サイバースペースにおける責任ある国家行為を推進する共同声明

「サイバースペースにおける責任ある国家行為を推進する共同声明」”Joint Statement on Advancing Responsible State Behavior in Cyberspace”がなされています(2019年9月23日)。

参加国は、オーストラリア、ベルギー、カナダ、コロンビア、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ハンガリー、アイスランド、イタリア、日本、ラトビア、リトアニア、オランダ、ニュージーランド、ノルウェー、ポーランド、韓国、ルーマニア、スロバキア、スペイン、スウェーデン、英国、米国です。

でもって、短いので、全文翻訳。
-----
サイバースペースにおける責任ある国家行動の推進に関する共同声明

情報技術は、現代生活を変革し、革新と生産性を促進し、アイデアや文化の共有を促進し、自由な表現を促進しています。その利点は、歴史上、かつてないほどグローバルコミュニティを結び付けました。サイバースペースが市民にもたらした無数のメリットを認識し、人類がそのメリットを享受し続けることができるように努めているにもかかわらず、このビジョンに対する課題が浮上しています。国家と非国家の関係者は、重要なインフラストラクチャと市民を標的とし、民主主義と国際機関と組織を弱体化させ、アイデアを盗むことができないときに世界経済の公正な競争を弱体化させる無責任な行動のプラットフォームとしてサイバースペースをますます使用しています。

過去10年にわたって、国際社会は、国際的な規則に基づく秩序がサイバースペースにおける国家の行動を導くべきであることを明らかにしました。国連加盟国はサイバースペースにおける責任ある国家行為の枠組(フレームワーク)を進化させ、国際的な規則に基づく秩序をサポートし、国家の状態の行動に対する国際法の適用性、平時におけるの責任ある国家行為の自発的規範の順守を確認し、行動、サイバー事件に起因する紛争のリスクを軽減するための実践的な信頼醸成措置を開発し、実装してきました。国連総会のすべてのメンバーは、2010年、2013年、2015年の3つの連続した国連政府専門家グループの報告書に明記されているこの枠組みを繰り返し確認しています。

我々は、国際的なルールに基づく秩序を支持し、国連で進行中のオープンエンドワーキンググループと政府専門家グループによる、その順守、実施、さらなる発展を奨励するというコミットメントを強調する。すべての責任ある国家が、このフレームワークを実装し、重大な破壊的、破壊的、またはその他の不安定なサイバー活動からネットワークをよりよく保護できるように、ターゲットを絞ったサイバーセキュリティ能力構築をサポートします。私たちは、サイバーセキュリティに対処する場合も含め、オンラインでは、オフラインと同様、国家によって人権が適用され、尊重され、保護されなければならないことを繰り返します。

国際的なルールに基づく秩序を支持する責任があると述べているように、私たちは、将来の世代のための、自由で、開かれた安全なサイバースペースの利益を保護することにおける私たちの役割を認識しています。必要な場合には、私たちは自発的に協力して、透明性があり国際法と整合性のある措置を講じることなどを含め、この枠組みに反する行動をとる国に責任を持たせます。サイバースペースでの悪い行動には結果がなければなりません。

すべての国家に対し、進化するフレームワークをサポートし、サイバースペースの説明責任と安定性を高めるために協力するよう呼びかけます。
-----
でもって、どのようにこの声明を読むか、ということがあります。OEWGとGGEが平行しているところに、自由なサイバースペースを唱える西側の価値感に賛同する側が牽制していると読むのかなあ、と考えていたりします。

ちなみに、この報道発表(第1回サイバーセキュリティに関する国連オープン・エンド作業部会会合の開催)も確認しておくといいかと思います。

継続的従事戦略(persistent engagement)について

継続的従事戦略(persistent engagement strategy)について、ちょっと論文を読んでみたので、メモします。この論文は、Michael P. FischerkellerRichard J. Harknettの「継続的従事戦略および暗黙の交渉:サイバースペースの規範構築のための途(Persistent Engagement and Tacit Bargaining: A Path Toward Constructing Norms in Cyberspace)」という論文になります。]

