Cybersecurity Tech Accord 

Cybersecurity Tech Accordに新たな11社が、参加するということがアナウンスされました

もともとの合意の翻訳についての記事は、こちらになります

この文章の意味をどうとらえるか、というのが問題になるかと思います。

個人的に興味深いのは、「我々は、政府が無実のユーザーや企業に対してサイバー攻撃を引き起こす際の幇助を致しません。」という文言だったりします。

当然じゃないの、と考えるとしたら、もうすこし考えてみましょう。自分たちのサービスをもとに、「軍事的対象物」に対するサイバー攻撃がなされたとしましょう。国際法レベルでは、もし、攻撃の契機があれば、そのサイバー攻撃が、目標として軍事的対象物に対してなされれば、適法になります。「それを幇助しません」ということができるのでしょうか。政府との契約に、除外事項をつけるのか、債務不履行の責任は負うのか、国際法と契約法は別といいきってしまうのか、などの問題がありそうに思えます。

「サイバー攻撃の国際法」(タリン・マニュアル2.0の解説)を読む前に

「サイバー攻撃の国際法(タリン・マニュアル2.0の解説)」という本があります。今年の5月くらいに販売になって、結構、情報セキュリティのまわりの人たちでも購入した人が多いと思います。

帯は、「国際社会が抱える深刻な問題にいかに対応するかを分かりやすく解説」というフレーズです。ちなみに、左が、タリン・マニュアル2.0で、厚いです。

膨大なタリンマニュアルをコンパクトにまとめた本として、非常に役に立ちます。特に、タリンマニュアル本体の規則の何番だったか、と思い出せないときに、規則をほとんど一覧できるのは、すごく役にたちます。

その一方で、情報セキュリティの関係者で法律の素養をあまり有していない人には、非常に、理解が困難なのではないか、と心配しています。

2015年5月にタリンのCCDCoEで受けた授業のメモをもとにタリンマニュアルが何か、について、簡単に触れておくことにしましょう。

(1)国際法のルールを記載するもの

上の帯に「サイバー攻撃に関する国際法のルール」と記されていますが、これが、理解を困難にしているのではないか、と思ったりします。

国際法というのは、Laws of Nationsであって、国と国との間の関係について述べるものです。たとえば、他の国のテロリストから攻撃をうけるけど、そのテロリストの攻撃の証拠を取得して、処罰しましょう、というのは、刑法の国際的な適用の問題になるので、(刑法という)国内法の問題になります。

テロリストというような「国」とは認められないものは、「直接には、」国際法の舞台にはでてこないことになります。(ここで、直接には、といったのは、そのようなテロリストの活動を野放しにしている国家のデューデリジェンスの問題やら、テロリストに対する武力攻撃についての国連の対応の問題などで、テロリストも国際法の舞台にでてくることがあるということです)

あと、人権・プライバシというのも、「直接には」国際法の舞台にはでてきません。また、ここで、「直接」という但書がでているのですが、これは、各国家は、構成員のプライバシを重視する義務を負っているので、その義務との関係で、プライバシの問題が国際法の問題としてでてくることがあり得るということです。いま一つは、特に欧州でのプライバシ問題を考えると、欧州人権条約は、条約でありながら、欧州各国の国内法のなかで、欧州人権裁判所で判断がなされるということです(この適用関係については、「国際人権法の有効性についての一考察 ―欧州人権条約とイギリス国内法秩序の関係を中心に―」という論文があります )。

(2)Black letter と解説からなるもの

法律の世界で、Black Le tter Lawという用語があります。

これは、広く認められていて議論の必要がないものとして考えられている規範を精確に記述したものです。中谷本のはしがきでblack letter ruleとコメンタリーの双方について一言一句検討し、という用語がありますが、その意味です。コメンタリーについては、シュミット先生のいうところによると、合理的な解釈を記載しているということになります。

このための重要な役割を果たしているのが、IGE(International Group of Experts-国際専門家グループ)になります。これで、どのように進行していくかは、中谷本のはしがきに詳しいので、参照するといいと思います。

(3)タリン・マニュアルは、以下とは違う

タリン・マニュアルは、発表された当時、NATOの戦略的な文書と新聞報道がなされたことかありますが、このような新聞報道は、「おろかもの(Idiot)」だといわれています。

NATOのドクトリンでもありません。

また、ありうるべき法(lex ferenda)でもありません。

現在、ある法(lex lata)の姿をできるかぎり客観的に映し出そうとした国際法の本ということになります。国際法については、それ自体、拘束力のある法であると拘束力のない法であるとをとわず記述されていることになります。

(4)タリン・マニュアルのカバー範囲

タリン・マニュアルが何かカバーするのか、という点については、タリン・マニュアルが、武力紛争というスレッシュホールド(閾値)を越えた紛争の論点(ユス・アド・ベルム、ユス・イン・ベロ、主権、管轄、国家責任)を論じているのに対して、タリン・マニュアル2.0が、武力紛争というスレッシュホールド(閾値)以下の活動についても重視をしている点で異なっています。特に、主権・国家責任・デューデリジェンスについては、叙述が非常に詳細になっているところは、注目されるところだろうと思われます。

しかしながら、上述のように国際法の記述であることから、人権論・国内の電気通信法についてふれることはありません。また、ハックバックやいかにして、会社の活動をコントロールするか、というのもこの範囲ではありません。

(5)高橋の視点

まずは、武力紛争法を英語の教科書で勉強したりすると、日本語の訳語の何を当てているのかとかを、このような簡潔な本を読むことで理解できるのは、きわめて有意義です。

それはさておき、国際的なサイバー攻撃に対して、国際法の世界でどのような議論がなされているのか、特に米国においてどのような議論がなされているのか、また、外交の世界でどのような認識がなされて、どのような対応がなされているか、というのを知るためには、タリン・マニュアル2.0のエッセンスが、凝縮されている本は、きわめて役にたつということができると思います。

その一方で、民間企業が、どのように対処すべきかという問題については、国際法の知識というより国内法の刑法や電気通信法の知識が重要になってくるということができると思います。しかも、それらが、国際法の種々の原則と微妙な緊張関係のなかでバランスをとらないといけないとなっているのが現代の課題だということができるでしょう。

そのためには、タリン・マニュアル2.0は、基礎的な情報を与えてくれますが、国内法については、みずからの視点で、国内法を展開させなければいけないということになるかと思います。

 

 

 

 

CyConX travel report Day Three

最終日です。

朝はMr. Luc Dandurand ( Head of Cyber Operations, Guardtime)です。
テーマは、「サイバードメインにおける準備とレジリエンス-投資におけるリターンを最大化するために」です。ビデオは、こちらです

