AWSとCLOUD法

AmazonからAWS(Amazon Web Service)とCLOUD法に対するエントリが公表されています。

CLOUD法については、制定時に、ゆがんだ報道がなされたので、それについてコメントしたことがありました

その後、わが国では、かなりアカデミズム的な観点から、冷静に議論されているような感じがしているのですが、世界的には、どうもそうではないようです。

法的には、「米国の管轄が及ぶ電子コミュニケーションサービスまたはリモートコンピューティングサービスのすべてのプロバイダーに適用されます。」という表現がおもしろかったりします。これらの概念については、SCAの概念のご紹介が必要になります。

このエントリは、日本から見た場合に、米国における法執行機関の合法的なアクセスにおける法執行機関のあきらかにすべき事項の閾値や、裁判所の多様な関与形態などを前提としないと理解が難しいような気もしますし、がっちり論文で、明らかにすべきものかもしれません。私も何かの機会に、がっちり向かい合えるといいなあと、考えていたりします。

意義あり? 誤解?–IoT脅威を可視化する「NOTICE」プロジェクトの舞台裏 – (page 2)

「意義あり? 誤解?–IoT脅威を可視化する「NOTICE」プロジェクトの舞台裏 – (page 2)」は、6月5日に開催されましたZDNetさんのセミナーの特別講演の報告です。

「侵入の概念」「通信の秘密の侵害」「行為の不正アクセス性」「世界の動向」という論点があることを指摘させていただきました。

当日は、法的な解釈という観点からすると、「憲法にさだめる通信の秘密」というのは、「誤報」とされることを避けるための「東京スポーツ」的手法ではないか?と指摘もさせていただいたところです。

これに関連するエントリは、
通信の秘密」にコメントする前に気をつけたいこと

NICT法によるアクセスの総務省令による基準

「NICT法改正と不正アクセス禁止法」

あたりになります。

国際法上の対抗措置の概念

「日本政府、「徴用工」打開へ対抗措置=韓国反発、応酬発展も」という記事がでています。

ここで、「対抗措置」という用語がでていますので、国際法上の「対抗措置」という概念についてまとめてみます。

対抗措置とは、被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置をいう、と定義されています。

国連の国際法委員会のまとめた国家責任条文は、

22条 国際的違法行為に対する対抗措置
第3部第2章に従い、他国に対してとられる対抗措置を構成し、且つ、その限りにおいて、他国に対する国際義務に違反する国家行為の違法性は阻却される。

となっています。そして、この対抗措置の要件については、
問題における義務の履行回復を可能にするための方法としてとられること、責任ある国家に対して、国際義務が存在している間の不履行に対してなされること、(同条文 49条)
また、均衡性(同 51条)、義務履行の要請(52条)
があります。

これは、その行為をなしている行為が、国際間の国家の義務に違反していることを前提にしたことであり、違法性阻却事由といわれるのは、そういうことです。

翻って考えると、「韓国向け半導体材料の輸出管理を強化する」ことが、国際法的に違反なのでしょうか。それ自体、違法性を指摘されるべき国際法上の義務違反はないように思います。その意味で、

「西村康稔官房副長官は1日の記者会見で「対抗措置ではない」と述べ」た

のは、法的にも、正しい表現かと思います。

ただし、法的には、行為自体が違法ではない報復(retorsion)という概念が存在します。無礼、不親切あるいは不公平かつ不平等な行為に対する、同様または類似の行為による返礼と定義されます。

もっとも、この概念は、相手国の行為が国際的違法行為でない場合ということになります。日本企業に元徴用工らへの賠償を命じた韓国最高裁判決をめぐって解決策を示さない韓国政府というのは、国同士の約束を守らないので、国際的違法行為になるのではないか、という感じがしますので、retorsion そのものということもないようです。

Cycon 2019 travel memo day3 finale

Cycon 2019 travel memoもこれでおしまいです。

Mr. Taavi Kotka, Entrepreneur and former Estonian Government CIO

デジタル社会は、民間部門が政府部門と協力してなし遂げることと強調されました。

データ交換・エンジニアに対するトラストから、結局、物理的な存在は、もはや重要ではないということで、eレジデンシーにいたったという話でした。

Mr. Luc Dandurand, Head of Cyber Operations, Guardtimeのプレゼンテーションは、シリコニア国がサイバー作戦で被害を受けた場合にどのように対応しましょうか、というビデオを使ったTTXでした。 Cyber Resilience & Attribution Committee for Blocko-Chainovicのメンバーになったら、どのように対応しますか、手を上げて、投票してくださいね。というか、ミリタリ・オプション?

