GCSCスタビリティ報告書 分析8

8つの規範について個別に検討をしてきました。

そのあとで、報告書は、規範の採用、実装、責任(Accountability)、利害コミュニティ、といった項目について、検討します。

法といった場合には、一般には、その法規範の内容を意味することが多いですが、むしろ、規範については、それが、正当であるという確信に支えられて、行動を一定のものと規制するものと動的に捕らえていて、そのことが、規範のないようのみならず、それを支える社会、文化、組織、能力構築、信頼醸成にフォーカスしているということがいえるかと思います。

このなかで、法律家として興味深いのは、責任(Accountability)の記述なので、そこを見ていきます。

規範が採用され、実施されると、規範に違反する者に対する説明責任がなければなりません。これにより、属性(attribution)と応答(response)の複雑な問題が発生します。これらは、サイバー攻撃への対処において困難であることが判明しているものです

報告書では、証拠の取得の話がなされています。技術的なものであるとともに、それ以外の手法による証拠も活用されるのは、いうまでもないことでしょう。

個人的には、責任帰属の決定の際には、それが、法的な文脈なのか、政治的な文脈なのかを明らかにしないと意味がないと考えています。

私のブログの立場は、Codeblueでも来日したVihuul先生の立場なので、そのところを参照してください。ところで報告書では、

非国家主体によるサイバー攻撃に対する説明責任は比較的単純であり、主に関係国の国内法の下で民事責任または刑事責任を課すことによって達成されます。

とされていますが、非国家主体のサイバー作戦を、国際法の次元でみたときに、何が論点になるのかというのは、結構、問題ではないか、と考えています。そのような作戦を、直接に停止することはできないのか、それは、誰が、どのように行うのか、それは、国際法的に、正当化されるのか、インターネット媒介者が、何らかの重要な役割をしている、もしくはすべきではないのか、という問題提起がなされてしかるべきかと思います。

私のスタンスからいえば、この上の記述は、パラレルワールドから、現実社会にエイリアンがきているのに、そのエイリアンは、パラレルワールドの秩序維持の責任でしょ、といっているように思えます。国内法の観点からみたときに、被害者や被害国の法執行機関からの強制力行使による制裁・抑止の問題も、この観点で考えるべきだろうと思います。

 

 

 

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(1.2 自衛権の行使および1.3 責任帰属決定)

1.2 重大な影響度・深刻度の被害を惹起するサイバー作戦は、武力侵害を構成し、自衛権の行使を惹起する

です。

この部分は、フランス政府は、(アメリカ政府と違って-書いていないけど)国際司法裁判所のもっとも深刻な武力行使の形態とそれ以外を区別し、もっとも深刻なもののみが、個別的・集団的自衛権の行使によって対抗しうる武力侵略を構成しうる立場であるということを前提にするからスタートします。

1.2.1 サイバー攻撃は、武力侵略となりうる

フランスは、サイバー攻撃が、国連憲章51条の武力攻撃となりうることを確認しています。影響と規模の観点から分析され、ケース・バイ・ケースのアプローチで判断されます。

具体的な例としては、重要インフラに対する重大な妨害、国家の活動のマヒ、技術的/環境的破壊を引き起こして、多数の被害者をおこすことなどがあげられています。

武力攻撃となりうるためには、国家に帰属しうることが必要であるとされます。非国家主体のなす行為については、ISISのような(准国家的)場合をのぞいては、自衛権の対象とはしません。

1.2.2 デジタル軍侵略に対する自衛権の行使

国連憲章51条のもと、武力侵略は、個別的・集団的自衛権の行使を正当化します。大統領の決定のもとに、国防省が、サイバー作戦に従事しうることになります。サイバー攻撃は、それ自体としては、武力侵害に到達しませんが、効果が積み重なり、また、フィジカルな分野でなされることによって侵略を構成します。