この論文は、2018年のサイバーコマンドビジョンにおける継続的従事戦略を説明することから始まります。

同戦略は、「弾力性、前方防御、競合、反撃をサポートするオペレーションを通じて米国の脆弱性を悪用する能力を否定し、戦略的な優位性を達成一方で、脆弱性を継続的に予測して悪用することにより、敵のサイバースペースキャンペーンを阻止」するものです。

この戦略は、さら国防総省サイバー戦略で発展されて、敵国の悪意あるサイバー活動と日々の競争を通じて競いあうことで、軍事的優位性を維持し、国益を防衛するとしています。

これは、武力紛争時における抑止力というものと、武力紛争の閾値以下の場合における継続的従事によるものとで、サイバースペースの主導権と戦略的優位を維持するとされています。

そして、この Harknettらの論文は、規範をめぐる議論に触れたあと「志を同じくする国家との明示的な交渉を強調するのではなく、サイバースペースで容認できる行動と容認できない行動について異なる見解を持つ行為者との意図的な暗黙の交渉を優先するように方向転換しなければなりません。」といっていて、そのような方向性を支えるのが、継続的従事戦略であると認識しているのです。

そして、明確な合意をめざす交渉は、2017年GGEの失敗にみるように、考え直すことを余儀なくされているのです。

「暗黙の交渉」というのは、Thomas Schellingの提唱した概念ですが、「暗黙の交渉プロセスは、略)「各側は何らかの認識可能なパターンで行動する傾向があるため、実際に観察することによって、行動に対する制限が敵に認識され、相手方が観察している行動の制限を認知しようと試みることになる。」 別の言い方をすると、行動と相互作用の結果として、行動の境界や制限に関する明確性の向上と不確実性の減少、およびそれらがもたらす予測可能性と潜在的な安定性がもたらされる」ことになるとしています。この概念は、サイバースペースによく当てはまり、「私たちが目撃しているサイバー作戦の大部分は、戦争の敷居を下回る暗黙の「合意された競争」として最もよく理解されているようにも思える」としています。

そして、Harknettらは、継続的従事戦略は、敵国と、合意された競争において、許容される/許容されないことについての相互の理解を発展させているように思えるとしています。

これに対して、James N. Miller, Neal A. Pollardは、”Persistent Engagement, Agreed Competition and Deterrence in Cyberspace”でもって、Persistent Engagementについての考察を行っています。

特に、Russian Internet Research Agency’s (IRA’s)が、2018年の米国の選挙にたいして干渉する能力を有していることを指摘したのは、この戦略の一環であるとしています。

この戦略の一つである「前方防衛」のコンセプトについては、私のブログでも触れているところです

法的なアプローチをするものからいえば、明示の合意であろうが、暗黙の合意であろうが、国際法における限界は、合意の有る、なしにかかわらず存在しているので、Harknettらの意味がいま一つ分かりにくいところではあります。

継続的従事戦略についていえば、主権侵害になるレベルとならないレベルが組み合わさっているのかと思います。しかも、それが、継続的すなわち、紛争時であると、平和時であるとをとわないで、なされることが意味があるのかと思います。

主権侵害のレベルを継続的に行うということになると、それは、この戦略の違法性が問題になるように思われます。では、そうなのか、ということを考えると、敵国が、急迫不正行為を行った場合に実効が生じる行為である場合には、それ自体、忍び返し的なもので、正当防衛として正当化されるのかもしれません。また、そのような仕組みでなければ、継続した対抗措置が、サイバー的に変形した姿と位置づけられるのかもしれません。この点は、もう少し、具体的に考えてみたいと思っています。

 

越後湯沢20回目記念祝賀会

木曜日は、とある国際会議で、質問者として会議の深い進行に貢献したあと(?)から、夕方は、越後湯沢に移動して、情報セキュリティシンポジウム越後湯沢20回目記念祝賀会に参加しました。(20回目というのは、1999年、2000年は、開催されなかったからだったと思います)

そのあとは、お約束の部屋飲みで、12時くらいまで、いろいろとお話をしてきました。

でもって、以下は、最初の回のチラシです。この時は、MCさんは、BSNのアナウンサーさんで、テニスが趣味というのを紹介されたような気がします。

記念祝賀会でも、毎年のテーマが紹介されたのですが、それなりに、その時々の情報セキュリティの興味関心の遷移がわかって面白かったです。

 