というと、堅苦しそうですが、実は、全くのコメディ・爆笑プレゼンテーション。

ブロック・チェイノビッチ国の女王は、ハイネス・アンナ・マリアであります。それ以外にも、シュミット先生、イルベス元大統領、ミッコ・ヒッポネン(F-secureね)とか、業界関係者が、マリア女王から、アドバイスを求められる役で、特別出演。

NATO CCDCoEのツイートとか、Amy Ertanさんのツイートで雰囲気がわかるとうれしいです。

なので、単に笑っていただけです。

最後は、来年の告知。来年のテーマは、20/20 vision 次のディケードです。次の10年のサイバーと安全保障の関係は、どうなるのでしょうか。よりカオスになるのか、逆に安定化するのか、そこらへんを、いい視力で見通せるのでしょうか。それこそ、Forceでもないとだめなんじゃないか、という気もします。

その前に、11月18日から、20日までは、アメリカは、ワシントンDCで、「defending forward」というテーマで、Cycon USが開催されます。

Cycon USは、まだ、いったことがないので、一回、いってみたいです。どこからか、調査ファンドをとるか、もしくは、クラウドファンディングするか、というところでしょうか。

セキュリティの法と政策についての調査のご依頼まっています。( 下請でも歓迎です))

 

Cycon 2019 travel memo day3 (2)

Cycon 2019 travel memo day3 (1)のシュミット先生講義の続きです。

Dr. Barrie SanderのSound of Silenceというお話です。予稿集は、361頁から

最初に、平和時のサイバー作戦について国家は、沈黙を守っていることに対し懸念がある。その懸念は、(1)サイバーに関する他国間の条約を締結することに、抵抗しているように思えること(2)平和時のサイバー作戦についての慣習国際法を明らかにすることについてためらっているようにみえること(3)サイバースペースでの責任ある行動を表現するのに、拘束力のない自主的規範によろうとしていること(4)アトリビューションに際して、明確な国際法のルールを参照しないこと、である。

これを、平和時のサイバー攻撃、サイバーエスピオナージ、サイバー情報工作にわけて論じています。

平和時のサイバー攻撃については、さらに(1)被害国は、しばしば、特定のインシデントに対して、それが事故なのか、サイバー攻撃なのかについて沈黙している(2)被害国は、特定のサイバー攻撃に対して、責任帰属をなすことや、どのような対応をとるか、ということに対して沈黙する(3)公に責任帰属をなしたときでも、どのような国際法のルールによるかは、沈黙を守る(4)国際法のルール違反を認めた場合についても、具体的にどの規範が侵されたかは、沈黙を守る、という形態があるとしています。

平和時のサイバーエスピオナージについては、伝統的な見解からすれば、国際法によって禁止されていない、もしくは、一般的なルールに一見、反するが、慣習的な例外として許容されているとされています。

その意味で、サイバーエスピオナージについての沈黙は、多数の国の態度となっている。が、その一方で、国際的な人権法との関係では、疑問があるとされてきている。

平和時の情報工作は、コンテンツベースのサイバー作戦といえる。disinformation(虚偽情報)やmalinformation (悪意ある情報)がある。言論の自由との関係で問題があるもののEUにおいては、中間伝達者の責任の法と一緒にコンテンツの制限法が適用されている。

結論としては、(1)国家の沈黙は、いろいろいな「標的」をもっていること (2)国家の沈黙の範囲は、問題のセキュリティの脅威によるということ (3)国家の沈黙は、いろいろいな合理的な根拠をゆうしていること、ということになります。

Dr. Przemysław Roguskiは、Layered Soverigntyという話です。予稿集は、347頁から。副題は、伝統的な主権の概念をデジタル環境に調整する、です。

主権とサイバースペースの領域性について考えると、主権のウエストファーリア的概念からスタートします。この概念は、主権は、国家の完全かつ分割できない権能と捉えています。そして、これは、領域(territory)と密接に関連しています。

サイバースペースが領域と関連しているのか、という議論があり、1990年代には、「領域派」対「非領域は」の議論がありました。サイバースペースは、何層かの構造をとっていることをおもいおこすことで十分です。このような構造のもとで、伝統的な主権の原則が、変更されずに適用されるのか、変更されるのか、ということが問題になるはずです。

タリン・マニュアルでは、物理・論理・社会レイヤーは、主権の原則に従うとしています。

しかしながら、クラウドを例にとったときに、伝統的な主権概念は、変更されるべきであり、絶対的なものというよりも重畳的なものというべきだ、といいます。
具体的な例としては、国外に保存されているデータに対しての管轄権の主張の場合、データ大使館の場合、があります。

主権については、ベースライン(物理レイヤー)、限定権限(論理レイヤー)、重複主権(外国でのデータ)にわけるべきだというのです。

Cycon 2019 travel memo day3 (1 )

Sovereignty and Cyber Operationsです。

司会は、マリア博士です。彼女は2012年に早稲田大学に留学していて、そのときに知り合いました。

でもって、Cycon名物(?)のシュミット先生の講義です。

最初は、主権の定義です。一般的には、国家主権とは、「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」(パルマス島事件 1928)とされています。UN GGEは、主権概念がサイバースペースにおいても適用されることは合意しています(2015報告 パラ20)。

主権の侵害について考えてみます。国際法上、主権の侵害というのは、「国家の行為」に対して適用されます。非国家主体の行為については、国家に責任が帰属しうる場合に適用されます。

主権の侵害については、以下のことがいえます。

(1)領土の保全性(integrity)は、「国境は、侵害されない」ということです。サイバーの文脈では、遠隔で指揮されているサイバー活動は、標的国の領域の保全性を侵害するのか、という問題を引き起こします。

(2)侵害の閾値の問題は、「侵害」といえるのは、どのような場合なのか、という問題である。物理的な損害がある場合、機能不全をもたらす場合、物理的な損害・機能不全を場合(データベースの消去)の場合については、争いがあるところである。一方、エスピオナージについては、侵害に該当しないと考えられています。

(3)具体的には、どうか。
ア) 密接なアクセス 標的システムにマルウエアを挿入し、機能を損なう場合
イ) ハードドライブをオーバーヒートさせ、永続的な損害を与える場合
ウ)ハードディスクを暗号化し、標的のインフラを操作不能にする行為
エ)サイバーインフラを遠隔から操作し、システムの動作を遅延させる行為
オ)将来、破壊活動をするようなマルウエアを埋め込む行為
カ)サイバーインフラの内部を操作しファイルを抽出する行為
キ)空いているポートを探索する行為

主権の侵害は、「本来的な政府の機能」に介入する(intervene)か、奪取する(usurp)場合でなければならない。
本来的な政府の機能というのは、選挙、税の徴収、外交、法執行などです。

「介入」するというのは、例えば、重要な政府のオンラインでの徴収システムに対して執拗なDDoS攻撃を仕掛ける場合です。

「奪取」するというのは、例えば、国家の同意がないのに、ボットネットのインフラをテイクダウンするように、法執行の機能を遠隔で行うことです。

基準としては、1999年の国防省のリモートオペレーションに関する評価が、「攻撃の影響が感じられた国家が、もし、それを感じたのであれば、その主権と領土の保全性が地粉割れたという立場をとることができる」としています。

これらの基本的な概念を押さえたあとで、ジェレミーライト法務総裁の「原則としての主権-ルールではない」という発言についての議論が始まります。
このリンクは、前に示しましたがここです。

一部の人々は、同意なしに他の国のコンピュータネットワークへの干渉に関して「領土主権の侵害」というサイバー特有のルールの存在を主張しようとしています。

主権は、もちろん、国際的なルールに基づくシステムにとって基本的なものです。 しかし、私は現在、その一般原則から、禁止されている介入の範囲を超えた、サイバー活動に対する特定の規則または追加の禁止を推定できるとは思いません。 それゆえ、英国政府の立場は、現在の国際法の問題としてのそのような規則はないということです。

としています。シュミット先生は、この部分について、自分は伝統的な学者である(高橋コメ-研究範囲は、ほんとうに最先端なのですが)として、主権がルールではない、という見解に強く異議を唱えます。

裁判所の判決を例にすると、1926年ローチュス号事件判決、1949年コルフー海峡事件、1974年核実験事件、1986年ニカラグア事件があります。

国家実行だと、1960年のアイヒマン拉致事件(全体像はこちら)、1978年コスモス954事件(外交解決文書はこちら)、2001年の中国での軍用機の緊急着陸事件(海南島事件)とかが、主権の侵害が主張された事件となります。