また、例外的な場合には、プリ・エンプティブ (préemptive)な自衛権に訴えることも可能です。

攻撃的なサイバーを民間会社やハッカーグループに依拠している国家は、それらの行為にたいして責任を負い、フランスは、パリ宣言によって、それらの非国家組織の監視と禁止を支持します。

自衛権の行使は、暫定的で、従たるものです。国連憲章の手続きに従うし、また、国連の安全保障委員会が、他の手段を選びうるものです。

1.2.3 求められるデューデリジェンスに対応しない場合

デューデリジェンスの法理についての解説がなされて、非国家主体のなす行為を防止するための合理的な手段を怠った場合、その国家は、武力行使禁止原則に反する例外とはされないとされています。(タリンマニュアルには、反対)

1.3 サイバー攻撃の発生国の責任帰属判断(アトリビューション)は、国家による政治的判断

サイバー攻撃がそれ自体、追跡し、コントロールするのが困難です。フランスでは、サイバー攻撃が探知されると、その効果を中立化させる作戦を実装します。攻撃者の特定は、攻撃における技術的証拠を主たるもの(限定する趣旨ではなく、そのほかにも含まれますが)として決定されます。具体的には、サイバー作戦で利用されたインフラの決定、その場所、敵作線モードの識別、侵入者の一般的な時系列敵行動、事件の深刻度、侵入された部門、攻撃者の求めた効果などです。

特定の国家に責任が帰属することを決定することは、主権の権能の一つとされますが、それを公にする必要はありません。また、国際法は、証拠を明らかにする義務を認めるものではありません。

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(1.1 対抗する権利)

フランス国防省から「サイバースペースにおける作戦への国際法適用への見解(DROIT INTERNATIONAL APPLIQUÉ AUX OPÉRATIONS DANS LE CYBERESPACE)」が公表されています

この内容については Przemysław Roguski 先生の一連のツイートが注目すべき点をピックアップしています。

この見解の目次は、

1 平和時におけるサイバー作戦

1.1 フランスは、被害国たりうる国際法違反のサイバー作戦にたいして対抗する権利を保有(La France se réserve le droit de répondre )する

1.2 重大な影響度・深刻度の被害を惹起するサイバー作戦は、武力侵害を構成し、自衛権の行使を惹起する

1.3 発生源のサイバー作戦の帰属は、国家的政治的決断である

2 武力紛争におけるサイバー作戦についての国際法の適用

2.1 武力紛争の存在を形作るサイバー作戦

2.2 国際人権法は、武力紛争の文脈においてなされるすべてのサイバー作戦にたいして適用される

2.3 中立法は、サイバースペースに適用される

となっています。

1についてみていくと、

1.1 フランスは、被害国たりうる国際法違反のサイバー作戦にたいして反撃する権利を保有(La France se réserve le droit de répondre )する

は、

国際法のもとでは、サイバー作戦は、それ自体違法ではないが、国際法の違反を引き起こすときには、違法になる

とまとめられています。

これに引き続いて

1.1.1 主権侵害となりうるサイバー攻撃

では、領域内におけるシステムに対する主権を行使し、デューデリジェンスにもとづいて国際違法行為に利用されないようにすることが謳われています。

また、有効なコントロールのもとで、フランスの国内、外交事項に対して、デジタルなベンタを用いて政治的・経済的・社会的・文化的システムを危うくする者は、国内不干渉原則違反になるとしています。

国のデジタルシステムに侵入し、戦争/経済的可能性、国家の存続の安全保障または能力にに影響をあたえ/フランスの国内、外交事項に対して影響をあたえるサイバー攻撃は、その影響の中立化をも含むコンピュータ防御的戦闘を導くとされています。

国際法的に許容される方法のなかで、ケース・バイ・ケースで裁量のもとに対応するとされています。

1.1.2. 武力(force)脅威または行使の禁止に反しうるサイバー作戦

フランスは、物理的損害が伴った場合において武力の行使の閾値に該当しうることを認めているという宣言であり、また、物理的損害がなかったとしても、作戦の発生源、軍事的正確、侵入の程度、影響、標的の種類などから、武力の行使の閾値に該当しうることを認めています。