レジリエンスです。完璧なセキュリティが困難である以上、いかにして、サイバー攻撃に耐えられるかということになります。ボクシングでいえば、攻撃から、できる限り早く回復することができる能力ということになります。スタミナ、意思のパワー、自信になります。対応の95パーセントは、技術であって、5パーセントは、人間になります。

準備に関する投資から、最善の投資リターンを得るためにどのようにするべきでしょうか。訓練に、投資することでノリターンをどう得るのでしょうか。将来へのプランと夢や希望と投資を調整するということになります。

将来というのは、IoT、スマートホーム、スマートシティなどいろいろいなものがあります。すべてのものがつながっていくのです。また、自動運転自動車やトラックがあります。バイオセンサーも実現するでしょう。すべてが、実現しつつあります。サプライチェーンの問題があります。大きな計算機にもチップは、はいっています。そのチップの製造業者からの鎖が確保されないといけません。人工知能の問題もあります。思考・信条システムに対するサイバー攻撃というのもあります。なりすまし(Re-enactment 画像等の合成による)や表情の認識もあります。政治家の画像を作成してしまうことも可能です。同じメッセージでも画像によって意味が異なってくるのです。これらが現在、行われているとはいいませんが、将来、使われるようになるでしょう。

サイバー能力のための費用は高いのか、アドバイスを考えます。他のドメインを考えましょう。AIM-54フェニックスというミサイルを考えましょう。これらとスケール感、効果の観点から考える必要があるわけです。

では、サイバー演習は、どうでしょうか。LocK Shieldという演習があります。成功しており、国によって、インシデント対応を競っています。成功の秘訣は、カスタマイズされた演習に従事することといえるでしょう。
常に、カスタマイズされた演習で、現実的なシナリオに対処するようにすること、演習のプログラムを大きな目的をもって、適切な範囲で作成することです。

まとめると、
未来は、予測できないし、コントロールしえない、そして、技術の進展により、早急にやってくる
備えは、人間の行動に対して集中することを要求する
サイバー演習をカスタマイズすることは、備えについての投資効果を最大化する
サイバー演習のプログラムは、打たれ強さを強化する

Ms. Kimberly Dozier氏の司会による「サイバー攻撃から国家を防衛する」(Defending a Nation Against Cyber Attacks)です。ビデオは、こちらです。

議論の例として「もし、ロシアがエストニアの電力網をマヒさせて、交通信号が使えなくなり、病院のICUが使えなくなったとしたら、NATOや欧州は、どうするのでしょうか」をあげて、議論が始まりました。

Amb. Sorin Ducaru,は、たくさんの対応があるでしょうということです。対応、被害の低減、他のドメインの対応もあるでしょう。政治的な対応としては、文脈とインパクトから考えます。他の攻撃とリンクしているのか、また生命や財産が損なわれているか、ということで対応を考えていくことになります。条約4条の問題になります。武力攻撃のレベルに達しているのかということです。

Mr. Rod Beckstrom( Founder and CEO)

世界のすべての国が抱えている問題は、電力網がマヒしてしまうということで、これは、脆弱であるということができます。すべての物は、ハックできる、すべてのものは、つながっている、すべては、脆弱である、ということがいえます。

Mr. Koen Gijsbergs(Junior Research Fellow, University of Oxford)

UN GGE2015は、国家は、お互いに重要インフラを攻撃してはならないというので、合意したというのは、覚えておくべきです。脆弱性は、平等であるということでしょう。非対称ではないです。

発電所に対する攻撃が、武力攻撃にあたるのか、とか、攻撃者決定は、いまだ難しい問題であるというこができます。

次は抑止力に対する議論です。

Ducaruは、抑止力は、マルチドメインにわたるものです。敵側との意思の伝達によります。NATOは、サイバーは、集団防衛に関連してきます。攻撃者決定は、難しい問題ですが、技術的なものと人的インテリジェンスを用いて、行います。困難であるということはないです。

貿易問題で名前をあげて非難したようなことがサイバーでおき得るのかという問題については、Gijsbergs氏は、反応の曖昧さというのが、一つの問題だろうと考えています。何がおきているのかというのがよくわからないということがあります。レジリエンスや抑止力という考え方は、合理的なのかと考えています。一番いいアプローチですが、サイバー攻撃というのは、それほどの影響を与えられない。NATOのネットワークがダウンするとストップしてしまう。

Beckstrom氏は、レジリエンスが、抑止力になるというのは、同意するが、Gijsbergs氏がエストニアの電力網は、フィンランドの電力網によっているので、打たれ強いというのには、反対だとしました。エスピオナージは、国際的に許容されています。信頼のない状況において協同するというのは、おおきな課題になります。また、反撃が、本当に難しいことになります。これも課題です。

Ducaru氏は、外国的な制裁は、21世紀の攻撃でも適用されうると考えます。政府が、公的に攻撃者指定をすることは、外向的な制裁として認識されるでしょう。攻撃者決定のあとに何か来るのかということになります。

Beckstrom氏は、抑止力というのは、サイバードメインにおいてどのようなものであるのか、というのを検討すべきと考えています。選挙における情報操作を考えてみましょう。人間の行動が変化しています。社会学的な変化があって、それが抑止力にどう変化を与えるのか、ケーススタディになります。また、AIの進展によって、どのように打たれ強くなるのかということも検討課題です。

Ducaru氏は、抑止力を考えるときに、世界の情勢の変化を考えないといけないと考えます。政府と会社の距離がさらに大きくなっているのですか。また、中国の発展も重要です。5年前は、世界で大きなインターネットの会社をあげたときに、トップ20のうち3社だったのが、今は、9社になります。政府の諜報能力を利用し、自分たちの産業に活用しているのです。彼らの文化は、そのようなもので、それは、私たちには、存在しません。

質疑応答では、比例原則をめぐる質疑応答(明確な回答はないということ)、ボットネットをめぐる質疑応答(ボットネットのテイクオーバーでオランダにサーバーがあったので、テイクダウンがなしえたということ-ハンザ事件)などがなされました。

Plenary Panel: Quantum Computing – Security Game Changer?については、メモは、パスします。
ちなみにビデオは、こちらです

Col. Andrew Hall, Director, Army Cyber Institute, US Military Academyの陸軍サイバー機構(Army Cyber Institute)のお話です。ビデオは、こちらです。

ACIは、多分野にわたる施設です。

レジデントは、10の学術分野に従事します。その分野とは、行動および生活科学、システムエンジニアリング、電子工学、コンピュータサイエンス、政治学、政策、法、倫理、数学、歴史です。

具体的なものとしては、オペレーションリサーチ、ミリタリインテリジェンス、情報工作、心理工作、シミュレーション作戦、広報です。

調査研究の分野では、二つの分野(法と政策/実際の演習)があります。いろいろな企業とパートナーシップを結んでいます。Jack Voltic という演習が行われています。記事は、こちら。また、ACIは、サイバーデヘフェンスレビューというアカデミック・ジャーナルを出版しています。

