CyConX travel report Day Two Cyber Norm session

2日目の最後は、私のブログでおなじみDr. Anna-Maria Osulaさん(以下、マリアさんですね)のモデレータによるサイバー規範のセッションです。

国際的なサイバー規範の発展-障害・新たな始まりそして将来(International Cyber Norms Development – Interruptions, New Beginnings and the Way Ahead)です。
ちなみに、セッションの様子は、こんな感じです。

YOUTUBEにもあがりました

最初にマリアさんから、サイバー規範の説明がありました。国際連合のGGE(政府専門家グループ-Group of Governmental Experts on Information Security)においては、法的拘束力あるルール、自発的に遵守されるルール、(国内的な)ルールから成り立つものと理解されている、という説明がありました。

(高橋)この点は、「国際関係において、規範とは、あるアイデンティティを有している行為者の適切な行為の標準をいう。」とされています。そして、「サイバー規範は、• 実際の国家実行・活動を表現するルール• 望ましい国家実行を支援する望ましいルール•一般に嫌悪されるものに基づいた拒絶ルール として理解される」ことになります。GGEの議論については、私のブログの「サイバー規範に関する国連GGEの失敗」をごらんください。

Mr. Ben Hiller氏(Cyber Security Officer, OSCE)は、「規範-サイバー外交における信義の跳躍」(Norms – A Leap of Faith in Cyber Diplomacy)です。

国際政治の観点からみていこうということだそうです。サイバーは、国際的な政治的な立場によって左右されてきました。おおきな文脈が重要だということになります。北朝鮮・ロシア/ウクライナの事件もあります。また、難民の問題も起きています。南シナ海の問題もありますほとんど信頼のないところに混乱がおきているのです。
サイバーセキュリティの政策交渉に何を意味しているのか、ということになります。
国際連合では、4つの柱のアプローチがあります(2015GGE)。

1 規範/国際法 2 信頼醸成手段 3国際協調 4能力向上およびトレーニング です。広い観点からみると、非常に興味深いといえるでしょう。

また、この4つ柱をそれぞれ独立に考えることはできません。 規範を豊かにしていくことが、それ自体、安定性をますといえるのでしょうか。
あと、規範が遵守されない場合にどのように対応するのでしょうか。
現在のプラットフォームを最大化すること-それには、理由があること。
主権は、存在しているし、重視する理由がある。国際的な対話は、信義のもとになされる必要がある。

Mr. Cédric Sabbah氏(Ministry of Justice, Israel)は、”Pressing Pause: A New Approach for International Cybersecurity Norm Development”というプレゼンです。 (ビデオだと25分くらいから)

最初にサイバー規範と実際の国家実行について考えてみましょう。
規範が、国際間の安定について過大な期待がなされているのではないか、ということです。
Hollis氏の論文によると、規範とは、「一定の共同体における適切な、もしくは不適切な行動についての期待の共有」と定義されています。UN GGE2015の報告も規範についてふれています。そして、平和、セキュリティおよび安定性についてのリスクを減少しうる、自発的な、拘束力のない規範があるとしています。
しかしながら、2018年の段階においては、地理的な課題、概念的な課題、技術が急速に発展としての課題となっているという状態です。
複雑な課題があるといわなければなりません。
新しく注目すべき領域として「民間サイバーセキュリティ」を提案します。情報共有、サイバーセキュリティとプライバシー、民間におけるアクティブ防御、クラウドにおけるサイバーセキュリティです。
民間サイバーセキュリティにおける規範の議論は、ボトムアップでなされる過程になります。
まずは、ベストプラクティス(NISTの枠組み)などがあり、その複製が基本になります。また、FIRST、OECD.UNICTRALなどのフォーラムでの議論、民間のサイバーセキュリティ関係者によってアジェンダが議論さ、サイバー外交の成果が、トップダウンでインプットされることになります。ケーススタディが、実際の対応が重要な役割をすることになります。また、ブダペスト条約(サイバー犯罪条約)や中国と米国の合意(2015)などが重要な役割を果たすことになります。
フリーサイズの解決策はないです。実際のニーズに応じた対応が規範を発展させることになります。

Jeff Kosseff准教授(Assistant Professor, US Naval Academy Cyber Science Department Developing Collaborative and Cohesive Cybersecurity Legal Principles)は、「協調的/結合された法的原則の発展」(Developing Collaborative and Cohesive Cybersecurity Legal Principles)です

国内法の発展についてより注目すべきであるという立場です。
Kosseff准教授は、サイバーセキュリティ法を情報セキュリティのCIAを促進しようとする国内法をサイバーセキュリティ法と考えます。ちなみに彼は、Cyber Security Lawの著者でもあります。
現在のシステムは、よくできているとはいえないでしょう。機密性については、発展していますが、IやAについては、十分ではないでしょう。議論の目標を、CIAの実現におくべきでしょう。
不十分なサイバーセキュリティは、ワナクライにしてもミライにしてもl世界的なインパクトを与えています。だからこそ、他の国のサイバーセキュリティに関する国内法に関しても関心をもたないといけないわけです。

A国の防御を十分に行うことは、B国にも利益を与えますし、抑止効果を有します。民間企業が防御に従事することに対するインセンティブになります。さらに他の国の成功例・失敗例から学ぶことも利益になります。

GDPRが話題になっていますが、データ保護の利益という考え方は、世界において、十分な理解を得ているのでしょうか。米国における表現の自由という考え方と共通の認識にいたっていないという認識です。セキュリティにおいては、国際共通の理解を得る必要があります。

世界的な規範のモデルとしては、三つのモデルがあります。サイバー犯罪条約(ブダペスト条約)、戦争の法/タリンマニュアル、OECDのプライバシー保護および国際的なデータ流通のガイドラインです。

サイバーセキュリティの法的な原則の目標は、現在のサイバーセキュリティの脅威に対抗するように法を現代化すること、規則の統一化、強制的/協力的な法の調和、サプライチェーンの安全です。

法を現代化すること

 CIA triad(機密性/完整性/可用性の三角形)についていえば、どのようにして、完整性・可用性を取り扱うことができるか、ということです。ランサムウエアをどのようにして停止できるのか、というようなことです。

規則の統一化

情報漏洩通知法は、統一されるべき、一般的な原理は、類似の法を発展させる基礎となるべき、要件を揃えることにむけて前進すべきということができます。米国でいえば、50もの違うほうがあるわけですし、そのなかで、情報の種類が違うと対応が違います。これに対応するのは、きわめて時間を消費してしまうということがいえます。

強制的/協力的な法の調和

規則 対 インセンティブ
他の規制分野との違いとしては、政府の目的は、産業の目的と一致する
公共と民間の協力のための余地が大きい(脅威情報の共有、教育・人材育成、税制度によるインセンティブ)

サプライチェーンの安全

政府と産業界によって、ベストプラクティスについての実質的な対話がなされるであろう。

質疑応答では、どのようにして、協調していくのか、という点についての議論がなされました。

セッション終了後は、宮殿のまえで、パーティ、そのあとは、タウンホールの前のお店で、おもしろいスープを楽しんで、タリン大学の学生さんとなぜか、意気統合して、12時すぎに、ホテルに。

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook