ソニーピクチヤーズ・エンターテイメント事件(2014)の復習

あるインタビューで、「国家支援の攻撃行為については、むしろ、国際法的な位置づけが問題になります。その代表例は、ソニーピクチヤーズ・エンターテイメント事件です」と応えています。が、ブログでは、オバマ大統領 対抗措置を明言には、ふれたのですが、ビデオ自体には、ふれていなかったので、ここで書いておこうと思います。

記事としては、”Obama says Sony hack not an act of war”になります。むしろ、ビデオをご覧になることをお勧めします。SOTU-OBAMA: SONY HACK-“ACT OF CYBER VANDALISM”です。このビデオは、15秒ほどですが、法的な意味づけを端的に語っています。

この事件は、実際に、(1)北朝鮮という国家の機関により(2)SPEという米国の会社の業務が、意図的に、妨害されたということになります。

(1)の部分は、国家責任を発生させる行為かどうかということになります。この点については、通常は、「効果的コントロール」テストで判断されるというのが、一般の理解になります。

(2)については、通常と、国家機関により民間の機能が妨害されたとしても、それ自体、米国の主権の問題を惹起するということにはなりません。しかしながら、重要なインフラとでもいうべきものが、意図的に妨害されるとなると、国家主権に対する問題を惹起するのだ、ということが語られています。

この場合、一定のレベルを超えた場合には、武力行使に該当することになります。この武力行使のレベルに達するか、どうかをどのような基準で判断するのか、ということになりますが、この点については、(イ)甚大さ-Severity(ロ)迅速さ-Immediacy (ハ)直接さ-Directness(ニ)侵略性-Invasiveness(ホ)測定可能性-Measurability (ヘ)適法性の概念-Presumptive legitimacy などの観点から判断されるというのが、一般的な理解になります。

もっとも、このレベルで武力行使のレベルにいたるためには、相当な結果が発生することが求められます。StuxNetレベルの結果が発生した場合でも、この武力行使のレベルに達したとは考えられません。その一方で、同時多発的にStuxNetレベルの結果が発生すれば、サイバーによって、武力攻撃が可能になるということです。理論的には、サイバー戦争が可能になるのですが、それは、実際に遠心分離機という戦略的・高額な機器が破壊されるという結果が発生するからであって、それを「サイバー戦争」というか、どうかは、単なるセンスの問題だろうと考えられます。

なお、ここで、武力行使と武力攻撃の用語を使いわけています。米国は、武力行使に達すれば、国連憲章51条における国家の自衛権の行使を正当化できるものと考えています。それ以外の国は、武力行使に達したとしても、51条の武力攻撃に該当すのには、さらに、一定の結果が発生したときと考えています。ここらへんの詳細なのは、また、別に論じましょう。

ここで、オバマ大統領の発言に戻りましょう。北朝鮮による攻撃は、CyberWarにいたらないというのは、上記の観点から、把握して、武力行使のレベルに達していないという米国の判断を示している、ということです。CyberVandalismであるといっています。

では、何もできないか、ということになると、むしろ、法的には、北朝鮮の行為は、国際的違法行為なので、対抗措置の問題になるといっているのです。この対抗措置は、比例原則のもと、米国の判断でなしうることになります。なお、対抗措置については、このエントリで分析しています。

これらの法的な判断をこのインタビューのもとで、ふれているのです。当たり前ですが、綿密な分析がなされていますし、決定的な証拠も取得されていたことが、伺われます。

サイバー攻撃により惹起された被害にたいしての国家の対応は、このような枠組みで判断されるわけです。

CyCon2017 travel memo 10) Day3

CyCON 最終日は、みんなディナー(とそのあと)のつかれが残っているのか、ゆったりめの出足です。

最初は、Plenary Panel: Cyber Defence Exercises – Locked Shields, Cyber Europe and Cyber Coalition
Mr. Jim Ngさんの司会で、
Mr. Tom Koolen, Collective Training and Exercises, NATO Communications and Information Agency
Dr. Rain Ottis, Associate Professor, Tallinn University of Technology
Dr. Panagiotis Trimintzios, NIS Expert, Programme Manager, ENISA
から、サイバー防衛演習のパネルです

Trimintziosは、”Cyber Europe”のオーガナイザーですが、たくさんの国から、サイバー防衛の演習をするという意義があるという話でした。
Ottisさんは、CyCONの技術のアドバイスをしているすが、どのように運営するのか、どのようなタイプの技術的問題があるのか、ということを検討することが、主たる仕事であるとのことです。そして、社会を発展させる、ためのシナリオを作成し、現時点においての技術を入れ込むとのことです。このような作業には、リソースが必要になってきます。
また、どのように構築するのか、という点については、どのように組み合わせるか、というのをみて、効果的に、演習を特定化します。

成功させるためのポイントについてのディスカッションになって、
Ottisさんは、小さく始めること、すべてのステップが挑戦になる、最初の年が成功すれば、次の年は、目的を設定することになる
Koolenさんは、資金をかけることと、成果は、金銭では評価することができないことに留意すべき
ということになりました。

次のパネルは、Plenary Panel: Cyberstability and the Future of the Internet
前にも触れましたが、Ms. Marina Kaljurandは、サイバー空間安定化グローバル委員会のコミッショナーです。
パネリストは
Mr. Carl Bildt, Chair, Global Commission on Internet Governance
Mr. Michael Chertoff, Co-Chair, Global Commission on the Stability of Cyberspace
Prof. Wolfgang Kleinwächter, Professor Emeritus, University of Aarhus
Mr. Jeff Moss, CEO, DEF CON
Ms. Latha Reddy, Co-Chair, Global Commission on the Stability of Cyberspace
です
最初のJeff Mossは、技術的な観点からの、独立的な専門家の支援が重要であるという話がなされました。
Latha Reddyさんは、インドの方ですが、インドは、いまや、5億人が、接続しているようになりました、という話です。
Chertoffさんは、サイバー空間安定化のためには非常なリソースを必要とするという話をしました。
Bildtさんは、10年前には、スマートフォーンで、今は、仮想現実などの技術が出てきている。まさに技術が破壊的なイノベーションをもたらしている。
Kleinwächterさは、デジタル・エコノミーが進化し、すべてがデジタル化しているという話でした。
このパネルで興味深かったのは、Kaljurandコミッショナーが、サイバー空間安定化グローバル委員会の独自性?をCyCONで強調しているように聞こえたところでしょうか。
彼女は、法律家なので、国際法と政治的規範の違いはわかっていますとして、政治的な規範は、国際法でまだ決まっていないことを決めようとするもの。政治的規範は、政治的規範を守ろうとすることです。経済的インフラをまもろうというシナリオを作成することが、そのようなことです。技術的なコミュニティには、サイバー(空間)安定化とサイバーセキュリティを実現してもらいたいと希望します。ということでした。

ここら辺になると、法と規範の定義になってくるので、具体的には、なんともいえないところです。成文化されたものを法といい、それ以外のものを規範というのは、一つの定義といえますね。実質的法源という用語を用いると、規範意識の伴う国家実行も国際法の一部となるのでしょうから、ほとんど、違いがなくなるのかな、とか思ったりします。難しい問題ですね。

今一つは、Jeffが、サイバーセキュリティの議論の用語が、あまりにも、ミリタリすぎるのではないか、という疑問を呈したところです。「攻撃(attack)」「キルチェーン」「サイバー弾丸(bullet)」とか、あまりにも、用語が軍事的すぎており、実際のサイバー世界で起きていることとは、距離があるのではないか、という疑問でした。
この点は、私も同感なのですが、このパネルでは、具体的な突っ込んだ議論はなされませんでした。

世界各国の軍の関係者において、サイバー作戦の議論がなされており、しかも、その攻撃的な利用についての準備がなされていることは、十分に理解するのですが、個人的には、すべてをその文脈で理解することはできないし、むしろ、バランスを失するのではないかと常々おもっています。国際法的な分析の意味は、十分にあるとは思いますが、国内法の国際法の側面のほうがはるかに実際の問題に関係しているし、むしろ、今後は、国内法と国際法の両次元の出会う部分の研究が一番重要になるのではないかな、と考えています。

あとは、Q&Aになって、Jeffが、共有地の問題を考えないといけないね。コモンズの悲劇とか、ただ乗りの問題があると指摘したのは、本当にそうだなと同意してました。

最後のキーノートは、Wade Shen氏による「情報ドメインと紛争の将来」です。
Sputnikが1957年10月4日に宇宙にいってから、サイバースペースで勝利することは、課題となってきていました。そのためには、
(1)ハックの不可能なシステムを作る
重要システムの交換、構築されていないシステムの利用
(2)攻撃の自動探知
スモール・ボット・ネット テスト、機械学習
(3)レスポンスの自動対応
信頼できるミッションのために自動化
孤立化・損害の最小化が対象になるとされます。
(4)今後
自動的な防衛として、脆弱性の探知と自動的なパッチがなされるようになるでしょう。
とのことでした。

でもって、終了です。来年は、10回目の記念ですというコメントがなされて、また、来年もあいましょうということで解散。来年のテーマは、発表されませんでした。
ペーパーに載るくらいの論文がかけるといいなあとか思ったりします。

ということで、解散。

広場に遊びに行ったら、ガールズバンドがライブをやっていました。すこし、寒かったので、きれいな脚は、コートで隠されていました。

ターミナルDから、ヘルシンキに向かいます。

CyCon2017 travel memo 8) Day2 午後の部 その1

Da2の午後は、”Emerging International Law Applicable to Cyberspace”という法律セッションです。

Mr. Sean Kanuck氏は、サイバー空間安定化グローバル委員会のリサーチ・アドバイザリグループの議長ですが、 ‘The Core of Defending Cyberspace: Legal Limits Emerge from Strategic Reality’というタイトルで話をしました。サイバー空間安定化グローバル委員会というのは、ジョゼフ・ナイの記事のエントリでもふれたのですが、UN GGEのサポートだそうです。Day3の午後から、会議をタリンで開くということで、関係者が、CyCONと掛け持ちです。

世界範囲での脅威の評価という国家インテリジェンスの役割が、重要であり、歴史的な文脈での理解が必要であるといいます(宇宙法と同様。そして、平時においても、戦時と同様に攻撃的な能力が、必要であるといいます。これに対する規範は、ジュネーブ条約であって、ハーグ条約ではないです。重要となっている概念の傾向は、介入(Intervention)、産業およびインフラ、間接的、情報のインテグリティであるということができます。
国際司法裁判所は、その規定(statute)38条(1)で「国際法に従って裁判することを任務とし、次のものを適用する。」
a 一般又は特別の国際条約で係争国が明らかに認めた規則を確立しているもの
b 法として認められた一般慣行の証拠としての国際慣習
c 文明国が認めた法の一般原則
d 法則決定の補助手段としての裁判上の判決及び諸国の最も優秀な国際法学者の学説。
としているのですが、規範的なものと積極的な実行とのジレンマがあります。