もっとも、それが直ちに国連憲章51情の武力攻撃(armed attack)に該当するものではないともしています。

1.1.3 国際法の準備する回答

フランスは、攻撃に対して、防止、予期、防衛、探知、対応する種々の手法をとるとされています。サイバー攻撃に対して、国内、国際的なパートナーとともに、予期、探知、対応するためにサイバー防衛作戦を行うとされています。

そのあと、被外国として国際法に基づいた対抗措置を採用する旨が説かれれますが、集団的対抗措置の概念は、否定されています。すなわち、サイバー的手法であれ、なかろうと、深刻さを考慮に入れて被害に比例するものである必要があります。

さらにフランスは、遭難(de détresse )や緊急避難( de nécessité )の理論を適用することもありうる、とされています。

 

 

 

 

 

国際法上の対抗措置の概念

「日本政府、「徴用工」打開へ対抗措置=韓国反発、応酬発展も」という記事がでています。

ここで、「対抗措置」という用語がでていますので、国際法上の「対抗措置」という概念についてまとめてみます。

対抗措置とは、被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置をいう、と定義されています。

国連の国際法委員会のまとめた国家責任条文は、

22条 国際的違法行為に対する対抗措置
第3部第2章に従い、他国に対してとられる対抗措置を構成し、且つ、その限りにおいて、他国に対する国際義務に違反する国家行為の違法性は阻却される。

となっています。そして、この対抗措置の要件については、
問題における義務の履行回復を可能にするための方法としてとられること、責任ある国家に対して、国際義務が存在している間の不履行に対してなされること、(同条文 49条)
また、均衡性(同 51条)、義務履行の要請(52条)
があります。

これは、その行為をなしている行為が、国際間の国家の義務に違反していることを前提にしたことであり、違法性阻却事由といわれるのは、そういうことです。

翻って考えると、「韓国向け半導体材料の輸出管理を強化する」ことが、国際法的に違反なのでしょうか。それ自体、違法性を指摘されるべき国際法上の義務違反はないように思います。その意味で、

「西村康稔官房副長官は1日の記者会見で「対抗措置ではない」と述べ」た

のは、法的にも、正しい表現かと思います。

ただし、法的には、行為自体が違法ではない報復(retorsion)という概念が存在します。無礼、不親切あるいは不公平かつ不平等な行為に対する、同様または類似の行為による返礼と定義されます。

もっとも、この概念は、相手国の行為が国際的違法行為でない場合ということになります。日本企業に元徴用工らへの賠償を命じた韓国最高裁判決をめぐって解決策を示さない韓国政府というのは、国同士の約束を守らないので、国際的違法行為になるのではないか、という感じがしますので、retorsion そのものということもないようです。

Cycon 2019 traval memo day2 (4)

Day2 最後は、The Emerging Understanding of International Law in Cyberspaceというセッションです。10年以上前から、サイバーに関する調査で知っているStefanoさんの登場です。あと、Heliさんも日本に来たときに、いろいろとお話をしました。

最初は、Heli Tiirmaa-Klaarさんは、現在は、エストニアの外務省の Ambassador at Large for Cyber Securityです。日本でお会いしたとき(2015)は、EUサイバー政策調整課長でした。そのあと、ボストンでもお会いしました(2016)。狭い世界とは、このことです。

サイバーセキュリティ枠組みについてのお話です。世界の安定性について国連の政府専門家会合(UN GGE)の2014、2015の報告書の成功裏に終わったこと(この関係の私のブログは、これ)、サイバースペースにおける主権の話、国連憲章が、サイバーにも適用されることが、2014年で確認されたことなどがなされました。