 

 

 

JNSA「サイバーセキュリティ業務における倫理行動宣言」

JNSAの会員で自己宣言をなす企業の連名で「サイバーセキュリティ業務における倫理行動宣言」が公表されています

内容としては、行動規範と基本指針からなるものです。

行動規範は、安全の向上・安心の醸成、法令等の正しい理解と遵守、技術の向上、製品およびサービスの安全確保、倫理観ある業務の遂行といういわば、5つの原則をあげています。

基本指針は、はじめ、目的と適用対象、リスク管理の考え方、管理策の実施について、から成り立っています。

「倫理行動」の定義がなされているわけではないのですが、まさに、セキュリティの製品・ツールなどは、まさに、ジェダイのフォースよろしく、悪用することも可能なパワーであって、どのようにして、ライトサイドを維持しつづける行動をとるのか、というのは、最大のテーマになるかと思います。

行動規範に則ることが、社会、顧客、そして自ら(企業)を守ることになるというのは、情報社会の発展に貢献するというミッションの基礎になるわけですね。

基本指針は、倫理行動ポリシーの基礎的部分を抜き出したような感じですね。

ポイントは、各企業の活動において、法的リスク・倫理的リスクを洗い出すことができるか、ということかと思います。誰が責任をもってやるのでしょうか。また、そのための具体的な手順は、どのようになるのでしょうか。今後の発展に期待したいところです。

たとえば、企業で、両用可能なマルウエアを調査のために利用していたとして、そのマルウエアが、実際にどのような動作をするのか、というのについて、どの程度分析がなされているのか、そのような分析を調査プロセスにおいてどのように実装していくか、というのは、かなり大変な作業のように思われます。

その一方で、このような作業は、どうしてもコストファクターとなってしまいます。社会の課題としては、このようなセキュリティ企業にかかっていくコストをいかに減少させることができるのか、インセンティブをどのように作っていくのか、ということだろうと思います。

特に法執行機関は、不透明な解釈によってセキュリティ業界に萎縮的効果を与えていないのか、というのは、留意してもらいたいところだと思います。個人的には、両用のソフトについては、法執行機関が、起訴にあたってのガイドラインを事前に明らかにする、ということをしていたとしても、かまわないのではないか、とくらい考えています。

無線通信干渉とサイバー兵器(?)

「イランのドローンを撃墜、米海兵隊のエネルギー兵器「LMADIS」の威力」という記事がでています。

記事を読んでいくと、これが、「エネルギー兵器」なのか、という感じがします。「妨害電波を発して、飛行体とその操縦元との間の通信を遮断する。」とか、「相手に照準を合わせると、LMADISは同じ周波数の電波を発してダメージを与える。相当量の「ノイズ」を発生させることで、交信を断たれたと敵方の無人機に思い込ませるのだ。」とか、記載されていて、これって、単なるピン・ポイントのジャミングなんじゃないのとか、いう感じがします。エネルギー兵器って、普通は、「指向性のエネルギーを直接に照射攻撃を行い、目標物を破壊したり機能を停止させる兵器」って定義されるので、ジャミングは、エネルギー兵器ではないですね。

それはそれとして、これを日本で購入したとして、日本国内法的に、電波法は、別として、どのような位置づけになるのと考えてみました。自衛隊なので、自衛隊の活動と、このような機器の利用が、法的に、どのように位置づけられるのか、ということですね。多分、自衛隊法とこのような機器の位置づけというのは、いままでになされていないような気がします。

というか、このような機器は、法的に、どのように位置づけられるのでしょうか。

「武器」というのは、法的な用語としてあります。警察官職務執行法7条は、武器の使用を認めています。ここで、武器というのは、「主として人の殺傷の用に供する目的でつくられた道具で現実に人を殺傷する能力を有するものをいう」をいうと解釈されています(古谷洋一編著「注釈 警察官職務執行法(四訂版)」(立花書房、2018)371頁。それでもって、自衛隊についていえば、職務遂行のための武器使用と、自然権的武器使用とがあるそうです(「日本の防衛法制」211頁)。前者においては、警察官職務執行法が準用されているので、それで、武器使用が正当化されることになりますね。