これらのものを明らかにするためには、共通の行為(commonality)を明らかにして、実際の問題となるおそれを明らかにして、ルールを提案することによって発展させる必要があります。

Kubo Mačák博士は’From the Vanishing Point Back to the Core: The Impact of the Development of the Cyber Law of War on General International Law’というプレゼンです。昨年、CyCONで、すこし話をした英国の大学の先生です。となりに座ったので、覚えている?と聞いたら、覚えていてくれたので、今年は、いろいろとお話をしました。とにかく、優秀な人です。でもって、プレゼンも最高です。(なお、以下は、むしろ、セッションペーパーからのまとめになります)
このプレゼンのコンセプトは、以下の図であらわすことができます。

「Vanishing Point(消失点)」という表現は、Hersch Lauterpacht卿の「戦争法は、国際法の消失点である」という言葉に由来します。 サイバーセキュリティを検討していくのに際して、ミリタリアプローチから、その外側へと考察が広がっていくことになります。すると、国際法の概念のなかに、いままでの議論が溶けていくような感覚を示している言葉だと理解しました。

そして、この広がりは、システム的、概念的、目的論的(teleological)から、観察することができるとしています。

システム的次元というのは、もともとは、国際法は、戦時の法と、平時の法を峻別するというのでできています。そして、サイバー作戦に対する国際法の検討は、もともとは、戦時の法に関してなされてきています。タリンマニュアルが、戦時の法を主たる領域として、考察していたのは間違いない事実になります。ある意味、米国のミリタリ・プロジェクトを反映していたのです。ところが実態は、当然に、武力攻撃の閾値にいたる攻撃は、ほとんど考察しがたいのです。そこで、実態に則した考察をなしたときに、不介入、主権、国家責任の問題に考察の重点が移ってきました。タリン2.0の重点の移行は、まさにこの次元からのものということができます。

概念的次元というのは、戦時の法から、一般的な国際法へと思想、概念、アプローチの移行を考えることができるということです。国際法におけるサイバー作戦の非物理的な影響に概念化について考えます。文民は、「攻撃」対象には、されないというのが、戦時法の規定になります。では、これがサイバー作戦において、どのような適用がなされるのか、具体的には、この文民「攻撃」禁止の規範が適用される「攻撃」とは、何をいうのか、という問題があるのです。
この点についての一つの説は、「バイオレンス」をもちいることをいう(有形力にこだわらない)という説で、その一方で、ある説は、生命・身体・有体物の破壊をいうとします。タリン・マニュアルにいては、機能テストが採用されています。そして、その結果として、この機能テストが一般的な国際法の概念に対しても適用されるようになってきているのです。

目的論的(teleological)というのは、戦時の法の規制が、一般の原則にも適合しうるのではないかということです。フランスのTV5への攻撃で、TV5は、12チャンネルにわたって、12時間放送ができなかったのですが、攻撃対象の規制から考えて、違法とすべきではないのか、ということになってきています。主権侵害、違法な干渉行為ということもできますが、かかる規制違反から違法とすることもできるのではないか、ということがいえます。

非常に示唆に富むプレゼンかと思います。タリン1.0が「実用的ではないね」というのを、認めた上で、国際法の一般規定とサイバーの関係を明らかにして、今後、戦時の法原則を平時にどのように取り入れるかが、一つのポイントになるだろうということかと思います。デジタル・ジュネーブ条約が、戦時と平時を混ぜてるのではないか、ということを、ここで書いていましたが、ある意味で、今後の国際法とサイバーセキュリティの進む方向として、戦時のルールをもとにした平時のルールの構築ということになるのではないか、というところまで考えさせてくれます。

Peter Stockburger氏の- ‘Control and Capabilities Test: Toward a New Lex Specialis Governing State Responsibility for Third Party Cyber Incidents’ (proceedings paper)
になります。

このプレゼンは、国家責任の成立する場合について、国連の国家責任ガイドラインの解釈が、国家実行のなかで、別のテストに移っているのではないか、という提案になります。
大原則としては、国家は、国際的違法行為(international wrongul act)に対して、責任を負うが、それは、(事実上、もしくは、法的に)国の機関がなした行為に対して責任をおうにすぎません。言い換えれば、単純な私人の行為に対しては、責任を負うことはないのです。しかしながら、一定の場合においては、私人の行為が、国家に帰属することがあると解されています。それは、どのような場合かというのが問題である。特に、サイバーについては、私人が、国家機関と同様の作戦を実行することができることから、この国家責任が成立するのは、いつか、という問題が重要とされています。

私人の行為が、どのような場合に国家の行為と認識されるかという論点についての従来の判断でもっとも代表的なものは、ニカラグア事件についての国際司法裁判所の事件です。また、一般的なものとして国連のILC(国際法委員会)による「国家責任条文」があります 。この第8条は、「もし、私人またはそのグループが、行為をなすにあたり、実際に、国家の指示もしくはコントロールを受けている場合には、彼らの行為は、国家行為と考えられる」としています。一般には、「効果的コントロール」テストといわれています。そして、タリンマニュアルの国際法専門家たちも効果的コントロールテストが、一般ルール(lex generalis)であると認めているのです。

しかしながら、Stockburger氏は、2014年の国家実行(state practice)は、サイバー作戦について、特別ルール(lex specialis)として、「コントロールと能力」テストが採用されているのではないか、と主張しています。「コントロールと能力」というのは、第三者の手法、動機、場所と国家が同様の能力を有しているかで総合判断するというテストといえるようにおもえます(paperでは、明確な定義はない)。
そして、彼は、Sony 2014、Iran2016、Russia 2016/2017、Yahoo breachをこの国家実行としてあげていました。

