GCSC スタビリティ報告書 推奨事項

ということで、エグゼクティブサマリのエントリの続きです。

推奨事項

最後に、複数の利害関係者の関与の重要性であることと、、行動規範を宣言することはそうではないという事実の両方をを認識するとともに、委員会は複数の利害関係者モデルの強化、規範の採用と実施の促進、および規範に違反する者の責任(accountable)に焦点を当てた6つの勧告を行います。

具体的には、委員会は以下を推奨しています。

  1. 国家および非国家主体は、抑制を促進し、行動を促すことにより、サイバースペースの安定性を高める規範を採用し、実施します。
  2. 国家と非国家主体は、その責任と限界とに対応して、規範違反に適切に対応し、規範に違反する者が、予測可能で意味のある結果に直面することを確かにします。
  3. 国際機関を含む国家および非国家主体は、スタッフの訓練、能力と能力の構築、サイバースペースの安定性の重要性の共有理解を促進し、さまざまな関係者の異なるニーズを考慮に入れる努力を強化します。
  4. 国家および非国家主体は、規範違反およびそのような活動の及ぼす影響に関する情報を収集、共有、レビュー、および公開します。
  5. 国家および非国家主体は、サイバースペースの安定性を確保するために、関心のあるコミュニティを設立および支援します。
  6. 国家、民間セクター(技術コミュニティを含む)、市民社会が適切に関与し、協議する安定性の問題に対処するために、常設のマルチステークホルダーエンゲージメントメカニズムを確立します。

このレポートの公開は、終わりと始まりの両方を表しています。委員会はその任務を果たしました。ただし、GCSCのメンバーとサポーター、およびその目標をサポートするすべての人々にとって、これらの原則、規範、推奨事項を実装するために必要なハードワークはまだ始まったばかりです。安定性が確保されない場合、サイバースペースの利点が失われるため、始めなければなりません。

GCSC サイバースタビリティ報告 エグゼクティブサマリ

GCSC(サイバースペースの安定性に関するグローバル委員会)が、サイバースタビリティ報告を公表しました(2019年11月12日)

報告書は、こちらです

で、以下は、エグゼクティブサマリーの翻訳です

主要国間の戦略的安定と相対的な平和の25年の期間の終わりに達しました。国家間の紛争は新しい形をとっており、サイバー活動はこの新しく不安定な環境で主導的な役割を果たしています。過去10年間で、国家および非国家主体によるサイバー攻撃の数と巧妙さが増し、サイバー空間の安定性を脅かしています。簡単に言えば、人々や組織は、サイバースペースを安全かつ安全に使用する能力に自信がなくなったり、サービスや情報の可用性とインテグリティが保証されなくなったりします。

このような背景に対して、サイバースペースの安定性に関するグローバル委員会(GCSC)が召集され、サイバースタビリティを推進するための勧告が行われました。まず、7つの要素からなるサイバー安定性フレームワークを特定しました。このフレームワークには次が含まれます。(1)マルチステークホルダーの関与。 (2)サイバー安定性の原則。 (3)自発的規範の開発と実施。 (4)国際法の順守。 (5)信頼醸成措置。 (6)能力開発。 (7)サイバースペースの回復力を確保するための技術的な標準が、オープンに普及し、幅広く利用されること。このフレームワークを定義した後、委員会は、その要素のうちの3つの要素、マルチステークホルダーの関与、原則、規範を徹底的に調査しました。

多くの国際的な合意において、マルチステークホルダーの関与が求められていますが、依然として議論があります。一部の人々は、国際的な安全と安定を確保することは、ほぼ独占的に国家の責任であると信じ続けています。ただし、実際には、サイバー戦場(つまり、サイバースペース)は、主に非国家主体によって設計、展開、運用されており、サイバースペースの安定性を確保するために、彼らの参加が必要であると考えています。さらに、多くの場合、非国家主体がサイバー攻撃に最初に対応し、さらに、それを起因ともなりうるため、その参加は避けられません。

委員会は、これらの非国家主体はサイバースペースの安定性を確保するために重要であるだけでなく、原則にもとづいて規範に拘束されるべきであると結論付けました。 4つの原則はこの見解を反映しており、すべての関係者が責任を持ち、抑制を行い、行動を起こし、人権を尊重することを求めています。