では、このようなジャマーは、武器なのか、というと、別にそれ自体、人を殺傷できないので、「武器」とはいえないでしょう。ほかに法的にどうなのか、というと、警察官職務執行法では、「制止」という行動があります。この「制止」というのは、「犯罪が行われようとするのを実力で阻止することをいう」とされています。この制止には、「一般的には、身体の一次的拘束、凶器の取り上げ等の措置が含まれるとされている。」となります。これは、犯罪者の身体に対する影響であって、引き留めのため警棒を肩に宛てる行為、放水車による放水、催涙ガス・催涙液を使用して制止する行為などが含まれるとされています。

もし、この「制止」という概念に該当すると、「「警察官は、犯罪がまさに行われようとするのを認めたときは、その予防のため関係者に必要な警告を発し、又、もしその行為により人の生命若しくは身体に危険が及び、又は財産に重大な損害を受ける虞があつて、急を要する場合」に限って、この措置が利用可能になりますね。

では、このような「無線通信干渉」って、どうなのでしょうか。警察官職務執行法としては、「制止」よりも、犯罪行為者への強制効果(?-coercive effectという感じ)は、さらに弱いでしょう。そうはいっても、犯罪者といえども、その通信は、保護されているはずなので、警察官職務執行の上では、法的に保護される意味があるはずですね。上のような制止レベルを求めるのか、それとも、犯罪にたいしてならば、いつでも、干渉をなしうるのか、ということになりそうです。

無人機等飛行禁止法は、これを立法論的に解決しています。

警察官は、小型無人機等の飛行が行われていると認められる場合には、当該小型無人機等の飛行を行っている者に対し、当該小型無人機等の飛行に係る機器を対象施設周辺地域の上空から退去させることその他の対象施設に対する危険を未然に防止するために必要な措置をとることを命ずることができる

命ぜられた者が当該措置をとらないとき、その命令の相手方が現場にいないために 当該措置をとることを命ずることができないとき又は同項の小型無人機等の飛行を行っている者に対し当該措置をとることを命ずるいとまがないときは、警察官は、対象施設に対する危険を未然に防止するためやむを得ないと認められる限度において、当該小型無人機等の飛行の妨害、当該小型無人機等の飛行に係る機器の破損その他の必要な措置をとることができる(同法10条1項、2項)。

この場合の「機器の破損その他の必要な措置」というのにジャミングが含まれるのは、国会審議でも認められているところですね

要件を比較した場合に、「財産に重大な損害を受ける虞があつて、急を要する場合」というまではなくて、「対象施設に対する危険」の未然防止で足りることになります。(私には、無人機等飛行禁止法の要件のほうが、すこし緩いように見えます)

でもって、空港の施設管理者は、どうか、というと、航空法は、警察官の権限については、ノーコメントで(管轄からいえば、当然なのですが)、平成三十二年東京オリンピック競技大会・東京パラリンピック競技大会特別措置法(平成二十七年法律第三十三号)31条2項において、小型無人機等飛行禁止法9条1項または3項本文の規定に違反して、小型無人機等の飛行が行われる場合には、

当該施設における滑走路の閉鎖その他の当該施設に対する危険を未然に防止するために必要な措置をとるものとする。

とされています。自ら、ジャミングできるのか、というのは、不透明な感じですね(理屈からいけば、自己の財産や航空機の安全な運行に対する正当防衛は、いけるはずですが)。では、警察官にジャミングを要請した場合に、制止として、この「財産に重大な損害を受ける虞があつて、急を要する場合」まで求められるのか、というのは、問題なのではないか、と思います。

要は、通信を用いてコントロールする有体物による犯罪に対する、その通信に対する干渉に対して、「制止」に限らず、「干渉」などの概念を設けて、警察官職務執行の要件を緩和するべきなのではないか、という感じをもっています。