個人的な意見としては、Sony2014とRussia 2016/2017については、米国政府の認定は、むしろ、国家機関の行為であるという認定だったはずなので、彼の主張は、法的なものとして、独自ではないか、というように考えています。質疑応答の際にも、不明確なテストで広げるのは、賢明ではない、という立場からの質問がなされました。

もっとも、現在の国際法の立場としては、国家のデューデリジェンスの立場から、国家責任が認められるようになってきているので、むしろ、そちらのほうに、関心が移ってきているのではないか、というようにも思いました。

CyCon2017 travel memo 5) Day1 午前の部

Day1です。いよいよ開幕です。と思ったら、今年は、素敵なアカペラでオープニングです。

RSAは、毎回、バンドが登場して、セキュリティ絡みの替え歌を披露してくれて(Roll out some Encryptionなんてのもありました)、いい思い出になるのですが、エストニアは、大人らしく、素敵なアカペラで迎えてくれました。

Svenさんの開幕に続いて、エストニアのH.E. Ms Kersti Kaljulaid大統領のキーノートスピーチです。
昨年までのイルベス大統領は、ボウタイ姿で、キーノートを長めに話し、ついでにパネルにも登場するという大活躍だったわけですが、
(昨年の写真)

Kaljulaid大統領は、ちょっと控えめでしょうか。実業界、経済アドバイザ、ヨーロッパ監査審判所(?)(European Court of Auditors)を経て昨年よりエストニアの大統領です。

大統領は、共通の理解があるとして、サイバー衛生、技術面でのアドバンスの利益をあげます。2016年は、一つの国がほかの国に影響を及ぼした(米国大統領選を示唆?)ということもあげました。また、IoTにより、たくさんのデバイスがつながり、新しい種類のリスクが発生しており、具体的には、電力(ウクライナ発電所の事件)、ヘルスケアなどがあると指摘します。

このような状況のもとで、セキュリティ・バイ・デザイン、eIDを基礎としたセキュリティ、民間企業との連携が重要であると考えています。その上に、国際的に、国際法が重要になると指摘し、法の支配 対 ダークサイドの対立となると指摘しました。

このような状況のもとで、タリン2.0の試み、サイバーレジリエンス、サイバー衛生の重要性を指摘しました。

Sorin Ducaru大使(NATO)は、Raising out Game on MATOと題しての講演です。ポリシの発展を見受けることができ、また、中央NATOネットワーク、NATO防衛プレッジが発表されています。サイバースペースは、独自のドメインとなり、肯定的なマインドセットがポイントとなります。

Paul Nicholas(Microsoft)さんは、Cyber insecurityが見受けられるとして、Digital transformation dilenma(技術の進展によって攻撃が自動化されてより安全ではなくなる状態のようです) があると主張します。 デジタル・ジュネーブ条約の締結を提案します。この条約は、確立された、公平で、包摂的なもので、現状を分析しているところから、より、透明性が加えられるとされています。デジタルサイバー)・ジュネーブ条約については、詳しくは、このブログでは、ここで、検討しています。

Ralph Langner( Langner Communications)さんは、サイバーフィジカルシステムのCIAについてのドクトリンとしての受動的サイバーの力の話をしました。資料は、ここに公開されています。

休憩を挟んで、
Adm. Michelle Howard(提督)のキーノートです。タイトルは、「 リーダーシップと技術のチャレンジ-示唆・機会そして作戦の見地」です。
ちなみに提督は、雰囲気だけで、圧倒されます。

(提督の写真に)https://goo.gl/images/jZArA4

海軍の関係するドメインをこのような図で紹介しました。


それぞれのドメインには、示唆があって
深海は、国際的であること
海上は、光の速度であること
サイバースペースは、「サイバースペース時間」があること
だそうです。 これらの示唆に対する対応が重要であるということでした
次は、サイバーコマンダーパネルです。
Brig Gen Hans Folmer(准将)(オランダ) Lt Gen Ludwig Leinhos(中尉)(ドイツ)です
最初は、ドイツのサイバーポリシで、2016年3月に、サイバー情報技術・サイバー情報ドメインについての推奨事項が公表され、政府の能力を向上させるようにとされました。これを基に、11月に、ドイツのための戦略が交渉され、ときに、軍のインテリジェンス効果の機能を重視することがうたわれているとのことです。具体的に領域としては、重要なエリア・作戦・インテリジェンスがうたわれています。政府のアプローチとしては、サイバーについて関連する図を作成し、作戦指令を行うということだそうです。また、重要な点としては、CISOの責任を重視すること、また、軍にとってはチャレンジになるということだそうです。(ごめんなさい。集中力切れました。これは、ポリシをみてから分析したほうがよさそうです)。
オランダは、サイバードクトリンとして、軍の作戦において利用することができ、いっそう、そのドクトリンが理解されているということです。力を提供するというより、安全を提供しており、その意味で、「延長線」上にあることになる。ただし、サイバーは、「物理ドメインたりうる」ということを説得することは、チャレンジになる。それぞれを理解することが重要であり、人、人、人がポイントである。
サイバー作戦指令ということは、具体的には、まだ、十分ではないということでした。

CyCon2017 travel memo 4) Day 0

午後1時からのworkshopは、”Has the Time Come for a New Generation of National Cyber Security Strategies?”というポリシのセッションにでました。

アジェンダによると、第1世代のnational cyber security strategies (NCSS-s)を概観して、第2世代のNCSSの目標と成果測定を検討してみましょう、ということのようです。