  • 責任:誰もがサイバースペースの安定性を確保する責任があります。
  • 制限:国家または非国家主体は、サイバースペースの安定性を損なう行動をとるべきではありません。
  • 行動要件:国家または非国家の関係者は、サイバースペースの安定性を確保するために合理的かつ適切な措置を講じる必要があります。
  • 人権の尊重:サイバースペースの安定性を確保するための努力は、人権と法の支配を尊重しなければなりません。

これらの原則に基づき、委員会は、他者の仕事を補足し、重複することのないようにし、8つの規範を作成しました。これらは、サイバースペースの安定性を確保し、以前に宣言された規範の技術的懸念またはギャップに対処するために設計されたものです:

  1. 国家および非国家主体は、インターネットのパブリックコアの一般的な可用性またはインテグリティ、ひいてはサイバースペースの安定性を意図的かつ実質的に損なう行為を行ったり、故意に許可したりしてはなりません。
  2. 国家および非国家主体は、選挙、国民投票、または投票に不可欠な技術インフラストラクチャを混乱させる(disrupt)ことを目的としたサイバー作戦を追求、支援、または許可してはなりません。
  3. 国家および非国家主体は、開発および生産において製品やサービスを改ざんしたり、サイバースペースの安定性を大幅に損なう可能性がある場合は改ざんを許容してはなりません。
  4. 国家および非国家主体は、ボットネットとして、または同様の目的で使用するために、一般公共のICTリソースを指示すべきではありません。
  5. 国家は手続き的に透明なフレームワークを作成して、情報システムおよび技術において認識されている公に知られていない脆弱性または欠陥を開示するかどうか、いつ開示するかを評価する必要があります。デフォルトの推定値は開示を支持すべきです。
  6. 製品およびサービスにサイバースペースの安定性が依存する場合、それらの開発者および生産者は、(1)セキュリティと安定性を優先し、(2)製品またはサービスに重大な脆弱性がないことを保証するための合理的な措置を講じ、(3)後で発見された脆弱性に対して、タイムリーに対策を講じ/その過程で透明性を図る手段をとる必要があります。すべての関係者は、悪意のあるサイバー活動を防止または軽減するために、脆弱性に関する情報を共有する義務があります。
  7. 国家は、基本的なサイバー衛生を確保するために、法律や規制を含む適切な措置を実施する必要があります。
  8. 非国家主体は攻撃的なサイバー作戦に従事するべきではなく、国家主体はそのような活動を防止すべきであり、また、発生した場合には対応すべきです。

電波法の「秘密の保護」と「空港にドローン見逃さない」

「空港にドローン見逃さない」という記事がでています。読売新聞(令和元年11月9日 朝刊)(オンラインは、読者限定です)。

趣旨は、国土交通省は、「ドローンが発する電波を検知して位置を特定し、監視画面に表示する」仕組み(推定)のシステムを導入する予定ということです。

でもって、電波の関係になると、電波法59条の秘密の保護(通信の秘密という人もいる)の規定との関係について考える必要があります。

電波法59条は、

何人も法律に別段の定めがある場合を除くほか、特定の相手方に対して行われる無線通信(電気通信事業法第四条第一項又は第百六十四条第三項の通信であるものを除く。第百九条並びに第百九条の二第二項及び第三項において同じ。)を傍受してその存在若しくは内容を漏らし、又はこれを窃用してはならない。

となっています。これは、電気通信事業法において、積極的な取得が禁止されているのと比較した場合に、構成要件に該当する行為が、「傍受してその存在若しくは内容」

を「漏らし」(漏えい)と「窃用」の二つに限定されているというのが興味深いところにあります。(これは、私のブログでも何回か触れていますね。代表例をご紹介

ところで、「ドローンが発する電波を検知して位置を特定し、監視画面に表示する」って、「窃用」になるんじゃね、みたいな見解が、霞が関のとあるビル(×○階)からでてくる可能性があるように思えます。

「窃用」は、「正当な理由なく発信者または受信者の意思に反して利用すること」になります。(平成16年04月13日 衆議院 – 総務委員会 – 13号有冨政府参考人(総務省総合通信基盤局長) 発言)