また、その場合の干渉のための機器について、電波法の問題をクリアする規定(自衛隊法112条(電波法の適用除外))的なものを考えてもいいのではないか、という感じをもっていたりします。

 

ドローン攻撃への対策の分類と実際

ドローン攻撃への対策という表現を使いましたが、米国では、対無人航空機システム(COUNTER-UASシステム)という名称のもとで、

対無人航空機システム(COUNTER-UASシステム)という用語は、無人航空機または無人航空機システムの制御を合法かつ安全に無効化、中断、または捕捉できるシステムまたはデバイスを意味する

とされています(合衆国法典44801条(5)-これは、2018年FAA再授権法341条(a)によります)。同法は、こちらです

この手法については、FAAの技術的覚書があります

具体的な仕組みとしては、大きくは、探知と防御にわけられることになります。

探知

これは、無人航空機自体の場所およびその操作者がどこにいるかを明らかにするものです。

レーダー

具体例としては、「「セコム・ドローン検知システム」を発売

無線受信機(RF)

具体例としては、「電波探知妨害装置」

音響センサー(acoustic sensor)

具体例としては、パナソニックシステムネットワーク 「ドローン検知システムの受注を開始」

視覚センサー

などがあります。

防御

これは、実際に悪意ある無人航空機から、安全を守るために種々の行為をおこなうものをいいます。

ジャミング

Drone gun(https://youtu.be/fpmVTbBB0Qc

Skyfence(https://youtu.be/1N4EgtL08MQ

なりすまし(GPS信号)

ハッキング

Maldrone (https://youtu.be/5SlWdl4ZuAI

物理的捕獲

DroneCatcher(https://youtu.be/zepmZ574Wjw)

Skywall(https://youtu.be/M6tT1GapCe4)、

鷲による捕獲(https://youtu.be/Vd00zh4NGcc)

破壊(レーザー照射など)

Atena(https://youtu.be/hNsUtZmWgdg

などがあります。

あとは、興味深いのは、

槍に(https://youtu.be/QRmhdQB8YRw?t=266)、野球のボール(https://youtu.be/kwQ7LpkJLPM)ですね。

レーダーと無線による方式は、電波を利用するので、電波法の秘密の保護の解釈で、傍受した電波の通信内容を防御に利用するということで窃用に触れそうです。なので、正当業務行為という形で、違法性阻却になる、ということかと思います(電気通信事業法の「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」参照ですね。)

 

 

 

 

 

ドローン攻撃への対策研究

防衛省がドローン攻撃の対策研究を強化へというニュースがでています

法的な話としては、飛行禁止空域(航空法132条)や飛行禁止区域(小型無人機等飛行禁止法3条ないし6条)が定められていています。

そして、たとえば、これらの区域等で、実勢に無人機等を飛行させたりしていると、小型無人機等飛行禁止法10条1項(改正後)では、

当該小型無人機等の飛行を行っている者に対して、危険を未然に防止するために必要な措置をとることを命ずることができるとするとともに、命令に応じない場合等においては、警察官は、対象施設に対する危険を未然に防止するためやむを得ないと認められる限度において、当該小型無人機等の飛行の妨害、当該小型無人機等の飛行に係る機器の破損その他の必要な措置をとることができる

とされています。

ここで改正といっているのは、小型無人機等飛行禁止法が、改正されており、今年の6月13日から施行されています。新旧対照条文は、こちらです

それで、防衛省周りの規定としては、改正後の同法10条3項で

前二項の規定は、皇宮護衛官及び海上保安官並びに第二条第一項第三号に掲げる対象施設を職務上警護する自衛官の職務の執行について準用する。 この場合において、当該自衛官の職務の執行については、 第一項中「小型無人機等の飛行が」とあるのは「小型無人機等の飛行 (当該自衛官が職務上警護する対象施設に係る対象施設周辺地域の上 空において行われるものに限る。)が」と、「対象施設周辺地域」と あるのは「当該対象施設周辺地域」と、前二項中「対象施設に」とあ るのは「当該対象施設に」と、「できる」とあるのは「できる。ただ し、当該対象施設及びその指定敷地等並びにその上空以外の場所及び その上空における当該自衛官の職務の執行にあっては、警察官(海域 及びその上空における当該自衛官の職務の執行にあっては、警察官及 び海上保安官)がその場にいない場合において、防衛大臣が警察庁長 官(海域及びその上空における当該自衛官の職務の執行にあっては、 警察庁長官及び海上保安庁長官)に協議して定めるところにより、行 うときに限る」と読み替えるものとする