最後に、「ロボット軍は、いらない、あなた方をつかうつもりだ」という言葉で締めくくりました。

最後のセッションは、 Dr. Trey Herrのモデレートによる「議論-新興技術とサイバーセキュリティ」(Discussion: Emerging Technologies and Cyber Security)です。
スピーカーは、Dr. Kevin Jones(Airbus)とDr. Brian M. Pierce(DARPA)です。

Pierce博士は、サイバー抑止のための技術というタイトルです。
現状の技術は、ガラスでできた家のなかで、作業をしているようなものである。脆弱だし、ヒビもはいり易い。また、匿名性・偶発的影響という問題がある。攻撃者決定の対応が存在している。これらに対しては、打たれ強いこと/状況認識/正確な反応が解決策となる。
ガラスの部屋の上から、攻撃者を迎撃するモデルということになる。

さらに技術の進展としては、自動化の挑戦がなされている。機械対機械である。
サイバー攻撃者決定においては、高精度な攻撃者認定がなしうる、もっとも、公的な攻撃者認定は、防衛能力によって調整さることになる。

国家保安のためのサイバー抑止については、特に「信頼」を考えることが重要であって、メディアのフォレンジックスやAIの活用が問題となるだろう。

Jones博士は、種々の技術のトレンドを解説していきました。
具体的なものとしては、防御のトレンド、サイバー攻撃のトレンド、発展中のサイバートレンド、国家のサイバートレンドです。

防衛のトレンドでは、サービスとしての防御、モバイル危機の防御に注目すべきであるとのことでした。
サイバー攻撃のトレンドでは、犯罪、ハクティビスト・国家行為などでそれぞれの境界線は、きわめて曖昧になってきていること、また、自動的な攻撃が多いこと、サービスモデルとして行われるようになってきていることなどが、紹介されました。

発展中のサイバートレンドとしては、自動化があり、人工知能とは異なるとしていました。
また、ブロックチェーンは、サプライチェーン問題の解決には、有望であろうということでした。

国家のサイバートレンドとしては、国家の重要インフラ防衛が問題である。もっとも、世間にいわれているように物理的な損害を惹起することは困難であるので、サイバー戦争という状況になるか、というのは、疑問であるということでした。

ということで、自分の勉強のためのメモは終了です。全体的に見たときに、SNSでの世論介入、disinformationという言葉が飛び交ったというのが印象深かったような気がします。電気通信手段を経ての物理的な損害の惹起というよりも、政治的な議論に対する念入りな情報工作というのが、かなり真剣に議論されているという感じでした。もっとも、日本で、そこまでの問題は、現実化するのかなと思いながらも、CyCon Xでいろいろな刺激をうけました。

次回は、2019年5月28日から5月31日までです。テーマは、「静かなる戦い-silent battle」です。ちなみにクロージングは、こちら。サイバーウッドストックも終了です。平和、愛、サイバー、太陽。

当社の売り上げが、きちんとでて、出張費がまかなえますように。今年度の調査も頑張りましょう。

CyConX travel report Day Two Cyber Norm session

2日目の最後は、私のブログでおなじみDr. Anna-Maria Osulaさん(以下、マリアさんですね)のモデレータによるサイバー規範のセッションです。

国際的なサイバー規範の発展-障害・新たな始まりそして将来(International Cyber Norms Development – Interruptions, New Beginnings and the Way Ahead)です。
ちなみに、セッションの様子は、こんな感じです。

YOUTUBEにもあがりました

最初にマリアさんから、サイバー規範の説明がありました。国際連合のGGE(政府専門家グループ-Group of Governmental Experts on Information Security)においては、法的拘束力あるルール、自発的に遵守されるルール、(国内的な)ルールから成り立つものと理解されている、という説明がありました。

(高橋)この点は、「国際関係において、規範とは、あるアイデンティティを有している行為者の適切な行為の標準をいう。」とされています。そして、「サイバー規範は、• 実際の国家実行・活動を表現するルール• 望ましい国家実行を支援する望ましいルール•一般に嫌悪されるものに基づいた拒絶ルール として理解される」ことになります。GGEの議論については、私のブログの「サイバー規範に関する国連GGEの失敗」をごらんください。

Mr. Ben Hiller氏(Cyber Security Officer, OSCE)は、「規範-サイバー外交における信義の跳躍」(Norms – A Leap of Faith in Cyber Diplomacy)です。

国際政治の観点からみていこうということだそうです。サイバーは、国際的な政治的な立場によって左右されてきました。おおきな文脈が重要だということになります。北朝鮮・ロシア/ウクライナの事件もあります。また、難民の問題も起きています。南シナ海の問題もありますほとんど信頼のないところに混乱がおきているのです。
サイバーセキュリティの政策交渉に何を意味しているのか、ということになります。
国際連合では、4つの柱のアプローチがあります(2015GGE)。

1 規範/国際法 2 信頼醸成手段 3国際協調 4能力向上およびトレーニング です。広い観点からみると、非常に興味深いといえるでしょう。

また、この4つ柱をそれぞれ独立に考えることはできません。 規範を豊かにしていくことが、それ自体、安定性をますといえるのでしょうか。
あと、規範が遵守されない場合にどのように対応するのでしょうか。
現在のプラットフォームを最大化すること-それには、理由があること。
主権は、存在しているし、重視する理由がある。国際的な対話は、信義のもとになされる必要がある。

Mr. Cédric Sabbah氏(Ministry of Justice, Israel)は、”Pressing Pause: A New Approach for International Cybersecurity Norm Development”というプレゼンです。 (ビデオだと25分くらいから)

最初にサイバー規範と実際の国家実行について考えてみましょう。
規範が、国際間の安定について過大な期待がなされているのではないか、ということです。
Hollis氏の論文によると、規範とは、「一定の共同体における適切な、もしくは不適切な行動についての期待の共有」と定義されています。UN GGE2015の報告も規範についてふれています。そして、平和、セキュリティおよび安定性についてのリスクを減少しうる、自発的な、拘束力のない規範があるとしています。
しかしながら、2018年の段階においては、地理的な課題、概念的な課題、技術が急速に発展としての課題となっているという状態です。
複雑な課題があるといわなければなりません。
新しく注目すべき領域として「民間サイバーセキュリティ」を提案します。情報共有、サイバーセキュリティとプライバシー、民間におけるアクティブ防御、クラウドにおけるサイバーセキュリティです。
民間サイバーセキュリティにおける規範の議論は、ボトムアップでなされる過程になります。
まずは、ベストプラクティス(NISTの枠組み)などがあり、その複製が基本になります。また、FIRST、OECD.UNICTRALなどのフォーラムでの議論、民間のサイバーセキュリティ関係者によってアジェンダが議論さ、サイバー外交の成果が、トップダウンでインプットされることになります。ケーススタディが、実際の対応が重要な役割をすることになります。また、ブダペスト条約(サイバー犯罪条約)や中国と米国の合意(2015)などが重要な役割を果たすことになります。
フリーサイズの解決策はないです。実際のニーズに応じた対応が規範を発展させることになります。

