世界的なセキュリティ市場における障害を減少させるとしています。
  • 「フルライフサイクルサイバーセキュリティを促進する」については、システムの脆弱性を減少させ、攻撃が柔軟に回復させるものとし、さらに、テスト、訓練し、運用のベストプラクティスを発展されるとしています。さらに、調整された脆弱性公表、クラウド(crowd)ソースのテストなどのイノベーティブな評価を促進させるとしています。

「米国の独創性を育んで保護する」は、さらに、米国における外国資本による投資と運用の見直しのためのメカニズムの更新・強力でバランスの取れた知的財産保護システムを維持する・アメリカのアイデアの機密性と完整性を守る、という優先事項があげられています。

  • 「米国における外国資本による投資と運用の見直しのためのメカニズムの更新」については、電気通信ネットワークが国民生活にとって重要であることから、FTCのライセンスの基準を見直すものとしています。
  • 「強力でバランスの取れた知的財産保護システムを維持する」については、特許、登録商標、著作権の知的の国際的な保護システムを発展させ、敵国が米国の調査と発展を、不当な方法で利得するのを防止するとしています。
  • 「アメリカのアイデアの機密性と完整性を守る」については、いままで、他国が、違法にアイディアなどを奪われてきており、それに対抗するよう努力するとされています。

「優秀なサイバーセキュリティ人材を育成する」においては「才能のパイプラインを構築し維持する」「アメリカの労働者のスキルアップと教育機会の拡大」「連邦のサイバーセキュリティ労働力を強化する」「エグゼクティブ・オーソリティを使用して才能を強調し報酬を与える」が優先事項であるとされています。

米国サイバー戦略の分析(柱1)

トランプ政権の国家サイバー戦略を分析します。4つの柱があることは、前で述べました

1 は、「アメリカ人民、国土、生活様式の保護」です。さらにこれは、「連邦のネットワーク/情報を安全にする」「重要インフラを安全にする」「サイバー犯罪と戦い、インシデントレポートを改良する」にわけて論じられています。

  • 「連邦のネットワーク/情報を安全にする」では、連邦民間サイバーセキュリティの管理と監督を一元化する、リスク管理と情報技術の連携を調整する、連邦サプライチェーンのリスク管理の改善、連邦請負業者のサイバーセキュリティを強化する、政府がベストプラクティスと革新的なプラクティスを導くことを確実にする、にわけて論じられています。
    •  「連邦民間サイバーセキュリティの管理と監督を一元化する」では、主として、DHSの権限の強化が語られています。
    •  「リスク管理と情報技術の連携を調整する」では、大統領令13833によるCIOの権限強化が論じられています。
    •  「連邦サプライチェーンのリスク管理の改善」では、サプライチェーンのリスクをを機関の調達と連邦の要件に統合することなどが語られています。
    •  「連邦請負業者のサイバーセキュリティを強化する」では、請負業者のリスクマネージメントとテスト、調達、遠隔調査、対応を契約ベースでなしうることにすることが語られています。また、大統領令13800報告の統一的な購買についてもふれられています。
    •  「政府がベストプラクティスと革新的なプラクティスを導くことを確実にする」では、政府からの補助金を受領するには、サイバーセキュリティ基準を満たすことが求められるとされています。
  • 「重要インフラストラクチャを安全にする」では、役割と責任の見直し、特定された国家的リスクに応じた行動の順位付け、サイバーセキュリティイネーブラーとしての情報通信技術プロバイダーの活用、私たちの民主主義を守る、サイバーセキュリティ投資へのインセンティブ化,国家研究開発投資の順位付け、輸送と海洋のサイバーセキュリティを向上させる、スペースサイバーセキュリティの向上、にわけて論じられています。
  • 「役割と責任の見直し」では、サイバーセキュリティリスクマネジメントおよび事案対応に関して、連邦機関と民間の役割と責任を見直すことが述べられています。
  • 「特定された国家的リスクに応じた行動の順位付け」においては、甚大なリスクに対しては、民間企業と連邦は協調して対応することが述べられています。
  • 「サイバーセキュリティイネーブラーとしての情報通信技術プロバイダーの活用」においては、プライバシーと市民の自由を保護しながら、情報通信技術プロバイダーは、情報通信セキュリティとレジリエンスを向上させるために連邦と協働しなければならないとしています。
  • 「私たちの民主主義を守る」は、選挙過程に関する脅威に関する情報の共有を向上することを述べています。
  • 「サイバーセキュリティ投資へのインセンティブ化」では、重要インフラにおいてセキュリティの投資が、利益を生むことを理解してもらうことなどを述べています。
  • 「国家研究開発投資の順位付け」では、連邦が、調査・開発が優先されるように改変されることがふれられています。
  • 「輸送と海洋のサイバーセキュリティを向上させる」では、物の輸送が、重要であり、国際的な輸送がサイバー手段によってリスクにさらされているのに対して対応することが明らかにされています。
  • 「宇宙サイバーセキュリティの向上」は、測位・ナビ・時刻(PNT)、インテリジェンス・監視・偵察(ISR)、衛星通信・天候モタリングの観点から、重要であることが述べられています。
  • 「サイバー犯罪を取り除き、インシデントレポートを改善する」では、インシデントレポートとレスポンスの改善、電子監視とコンピュータ犯罪法の近代化、サイバースペースにおける国境を越えた犯罪組織からの脅威を軽減する、海外にいる犯罪者の身柄確保(apprehension)を改善する、犯罪サイバー活動に対抗するパートナー国の法執行能力を強化する、わけて論じられています。
  • 「インシデントレポートとレスポンスの改善」では、サイバーインシデントの連邦への早急に報告の重要性をといています。
  • 「電子監視とコンピュータ犯罪に関する法の近代化」では、法執行機関の能力を拡張する改正、民事仮処分を通じての犯罪インフラの停止、悪意ある活動者に対する適切な制裁を課すことが強調されています。
  • 「サイバースペースにおける国境を越えた犯罪組織からの脅威を軽減する」においては、海外の犯罪組織に対して、法執行機関に対して、捜査および起訴する有効な法的ツールを準備することが述べられています。
  • 「海外にいる犯罪者の身柄確保(apprehension)を改善する」においては、米国政府は、海外の犯罪者を特定し、裁判に引き出すまでを改良すること、適法な犯罪人引き渡し手法の協力を促進するように努力することが述べられています。
  • 「犯罪サイバー活動に対抗するパートナー国の法執行能力を強化する」においては、パートナー国の法執行機関の協力が必要であること、それらの国の能力を強化することは、米国の利益でもあることが述べられています。