また、特にサイバー領域に関していうと、2012年の米国国務省の法律顧問 ハロルドコーのコメントがあります。彼は、

相互に接続しあっていて、相互に運用されうるサイバースペースの性質ゆえに、とある国の情報インフラを標的とする活動は、他の国に対しての影響を持ちうる。国家が、サイバースペースで活動するときは、他の国の主権を考える必要がある

としています。

条約法によると、国連の組織犯罪防止条約は、

この条約のいかなる規定も、締約国に対し、他の国の領域内において、当該他の国の当局がその国内法により専ら有する裁判権を行使する権利及び任務を遂行する権利を与えるものではない。(4条2項)

米州機構(OAS)憲章も同様です

(高橋追加-3条e )は、主権について

すべての国家は、外部の干渉なしに、その政治的、経済的、および社会的システムを選択し、それに最適な方法で組織化する権利を持ち、他の国家の問題に介入することを控える義務がある。 上記を条件として、アメリカ諸国は、その政治的、経済的および社会的システムの性質とは無関係に、相互に完全に協力するものとします。

と定めています。

友好関係原則宣言(1970)も同様です。

主権侵害に対する「コスト」です。

ア)「晒されること」(Naming and shaming)

2018年10月に英国の国家サイバーセキュリティセンターは、ロシアのサイバー活動を違法だとしました。この活動は、機能不全、侵入、アクセス取得・試行を含む損害を与えるものでした。

ただし、法的な分析はなされていません。

イ)対抗措置(countermeasures)

これは、「本来的には法に反する手法で」(otherwise unlawful)、相手方に、(違法行為を)停止させるように対するもの、です。

本来的に、主権を侵害するサイバー措置を許容する。

本質的にサイバーでない反応(not cyber in nature)は、許容されない

例・領海や領空を閉鎖し関係ない旅客に影響をあたえる

ウ)信頼性(Credibility)、抑止力、エスカレーション

つまみ食い(cherry picking)-他の国家に対してクレームをする場合には、インパクトを失う。また、ルールに基づいた命令が、弱まる

抑止力-他の国家を抑止する選択肢を失う

エスカレーション-国際法は、より高度な深刻さのレベルにいくことを防止している

国際法は、広い範囲の措置を提供しており、不十分なリスクを課題評価してはならない。

ということで、「閾値未満の攻撃」について国際法がどのように考えているかを15分で、しかも最新のライト法務総裁のコメントにまで触れるという、今回も充実の講義でした。

他の先生方のプレゼンは、次のエントリで。

 

Cycon 2019 traval memo day2 (4)

Day2 最後は、The Emerging Understanding of International Law in Cyberspaceというセッションです。10年以上前から、サイバーに関する調査で知っているStefanoさんの登場です。あと、Heliさんも日本に来たときに、いろいろとお話をしました。

最初は、Heli Tiirmaa-Klaarさんは、現在は、エストニアの外務省の Ambassador at Large for Cyber Securityです。日本でお会いしたとき(2015)は、EUサイバー政策調整課長でした。そのあと、ボストンでもお会いしました(2016)。狭い世界とは、このことです。

サイバーセキュリティ枠組みについてのお話です。世界の安定性について国連の政府専門家会合(UN GGE)の2014、2015の報告書の成功裏に終わったこと(この関係の私のブログは、これ)、サイバースペースにおける主権の話、国連憲章が、サイバーにも適用されることが、2014年で確認されたことなどがなされました。

また、能力構築が議論されており、EU外交ツールボックスが紹介されました。

Mr. Nikolas Ottさんは、OSCEのProject Manager です。タイトルは、「国際的なサイバー外交における地域組織の役割」です。彼の論文は、マリアさんと共著なのですが、論文集の321頁以下です。

論文集では、最初にUN GGEの現状が紹介されています。(講演では、この部分はなかったような気がします)

法と政策については、4つの柱(GGEによる)があり、その柱とは、(1)規範・ルール・原則 (2)信頼醸成措置 (3)国際的協力 (4)国際法の適用です(2015年の報告)。

この観点からすると、地域組織の役割とは、(法と政策の)インキュベーターであるとともに、実装者であるということなります。すなわち、国際法の適用を確かにして、情報を共有して、ひいては国家間の関係を安定化する役割になります。