Jeff Kosseff准教授(Assistant Professor, US Naval Academy Cyber Science Department Developing Collaborative and Cohesive Cybersecurity Legal Principles)は、「協調的/結合された法的原則の発展」(Developing Collaborative and Cohesive Cybersecurity Legal Principles)です

国内法の発展についてより注目すべきであるという立場です。
Kosseff准教授は、サイバーセキュリティ法を情報セキュリティのCIAを促進しようとする国内法をサイバーセキュリティ法と考えます。ちなみに彼は、Cyber Security Lawの著者でもあります。
現在のシステムは、よくできているとはいえないでしょう。機密性については、発展していますが、IやAについては、十分ではないでしょう。議論の目標を、CIAの実現におくべきでしょう。
不十分なサイバーセキュリティは、ワナクライにしてもミライにしてもl世界的なインパクトを与えています。だからこそ、他の国のサイバーセキュリティに関する国内法に関しても関心をもたないといけないわけです。

A国の防御を十分に行うことは、B国にも利益を与えますし、抑止効果を有します。民間企業が防御に従事することに対するインセンティブになります。さらに他の国の成功例・失敗例から学ぶことも利益になります。

GDPRが話題になっていますが、データ保護の利益という考え方は、世界において、十分な理解を得ているのでしょうか。米国における表現の自由という考え方と共通の認識にいたっていないという認識です。セキュリティにおいては、国際共通の理解を得る必要があります。

世界的な規範のモデルとしては、三つのモデルがあります。サイバー犯罪条約(ブダペスト条約)、戦争の法/タリンマニュアル、OECDのプライバシー保護および国際的なデータ流通のガイドラインです。

サイバーセキュリティの法的な原則の目標は、現在のサイバーセキュリティの脅威に対抗するように法を現代化すること、規則の統一化、強制的/協力的な法の調和、サプライチェーンの安全です。

法を現代化すること

 CIA triad(機密性/完整性/可用性の三角形)についていえば、どのようにして、完整性・可用性を取り扱うことができるか、ということです。ランサムウエアをどのようにして停止できるのか、というようなことです。

規則の統一化

情報漏洩通知法は、統一されるべき、一般的な原理は、類似の法を発展させる基礎となるべき、要件を揃えることにむけて前進すべきということができます。米国でいえば、50もの違うほうがあるわけですし、そのなかで、情報の種類が違うと対応が違います。これに対応するのは、きわめて時間を消費してしまうということがいえます。

強制的/協力的な法の調和

規則 対 インセンティブ
他の規制分野との違いとしては、政府の目的は、産業の目的と一致する
公共と民間の協力のための余地が大きい(脅威情報の共有、教育・人材育成、税制度によるインセンティブ)

サプライチェーンの安全

政府と産業界によって、ベストプラクティスについての実質的な対話がなされるであろう。

質疑応答では、どのようにして、協調していくのか、という点についての議論がなされました。

セッション終了後は、宮殿のまえで、パーティ、そのあとは、タウンホールの前のお店で、おもしろいスープを楽しんで、タリン大学の学生さんとなぜか、意気統合して、12時すぎに、ホテルに。

CyConX travel report Day Two Due Diligence session (2)

Due Diligence sessionの続きです。

Mr. Peter Z. Stockburger(senior managing associate with Dentons)です。彼のテーマは、”グレイゾーンから慣習国際法に-予防原則をいかにして採用し、サイバースペースにおけるデューデリジェンスを透明化するか(From Grey Zone to Customary International Law: How Adopting The Precautionary Principle May Help Crystallize The Due Diligence Principle In Cyberspace)”というものです。同名の原稿が予稿集になります。

デューデリジェンスの考え方は コルフー海峡事件や1996年の包括的核兵器禁止条約の勧告的意見書にも現れています。また、2010年 ウルグアイ川のPulp Mills事件ICJ判決においては、予防原則を認めています。なお、この事件の判決はこちら。この判決では、国家は、「その領域で、または、その管轄におけるいかなる領域においても、発生する活動が、他の国家の環境に重要な影響を与えることを開始するために、いかなる手段をも毛採用すべき義務がある」としています。

この予防原則は、環境法では、一般的なものである。2015年のICJ判決で、コスタリカとニカラグアにおけるコスタリカのサン・ジュアン側における道路検察の事件でも確認されています。

環境分野においては、環境インパクトアセスメントを行うべきとされた。この考え方をサイバーに適用することを提案する。あるべき法(lex ferenda)としての提案です。

サイバーインパクトアナリシス(CIA)は、NIST/DHS/ISO標準の枠組みのもとになされる。国家が、他の国に対して、サイバー活動または、インフラが、国境をまたいだ、損害を惹起するのに利用されるのを知る、または、そうかもしれないと信じる理由がある時に行動し、通知することになる。

Prof. Karine Bannelier(Associate Professor of International Law at the University Grenoble Alpes  ,Grenoble Alpes CyberSecurity Institute )は”確実性と柔軟性-デューデリジェンス原則の作為義務と「変化要素」(Between Certainty and Flexibility : Obligations of Conduct and “Variability Factors” in the Due Diligence Principle)”という講演です。
彼女は、義務の存在とその偽の適用に関する現代の課題についてのお話でした。サイバー領域におけるデューデリジェンス義務は、サイバーディリジェンスといわれるほどになっていること。
しかしながら、「デューデリジェンス原則の規範的不確実性」が現代の課題になっているということです。加重責任(aggravated responsibility)の神話が存在していて、どのように、影響を判断するかというのが課題である、ということです。特に、ヨーロッパ人権条約8条と、大量監視とのバランスが問題になっており、サイバーインハクトアセスメントが必要るだろう、とのことでした。

このあと、質疑応答になりました。

この質疑応答で興味深かったのは、ヨーロッパ人権条約と、デューデリジェンスの義務の関係はどうか、ということになります。シュミット先生からは、各国に対して、国内における人権の擁護を求めており、国際人権法を整備する義務がある、もし、デューデリジェンス義務が衝突する場合には、対応することが「feasible」ではなくなる、ということになるという回答がありました。この点は、すごい疑問だったところなので、疑問解決です。

CyConX travel report Day Two Due Diligence session (1)