この柱1においては、特に刑事的手続に関しての新たな動向について注目したいところです。

「トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる」?

トランプ政権が、公表した「NATIONAL CYBER STRATEGY(国家サイバー戦略)」に関して、Tech Crunchは、「トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる」という記事をあげています。

この記事の内容としては、現政権としては大統領指令PPD-20を破棄して「“攻撃の最優先”(offensive step forward)」という表現をとるようになった。“大統領の指示はこれまでの抑制を逆転して、実質的に、関連部門からの攻撃的なサイバー作戦を可能にするものだ”。ということだそうです。

このような記事を読むと、すぐにトランプ政権は、サイバー攻撃に対して、サイバー的な手法を用いて、攻撃者に対して、実際の被害が発生するような攻撃的な手法を採用するようになったというイメージを持ちそうになります。はたして、そうなのか、いままで、特にソニーピクチャーズやNotPetyaなどの事件において国家実行として行われてきたものを変更するのか、それについては、実際の文章をみていかないといけないような気がします。

戦略自体は、序と4つの柱からなりたっています。

4つの柱は「アメリカ人民、国土、生活様式の保護」「アメリカ反映の促進」「強靱さによる平和の保全」「アメリカ影響の進展」です。

序は、ここに至る道筋と前進とにわけて論じられています。前者においては、オープンなインターネットの考え方をもと米国は、これを発展させてきたが、競争者/敵(ロシア・イラン・北朝鮮)は、インターネットを米国の軍事、経済、政治力の及ばないところとみて主権の影に隠れて、他の国の法を侵しているとしています。
前進においては、サイバースペースを確保することが戦略の基礎であり、技術の進展と政府や民間部門の効率的な運営が必要なるとしています。また、ポリシとしては悪意あるサイバー活動やそのエスカレーションを防止するために、コストを賦課することを採用しなければならないとしています。このコスト賦課は、サイバー/非サイバーを問わないということも記載されています。

さて、どうも文章の上からは、「サイバー兵器」を使ってどうの、ということは感じられません。次では、具体的な柱を見ていくことにしましょう。