無線通信を傍受するのは、(電気通信事業者の取扱にかかるものでないかぎり)刑事罰が課されることはありまん。

でもって、空港管理者は、小型無人機等が、空港の飛行禁止空域を飛行していないか、把握するべき義務があるということになるかと思います。

関連する法律を見てみましょう。

平成三十二年東京オリンピック競技大会・東京パラリンピック競技大会特別措置法(平成二十七年法律第三十三号)30条では、

国土交通大臣は、空港法(昭和三十一年法律第八十号)第4条第1項各号に掲げる空港のうち、大会の選手その他の関係者の円滑な輸送を確保するためにその施設に対する小型無人機等の飛行による危険を未然に防止することが必要であると認めるものを、対象空港として指定することができるとされている(同1項)。

となります。そして、同法31条2項では、

 前条第一項の規定により対象空港として指定された施設の管理者は
、前項の規定によりみなして適用される小型無人機等飛行禁止法第九
条第一項又は第三項本文の規定に違反して小型無人機等の飛行が行わ
れていると認められる場合には、当該施設における滑走路の閉鎖その
他の当該施設に対する危険を未然に防止するために必要な措置をとる
ものとする。

となっています。空港の施設管理者は、「違反して小型無人機等の飛行が行わ
れていると認められる場合」には、「危険を未然に防止するために必要な措置をとるものとする。」となっています。

ここで、「違反して小型無人機等の飛行が行われていると認められる場合」には、となっているのが、認めるためになす行為が前提となっているので、無線傍受の結果を利用するのは、当然だろうと個人的には思います。

そもそも、「法執行機関が適法に取得した情報の内容を確認する行為について、押収書類の内容を確認するのと同一であることから、特段、別個に令状はいらないというのは、異論のない」ところなので、それと同様に適法に取得した情報の内容を自己の業務のために利用するのは、当然に「正当な理由」があるものと考えられます。(細かくいうと、自己または他人の利益のためではなく、公共の利益のために利用しているのだ、というべきだと思います)

ところで、「危険を未然に防止するために必要な措置をとる」というところで、空港管理者は、みずから、ドローン捕獲ネットやらジャミングガンを使えませんか、という問題があるかと思います。条文上「滑走路の閉鎖その他」という例示行為で限定されているところをどう考えるかという問題です。この点については、他の国の状況などをも調べて、バランスのいいところを考えるべきかと思います。

あとは、脱線ですが、電波法は、きちんと「窃用」という用語を使っています。電気通信事業法には、ない用語なので、これが設けられた経緯を調べることができると、また一つ、数奇な運命をたどることができるかもしれません。

----

なお、私は、無法協(無線法律家協会)メンバーでありますが、上の見解は、無法協とは一切関係のないコメントであることをお断りしております。(電波法がいかにIoT時代に重要かというのを議論できる新規会員募集中です)

 

「関西空港にドローン?」と空港の施設管理者の排除措置の法的位置づけ

「関西空港にドローン?」という記事がでています。

この場合に、空港の施設管理者は、何ができるのか、というのを法的にみていくことにします。

まず、記事的には、「航空法に基づき、空港滑走路付近でのドローンの飛行は禁じられている」とされています。

航空法の規定については、飛行禁止空域の規定、飛行の方法の規定が適用されます。

同法132条(飛行の禁止空域)は、「何人も、次に掲げる空域においては、無人航空機を飛行させてはならない。ただし、国土交通大臣がその飛行により航空機の航行の安全並びに地上及び水上の人及び物件の安全が損なわれるおそれがないと認めて許可した場合においては、この限りでない。
一 無人航空機の飛行により航空機の航行の安全に影響を及ぼすおそれがあるものとして国土交通省令で定める空域
二 前号に掲げる空域以外の空域であつて、国土交通省令で定める人又は家屋の密集している地域の上空」と定めています。

具体的な、飛行の禁止空域のイメージは、こちらになります。
国土交通省「無人航空機の飛行の許可が必要となる空域について」

ですが、まさに今は、ワールドカップ期間中ですので、「「平成三十一年ラグビーワールドカップ大会特別措置法」17条に基づき、指定された期間中は、対象空港においては全ての小型無人機等の飛行が原則禁止となっています。もっとも、対象の空港は、新千歳空港、成田国際空港、東京国際空港、中部国際空港、関西国際空港、福岡空港、大分空港ですから、関西空港は、これには、入らないわけです。