Dr. Kubo Mačák先生の司会によるDue Diligence sessionです。タリン・マニュアル2.0のメインテーマは、武力攻撃の閾値(スレッシュホールド-ほとんど、業界人には、日本語化してますね)以下の紛争-低強度紛争(Low Intensity Conflict)の場合についての、主権概念の分析(規則4)、干渉の禁止(規則66)やこのセッションのテーマのデューデリジェンス(規則10)だと思います。

でもって、講師のメンバーが、Prof. Michael Schmitt、 Mr. Peter Z. Stockburger、Prof. Karine Bannelierになります。
Prof. Michael Schmittは、タリン・マニュアルのプロジェクトの筆頭編集者であり、武力行使の基準に関するシュミットスケールでもおなじみです。高橋個人的には、2015年のLaw Courseで、サイバー国際法のブートキャンプの講義を受けたのですが、そのときのメイン講師でもあります。なので、個人的にもお話をさせてもらっていたりします。

Mačák先生の仕切りによるセッションの最初は、シュミット先生の講義です。講演者は、それぞれ15分で、講演することと言い渡されていたのですが、きわめて濃密な授業でした。
講義メモとして、他の資料も含めて、ちょっと講義録風にしてみます。

国家が、国家主権を侵害することは許されません。「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」(パルマス島事件 1928)とされています 。この国家主権は、対内主権(Internal Sovereignty)、対外主権(External Sovereignty)にわけて論じられます。
サイバースペースにおいて、これらの概念が展開される場合、地理的な視点が重要になります。
対内主権(Internal Sovereignty)は、
「国際的な義務に違反しないかぎりにおいて、国家は、その領域におけるサイバーインフラおよびサイバー活動に対して主権(sovereign authority)を行使しうる」(タリンマニュアル ・ルール1)
と考えることができます。(マニュアル2.0では、規則2)

これは、具体的には、(1)サイバーインフラストラクチュアは、国家による法的・規制的コントロールにある(2)領土に関する主権は、国家に対してサイバーインフラを防衛する権限を与える(3)国家は、主権を有するが、管轄権を有しない(例、領域における大使館、軍事施設)場合があるということを意味すると解されています。

対外主権(External Sovereignty)とは、国家がその対外関係において相互に独立であり、自らの意思によって合意したこと以外には、拘束されないということをいいます。
これは、サイバー的な文脈においては、「国際関係において、権限が対外主権を制限する国際法によって限定・制限されていない限り、サイバー作戦に従事することは自由である」ということを意味します。
これは、主権平等原則(主権国家は、相互に対等・平等である)とも密接な関係がある。この対外主権に関する国際先例としてローチュス号事件(常設国際司法裁判所1927)、核兵器使用の合法性事件(国際司法裁判所1996)があります。
タリンマニュアル2.0は、国家責任の観点から、規則14において「国家は、自国に帰属し、それに帰責しうるサイバー作戦において、国際的な義務に違反する場合には、国際的な法的責任を負う」と明らかにしています。

ところで、「主権を侵害する」というのは、どういうことでしょうか。これは、介入(intervention)を受けないという原則に対する深刻な悪影響を受けない権利を侵害されるということになります。国家は、他の国の国際法上の権利を侵害することはできないのです。他の国において爆発を起こすような行為をなしてはいけないことになるというのは、武力行使(use of force)/介入の禁止を侵害するということになります。これに対して、機密文書を保有する権利というのは、国際法上の原則とは関係がないので、主権侵害とは考えられないということになります。
この「深刻な」というところは、特に環境法で分析されているところだそうです。Trail Smelter disputeというのがあって、カナダと合衆国の間で議論になった事件だそうです。
ボットネットによる攻撃が、この介入の禁止原則に違反するか、という点については、タリンマニュアルの専門家でも意見が一致しなかったとのことです。

(高橋)この部分は、タリン2.0で充実した部分に思われます。特に、強制(coercion)をベースにした介入からの自由を中核とした主権の論述は、詳細で勉強になります。もっとも、証拠としてのデータ取得が、この「主権侵害」というのとどう考えるのか、というのは、今度、聞いてみたいと思います。

ところで、上の介入の禁止原則といっても、これは、国家行為として、なすことは許されないということであって、民間の行為としては、国家間の規範に対しては、関係がないということになります。とはいっても、いかなる場合にも、国家が民間の行為に対して責任を負うことがないといえるのかというのは別問題です。ここで、近時、きわめて注目されているデューディリジェンスの法理のサイバー分野に対する適応を考える必要があるということになります。

デューディリジェンスの法理とは、「(負の影響を回避・軽減するために)その立場に相当な注意を払う行為又は努力」といった意味になります。
現在の国際法において、国際社会が国家に要請する注意義務が存在するという考え方が採用されています。この概念が、国際司法裁判所で明言されているものとして、コルフー海峡事件の判決がある。この事件において裁判所は、「すべての国家は、その領域が他の国家の権利に背く行為に利用されるのをしりながら許容することはできない義務がある」と論じています。これは、国際法における積極的義務(主要ルール)の一つです。

サイバー作戦についても、このデューディリジェンスが論じられるべきことになります。タリンマニュアル2.0規則6(デューデリジェンス(一般原則))は、「国家は、自国の領域または自国の政府の支配下にある領域もしくはサイバーインフラストラクチュアが、他の国家の権利に栄気宇を与え十大で有害な結果を生じるサイバー作戦/工作のためにしようされることを許さないよう、相当の注意を払わなければならない」としています。

また、特に近時、サイバー領域におけるデューディリジェンスの議論が盛んになってきている 。この法理を現実に適用する場合の問題について検討する。「知りながら」というのは、どのような場合をいうのか、という問題がある。この点については「現実に悪意(Actual knowledge)であることのみならず、悪意と同視しる場合(Constructive knowledge)をも含むと解されている。この義務が認められるべき被害のレベルは、厳密には、不明確である。

また、デューディリジェンスを遵守することとは「停止する」ことで足りるのか、防止することまで要するか、という点について争いがある。多数の見解は、敵対的な活動を終了させる必要はあるが、防止する義務は存在しないというものである。また、合理的な手法のすべてを採用するべきというベストエフォートの義務(Feasible Actionをとるべき義務)がある。