また、能力構築が議論されており、EU外交ツールボックスが紹介されました。

Mr. Nikolas Ottさんは、OSCEのProject Manager です。タイトルは、「国際的なサイバー外交における地域組織の役割」です。彼の論文は、マリアさんと共著なのですが、論文集の321頁以下です。

論文集では、最初にUN GGEの現状が紹介されています。(講演では、この部分はなかったような気がします)

法と政策については、4つの柱(GGEによる)があり、その柱とは、(1)規範・ルール・原則 (2)信頼醸成措置 (3)国際的協力 (4)国際法の適用です(2015年の報告)。

この観点からすると、地域組織の役割とは、(法と政策の)インキュベーターであるとともに、実装者であるということなります。すなわち、国際法の適用を確かにして、情報を共有して、ひいては国家間の関係を安定化する役割になります。

実装については、相互の支援がなされており、また国際的なものと地域的なものとの協力がなされています。
実際のワークプランや地域でのロードマップが構築されており、実際にOSCE、ASEAN、OAS、EUなどが行動しています。そして、2018年のUN GGEのプロセスによると、国連軍縮部(UNODA)との協力が提案されていたというのが注目されるべきとされています。

Dr. Stefano Meleは、Carnelutti Law Firmのパートナーで、2017のCodeblueでも講演してくれました。2007の調査から、いろいろと助けてもらっています。

講演の内容は

G7の役割に触れたあと、

二国間における関係の利点について、外交関係にはいる国を選択することが可能なこと、それぞれの義務を設定するのが容易であり、秘密にもしやすいこと、より詳細なさだめをなし、また、変更も容易であること、などがあげられます。

国際的な関係や地域の関係については、国際法や欧州法の原則に基づいて抑止戦略を構築することがなされており、特に、欧州の制限措置についての決定が紹介されました。

また、2016年には、サイバー活動についてのG7原則が明らかにされています。この原則は、人権、プライバシー、データ保護についての保護を意図した原則を再確認し、テロリズムやサイバー犯罪についての闘いのための情報共有と協力を確認しています。また、サイバー攻撃が、武力の行使(use of force) 、武力攻撃(armed attack)となりえ、自衛権の行使を正当化しうるものとなりうることを明確に確認しています。

2019年には、ディナール宣言がなされています。これは、私のブログで、速報しているので、そこで

2018年には、サイバースペースのトラストとセキュリティのためのパリ・コールがありました。全文は、こちらというのは、day2 (1)でも紹介しました。

内容としての注目点は、(1)市民・重要インフラ・サプライチェーン・投票システムを守るために、ベストプラクティスと教訓を共有すること (2)信頼醸成措置を促進し・実行すること(3)非国家行為者・民間企業によるハックバックの禁止があります。

ということで、昼間のセッションは、終了。

夕方からは、ビーチスタイルで来てくださいといわれているディナーパーティです。(でも、街中は、15度Cくらいなんですが)

でもって、場所は、テラスビーチという室内ビーチ(?)。

確かに、一歩中に入ると、中は、温かくて、半袖スタイルでした。

 

 

 

 

Cycon 2019 travel memo day2 (3)

昼食のあとは、Global silence or global battle?のセッションです。ちょっと、アジアっぽいお話が入るところが特徴というところでしょうか。

1st Lt Ji Young Kongさんは、「 万能の剣/北朝鮮のサイバー作戦および戦略」韓国の観点からの話です。(論文集では、144頁)

 

北朝鮮が、従来から、サイバー能力に重点をおいていたこと、50から60のエリート兵士をコンピュータサイエンスを学ぶために留学させていること、サイバーユニットは、6800名ほどとかんがえられること、RGB(偵察一般局)をベースにした組織を有していること、などが紹介されました。