Mr. Luc Dandurand, ITU – ‘Being Strategic About Cybersecurity. ITU, ENISA, NATO CCD COE, ENISA, OECD et al Joint Project, Relevant Findings and Lessons Learned: The Essential Elements of a Second Generation NCSS’

最初の説明は、ITUの「National Cybersecurity Strategy Guide」の説明からです。最終的には、15の組織がこのガイドに参加し、共著の過程と四つのワークショップを経て作成されました。また、存在するものへのインデックスも追加されています。

これは、規範ではなく、さらに発展させる作業が始まっています。作業は、NCSの原則、プロセス、内容の三つの章から成り立っています。あと、資料部分もあります。原則は、ビジョン、包含的であること、経済的社会的繁栄、人権、リスクマネジメンなどです。また、NCSのライフサイクルは、開始、分析、作成、実装開始、モニタリング/評価、から成り立ちます。注目すべきエリアは、ガバナンス、リスクマネジメント、準備/レジリエンスなどです。それらは、成功の度合いを測定するという過程が発生します。

この作業においては、KPIを定めて測定するということが考えられます。NCSでは、ただ4つのみがKPIを準備しています。個別性・測定可能性・達成可能性・対応性が、要素になると考えられます。

注目すべきものとしては、
オーストラリア(2009/2016)
ロシア(ドクトリン2008、戦略 2013/2014)
ブラジル(デクレ 2008、ガイド2010、戦略2013/2015)
で、それ以外には、マルタ、オランダ、ニュージーランド、シンガポール、イギリス、アメリカ合衆国などがあげられました。

より、賢明なKPIの問題があり、その観点からは、トルコ、ミクロネシア、クロアチア、スロバキアなどが例があげられるそうです。
今後の課題としては、
アクションプランを戦略に含めるかどうか。KPIを戦略に含めるかどうか、リーダーシップとして効果的なものは何か、利害関係者へのコンサルテーションが推奨されるのか
ということでした。

感想ですが、サイバーセキュリティ戦略をうたったときに、その戦略の達成度合いを見るのに、KPIというのは、当然の発想としてでてくるよねというのが議論として出てきたのは、自分としては、新鮮でした。日本でも、いろいろな国家戦略がでているけど、KPIは、どうなっているんだろうと、これから、そういう観点でみていくべきかな、という感じです。

次は
Mr. Raul Rikk, E-Governance Academy – ‘Metrics in the National Cyber Security Index Index and How Nations Could Make Use of Them?’
です。これは、エストニアのega(e-Governance Academy )の出しているNational Cyber Security Indexのご紹介です。

これは、インディケーターとして一般、ベースライン、インシデント/クライシス対応、国際影響力の項目をあげて、それぞれ評価して、各国を順位付けしています

ここで調査対象になっている25国は、なかなかに、普段、あまり分析したことがない国が掲載されている点が興味深いところです。
この説明を聞いていて、投資の尺度として、サイバーセキュリティの透明性というのが重視されているのかな、という感じで世界的にみた感じを実感しました。

あと、このようなインデックスとしては、メリッサさんのCyber Readiness Indexプロジェクトが有名で、私もお手伝いしているのですが、それも、世界的にみて投資の一助にするという役割が強かったと思います。国外からの投資を招くということに対する感覚の違い(日本だと、投資がこないほうがいいと実は思っているんじゃないのというのを肌で感じることがあるし)を、思い知らされたというところです。

Dr. Scott J. Shackelford, Indiana University Kelley School of Business – ‘Making Democracy Harder to Hack through National Cybersecurity Strategies’
は、投票機械の機械自体のハッキングの話と、DNCハックのような投票行動に直接影響をあたえるような活動に対する考察の話がでました。投票機械の機械自体のハッキング自体は、いままでに南アフリカ、エストニア、ドイツ、ブラジル、インドなどが起きているということでした。DNCハックの話については、国際法の役割が問題であるという問題提起がなされました。

サイバーピースについての紹介がなされました。この分野では、World Federation of Scientists – Erice Declaration on Principles for Cyber Stability and Cyber Peaceの考察が紹介されました。

休憩を挟んで、
Dr. Joanna Swiatkowska, European Cybersecurity Forum – ‘Poland´s new NCSS: What Has Changed and Why It Needed to Be Changed?’です。

Polandの新しいNCSSの紹介です。新しい戦略は、公共、民間、市民のセキュリティについて、EUの観点から論じたものだそうです。国家のシステムは、運用レベルだとCSIRTが担当しているものの、戦略レベルだと不明額で、それを定義するようにしているようです。また、「能力(Capabilities)」を構築して、増強するようにしています。特に、武力の役割を明らかにして、その実装が論じられており、サイバースペースにおけるフルスペクトラムの実装が論じられています。

また、経済発展(機会-opportunity)に対する脅威としてのセキュリティ脅威を考えているとのことでした。国際的な次元で認識すること、特に、「ハイブリッド」紛争、情報戦争に対するツールにたいしても対抗しうること、アクションプラン、実装の評価、毎年の報告が準備されていることも紹介されました。

ミリタリの全面的な対応、攻撃作戦の準備というのは、世界的にも当然なのがよく分かります。わが国でも、正当な防衛の枠内で、攻撃的な能力をもつのは、当然に許容されているはず(というか、世界的には防衛のための武力行使しか許されないのは、、国連憲章から、同じです)なのに、タブー化されているのは、残念なことです。

Ms.Tanya Collingridge Head of International Cyber Security Team, Foreign and Commonwealth Office, United Kingdom – ‘Defend, Deter, Develop – ‘What the UK Is Doing in Response to Cyber Threats through Its National Cyber Security Strategy’です。