結果がそれでも生じた場合には、国家の国際的な責任に関する法に従うことになります。

現代のデューデリジェンス論の課題は、防止することができない国家において、支援を受忍することを求めることはできないということです。

CyConX travel report Day Two keynote &AI Panel

Day Two Key Noteです。

Mr. Thomas Dullien氏(Staff Software Engineer, Google Project 0)は、「セキュリティ 、ムーアの法則、安価の複雑性のアノマリ」です。
コンピュータを取り巻く情勢は、複雑性が増していること、セキュリティの問題がエスカレーティングしていることがあげられます。トランジスターの密度が、上がっています。
セキュリティは、向上しているものの、コンピューティングがよく早急に発展しています。
ここで、「安価の複雑性のアノマリー」を考えることができます。
単純さをシミュレートして、アノマリーを引き起こすのは、何かということになります。ここで、安価というのは、コンピューターが安価になったということです。4つの課題があります。
ソフトウエア、ソフトウエアのサプライチェーン、ハードウエアのセキュリティ・サプライチェーン、デバイスの検査の欠如です。
ソフトウエアのセキュリティは、見えない複雑性を示しています。ソフトウエアは、安価になっており、小さなミスが、大きな結末につながります

問題は、信頼のならないソフトウエアを含むこと、どのようにシステムを構築するか-利用しうる技術、システムを検査しうるシステムとして構築すること、課題になるでしょう。
なお、このスライドも公開されています。

Mr. Eugenio Santagata氏は、CY4GATEの CEOです。 “Electronic Warfare meets Cyber” (電子戦は、サイバーと出会う)です。
電子戦は、敵側の攻撃を利用できなくするものである、といいます。
電子戦の攻撃は、サイバー戦のアプローチと並びたつものです。
その課題としては、CEMA(サイバーおよび電磁気環境攻撃-cyber and electromagnetic environment attack)になります。
ここでの作戦のサイクルを考える必要がある。
作戦のサイクルは、インテリジェンス&分析、ミッション準備、ミッション実行(受動攻撃、スマートジャミング、情報レイヤー攻撃)でできています。
CMEAを可能にする3つのものは、知識・技術・サイバーレジリエンスです。

あのMr. Bruce Schneier氏(現在は、 Harvard Kennedy School)です。「高度に接続された世界におけるセキュリティとプライバシ」です。
スマートフォーンは、コンピュータに電話がついたものであって、すべてが変わってしまった。
市場は、セキュリティにお金を払わない、セキュリティのテストは、また、困難である。
その一方で、Miralマルウエアの事件があり、カジノがハッキングされた事件もあった。PGPの脆弱性の事件もあった。コンピュータの進歩のなかで、どんどん速くなってきている。また、ホテルのキーがハックされたこともあった。パッチで対応するものの、どのようにしてセキュリティを確保するかという問題がある。
歴史をさかのぼってみれば、1976年の段階では、消費者は、何もわからなかった。消費者の機器は、10年単位で、変化してきた。スマートフォンは、デケァクトのコントローラーになっている。また、サプライチェーンの問題は、重大である。
法執行機関は、ISMSキャッチャーを利用し、すべての情報を取得することができる。状況は悪化しているのではないか。

(ちょっと、集中力がきれたので、メモがきちんとしていないので飛ばします)

Mt.John Frank氏(Microsoft’s Vice President, EU Government Affairs.)は、「サイバースペースでのトラストを最大化する」というスピーチです。

彼によると2017年は、技術発展とサイバーセキュリティ上の脅威においてパラダイムシフトがおきました。

民間人、インフラおよび民主党を標的にした軍拡競争が行われました。WannaCryとNotPetyaがその例です。
今、動きを変えなければいけません。存在している国際法を構築し、低強度紛争においては、法がないので、サイバー規範を進歩させなければなりません。
民主主義のプログラムを守らなければなりません。私たちのデモクラシーを防衛するパートナーシップを構築し、選挙のインテグリティ(完整性)についての大西洋委員会をつくるのです。

サイバーセキュリティの技術の調和を図らなければならないです。デジタル・ジュネーブ条約です。

  •  より強い防御
  •  攻撃なし
  •  能力向上
  • 集団行動
    です。
    サイバー攻撃に対する説明責任を向上させるべきです。
    政府が攻撃的なサイバー攻撃をする場合には、国民に対して説明責任を追います。

昨年の12月19日に、WannaCryは、北朝鮮であるとアメリカ合衆国、Facebookその他が攻撃者決定をしました。
NotPetyaは、ロシアであると米国政府は、決定をしました。

(高橋)デジダル・ジュネーブ条約ですが、すこし宛、明確になってきています。特に、低強度紛争をも念頭においていることが明確になって、意味がはっきりしたような気がします。インテリジェンスは、国際法としては、原則として、放置されているわけですが、それを条約によってコントロールするというのは、興味深いものだと思います。攻撃者認定が、抑止もしくは説明責任の観点から、重視されてきているのも興味深いです。

ここで、AIパネルです。

R.E. Burnett教授(National Defense University)
戦時におけるAIであり、これは、狭いAIとなります。自律型ロボットであり、人間の反応時間を凌駕することになります。
(1)人間の兵士 対 機械兵士
社会的なインパクトが大きいことになる。高度にストレスのかかる状況で、だれもみていない状態での活動ということになる。
(2)AIタイプ 偵察
新しいタイプの作戦セットが存在しており、リモートコントロールで、ヒューマン・オン・ザ・ループ型の活動になる。
実際には、高解像度で、大容量の記憶容量を誇る機会が存在している。どのようにして展開するのかということで、新しい抑止力になっている。
自律型兵器システムは、AIによる将来であり、そのデモンストレーションが行われる。
また、ソーシャルメディアのツールも、その範疇に入ることになる。

Dr. Sandro Gaycken(Short CV – Founder & Director, Digital Society Institute, ESMT Berlin – Directorなど)は、”AI Dominance”についての話です。
AIは、攻撃についての多大な潜在能力を秘めている。
AIは、AIによって予測しうるし対処しうる。
戦略レベルでは、AI対AIになる。
自律型兵器システム(AWS)は、大量なデータを分析し、情報のドミナンスがある。技術的AIを独占することは勝利を確実にする。
金融市場の操作をも可能にずく。
戦略レベルでは、フルスペクトラムでの独占、戦略的AIの概念的利用は、勝利につながる。標的の操縦もなしうる。
AIの独占力は、敵側を弱体化することによってなしうる。
作戦のデザイン、訓練における監督、きわめて高い複雑性、オープンシステムの必然性、セキュリティは、確認が困難になる。改竄がAIによってなされた場合には、奇妙なことが起こりうる。

Mr. Jaan Tallinn( founding engineer of Skype and Kazaa)です。
狭いAIと一般AIの混乱について語ります。また、AIとモラルについての話です。

このあと、AWSは、禁止されるべきか、死亡者数を減少させるのか、ということについて議論が戦わされました。

(高橋)世界の現実は、AWSをめぐって、きわめて高度かつ現実的なレベルでAIの利用について議論をしています。日本においては、研究さえも禁止されている状態(それも、根拠として、きわめて曖昧なものによって)で、それが結局において安全保障を弱める結果になってしまうのではないか、とか思いながら、聞いていました。