実装については、相互の支援がなされており、また国際的なものと地域的なものとの協力がなされています。
実際のワークプランや地域でのロードマップが構築されており、実際にOSCE、ASEAN、OAS、EUなどが行動しています。そして、2018年のUN GGEのプロセスによると、国連軍縮部(UNODA)との協力が提案されていたというのが注目されるべきとされています。

Dr. Stefano Meleは、Carnelutti Law Firmのパートナーで、2017のCodeblueでも講演してくれました。2007の調査から、いろいろと助けてもらっています。

講演の内容は

G7の役割に触れたあと、

二国間における関係の利点について、外交関係にはいる国を選択することが可能なこと、それぞれの義務を設定するのが容易であり、秘密にもしやすいこと、より詳細なさだめをなし、また、変更も容易であること、などがあげられます。

国際的な関係や地域の関係については、国際法や欧州法の原則に基づいて抑止戦略を構築することがなされており、特に、欧州の制限措置についての決定が紹介されました。

また、2016年には、サイバー活動についてのG7原則が明らかにされています。この原則は、人権、プライバシー、データ保護についての保護を意図した原則を再確認し、テロリズムやサイバー犯罪についての闘いのための情報共有と協力を確認しています。また、サイバー攻撃が、武力の行使(use of force) 、武力攻撃(armed attack)となりえ、自衛権の行使を正当化しうるものとなりうることを明確に確認しています。

2019年には、ディナール宣言がなされています。これは、私のブログで、速報しているので、そこで

2018年には、サイバースペースのトラストとセキュリティのためのパリ・コールがありました。全文は、こちらというのは、day2 (1)でも紹介しました。

内容としての注目点は、(1)市民・重要インフラ・サプライチェーン・投票システムを守るために、ベストプラクティスと教訓を共有すること (2)信頼醸成措置を促進し・実行すること(3)非国家行為者・民間企業によるハックバックの禁止があります。

ということで、昼間のセッションは、終了。

夕方からは、ビーチスタイルで来てくださいといわれているディナーパーティです。(でも、街中は、15度Cくらいなんですが)

でもって、場所は、テラスビーチという室内ビーチ(?)。

確かに、一歩中に入ると、中は、温かくて、半袖スタイルでした。

 

 

 

 

Cycon 2019 travel memo day2 (3)

昼食のあとは、Global silence or global battle?のセッションです。ちょっと、アジアっぽいお話が入るところが特徴というところでしょうか。

1st Lt Ji Young Kongさんは、「 万能の剣/北朝鮮のサイバー作戦および戦略」韓国の観点からの話です。(論文集では、144頁)

 

北朝鮮が、従来から、サイバー能力に重点をおいていたこと、50から60のエリート兵士をコンピュータサイエンスを学ぶために留学させていること、サイバーユニットは、6800名ほどとかんがえられること、RGB(偵察一般局)をベースにした組織を有していること、などが紹介されました。

サイバー攻撃が、情報・エイピオナージ/サイバーテロリズム/金融戦争の3つのステージになるということが、紹介されました。
具体的な話としては、2013年のCampaign Kimsuky、2015年のOperation Blockbuster(ソニーピクチャーズ事件など)、Wanna Cryおよひ仮想通貨窃取などの金融戦争(Financial Warfare)などがあげられています。(なお、これらの活動については、論文集の150頁以下に詳しいです)

これらに対しては、北朝鮮は、TTP(Tactics,Technique,Procedure-戦術、技術、過程)の観点から、これらの活動を行っていることが語られました。

次は、Ms. Mihoko Matsubaraさんの発表です。

APACにたいするサイバー脅威として、ハクティビズム、誤情報・選挙干渉、エスピオナージ、金融動機によるサイバー攻撃、ビジネス継続性に対する妨害、通称に対図対決があること、が紹介されました。
また、その他のリスクとして、重要インフラ、中小企業に対するリスクもあります。

具体的な紛争として、インドとパキスタンの2019年のソーシャルメディアの紛争の例、台湾対中国の関西空港の偽情報の事件(2018年)、台湾の選挙の候補者の偽写真の事件(2018年11月)-イヤーピースで助けてもらっているような写真などが紹介されました。