これが指定空港だとすると、空港の管理者は、法的に、何ができるのだろう、ということになります。

「ラグビーワールドカップ大会特別措置法」18条において、上の対象空港は、小型無人機等飛行禁止法の対象施設とみなされます(同法18条)。18条2項は、

対象空港として指定された施設の管理者は、前項の規定によりみなして適用される小型無人機等飛行禁止法第九条第一項又は第三項本文の規定に違反して小型無人機等の飛行が行われていると認められる場合には、当該施設における滑走路の閉鎖その他の当該施設に対する危険を未然に防止するために必要な措置をとるものとする。

と定めています。

たとえば、この飛行禁止の定めに反して、飛行している無人機にたいして、どのような対応がとれるのか、という問題がでてきます。

警察官は、小型無人機等飛行禁止法10条で、

小型無人機等の飛行が行われていると認められる場合には、当該小型無人機等の飛行を行っている者に対し、当該小型無人機等の飛行に係る機器を対象施設周辺地域の上空から退去させることその他の対象施設に対する危険を未然に防止するために必要な措置をとることを命ずることができるともに、命ぜられた者が当該措置をとらないとき、その命令の相手方が現場にいないために 当該措置をとることを命ずることができないとき又は同項の小型無人機等の飛行を行っている者に対し当該措置をとることを命ずるいとまがないときは、警察官は、対象施設に対する危険を未然に防止するためやむを得ないと認められる限度において、当該小型無人機等の飛行の妨害、当該小型無人機等の飛行に係る機器の破損その他の必要な措置をとることができる

という権限を有しています。この「飛行の妨害、当該小型無人機等の飛行に係る機器の破損その他の必要な措置」は、国会審議において「警察においては、対象施設等の上空を違法に飛行しているドローンを発見した場合において、当該ドローンの退去等を命じることができないときは、ジャミング装置、迎撃ドローン、ネットランチャー等の資機材を活用するなどして、違法に飛行するドローンによる危害を排除することとしております。」という回答がなされています(河野政府参考人(第198回国会 内閣委員会 第12号(平成31年4月12日(金曜日)))http://www.shugiin.go.jp/internet/itdb_kaigiroku.nsf/html/kaigiroku/000219820190412012.htm)。

これと、「滑走路の閉鎖その他の当該施設に対する危険を未然に防止するために必要な措置」というのは、どのような違いがあるのか、ということになります。民法的には、空港管理者には、妨害排除請求権もあるし、相当性・必要性あれば、自力救済として、一定の実力行使も認められそうです。しかしながら、これらの用語の違いは、空港管理者による実力の行使を排除しているようにも読まれかねません。その一方で、実力の行使を当然に認めるということになるのか、という問題もあるでしょう。どのようにして、バランスをとるのか、ということが問題になりそうです。また、このための空港管理者のなしうる措置としては、上のジャミングなどの電波的な手段(その意味では、サイバー的な手法でしょうを用いることになるかと思います。サイバー的な手法でもって、場合によっては、違法な無人機を乗っ取ってまで、防衛するということも考えられます。民間主体によるアクティブサイバー防衛なのかもしれません。IoTの防衛ということになるかもしれませんが。

サイバースペースにおける責任ある国家行為を推進する共同声明

「サイバースペースにおける責任ある国家行為を推進する共同声明」”Joint Statement on Advancing Responsible State Behavior in Cyberspace”がなされています(2019年9月23日)。

参加国は、オーストラリア、ベルギー、カナダ、コロンビア、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ハンガリー、アイスランド、イタリア、日本、ラトビア、リトアニア、オランダ、ニュージーランド、ノルウェー、ポーランド、韓国、ルーマニア、スロバキア、スペイン、スウェーデン、英国、米国です。

でもって、短いので、全文翻訳。
-----
サイバースペースにおける責任ある国家行動の推進に関する共同声明

情報技術は、現代生活を変革し、革新と生産性を促進し、アイデアや文化の共有を促進し、自由な表現を促進しています。その利点は、歴史上、かつてないほどグローバルコミュニティを結び付けました。サイバースペースが市民にもたらした無数のメリットを認識し、人類がそのメリットを享受し続けることができるように努めているにもかかわらず、このビジョンに対する課題が浮上しています。国家と非国家の関係者は、重要なインフラストラクチャと市民を標的とし、民主主義と国際機関と組織を弱体化させ、アイデアを盗むことができないときに世界経済の公正な競争を弱体化させる無責任な行動のプラットフォームとしてサイバースペースをますます使用しています。