CyConX travel report Day One Book launch & evening

Valeriano Brandon, Benjamin Jensen, Ryan Maness.” The  Evolving Nature of Cyber Power and Coercion”(Oxford University Press, March 2018)゛のご紹介です。

セッションのモデレーターは、Vihul先生。

政治学の先生らによる、いままでのサイバーセキュリティの192エピソードの実証的研究だそうです。サイバースペースの将来を描いていますということだそうです。基本的なスタンスは、サイバー工作/作戦は、国際関係の安定性を増す、ということです。
「サイバーインテリジェンスは、情報戦争の際たるもの」とかの用語がでてきて、法律家との間との用語法とのギャップに、流して聞いていました。

(高橋) ちなみに、インテリジェンスは、実際は、関係国の情報の齟齬をなくすので、結局としては、関係の安定化に資するという立場が一般だったりします。

ちなみに、YoutubeでValeriano先生の同名のプレゼンがあります。このビデオは、この本の基本的な説明になっているみたいなので、話の内容が更よく分かります。

シュミット先生が質問として、「戦略」という用語をどのような意味で使っているのか、「強制(coercion)」という用語は、どのような意味か、ということをきいてました。

個人的には、「積極的な工作」というものを考えて、その分析のタームに、「強制(coercion)」という要素をいれるべきではないか、と考えていたので、シュミット先生に、「強制(coercion)」について、個人的に質問してきました。「介入(intervention )」のところに、詳細に記載してあります、ということでした。
あとで、見ておきます。

てもって、Day one終了。

この日は、日本人チームで、12人くらいで、タリンで異業者交流会(?)な、お食事会もありました。

CyConX travel report Day One  Security and Fundamental Rights session

Cyberspace, Security and Fundamental Rightsというセッションです。

アジェンダには、国家は、テロリストや極右・極左を封じ込めるために、努力をしているが、セキュリティと基本権、特に国際的な人権規定や標準との調和を図るようなっており、自由で、オープンな社会においてリスクは、存在するか、という問題が提起されています。

最初は、Prof. Wolfgang Kleinwächterで、 GCSC(サイバースペースの安定化についてのグローバル委員会-Global Commission on Stability in Cyberspace )の委員です。
“Cybersecurity and Digital Rights: Do we need another European Charter for Cyberspace?”という講演です。

タイトルからいったときに、「EUにおける基本権憲章」(CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION (2012/C 326/02))が前提となります。これを前提に、まず、現代におけるデジタル基本権という議論を検討していくことになります。

この議論のきっかけとして、サイバースペースを考えるときに、世界情報社会サミット(2003)(The World Summit on the Information Society (WSIS) )とNet Mundial 2014 がをみていくことになる。

WSIS

2003年ジュネーブ宣言(Declaration of Principles Building the Information Society: a global challenge in the new Millennium)

2014年 Net Mundial 2014

JPNICの解説は、こちら。声明の日本語訳

WSIS+10(2015)が注目される。

また“Charter of digital fundamental rights of the European Union”も注目です。デジタル基本権を必要とするのでしょうか。解釈の基本的な枠組みであり、多数の利害関係者の協力の手順によってなされたものになります。

(高橋)これは、かなり議論を呼んでいる案文のようです。詳細な分析は、またの機会に。

ここで、全般的な(Holistic)アプローチが必要になります。 検討されるべき局面としては、サイバーセキュリティ、デジタル経済、人権論、技術があります。

次は、Dr. Krisztina Huszti-Orban (ミネソタ大学人権センター)です。タイトルは、「中間伝達者とカウンターテロリズム・自己規制と法執行のアウトソースの間に/Internet Intermediaries and Counter-Terrorism: Between Self-Regulation and Outsourcing Law Enforcement」です

これは、予稿に論文が入っています。

現代的な課題としては、中間伝達者とカウンターテロリズムとの関係がある。テロリズムなどの過激な思想の伝達手段としてSNSを利用しようというものがいる。
中間伝達者は、言論の自由のオンラインプラットフォームとしての役割を果たしている。公的なものとして重要な役割である。ここで、公共の利益との関係がある。
内容に関する取締機能がSNS提供者にアウトソースされているということができる。
人道的危機の一方で、サービス約款が存在している。その約款にもとづいて、コンテンツに対して削除、ブロック、制限がなされている。現状においては、中間伝達者は、人権についての責任を負うものとは位置づけられてはない。また、監視監督がなされるということもない。
(予稿ですと、テロリズムと極端主義の定義のディレンマも論じられています)
SNSは、人権を超えたところにいるが、プラットフォームに対して、制裁を課すという方向性も考えなければならない。
ドイツでは、ネットワーク執行法(Gesets zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken)を定めている。これは、200万ユーザ以上のメディアプラットフォームに対して、明らかに違法なコンテントのアクセスに対するブロック(24時間以内)などを定めている(怠った場合には、5千万ユーロまでの罰金)。
AIの利用がなされて、そのアルゴリズムによって過剰対応などの問題も生じてきている。

(高橋)ここでいう中間伝達者は、SNSなどのプラットフォームなので、わが国では、中間伝達者として電気通信事業者が真っ先に、念頭に浮かぶのとは事情が異なってきます。SNSは、電気通信事業の途上にあるのか、しかしながら、国外の事業者なので、監督がきかないのか、という論点がありましたね。(参照は、こちら-電気通信事業参入マニュアル[追補版])

Prof. Théodore Christakis(グルノーブル・アルプス大学)”国境を超えた法執行のデータに対するアクセスと人権/Law Enforcement Cross-border Access to Data and Human Rights”です。

このブログでも、マリア博士の論文CLOUD法でもふれた国境を超えたアクセスの問題です。

国境を超えて法執行機関がデータがアクセスすることをどのように考えるか、ということに対して、(1)MS事件(2)米国のCLOUD法(3)EUのe証拠提案から検討しています。

この前提知識として、EUのデータ保護に関する29条委員会は、法執行機関の国境を超えたアクセスを領土主権に対する侵害(interefernece )になるとしています。

MS事件については、特に、事件の経緯の記事(プライバシーか安全か、Microsoftと米国政府の全面対決の結果は?)と最高裁の判断についての記事(Microsoftのデータ保護問題に決着――米最高裁、 CLOUD法成立により過去のデータ提出命令を無効と決定)をおすすめします。ということで、講演でも、簡単にふれただけでした。

でもって、MS事件は、解決したわけですが、問題としては、なおも残っています。

次は、クラウド法のもとでのMS事件の分析です。

事件自体としては、上の最高裁判所の判決のように解決しています。データが「物理的に」保存されていたアイルランドは、国として、主権侵害であるということになるのでしょうか。また、アイルランドのMSは、データ保護違反となるか、という問題もあります。