National Cyber Secuirty stratefy 2016-2021のご紹介です。

これは、また、別のときに、このドキュメント自体を分析しないといけないかと思いますが、それはさておき、Joanna氏の説明によると、厳密なマトリックスができており、抑止および防衛(ハードターゲット)が明確になされている点に特徴があるそうです。また、攻撃者の特定における政府の役割の強調:技術的・政治的・法的役割の分析もなされています。

優先事項に関して、エスカレーションがなされることになっており、GCHQ-NCSCが国家インフラと認識されています。ちなみにNCSCは、2016年10月から開始だそうです(29ページ)
報告書をみるとき、アクティブサイバー防衛が原則として、打ち出されている点が特徴といえそうです(33頁)。

「すべての人に対してのモーニングコール」となるという話でした。その一方で、サイバー攻撃能力は、回答にならないだろうというコメントも印象的でした。

ワークショップの最後は、Mr. Jos Leenheer, Senior Policy Coordinator, Cyber Security Department of the National Coordinator for Security and Counterterrorism, the Netherlands – ‘Building the Cyber Dikes: Developing the Netherlands Cyber Security Effort’です

National Cyber Security Strategy の紹介です。
変更点としては、PPP(Public Private participation)、ネットワーク集中、国内的であるときもに国際的、知識と経験のバランス、ビジョンとしてのサイバー衛生、リスクベースのアプローチ、意識-技術だそうです。

ただし、データが不足しており、量的に把握することが困難であること、経済的に評価も困難であることが課題であると報告されました。
今後の活動として、探知-対応-国際的協力-教育・イノベーョシン-予防というサイクルを回すこと、になるそうです。

ということで、集中して聞いた午後のワークショップでした。

CyCon2017 travel memo 2) Day -1

5月29日は、リガの新市内を散歩してユーゲントシュティール建築(アール・ヌーヴォー)を見学にいきました。

リガは、世界遺産登録されているそうです。
まずは、新市内。

Riga Nativity of Christ Cathedralです

でもって、 ユーゲントシュティール建築には、とにかく、圧倒されます。
Albelt通りから。

Strelnieku ielaに移って。

リガのシンボルの黒猫をみるのを忘れていたので、じっくりとみて。

バスで、4時間かけてタリンです。
バスターミナルは、駅からあるいて直ぐの分かりやすいところにあります。プラットフォームの番号を確認(今回は、20番)

して、奥のほうに移動すれば、OK。

バスは、午後2時45分発で、タリンには、午後7時すぎに到着。荷物が大きいのでタクシーでホテル移動。
Original Sokos Viruホテルは、旧市街の前で、高層ビル。(KGBの本部のあったところ)見晴らしのいいお部屋をアサインされました。

CyCon2017 travel memo No.Zero

今回、エストニアのタリンで開催されたCyCON2017に参加してきました。

CyCONは、正式名称は、International Conference on Cyber Conflictといいます。今回は、9回目になります。なんといっても、私は、第1回の会議(当時は、Cyber Security Conference /  Legal & Policy (2009))といっていたから、4回目 (2009、2013、2016、2017)の参加になります。あと、2015には、Law Courses / International Law of Cyber Operations, May( リンク先は、この今年のもの-正式名称が長いので、Legal Boot Campと勝手にいっています)を受講しているので、3年連続で、タリンは、5回目です。

2009 年には、日本人は、私だけだったような気がします(あと、早稲田大学のポーリーン先生も一緒だったです)が、今年は、日本からだけでも20名くらいはいたような気がします。今年の参加者は、全部で600名ほどだそうです

これだけ盛況になり、また、フランチャイズとしてのUS版(CyCON US)もできたのは、なんといっても、サイバーセキュリティに関しての法と政策に関しての最高のレベルの研究会であるということがいえると思います。特に、2009年の研究会で配られたカードに記載されていたスペクトラム対抗措置の図は、私も本当に愛用させてもらっています。当時も、いまもですが、CCDCoEの法律関係の研究者の方々は、本当に優秀な方たちです(女性が多いんですよね)。

でもって、これから、今回の参加記録をじぶんの備忘のためにつけていこうかと思います。

ただ、一ついえるのは、国際会議は、会議自体に参加するだけではなくて、途中にいろいろな国によって観光したり、会議のディナーのあとの飲み会にいったりというのも合わせての国際会議なので、それも含めて、記録しようかと思います。

PS 一つ、CyCON USにいいたいのは、頼むから、CODE BLUEに日程をぶつけないでくれということですね。ここは、英語で書いておきます。

Dear CyCON US organisors, please Do Not “CHASE” CODE BLUE conference date.This year we move to November.But….

サイバーにおける自衛権、武力攻撃、武力行使、対抗措置

そういえば「サイバー攻撃に対抗措置」の記事で、「政府内には、サイバー攻撃に自衛権の行使で対処すべきだとの意見もある」という記載があったので、自衛権について、メモ。

自衛権には、国連憲章に先立つ概念として

(1)領域侵害正当化型自衛権

私人による自国に対する急迫かつ重大な侵害があり、領域国あるいは船舶の旗国による抑止が期待できない場合に、当該領域に進入しあるいは公海上で、みずからに対する侵害を排除すること