と定められています。

そこで、警察官がその場にいない場合において、防衛大臣が警察庁長官に協議して定めるところにより、行 うときに限るという限定がなされますが、当該小型無人機等の飛行に係る機器の破損その他の必要な措置をとることができるようになったわけです。

そこで、研究し、予算執行ということにいたったものかと考えられます。

では、対ドローンのための仕組みは、どのように分類されるのか、ちょと面白いページも見つけたので、次のエントリでふれることにします。

 

 

公表前の脆弱性の報道を考える

JNSAセキュリティしんだんに私の「公表前の脆弱性の報道を考える」という小論が公表されています。

内容については、上の記事を参照いただきたいと思います。JNSAの記事ということで、自分の考えを決論として明らかにするということは、避けたところになります。

逆に自分が、報道機関の側であったならば、どのようにしただろうか、という疑問があります。悩ましい問題ではあります。

「情報システム等の脆弱性情報の取り扱いにおける法律面の調査 報告書改訂版」では、まず、最初に、「脆弱性の公表」と表現の自由という大原則をあげています。報道機関の報道は、まさにそのような原則のもとにあることを前提に考えることになります。

触れた16時5分の記事は、こちらになります

そのあと、具体的に、実際の脆弱性について分析された記事がでています。

16時5分の記事をみる限り、具体的な攻撃のための条件が明らかになっているとはいえません。この記事を見て、この部分に脆弱性があるはずだとして、攻撃者が、探すことによって、どのくらい悪用されうるのか、という可能性については、私としては、評価することはできませんが、現実としては、高いものとはいえないかなあと考えています。そうだとすると、やはり大原則の表現の自由の保護を考えるべきとなるかと思います。

このように考えたときに、取扱規定的には、脆弱性を第三者への開示ということは、状況に応じて具体的に考えられると解釈されて、報道機関が、攻撃のための条件を明らかにしたり、攻撃しうる部分を特定しうるような情報を公表する場合は該当するが、そのような要素がない場合には、「脆弱性の第三者への開示」とはいえない、ということになるのかなあ、と思います。

当たり前ですが、上の見解は、単に私の見解です。取扱規定に関する経済産業省、IPA、その他の組織との公式見解とは全く関係がございません。

勝手に暴露されちゃった「Zero-day」(?)

対応時間ゼロ 勝手に暴露されちゃった「zero-day」」という記事がでています。

「勝手に」というと、協調された開示の仕組みを完全に無視して、公表してしまったのか、というようにみえますが、「Androidのゼロデイの脆弱性は、事前にGoogleには知らせていたものの、ZDIが独自に定めた期限までに対策パッチが公開されなかったので、情報公開に踏み切ったという。」とのことなので、Googleにたいして、通知はしていたようです。

アドバイザリのページをみていくと、数回、修正の要求を出したにも関わらず、具体的な修正の日時を特定し得ないという返事がきたので公開したという経緯に見えます。

協調された開示の仕組みという表現をしましたが、責任ある開示ともいわれています。記事としては、「脆弱性の「責任ある開示」を他業界でも、マカフィー担当者に聞く」という記事があります。後述の法律面の報告書(改訂版)では、1頁でふれています

わが国では、「情報セキュリティ早期警戒パートナーシップ」が、2004年に整備され、独立行政法人 情報処理推進機構、一般社団法人 JPCERT コーディネーションセンターなどによって運営されています 。

このパートナーシップの運営にあたって生じる問題点等は、「情報システム等の脆弱性情報の取扱いに関する研究会」のもとで、検討され、その検討の結果が、パートナーシップのガイドラインに反映されています。

現在は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」に基づいて、ガイドラインによって協調された開示の実務が動いているという感じでしょうか。(経緯については、法律面の報告書(改訂版)2-4頁でふれています)