サイバー攻撃が、情報・エイピオナージ/サイバーテロリズム/金融戦争の3つのステージになるということが、紹介されました。
具体的な話としては、2013年のCampaign Kimsuky、2015年のOperation Blockbuster(ソニーピクチャーズ事件など)、Wanna Cryおよひ仮想通貨窃取などの金融戦争(Financial Warfare)などがあげられています。(なお、これらの活動については、論文集の150頁以下に詳しいです)

これらに対しては、北朝鮮は、TTP(Tactics,Technique,Procedure-戦術、技術、過程)の観点から、これらの活動を行っていることが語られました。

次は、Ms. Mihoko Matsubaraさんの発表です。

APACにたいするサイバー脅威として、ハクティビズム、誤情報・選挙干渉、エスピオナージ、金融動機によるサイバー攻撃、ビジネス継続性に対する妨害、通称に対図対決があること、が紹介されました。
また、その他のリスクとして、重要インフラ、中小企業に対するリスクもあります。

具体的な紛争として、インドとパキスタンの2019年のソーシャルメディアの紛争の例、台湾対中国の関西空港の偽情報の事件(2018年)、台湾の選挙の候補者の偽写真の事件(2018年11月)-イヤーピースで助けてもらっているような写真などが紹介されました。

恥ずかしながら、関西空港の偽情報事件は、フォローしていないかったので、非常に勉強になりました。日本語の記事としては、「【台風21号】関空孤立めぐり中国で偽ニュース 「領事館が中国人を救出」 SNS引用し世論工作か」などがあります。

Mr. Kah-Kin Hoさんの発表です。

テロが、合法性、必要性、自信からおきていること、この3つが相互関係を有しており、サイクルをなしていること、抑止力・アトリビューション・ポイントになることなどがはなされ、サイバーにおいても同様であるということでした。
度々でていましたが、英国のジェレミー・ライト法務長官が、2018年5月に主権は、ルールではなく基本であるという発言をしたということがここでも取り上げられました。これは、Day3のシュミット先生のところで触れます。
英国は、同年10月には、ロシアのGRUが、国際法を破っていると批判しているということで、一貫性があるのでしょうか、ということもありますね。

Cycon 2019 travel memo day 2 (2)

休憩のあとは、「ダークウエブ-軍事作戦のためのインパクト」というセッションにでました。

CDR Dr. Robert Koch, Chief Penetration Testing Section, Bundeswehr Cyber Security Centreは、「影の中に隠れて」というタイトルです。同名の論文が、論文集に所収されています(267頁以降)。

ダークウエブでの活動がどれだけ安全なのか、まずは、クリアネット、ディープウエブ(サーチエンジンからアクセスできない情報)、ダークネット(利用されていないがルート可能なIPアドレス空間)についての用語についての説明です。

次は、インターネットにおける匿名性です。Torを紹介し、匿名化を解く、ということを話しました。この非匿名化手段については、カテゴリ1、カテゴリ2、カテゴリ3にわけて議論されています。

カテゴリ1は、技術レベルです。これは、Tor自体の脆弱性を利用するものと、ブラウザを利用するものにわけられます。カテゴリ2は、設定のミスをつくものです。カテゴリ3は、ヒューマンエラーから、個人を識別するものです。例としては、ジルクロードのドレッド・パイレーツ・ロバートの話があげられます。

また、トラフィックについての監視の結果の話がなされました。

ダークウエブマーケットとそのデータです。

いろいろいな調査による違法行為の割合が紹介されました。もっとも、実際には、評価がしにくいとされました。

データを眺めてみると、機密のデータが見つかることもある、実際に具体的なシステムに対するデータ(アクセスのための情報は販売されている、また、SCADAのデータもあることはある)は、きわめてまれである、個人情報がほとんどである、ということです。

総合的なデータマネジメントにおける推奨事項としては、ダークウエブに対しても、クリアネットやディープウエブと同様の追跡を行うこと、また、ハニートークンや戦略的にデコイを配置することもあげられる、ということでした。