過去10年にわたって、国際社会は、国際的な規則に基づく秩序がサイバースペースにおける国家の行動を導くべきであることを明らかにしました。国連加盟国はサイバースペースにおける責任ある国家行為の枠組(フレームワーク)を進化させ、国際的な規則に基づく秩序をサポートし、国家の状態の行動に対する国際法の適用性、平時におけるの責任ある国家行為の自発的規範の順守を確認し、行動、サイバー事件に起因する紛争のリスクを軽減するための実践的な信頼醸成措置を開発し、実装してきました。国連総会のすべてのメンバーは、2010年、2013年、2015年の3つの連続した国連政府専門家グループの報告書に明記されているこの枠組みを繰り返し確認しています。

我々は、国際的なルールに基づく秩序を支持し、国連で進行中のオープンエンドワーキンググループと政府専門家グループによる、その順守、実施、さらなる発展を奨励するというコミットメントを強調する。すべての責任ある国家が、このフレームワークを実装し、重大な破壊的、破壊的、またはその他の不安定なサイバー活動からネットワークをよりよく保護できるように、ターゲットを絞ったサイバーセキュリティ能力構築をサポートします。私たちは、サイバーセキュリティに対処する場合も含め、オンラインでは、オフラインと同様、国家によって人権が適用され、尊重され、保護されなければならないことを繰り返します。

国際的なルールに基づく秩序を支持する責任があると述べているように、私たちは、将来の世代のための、自由で、開かれた安全なサイバースペースの利益を保護することにおける私たちの役割を認識しています。必要な場合には、私たちは自発的に協力して、透明性があり国際法と整合性のある措置を講じることなどを含め、この枠組みに反する行動をとる国に責任を持たせます。サイバースペースでの悪い行動には結果がなければなりません。

すべての国家に対し、進化するフレームワークをサポートし、サイバースペースの説明責任と安定性を高めるために協力するよう呼びかけます。
-----
でもって、どのようにこの声明を読むか、ということがあります。OEWGとGGEが平行しているところに、自由なサイバースペースを唱える西側の価値感に賛同する側が牽制していると読むのかなあ、と考えていたりします。

ちなみに、この報道発表(第1回サイバーセキュリティに関する国連オープン・エンド作業部会会合の開催)も確認しておくといいかと思います。

継続的従事戦略(persistent engagement)について

継続的従事戦略(persistent engagement strategy)について、ちょっと論文を読んでみたので、メモします。この論文は、Michael P. FischerkellerRichard J. Harknettの「継続的従事戦略および暗黙の交渉:サイバースペースの規範構築のための途(Persistent Engagement and Tacit Bargaining: A Path Toward Constructing Norms in Cyberspace)」という論文になります。]

この論文は、2018年のサイバーコマンドビジョンにおける継続的従事戦略を説明することから始まります。

同戦略は、「弾力性、前方防御、競合、反撃をサポートするオペレーションを通じて米国の脆弱性を悪用する能力を否定し、戦略的な優位性を達成一方で、脆弱性を継続的に予測して悪用することにより、敵のサイバースペースキャンペーンを阻止」するものです。

この戦略は、さら国防総省サイバー戦略で発展されて、敵国の悪意あるサイバー活動と日々の競争を通じて競いあうことで、軍事的優位性を維持し、国益を防衛するとしています。

これは、武力紛争時における抑止力というものと、武力紛争の閾値以下の場合における継続的従事によるものとで、サイバースペースの主導権と戦略的優位を維持するとされています。

そして、この Harknettらの論文は、規範をめぐる議論に触れたあと「志を同じくする国家との明示的な交渉を強調するのではなく、サイバースペースで容認できる行動と容認できない行動について異なる見解を持つ行為者との意図的な暗黙の交渉を優先するように方向転換しなければなりません。」といっていて、そのような方向性を支えるのが、継続的従事戦略であると認識しているのです。

そして、明確な合意をめざす交渉は、2017年GGEの失敗にみるように、考え直すことを余儀なくされているのです。

「暗黙の交渉」というのは、Thomas Schellingの提唱した概念ですが、「暗黙の交渉プロセスは、略)「各側は何らかの認識可能なパターンで行動する傾向があるため、実際に観察することによって、行動に対する制限が敵に認識され、相手方が観察している行動の制限を認知しようと試みることになる。」 別の言い方をすると、行動と相互作用の結果として、行動の境界や制限に関する明確性の向上と不確実性の減少、およびそれらがもたらす予測可能性と潜在的な安定性がもたらされる」ことになるとしています。この概念は、サイバースペースによく当てはまり、「私たちが目撃しているサイバー作戦の大部分は、戦争の敷居を下回る暗黙の「合意された競争」として最もよく理解されているようにも思える」としています。