なお、私自身も、この早期警戒パートナーシップの元となっている考え方、また、実際にいろいろと生じるであろう問題点などについて法的な立場から、解説を試み、それが公表されています(情報システム等の脆弱性情報の取り扱いにおける法律面の調査 報告書改訂版

タイトルの記事の話に戻ります。早期警戒パートナーシップにおいては、具体的な対応のための期限は決めていません。発見者は、1年を経過した場合に、情報非開示以来の取り下げを求めることができるという仕組みになっています。

それに対して、一定の期限を区切って、それでも、セキュリティパッチがでなければ、それを公開するという方針も採用されています。

ProjectZeroは、90日がデッドラインですね。Hacker one だと30日がデフォルトです

平均日数については、記事がでているところでもあります

発見者としては、開発者と良好なコミュニケーションのもと、できる限り、早急に対応してもらいたいところですが、いろいろな利害関係もあり、非常に悩ましいところでもあります。

なので、合理的な期間を設定して、これに間に合わなかった場合、そして、それで公開した場合について、「勝手に」と評価されるのか、というと、ちょっと、違和感を感じたというところが、本当のところでしょうか。

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(2 武力紛争時)

2 武力紛争の文脈におけるサイバー作戦への適用しうる国際法

です。キーメッセージのあと、

武力紛争の状況では、サイバースペースは、それ自体、海、空、または宇宙におけると同様に対立の空間です。
この新しい形態の紛争に対応するために、国防省はデジタルディメンションを軍事作戦に完全に統合しています。 攻撃的コンピューター戦闘(LIO)は戦略的なレベルの能力ですが、戦術的には、効果を、従来の武器の効果と組み合わせる武器でもあります。
サイバー兵器は複雑なので、国際人道法(IHL)を尊重するフレームワークにおいて効果を習得することを必要とします。身体的行為の分野において、計画され、指揮される作戦と同様に、敵対行為の基づく諸原則に適合して、フランス国防省によって、なされます。

というまとめがなされています。

2.1  武力紛争の存在を形作るサイバー作戦

国際的武力紛争(IAC、フランス語CAI)があること、それと非国際的武力紛争(NIAC、CANI)があることに触れられています。

また、サイバー作戦ではあるものの、効果が主権国家の領域のなかで発生すること、が求められていること、つまり、従来の地理的な文脈で議論されることがふれられています。

2.2 武力紛争の文脈におけるサイバー作戦に適用される国際法

サイバー兵器について、目標の両用性とネットワークの接続性があることから、目標決定プロセスには、特定のプロセスを要する、とされています。

2.2.1 サイバー作戦が、国際人権法における攻撃を構成しうること

ジュネーブ条約第1追加議定書49条における攻撃を構成しうること、敵のシステムにたいして、破壊的な活動をする場合、中立化の場合も、すべて、含まれることになります。

フランスは、タリンマニュアルの見解(規則92)とは異なって、物理的な基準にのみ依拠するものではないとしています。フランスは、攻撃の定義を、機器・システムが、一時的にせよ、復旧可能であるにせよ、利用がもはや困難にする場合をいうとしています。

武力紛争の文脈において、フランス軍によるサイバー作戦は、攻撃の定義に該当しないとしています。敵の影響力のあるサイトの改竄は、ジャミングと同一で、国際人権法の規定の対象とはならないと考えています。

2.2.2 敵対行為についての原則の適用

敵対行為についての原則としては、区別原則、均衡性、警告、過度の傷害または無用の苦痛があり、これらは、サイバー作戦に適用されるが、サイバースペースにおける活動の緊急性、標的の両用性、ネットワークの接続性によって適用が困難になっている、とされています。

これらについては、フランスは、物の地位に関する疑義についてのタリンマニュアルの見解には、異議があるとしています。

それ以外については、一般的な説明ですので、ちょっと省略

2.3 中立原則がサイバースペースに適用されること

これについては、中立原則が適用され、中立国は、自分の領域のITインフラが、交戦国に利用されるのを防止しなければなりません。また、交戦国は、中立国のインフラに影響を与えるのを慎まなければなりません。