Dr. Andrea Melegari, Senior Executive Vice President, Expert System Spaさんは、「AI・スタイロメトリイを利用したダークウエブのアイデンティティを暴く」というタイトルです。

スタイロメトリイというのは、「著者の個々のスタイルの特色」の研究によって、文書の著者を識別するこころみということです。単語の選択、文章の構造、シンタックス、スペル、区切り方などが、著者の「指紋」を明らかにすることができます。

この手法を用いて、ダークウエブを分析しましたというのが、この報告です。報告の結論としては、有効であること、人間の分析が一般的なツールであること、AIによってより速く・安価にできることというとです。

ただし、この報告については、どうやって元のデータの著者を決めているのか、それ自体が仮説に基づいているので、有効であると評価することはできないのではないか、というのが、聞いていた先生方の評価のようです。ちょっと残念かもです。

Mr. John Gwinnup, Cyber Threat Analyst, NATO Intelligence Fusion Centreの発表は、「軍事諜報分析についてのダークウエブとそのインパクト」というタイトルです。

問題意識としては、

1)ダークウエブというのが軍事作戦にとって脅威となっているのか

2)ダークウエブが軍事作戦を支援するための諜報・情報のソースとして利用できるか、

ということです。

軍事諜報についての説明がなされたあと、ダークウエブの説明がなされました。これらに対する研究は、よくバズワードを伴って行われています。

行為者確定して責任を帰属させるために利用可能であるのか、また、Torを暴いてしまうことができるか、という問題があります。例えば、ハンザを遮断してしまったという具体的な例もあります。

Cycon 2019 travel memo day1 (4)

room3は、「サイバー作戦の責任帰属の法とポリシ(Law and Policy of Attributing Cyber Operations) 」です。

まずは、タリン2.0のじっさいのかなりの部分を執筆したLiis先生です。いまは、自分の会社でもって、トレーニングとかを世界中で行っています。というか、日本にも呼んだらいいのにと思っていたりします。

タイトルは、「悪意あるサイバー活動の責任を帰属させる-法と政策のインタープレイ」( Attributing Malicious Cyber Activity-Interplay between Law and Politics)です。

なお、私のブログでもattributionは、何度か扱っているのですが、訳語からして、難しかったりします。とりあえずは、責任帰属としておきます。(例えば、「専門家風の用語の落とし穴「アトリビューション」」とか)

きわめて多義的な用語であって、利用者がどの文脈で使っているのか、というのを見極める必要があります。国際法では、国家責任を問いうるか、という論点で使われることが多いです。

国際法のもとでの責任帰属は、2ステップの分析によることになります。その1は、法的標準です。これは、国の組織であるか、政府の権限の要素を行使することが法によってみとめられている組織、または、非政府組織については、国の指図、指示、コントロールがある場合に認められます。2つ目のステップは、証拠の問題です。

法的な観点からみるときに責任帰属の目的としては、以下のようなものがあげられます。
(1)国際法に違反したと「辱め」をさせること(Naming and shaming)
(2) 自救行為(unilateral self-help)
(3)司法的手続の訴え
(4)賠償金の交渉(Negotiations for reparations)

この場合には、「合理的な宣明がなされること」が必要になります。というのは、その場にあれば、そのように判断することには、十分に理由がある、ということです。

これにたいして政治的な責任帰属という問題もあります。

具体的には、2016年10月に、US情報コミュニティが、ロシア政府がUSパーソン・機関からの電子メールの漏洩を指示したと確信していたこと、英国のNCSCが、Lazarusグループが、WannaCryの背後にいたことが「高度の蓋然性(highly likely)」を有していると評価したこと、2018年10月にNCSCが、ロシアの軍事情報機関のGRUが、2015年から、2017年までの多数のサイバー攻撃の背後におり、「無差別で、向こう見ず」であったと非難したこと などが、具体的な例になります。