恥ずかしながら、関西空港の偽情報事件は、フォローしていないかったので、非常に勉強になりました。日本語の記事としては、「【台風21号】関空孤立めぐり中国で偽ニュース 「領事館が中国人を救出」 SNS引用し世論工作か」などがあります。

Mr. Kah-Kin Hoさんの発表です。

テロが、合法性、必要性、自信からおきていること、この3つが相互関係を有しており、サイクルをなしていること、抑止力・アトリビューション・ポイントになることなどがはなされ、サイバーにおいても同様であるということでした。
度々でていましたが、英国のジェレミー・ライト法務長官が、2018年5月に主権は、ルールではなく基本であるという発言をしたということがここでも取り上げられました。これは、Day3のシュミット先生のところで触れます。
英国は、同年10月には、ロシアのGRUが、国際法を破っていると批判しているということで、一貫性があるのでしょうか、ということもありますね。

Cycon 2019 travel memo day 2 (2)

休憩のあとは、「ダークウエブ-軍事作戦のためのインパクト」というセッションにでました。

CDR Dr. Robert Koch, Chief Penetration Testing Section, Bundeswehr Cyber Security Centreは、「影の中に隠れて」というタイトルです。同名の論文が、論文集に所収されています(267頁以降)。

ダークウエブでの活動がどれだけ安全なのか、まずは、クリアネット、ディープウエブ(サーチエンジンからアクセスできない情報)、ダークネット(利用されていないがルート可能なIPアドレス空間)についての用語についての説明です。

次は、インターネットにおける匿名性です。Torを紹介し、匿名化を解く、ということを話しました。この非匿名化手段については、カテゴリ1、カテゴリ2、カテゴリ3にわけて議論されています。

カテゴリ1は、技術レベルです。これは、Tor自体の脆弱性を利用するものと、ブラウザを利用するものにわけられます。カテゴリ2は、設定のミスをつくものです。カテゴリ3は、ヒューマンエラーから、個人を識別するものです。例としては、ジルクロードのドレッド・パイレーツ・ロバートの話があげられます。

また、トラフィックについての監視の結果の話がなされました。

ダークウエブマーケットとそのデータです。

いろいろいな調査による違法行為の割合が紹介されました。もっとも、実際には、評価がしにくいとされました。

データを眺めてみると、機密のデータが見つかることもある、実際に具体的なシステムに対するデータ(アクセスのための情報は販売されている、また、SCADAのデータもあることはある)は、きわめてまれである、個人情報がほとんどである、ということです。

総合的なデータマネジメントにおける推奨事項としては、ダークウエブに対しても、クリアネットやディープウエブと同様の追跡を行うこと、また、ハニートークンや戦略的にデコイを配置することもあげられる、ということでした。

Dr. Andrea Melegari, Senior Executive Vice President, Expert System Spaさんは、「AI・スタイロメトリイを利用したダークウエブのアイデンティティを暴く」というタイトルです。

スタイロメトリイというのは、「著者の個々のスタイルの特色」の研究によって、文書の著者を識別するこころみということです。単語の選択、文章の構造、シンタックス、スペル、区切り方などが、著者の「指紋」を明らかにすることができます。

この手法を用いて、ダークウエブを分析しましたというのが、この報告です。報告の結論としては、有効であること、人間の分析が一般的なツールであること、AIによってより速く・安価にできることというとです。

ただし、この報告については、どうやって元のデータの著者を決めているのか、それ自体が仮説に基づいているので、有効であると評価することはできないのではないか、というのが、聞いていた先生方の評価のようです。ちょっと残念かもです。

Mr. John Gwinnup, Cyber Threat Analyst, NATO Intelligence Fusion Centreの発表は、「軍事諜報分析についてのダークウエブとそのインパクト」というタイトルです。

問題意識としては、

1)ダークウエブというのが軍事作戦にとって脅威となっているのか

2)ダークウエブが軍事作戦を支援するための諜報・情報のソースとして利用できるか、

ということです。

軍事諜報についての説明がなされたあと、ダークウエブの説明がなされました。これらに対する研究は、よくバズワードを伴って行われています。

行為者確定して責任を帰属させるために利用可能であるのか、また、Torを暴いてしまうことができるか、という問題があります。例えば、ハンザを遮断してしまったという具体的な例もあります。

Cycon 2019 travel memo day2 (1)

