アクティブサイバー防衛確実法

アクティブサイバー防衛については、何回か、ブログでふれているのですが、米国では、H.R.4036 – Active Cyber Defense Certainty Act(アクティブサイバー防衛確実法)が、下院に提案されています。

提案しているは、ジョージア州選出のTom Graves議員です。

条文は、こちらからどうぞ

内容的なものですが
1条 タイトル
2条 前提事実
3条 行為者特定技術利用例外
4条 アクティブサイバー防衛手段を採用した特定コンピータ犯罪の起訴の免除
5条 アクティブサイバー防衛手段利用の告知
6条 自主的なアクティブサイバー防衛手段の排他的レビュー
7条 サイバー詐欺・犯罪抑止のための連邦政府進捗の年次報告
8条 司法省サイバー犯罪訴追マニュアルのアップデートの要求
9条 期限条項
となっています。

注目すべき事項としては、なんといっても、4条において、「アクティブサイバー防衛手段(active cyber defense measure)」の定義がなされていることです。

条項によると、「アクティブサイバー防衛手段(active cyber defense measure)」とは、
「(Ⅰ)防御者によって、または防御者の指示で行われ、
かつ
(II)(aa)犯罪行為の行為者を特定して法執行機関/サイバーセキュリティを担当する米国政府機関などと情報を共有し
(bb)防御側のネットワークに対する不正な活動を中断する
または
(cc)攻撃者の行動を監視し、今後の侵入防御やサイバー防衛技術の開発を支援する
目的をもって、
攻撃者のコンピュータに無権限でアクセスして防御側のネットワークにアクセスし、情報を収集する行為
」をいう。
ただし、
(I)意図的に、他の人または組織のコンピュータに記録されている被害者に属していない操作不能な情報を破棄またはレンダリングする。
(II)(c)(4)項に記載されている身体的な傷害または金銭的損失を一顧だにせずに惹起する
(III)公衆衛生への脅威を生み出す
(IV)執拗なサイバー侵入(APT)の行為者特定のために仲介コンピュータ上で偵察を行うために必要な活動レベルを超えている
(V)意図的に仲介者のコンピュータに対する侵入的行為/遠隔アクセスを惹起する
(VI)意図的に、個人または団体のインターネット接続を断続的に中断し、結果として、(c)(4)に記載されている損害を惹起する
(Ⅶ)国家安全保障の情報のアクセスに関し(a)(i)に/政府機関のコンピュータに関して(a)(3)に/司法、国防、または国家安全保障の運営を促進するために政府機関によって、または政府機関のために使用されるコンピュータシステムに関して(c)(4)(a)(ii) V)に
記載されているコンピュータに影響を与える
場合は、ふくまれない」
と定義されています。

このようなアクティブサイバー防衛手段を採用した場合には、それらの行為については、刑事罰を免れるというのが、この法の提案趣旨ということになります。

また、3条においては、特定のための技術の利用(attributional technology)について、無権限アクセスに関する合衆国法典の規定を免れることになっています。
条文案としては、

1030条に、(K)項として
「この条項は、防御者の行為者特定技術を利用するのに適用されない。行為者特定技術とは、防御者が、侵入に際して、行為者を特定するために、プログラム、コード、指令を利用して、ビーコン、場所情報または、特定のためのデータを送り返すものをいう。」
と定義されています

まだ、具体的な設立の見通し等は、明らかになっていないようですが、議論のきっかけとしての意義は大きいものとおもわれます。

攻撃者の技術を用いて防御を行うというのは、大きな流れではありますね。
(セキュリティ業界では、攻撃側がレッドチーム、防御側がブルーチームになるわけですが、ブルーもレッドの力を学ぶとなると、スターワォーズ・エピソード8の世界観になりそうです)

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook
カテゴリー: アクティブ防衛, 情報セキュリティ パーマリンク