そして、Harknettらは、継続的従事戦略は、敵国と、合意された競争において、許容される/許容されないことについての相互の理解を発展させているように思えるとしています。

これに対して、James N. Miller, Neal A. Pollardは、”Persistent Engagement, Agreed Competition and Deterrence in Cyberspace”でもって、Persistent Engagementについての考察を行っています。

特に、Russian Internet Research Agency’s (IRA’s)が、2018年の米国の選挙にたいして干渉する能力を有していることを指摘したのは、この戦略の一環であるとしています。

この戦略の一つである「前方防衛」のコンセプトについては、私のブログでも触れているところです

法的なアプローチをするものからいえば、明示の合意であろうが、暗黙の合意であろうが、国際法における限界は、合意の有る、なしにかかわらず存在しているので、Harknettらの意味がいま一つ分かりにくいところではあります。

継続的従事戦略についていえば、主権侵害になるレベルとならないレベルが組み合わさっているのかと思います。しかも、それが、継続的すなわち、紛争時であると、平和時であるとをとわないで、なされることが意味があるのかと思います。

主権侵害のレベルを継続的に行うということになると、それは、この戦略の違法性が問題になるように思われます。では、そうなのか、ということを考えると、敵国が、急迫不正行為を行った場合に実効が生じる行為である場合には、それ自体、忍び返し的なもので、正当防衛として正当化されるのかもしれません。また、そのような仕組みでなければ、継続した対抗措置が、サイバー的に変形した姿と位置づけられるのかもしれません。この点は、もう少し、具体的に考えてみたいと思っています。

 

越後湯沢20回目記念祝賀会

木曜日は、とある国際会議で、質問者として会議の深い進行に貢献したあと(?)から、夕方は、越後湯沢に移動して、情報セキュリティシンポジウム越後湯沢20回目記念祝賀会に参加しました。(20回目というのは、1999年、2000年は、開催されなかったからだったと思います)

そのあとは、お約束の部屋飲みで、12時くらいまで、いろいろとお話をしてきました。

でもって、以下は、最初の回のチラシです。この時は、MCさんは、BSNのアナウンサーさんで、テニスが趣味というのを紹介されたような気がします。

記念祝賀会でも、毎年のテーマが紹介されたのですが、それなりに、その時々の情報セキュリティの興味関心の遷移がわかって面白かったです。

 

 

 

 

JNSA「サイバーセキュリティ業務における倫理行動宣言」

JNSAの会員で自己宣言をなす企業の連名で「サイバーセキュリティ業務における倫理行動宣言」が公表されています

内容としては、行動規範と基本指針からなるものです。

行動規範は、安全の向上・安心の醸成、法令等の正しい理解と遵守、技術の向上、製品およびサービスの安全確保、倫理観ある業務の遂行といういわば、5つの原則をあげています。

基本指針は、はじめ、目的と適用対象、リスク管理の考え方、管理策の実施について、から成り立っています。

「倫理行動」の定義がなされているわけではないのですが、まさに、セキュリティの製品・ツールなどは、まさに、ジェダイのフォースよろしく、悪用することも可能なパワーであって、どのようにして、ライトサイドを維持しつづける行動をとるのか、というのは、最大のテーマになるかと思います。

行動規範に則ることが、社会、顧客、そして自ら(企業)を守ることになるというのは、情報社会の発展に貢献するというミッションの基礎になるわけですね。

基本指針は、倫理行動ポリシーの基礎的部分を抜き出したような感じですね。

ポイントは、各企業の活動において、法的リスク・倫理的リスクを洗い出すことができるか、ということかと思います。誰が責任をもってやるのでしょうか。また、そのための具体的な手順は、どのようになるのでしょうか。今後の発展に期待したいところです。

たとえば、企業で、両用可能なマルウエアを調査のために利用していたとして、そのマルウエアが、実際にどのような動作をするのか、というのについて、どの程度分析がなされているのか、そのような分析を調査プロセスにおいてどのように実装していくか、というのは、かなり大変な作業のように思われます。

その一方で、このような作業は、どうしてもコストファクターとなってしまいます。社会の課題としては、このようなセキュリティ企業にかかっていくコストをいかに減少させることができるのか、インセンティブをどのように作っていくのか、ということだろうと思います。

特に法執行機関は、不透明な解釈によってセキュリティ業界に萎縮的効果を与えていないのか、というのは、留意してもらいたいところだと思います。個人的には、両用のソフトについては、法執行機関が、起訴にあたってのガイドラインを事前に明らかにする、ということをしていたとしても、かまわないのではないか、とくらい考えています。

無線通信干渉とサイバー兵器(?)