(高橋)GDPR48条は、「第三国とEU 又は加盟国間で有効とされている共助条約のような国際協定に基づく場合に限り、本章における移転に関する他の根拠を侵害することなく、認められるか又は執行力を有することができる。」としています。

そうだとすると、アイルランドMSは、罰金を課せられることになりますね。(この問題は、Marc Rich事件とNova Scotia事件があるのですが、それは、このCyConメモが終わったら紹介ですね)まさに「しっぺ返し」です。逆に、アイルランドMSから、米国MSのデータが要求された場合には、どうでしょうか。

さらに、一般論の問題に移ります。

二国間協定というのが、どのような内容で、どのような国との間で締結されるのか、というのが大きな問題であるということですね。

(高橋)それはそうでしょう。米国提出命令が、日本で保存されているデータに対して、そのまま及ぶとされた場合に、日本の個人情報が、域外に移転します。提出命令は、日本における捜索差押令状とは、レベルが全く違うので、それでいいのか、という問題提出になります。

さらに彼の分析は、EUにおけるe-Evidence 提案におよびます。

これは、デジタル時代の犯罪に対応するもので、規則(刑事事件における電子証拠に対する欧州提出および保全命令)および指令 (刑事手続における証拠収集ための法的代表設置の調和に関する指令)の形をとって、2018年4月17日に提案されているものです。

 

となります。4つのデータタイプというのは、顧客、アクセス、通信、内容になります。

この部分は、私も検討不足でした。詳しくは、次の機会に検討しておきたいと思います。

質疑応答で、Kuboさんという優秀な研究者の方から、SNSという民間企業に対する国の規制の関与の仕方に対する質問がなされました。これに対しては、国家は、人権を保護する義務があるので、それによって、一定の規制が正当化されるだろうという見解が述べられました。

CyConX travel report Day One Espionage session

30 May 1400-1515
Cyber Espionage and International Lawです。

この問題意識は、まさにアジェンダに記載されているとおりです。私のブログでも、何回か触れているところです。「平時におけるサイバーエスピオナージは、それ自体、国際法に反するわけではない。しかしながら、どのような手法が適法で、どのような手法が不適法か、という確実な考えはない。このセッションは、さらにこれらのトピックについての議論を進ませようというものである。」というのが、アジェンダです。この目的は、達成されたでしょうか。

Ms. Liis Vihul( CEO, Cyber Law International)の”Cyber Espionage in the Current International Law Paradigm”は、現在の国際法の解釈論を簡潔にまとめて問題提起をしています。
ちなみに、Vihulさんは、タリン2.0の特にデューデリジェンスのメインの担当者だったようです。2015年に、私が、Law Courseを聞いたときに、デューデリジェンスのところを説明してくれました。
今は、CLIという自分の会社を作って(でも、事務所は、CCDCoEのなかだそうです)、トレーニングで世界を飛び回っているそうです。twitterで、お互いにフォローしあっています。

タリン2.0では、エスピオナージの部分と、非国家組織による対応の部分に議論が集中しているとのことです。タリン2.0の議論としては、エスピオナージそれ自体は、規制されていない、国際法違反になりえない、とされています。なお、規則32を参照しましょう。
しかしながら、意図していない損害を惹起した場合(たとえば、インフラへの損害)、国際法の禁止の原則に違反する場合(たとえば、外交通信尊重の原則)については、国際法に違反しうることになります。

Ms. Ianneke Borgersen Karlsen(上級法アドバイザー・ノルウエイ防衛省)の ”Addressing the Elephant – a Practitioner’s View”です。
彼女の意見は、タリン2.0に対する複雑な感情という話から始まりました。
規制がないというのは、国家実行を表していないではないか。果たして、規則がないのか、という疑問です。そもそも、国内法や規則、ドクトリンやマニュアルが存在しており、規制が総体として存在していると認識すべきであるというのです。また、国家間には、機密の相互協定があり、これらに従うことは一貫した国家実行になっています。
国家は、これに関する違反があったとしても、我慢している。というのは、利用可能な制裁が存在しない、国家的/国際的な判決が存在していないのです。
そもそも、エスピオナージを定義してみると、その目的(政治的目的のために、とされるのが通常なので)を考えるときに、非常に曖昧なものになってきます。
彼女は、むしろ、「特別法(lex specialis)」アプローチを採用するべきではないかと主張します。
結局、国家主権および介入の禁止によって、特定の手法と工作が限定されるべきであるということになります。

(高橋)国際法と国内法の交錯という問題になります。国内法による制約を意識して、国内法の解釈を調和させるべきということなのかもしれません。ただ、解釈論としては、タリン2.0の結論と異なるところはなさそうです。

Mr. Asaf Lubin( Yale大学講師)”Cyber Law and Espionage Law As Communicating Vessels”です。
なお、Lubin氏の同名の論文が論文集に所収されています。

サイバーエスピオナージは、国際法の盲点であり、いままでにたった3冊の本しかでておらず、書かれた論文も100前後である。エスピオナージは、法的な問題を超えた構成であると考えられている。
従来のハニートラップで、机の上のデータを謄写すれば、エスピオナージの法となり、無権限で情報を取得するときには、低強度サイバー工作とされる。実際としては、用語を整理する必要がある。

オーバーラップするところに、サイバーエスピオナージを考えるべきであろうと提案しています。
まさに、「意思疎通のための道具」としての定義ということになります。

高橋)論文をみると直接にエージェントを通じての取得(エスピオナージ)と情報の取得に限らないサイバー工作とにわけているので、用語としては、むしろ、最初のサイバーエスピオナージとは、という定義から、きっちりした方が、議論としては、すっきりするだろうなあと考えたりします。
「政治目的で」「隠密裏に」「情報を取得する行為」がエスピオナージで、それを電気通信手段を通じて行うと定義することで議論は足りるというのが私の意見だったりします。

Lubin先生によると、探索の契機の法(Jus ad Exploratione)、探索中の法(Jus in Exploratione)、探索後の法(Jus pas Exploratione)にわけて考えることができることになります。
また、「スパイの権利」とその制限として成立すべきだという意見でした。この権利を正当化するのは、国家安全などのためであるにすぎない。これらの権利は、種々の制限法理に服することになります。

図示すと、こんな感じです。まわりが制限法理です。これによってスパイの権利が制限されことになります。

高橋)この日のキーノートとかを聞いていくと、むしろ、外国政府による政治的な意見の工作が国際法的にどうなるのか、というところにフォーカスした議論を聞いてみたかったです。エスピオナージは、上でふれたように「情報の取得」に限ってしまうので、その意味で、お題の問題かもしれません。サイバーインテリジェンスと国際法というテーマであったならば、情報工作と国際法が聞けたかもですね。どうなのでしょうか。