また、米国の国家情報長官局(Office of the Director of National Intelligence)が、2018年9月に、「サイバー責任帰属のガイド」を公表しており、そこでは、

高度の自信(合理的な疑いを越えており、他の合理的な判断が存在しない)

適度な自信(明らかで説得的である、他には、事案が例外となるのみである)

低度の自信(半数以上の証拠が関与を指し示しているが、重要な情報のギャップがある)

この解説に、Cyber Threat Attributionとは何か?(2019年度版)があります。

まとめとしては、現在の枠組みは、被害者に焦点が置かれており、侵入者は、責任帰属を避けたいという仮定を前提としています。これに対して、侵入者の動機を検証することを調査して、被害者の能力および帰属の意欲を調査することを追加すべきである、ということが提案されました。

また、責任帰属については、セキュリティ会社の判断と国家の判断の相違という問題もあることが質疑応答で指摘されました。

Ms. Manon Le Blancのテーマは、”Attribution as Part of Wider EU Cyber Diplomacy Efforts”です。

責任帰属は、攻撃を緩和し、中立化する効果があり、攻撃を停止させることを意図しています。
EUにおいては、水平的ポリシを採用しており、「サイバー外交ツールボックス」を公表しています。

このポイントは、迅速な対応であること、加盟国家単独で、もしくは、集団的に対応すること、責任帰属を行うことは政治的な判断であること、です。

実際には、この対応は、責任帰属は、種々の形態をとることになり、必ずしも公にする必要はなく、また、技術のみ、インテリジェンスのみではなく、安定性なども考慮して判断がなされるものになります。

Prof. Robert E. Barnsbyのテーマは、”Why Certain States are happy to have cyber attacks attributed to them”です。

なぜに、責任帰属を受容するのか、ということです。これには、いろいろな可能性があって、
国際的な注目を集める/被害国の脆弱性を明らかにすることによって自分たちの能力を固辞する/国内的な評価をうる/それ自体のコストが高くない

法的な分析としては、国際的違法行為であると考えていない場合、国家実行に影響を与える場合がありうること、グレイゾーンを悪用しようと考えていること、になります。

CyCon 2019 travel memo day1 (1)

5月29日は、Day1です。

まずは、オープニング。

CCD CoEのTarien大佐から オープニングの挨拶です。CCD CoEは、サイバー演習や攻撃的サイバー作戦の研究を行っており、47ケ国から、60名という人数で、頑張っていること、などが紹介されました。

そのあとは、いよいよカリユライド大統領のスピーチです。この大統領のスピーチについては、非常にインパクトがあったのと、そのまま、全文が公開されていたので、CyCon expressで紹介しておきました。

(大統領の言葉を借りると)「国際法は、小国の核兵器」であるので、特にサイバー領域における国際法の役割は、大きいと思います。我が国においては、残念ながら、サイバーセキュリティにおける国際法の認識は、乏しいとしかいいようがないので、この大統領のスピーチの意味をかみしめてほしいです。

このカリユライド大統領のスピーチについては、シュミット先生が、分析をなしています。その分析は、「Esonia Speaks out on Key Rules for Cyber Space」です。この分析自体、非常に重要なものですが、まずは、このtravel memoの完成を急ぐので、分析は後日。

次は、Nielson提督のスピーチです。デジタル世界への移行に関する話となります。

欧州におけるデジタル世界の移行に関しては、ロシアから、離れていないという事情が影響を及ぼしているという話から始まります。クラウド・ビッグデータが影響を及ぼすようになっており、サイバースペースにおいて敗北しつつあるのではないか、という認識が示されています。敵国(Adversary)は、他の次元にいるのではないか、という問題を提起しました。

2014年には、サイバーは、ひとつの様相であったのに、現在では、軍事攻撃のひとつのドメインとなっており、全く異なっている、そして、それに対応するためのステップが採られるべきことが重要だとされています。