(2)戦争・武力行使正当化型自衛権

侵略戦争・侵略行為禁止に対する例外として、防衛のための武力行使を法的に正当化する根拠

の二つの意味があり、国連憲章は、国家間の武力行使を規制しようというものだったので、「領域侵害正当化型自衛権」は、議論さることはありませんでした。

一方、国際的には、ICJニカラグア事件によって、国連憲章2条(4)によって禁止される武力行使は、武力攻撃(憲章51条の正当化根拠)と武力攻撃にいたらない武力行使に区別することが一般化しました。(従わない国あり)

この国際的な整理のアプローチをとるときには、自衛権は、武力攻撃の発生の場合に限定し、それに至らない武力行使に対して、対抗措置をとるという形で整理されることになります。タリン・マニュアル(2.0も)は、基本的にこのような整理のアプローチをとっています。

国際法的には、このような整理をすることができるのですが、その場合の国内法との整合性を確認しておきます。「武力攻撃事態等及び存立危機事態における我が国の平和と独立並びに国及び国民の安全の確保に関する法律」(事態対処法)は、2条1号で「武力攻撃」とは「我が国に対する外部からの武力攻撃」といい、2号において「武力攻撃事態」とは「武力攻撃が発生した事態又は武力攻撃が発生する明白な危険が切迫していると認められるに至った事態」をいうと定義しています。ここで、「我が国に対する外部からの武力攻撃」とは、自衛隊法76条においてもふれられていますが、「わが国に対する外部からの組織的、計画的な武力の行使」をいうと解されています。

でもって、わが国の国内法的には、これらの概念の関係が、どのように整理されているか、ということですが、上述のような国際的な整理(タリン・マニュアル多数説)にあわせて、整理されているように思われます。もっとも、憲章51条の武力攻撃とのレベル(サイバーに関するものとして、シュミットスケールという基準で判断されるのが、実際の通説みたい-国家実行としてはない)の差については、教科書レベルでは、わかりません。

上で、従わない国というのは、米国で、米国は、武力行使(Use of Force)を二つに分けるということを否定して、すべて、自衛権の行使を正当化させる、というアプローチをとっています。

すると、「政府内には、サイバー攻撃で自衛権の行使で対処すべきだとの意見もある」という考え方は、間違いなのか、という問題になります。学説としては、もともとの国家に固有の権利としての自衛権は、上の(1)および(2)の両方があるという立場をとり、しかも、その発動のための要件は、「武力攻撃の発生」に限られるわけではない、という立場も解釈としては成立しうることになります。この立場としては、対抗措置概念は、ほとんど必要がない、ということになり、この政府内の見解の立場の背景は、このような立論ということかと思われます。ただし、問題は、このような整理の仕方が、一般的なのか、ということになるかと思います。

これをまとめるとこのような表にすることができると思います。

 

 

ここで、グレーゾーンという用語を用いていますが、グレーゾーンとは「武力攻撃に当たらない範囲で、実力組織などを用いて、問題に関わる地域において、頻繁にプレゼンスを示したり、何らかの現状の変更を試みたり、現状そのものを変更したりする行為」をいうとされているので、サイバーにおいても、シュミットスケールに該当するような事態を引き起こす場合には、グレーゾーンということができるかと思います。
あと、対抗措置については、武力の行使をなすことができるのか、ということも一つ、問題になるかと思います。兵器を利用した有形力の行使をなしうるか、ということであれば、可能であることはいうまでもありません。定義の部分で明らかなように武力行使に至らないレベルとして比例原則にしたがう限り、許容されることなります。Forceの訳語として武力を当てているわけですが、51条の、正当防衛のレベルの武力と、比例のレベルの有形力の行使とで、訳語を変えないと、正確な理解ができないようにおもえます。(いわゆる、ロスト・イン・トランスレーションというやつですね)

(要は、現行法上は、国際法的には、対抗措置として、兵器を利用した有形力行使をなしうるが、国内法的には対抗措置としての武力の行使をなしうるための根拠法がないという解釈になるかと)

デジタル・ジュネーブ条約

WannaCrypto関係で、「デジタル・ジュネーブ条約」に関して論及されている報道がなされています。

サイバーノームに関して「安全なサイバー空間のための国際規範のあり方」という勉強会も開催されています。また、この点については、MSのBrad Smith氏が、RSAで、解説をしています。

ITリサーチ・アートとしても、サイバー規範については、何回か解説をしているところです。

ジュネーブ条約というのは、
「戦争犠牲者を保護し、戦闘不能になった要員や敵対行為に参加していない個人の保護を目的とした」もので、
「傷病者の状態改善に関する第1回赤十字条約」(1864年8月22日のジュネーヴ条約)
が締結され、その後、1949年に4条約が採択されています。

さらに、1977年に二つの追加議定書が制定され、さらに、2005年には、第三追加議定書(1949年8月12日のジュネーブ諸条約および追加の特殊標章の採択に関する第3追加議定書)が制定されています。
1977年の追加議定書は、サイバーでもよく出てくるので、タイトルを書いておくと、
第1追加議定書
「国際的武力紛争の犠牲者の保護に関し1949年8月12日のジュネーブ諸条約に追加される議定書」
第2追加議定書
「非国際的武力紛争の犠牲者の保護に関し1949年8月12日のジュネーブ諸条約に追加される議定書」
になります(赤十字のサイトを参考にしました)。

ところで、デジタル・ジュネーブ条約は、国家関与の攻撃に関して、民間部門に対する攻撃を規制しようというものです。

この点については、現在の国際法の一般の認識をまず、検討しておかなければならないということになるかと思います。
最初の論点は、平時の法か、紛争時の法か、ということになります。
(攻撃者が、国家関与として国家責任を問いうる場合ですが)