Day2のキーノートは、多様なスピーカーの登壇です。

VAdm Arnaud Coustillière, Director General of the General Directorate for Digital Communication and Information Systems (DGNUM), Ministry for the Armed Forces, Franceのお話は、「信頼されるデジタル革命へのサイバー紛争」というタイトルです。
基本的な内容としては、デジタル社会の進展がなされていること、具体的には、2010年前後から、エストニアは、パイオニアであったこと、2014年ころは、プロパガンダが問題となり、フェークニュースが話題となったこと、2015-2016年には、新しいパラダイムがおきて、データセキュリティの新たなチャレンジがおきているということがはなされました。そして、デジタル国境は、主権の問題、GAFAが信頼にむけてのパートナーとなるか、という問題を抱えていることについて触れられました。
重要な問題は、データのオリジン、データ革命になります。

次は、日本から、薗浦健太郎内閣総理大臣補佐官のプレゼンです。日本の防衛政策に関する概観です。柱としては、(1)国家防衛ガイドライン (2)抑止力 (3)5G の三つでした。
(1)国家防衛ガイドライン については、日本を囲む特別な環境、中国とロシアの能力、同ガイドラインの目的、マルチドメインに対応して防衛力、サイバードメインにおける能力について、それぞれ詳細に、わかりやすく説明がなされました。
(2)抑止力については、特にサイバードメインに対する対応として、ワナクライ、APT10において、行為者の責任帰属について非難声明をなしているということが紹介されました。
休みの時間には、日本からの訪問した人たちの間で、こうやって日本の防衛政策についてわかりやすく整理されて聞く機会って国内でもほとんどないのではないか、という話がでていました。

Mr. B. Edwin Wilson, Deputy Assistant Secretary of Defense for Cyber Policy, United Statesは、「サイバー戦略と抑止力枠組み」というタイトルです。
重要インフラの防衛、能力向上などがサイバー戦略の根幹であるという話です

クロスパートナーシップ、国際的な問題 特に情報共有ネットワーク、信頼性構築手段の重要性があげられます。そのなかで、サイバー分野に対しては、そのプレイヤー、状況などのチャレンジが行われています。
抑止力枠組については、国土安全保障省との協力、未来を形作ること、現実化すること(集団的安全保障)によって国家利益をはかることなどがはなされました。

Mr. Tom Burt, Corporate Vice President, Microsoftは、「デモクラシの防衛のためのサイバーセキュリティ」というタイトルです。

MSのキーノートは、いつも興味深く、かつ最先端なので、勉強になります。

国家による行為者と、利益のためのサイバー攻撃と国家による攻撃との境目が曖昧になってきている。また、イスラエルは、(力学)爆撃をサイバー攻撃者に対して行っており、また、北朝鮮、中国、ロシアなどの国家行為者が破壊的な攻撃を行っている。

Strontium(サイバー攻撃集団 Pawn Stormの別名)は、デモクラシーを標的にしています。これらの攻撃(ファンシーベアやAPT28ともいわれる)に対して、米国の上院やシンクタンクなどの民主制の利害関係者に対する攻撃を防止しました。また、ベルギー、フランス、ドイツ、ポーランド、ルーマニア、セルビアなどの104のアカウントを標的とするスピアフィッシングを発見した。デジタル犯罪ユニットは、これらの攻撃に関する84のウエブサイトをシャットダウンしました。

また、デジタル平和を進める動きについては、進歩がありました(良いニュースです)。具体的には、サイバースペースのトラストとセキュリティについてのパリ・コールG7の規範イニシアチブ国際的抑止力イニシアチブ(米国政府)、制裁に関するEU理事会枠組(規則等へのリンクは、前のエントリに張っておきまし)、 国連のプロセス(今後)があげられます。

パリ・コールは、9つの柱があるのですが、それぞれ国連のGGEのレポートや米中の合意、G20 宣言、その他を引き継いだまとめたものとなっています

産業界としては、その第一の責任があることを認識しており、そのための活動としてサイバーセキュリティ・テック・アコード(日本語翻訳です)をあげることができます。そこでは、4つのコミットメントがあります(ユーザ・消費者の保護、(無関係な)市民・企業に対するサイバー攻撃に反対、サイバー能力増加、サイバー攻撃対応に対する支援)。

また、MS社としては、デモクラシ防御プログラムがあります。選挙のインテグリティ・選挙キャンペーンのセキュリティ、誤情報防衛です。選挙を防衛するために、「選挙ガード」というオープンソースの技術を提供しています。