そのステップは、攻撃的・防衛的能力をブーストさせることであり、技術的・運営的な点で産業界と協力することが重要だと強調されました。

なお、提督のスピーチにふれる記事としては、これがあります。

小休憩前の最後は、米国のWheeler(もと)提督(米国サイバーコマンド)のスピーチです。

2010年5月、サイバーコマンドが統一された司令部として創設されたことから始まり、その後、経済的エスピオナージやソニープクチャーズ事件がおきたこと、それらを経過して、現在では、国内の民主主義を標的とした攻撃がなされており、サイバー兵器化しているのが現状であるという分析です。

現在の課題としては、サイバースペースにおけるチャレンジがなされていること、優越性を確保すること、能力をなしとげること、競争状態になること、などがあげられるということが語られました。

 

 

 

 

CyCon2019 travel memo day0

5月28日は、プラハから、タリンに移動して、登録して、アイスブレーカーの懇親会の予定です。CyCon2019のスケジュールは、こちらです。

ホテルを出発朝5時、Prague Airport Transfersです。が、朝5時の予定が、20分遅れで、お迎えがきました。日本でのsimを切っておいたので、メッセージが届かなかったりで、ちょっと心配しましたが、6時くらいには、空港着。

飛行機は、7時15分発でワルシャワ経由で、ワルシャワで、トランスファーで、タリンまでです。乗換の時間は、ちょっとありましたが、ラウンジが、発着のゲートに近いところにあったので、そこで時間を過ごしました。

飛行機は、予定よりも早めに、タリン空港に到着です(午後1時50分ころ)。空港から、ホテルまで30分とかからないので、1時30分から3時までの”Official launch of the International Cyber Law: Interactive Toolkit”のセッションに間に合います。でもって、トラムで移動しました。

ちなみに空港のキヨスクで、昨年つくったカードの残高を聞いて、きちんと残っていることを確認しました。

Interactive Toolkitは、サイバー紛争おいて、国際法的に問題となる点について、13のシナリオを例に検討する、というものです。これについては、CyCon express(28/05/2019)でも触れました。

Toolkitは、1 選挙介入 2 政治的スパイ 3 電力グリッド 4 国際組織 5 刑事捜査 6 踏み台国家に対するサイバー対抗措置( Cyber countermeasures against an enabling State) 7 ハッキングツール 8 認証局 9 経済スパイ 10サイバー兵器 11 監視ツール 12コンピュータデータ 13武力紛争 のそれぞれのシナリオについて、法的な問題を検討するものです。

ホテルについてところ、残念ながら、セッションは、終了していました。ただ、上のCyCon express(28/05/2019)でも触れた、シナリオとそれに対する問題が配られていました。回答すると、正解者には、豪華賞品(?)がプレゼントされるということでした。Kubo先生に挨拶がてら、回答して提出しました。あと、マリアさんにも、挨拶してきました。

シナリオの前半部分は、触れましたが、後半は、省略して、具体的にでていた質問は、以下のようなものです。

質問1
A国における選挙投票カウントシステムを操作するのは、国家に対する介入の禁止に該当するであろうか?
質問2
B国のコンピュータシステムに対する遠隔アクセス作戦は、国家主権の侵害に該当するであろうか?
質問3
(インシデント2とインシデント2がともに起こった)サイバー作戦の経緯は、A国とB国との間の国際人道法の適用を引き起こすだろうか?

なぜか、毎年、CyConでだけお会いする日本からの来訪者がいらっしゃるので、ちょうど、そこにも挨拶して、さらに、日本からの関係者とで、会場のホテルのロビーのところでお茶をしながら、ちょっと情報交換?。

ホテルにチェックイン。今年は、タリンク・シティ・ホテル。会場からも近いですし、お値段もリーズナブル。

Tallinn Culture Hubで、1830から、Ice breakerでした。イタリアからのメレ弁護士に久しぶりにあいました。あとは、法律関係者は、あまりいませんでした。