(1)平時の場合
この場合は、対応として、民間による対応か、国家による対応かというのが問題になります。

民間による防衛は、アクティブ防衛の論点になるので、別のエントリを参照ください。国際法的には、デューデリジェンスとの関係も考えることになります。

国家による対応については、まず、武力攻撃に該当するか、というのが問題となります。
それに該当しない場合、基本的な利益(essential interest)に対する重大かつ急迫の侵害(grave and imminent peril)を構成するかによって判断されることになります。

この場合、この点がYesとなった場合に国家による対抗措置が問題となることになります。

(2)紛争時の場合

スミス氏も、きちんと、ジュネーブ条約を紛争時における民間人の保護の問題である、ということを述べています(9分40秒くらい)。

それを、平時の場合に、おいて、同様の発想を展開するというところにこの提案の意義があると考えています。では、そもそも、国家が、基本的な利益(essential interest)に対する重大かつ急迫の侵害(grave and imminent peril)にならないレベルで、サイバー脅威を意図的に行うというのは、どうなるのかということかと思います。

単なる情報取得行為については、国際法は、放任しているということになります。選挙を自らの国家に望ましい結果に変えようとして、議論に影響をおよぼすような行為を行う(プロパガンダを含めて)のは、微妙ですね。

生命・身体に脅威を及ぼすのは、どうでしょうか。民間企業に財産損害を及ぼすのはどうでしょうか。国際的には、違法行為とされるかと思います(まだ、詳しく調べてません)。

デジタル・ジュネーブ条約の提案は、それに対して、事前に、国家間で、条約を締結すべきという提案になります。ここで、具体的な内容をみてみましょう。

 

テクノロジー会社を目標とするな。

民間の努力を支援せよ

ベンダへ脆弱性を報告せよ

サイバー兵器の開発を抑止せよ

サイバー兵器の不活用をコミットせよ

多数イベントとなる攻撃的作戦を制限せよ

国際法での文脈からは、現在の解釈で不明確なところを、事前に決めるべきという提案であるということになります。ただし、平時における定めと紛争時における定めとが、峻別されているのかなという疑問もありますし、どうも平時における規範を考えているみたいなので、ジュネーブ条約というたとえが、望ましいのかは、微妙なところかと思います。

ジョセフ・ナイ サイバーと倫理

読売新聞 2017年5月1日 一面には、ジョセフ・ナイ氏の「サイバーと倫理-国際紛争防ぐ規範必要」という記事(地球を読む)が掲載されています。

この記事は、その背景を知らないと正確に文脈を把握できないものであり、わが国においいては、この分野の研究者がほとんどいないこともあって、解説を試みたいと思います。

まず、論考は、サイバー空間を舞台とする紛争の増大を語ります。DNCハッキング事件、ウクライナの電力システムへの攻撃、スタックスネットが例としてあげられています。これらは、ポピュラーなものということもできますが、攻撃者は、だれか(アトリビューション)という観点からみるとき、国家責任が成立しうる攻撃があげられているということに留意が必要です。

次に、ミュンヘン安全保障会議におけるUN GGE(政府専門家会合)の補完目的での「サイバー空間安定化グローバル委員会」が設置されることにふれられています。

UN GGEの果たしてきた役割とともに、その限界にふれています。さらに、「規範は、本当に国の行動を制限できるのか」という根本的な問題にふれます。

ここで、規範とされているのは、サイバー規範(Cyber Norms)と思われます。規範は、そもそも国際関係において、「 ノームとは、あるアイデンティティを有している行為者の適切な行為の標準をいう」とされています。このサイバー規範は• 望ましい国家実行を支援する望ましいルール•一般に嫌悪されるものに基づいた拒絶ルールとして理解されています。具体的には•リスク低減• 一般の嫌悪• 国際法•共有される価値および利益• 組織的実行の複合したものととらえられているのです。

論考は、サイバー規範は、中国やロシアの提案する国際条約のみで語られるものではないとしています。これは、上記をもとにすれば、当然のことといえるでしょう。

さらに論考は、サイバー規範の議論は、核兵器の禁止、生物化学兵器の禁止などと同等のものとなる可能性を示しています。(「こうした規範的なタブーが将来、サイバーの領域にも適用されるかもしれない」という表現)

個人的には、この部分の表現は、禁欲的な表現であると認識しています。タリン2.0の議論をもとにすれば、サイバー規範のうち、国際法に関する部分は、相当程度、明確化されているということができると思います。確かに、国家の実行という観点からするときに、まだ、規範意識に十分に支えられていないということはいえるかもしれませんが、それが、規範として不十分だということになるとは思えないのです。

ただし、サイバー分野において、ナイ氏は、国際法の議論が、十分に煮詰まっていないことを指摘しています。具体的には、両用ツールの議論、インテリジェンスの違法性の議論をあげています。それゆえに、核管理のような訳にはいかないとしているのです。

こごで、ナイ氏は、「サイバー戦争をもっと効果的な規範で管理する方法は」と戦争という用語を用いています。これは、原文を読ませてもらいたいのですが、conflictの誤訳なのか、そのまま、warという用語を用いているのか、は、興味深いです。どちらにしても、サイバー攻撃の無差別攻撃の禁止やCSIRTへの活動の不干渉が紹介されています。

国家実行・外交交渉等によってサイバー規範が実際に確信をもって、実行されるというのを望む一方で、DNCハッキング事件を例に、「サイバー兵器管理の歩みは、依然、遅々としている」と述べています。個人的には、この事件において、ドメイン・レザメの議論がなされており、それについてナイ氏が「保護されるべき民間基盤」としてふれているのは、とてもおもしろいといえるでしょう。