「イランのドローンを撃墜、米海兵隊のエネルギー兵器「LMADIS」の威力」という記事がでています。

記事を読んでいくと、これが、「エネルギー兵器」なのか、という感じがします。「妨害電波を発して、飛行体とその操縦元との間の通信を遮断する。」とか、「相手に照準を合わせると、LMADISは同じ周波数の電波を発してダメージを与える。相当量の「ノイズ」を発生させることで、交信を断たれたと敵方の無人機に思い込ませるのだ。」とか、記載されていて、これって、単なるピン・ポイントのジャミングなんじゃないのとか、いう感じがします。エネルギー兵器って、普通は、「指向性のエネルギーを直接に照射攻撃を行い、目標物を破壊したり機能を停止させる兵器」って定義されるので、ジャミングは、エネルギー兵器ではないですね。

それはそれとして、これを日本で購入したとして、日本国内法的に、電波法は、別として、どのような位置づけになるのと考えてみました。自衛隊なので、自衛隊の活動と、このような機器の利用が、法的に、どのように位置づけられるのか、ということですね。多分、自衛隊法とこのような機器の位置づけというのは、いままでになされていないような気がします。

というか、このような機器は、法的に、どのように位置づけられるのでしょうか。

「武器」というのは、法的な用語としてあります。警察官職務執行法7条は、武器の使用を認めています。ここで、武器というのは、「主として人の殺傷の用に供する目的でつくられた道具で現実に人を殺傷する能力を有するものをいう」をいうと解釈されています(古谷洋一編著「注釈 警察官職務執行法(四訂版)」(立花書房、2018)371頁。それでもって、自衛隊についていえば、職務遂行のための武器使用と、自然権的武器使用とがあるそうです(「日本の防衛法制」211頁)。前者においては、警察官職務執行法が準用されているので、それで、武器使用が正当化されることになりますね。

では、このようなジャマーは、武器なのか、というと、別にそれ自体、人を殺傷できないので、「武器」とはいえないでしょう。ほかに法的にどうなのか、というと、警察官職務執行法では、「制止」という行動があります。この「制止」というのは、「犯罪が行われようとするのを実力で阻止することをいう」とされています。この制止には、「一般的には、身体の一次的拘束、凶器の取り上げ等の措置が含まれるとされている。」となります。これは、犯罪者の身体に対する影響であって、引き留めのため警棒を肩に宛てる行為、放水車による放水、催涙ガス・催涙液を使用して制止する行為などが含まれるとされています。

もし、この「制止」という概念に該当すると、「「警察官は、犯罪がまさに行われようとするのを認めたときは、その予防のため関係者に必要な警告を発し、又、もしその行為により人の生命若しくは身体に危険が及び、又は財産に重大な損害を受ける虞があつて、急を要する場合」に限って、この措置が利用可能になりますね。

では、このような「無線通信干渉」って、どうなのでしょうか。警察官職務執行法としては、「制止」よりも、犯罪行為者への強制効果(?-coercive effectという感じ)は、さらに弱いでしょう。そうはいっても、犯罪者といえども、その通信は、保護されているはずなので、警察官職務執行の上では、法的に保護される意味があるはずですね。上のような制止レベルを求めるのか、それとも、犯罪にたいしてならば、いつでも、干渉をなしうるのか、ということになりそうです。

無人機等飛行禁止法は、これを立法論的に解決しています。

警察官は、小型無人機等の飛行が行われていると認められる場合には、当該小型無人機等の飛行を行っている者に対し、当該小型無人機等の飛行に係る機器を対象施設周辺地域の上空から退去させることその他の対象施設に対する危険を未然に防止するために必要な措置をとることを命ずることができる

命ぜられた者が当該措置をとらないとき、その命令の相手方が現場にいないために 当該措置をとることを命ずることができないとき又は同項の小型無人機等の飛行を行っている者に対し当該措置をとることを命ずるいとまがないときは、警察官は、対象施設に対する危険を未然に防止するためやむを得ないと認められる限度において、当該小型無人機等の飛行の妨害、当該小型無人機等の飛行に係る機器の破損その他の必要な措置をとることができる(同法10条1項、2項)。

この場合の「機器の破損その他の必要な措置」というのにジャミングが含まれるのは、国会審議でも認められているところですね

要件を比較した場合に、「財産に重大な損害を受ける虞があつて、急を要する場合」というまではなくて、「対象施設に対する危険」の未然防止で足りることになります。(私には、無人機等飛行禁止法の要件のほうが、すこし緩いように見えます)

でもって、空港の施設管理者は、どうか、というと、航空法は、警察官の権限については、ノーコメントで(管轄からいえば、当然なのですが)、平成三十二年東京オリンピック競技大会・東京パラリンピック競技大会特別措置法(平成二十七年法律第三十三号)31条2項において、小型無人機等飛行禁止法9条1項または3項本文の規定に違反して、小型無人機等の飛行が行われる場合には、

当該施設における滑走路の閉鎖その他の当該施設に対する危険を未然に防止するために必要な措置をとるものとする。

とされています。自ら、ジャミングできるのか、というのは、不透明な感じですね(理屈からいけば、自己の財産や航空機の安全な運行に対する正当防衛は、いけるはずですが)。では、警察官にジャミングを要請した場合に、制止として、この「財産に重大な損害を受ける虞があつて、急を要する場合」まで求められるのか、というのは、問題なのではないか、と思います。

要は、通信を用いてコントロールする有体物による犯罪に対する、その通信に対する干渉に対して、「制止」に限らず、「干渉」などの概念を設けて、警察官職務執行の要件を緩和するべきなのではないか、という感じをもっています。

また、その場合の干渉のための機器について、電波法の問題をクリアする規定(自衛隊法112条(電波法の適用除外))的なものを考えてもいいのではないか、という感じをもっていたりします。

 

ドローン攻撃への対策の分類と実際

ドローン攻撃への対策という表現を使いましたが、米国では、対無人航空機システム(COUNTER-UASシステム)という名称のもとで、

対無人航空機システム(COUNTER-UASシステム)という用語は、無人航空機または無人航空機システムの制御を合法かつ安全に無効化、中断、または捕捉できるシステムまたはデバイスを意味する

とされています(合衆国法典44801条(5)-これは、2018年FAA再授権法341条(a)によります)。同法は、こちらです

この手法については、FAAの技術的覚書があります

具体的な仕組みとしては、大きくは、探知と防御にわけられることになります。

探知

これは、無人航空機自体の場所およびその操作者がどこにいるかを明らかにするものです。

レーダー

具体例としては、「「セコム・ドローン検知システム」を発売

無線受信機(RF)

具体例としては、「電波探知妨害装置」

音響センサー(acoustic sensor)

具体例としては、パナソニックシステムネットワーク 「ドローン検知システムの受注を開始」

視覚センサー

などがあります。

防御

これは、実際に悪意ある無人航空機から、安全を守るために種々の行為をおこなうものをいいます。

ジャミング

Drone gun(https://youtu.be/fpmVTbBB0Qc

Skyfence(https://youtu.be/1N4EgtL08MQ

なりすまし(GPS信号)

ハッキング

Maldrone (https://youtu.be/5SlWdl4ZuAI

物理的捕獲

DroneCatcher(https://youtu.be/zepmZ574Wjw)

Skywall(https://youtu.be/M6tT1GapCe4)、

鷲による捕獲(https://youtu.be/Vd00zh4NGcc)

破壊(レーザー照射など)

Atena(https://youtu.be/hNsUtZmWgdg

などがあります。

あとは、興味深いのは、

槍に(https://youtu.be/QRmhdQB8YRw?t=266)、野球のボール(https://youtu.be/kwQ7LpkJLPM)ですね。

レーダーと無線による方式は、電波を利用するので、電波法の秘密の保護の解釈で、傍受した電波の通信内容を防御に利用するということで窃用に触れそうです。なので、正当業務行為という形で、違法性阻却になる、ということかと思います(電気通信事業法の「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」参照ですね。)

---

注)その後、この窃用について、空港管理者との関係で詳しく検討しました。むしろ、傍受した結果の利用ということで、それ自体に当然に利用される、と解すべきだろうと思います。