GCSCスタビリティ報告書 分析9

GCSCスタビリティ報告書の分析も最後まできました。

攻撃的サイバー作戦の規範についての検討のあとは、推奨事項についてみていくことにします

具体的な推奨事項は、エグゼクティブサマリで触れておきました。

注目すべき点としては、まず、以下の1ないし5は、主語が、国家および非国家主体となっていることかと思います。

国家間の規範と非国家主体に対する規範(これは、国際法の問題とは、直接には、かかわらない)とが、同一の面で記載されているのがひとつの特徴といえることになるかと思います。

1 推奨事項1は、行動の抑止の促進と行動の勇気づけです。

2推奨事項2は、行為の責任(responsibility)と限界(Limitations)とへの対応、規範違反への適切な対応、規範違反者への予測可能で意味のある結果などがうたわれています。

3 推奨事項3は、スタッフの訓練、能力と能力の構築、サイバースペースの安定性の重要性の共有の理解の促進をうたっています。

4 推奨事項4は、規範違反等の活動の及ぼす影響に関する情報の収集、共有、レビュー、および公開です。

5 推奨事項5は、関心のあるコミュニティの設立および支援です

6 推奨事項6は、常設のマルチステークホルダーエンゲージメントメカニズムの確立です

ということで、10回にわたって分析してきました。が、法の世界からは、このような努力が、どのように評価されるべきものか、ということは、明らかとはいえないと考えています。

具体的な問題に関していえば、国際法や国内法の理論は、精緻に構築されており、それと比較したときに、スタビリティのための規範、という表現が、大雑把に思えるところでもあります。

その一方で、国際法と国内法がクロスオーバーしたところが、一番の問題点なのではないか、という問題提起は、きわめて重要なものであるようにも思えます。自分の考察をこのような観点から深めていきたいと思います。

 

GCSCスタビリティ報告書 分析8

8つの規範について個別に検討をしてきました。

そのあとで、報告書は、規範の採用、実装、責任(Accountability)、利害コミュニティ、といった項目について、検討します。

法といった場合には、一般には、その法規範の内容を意味することが多いですが、むしろ、規範については、それが、正当であるという確信に支えられて、行動を一定のものと規制するものと動的に捕らえていて、そのことが、規範のないようのみならず、それを支える社会、文化、組織、能力構築、信頼醸成にフォーカスしているということがいえるかと思います。

このなかで、法律家として興味深いのは、責任(Accountability)の記述なので、そこを見ていきます。

規範が採用され、実施されると、規範に違反する者に対する説明責任がなければなりません。これにより、属性(attribution)と応答(response)の複雑な問題が発生します。これらは、サイバー攻撃への対処において困難であることが判明しているものです

報告書では、証拠の取得の話がなされています。技術的なものであるとともに、それ以外の手法による証拠も活用されるのは、いうまでもないことでしょう。

個人的には、責任帰属の決定の際には、それが、法的な文脈なのか、政治的な文脈なのかを明らかにしないと意味がないと考えています。

私のブログの立場は、Codeblueでも来日したVihuul先生の立場なので、そのところを参照してください。ところで報告書では、

非国家主体によるサイバー攻撃に対する説明責任は比較的単純であり、主に関係国の国内法の下で民事責任または刑事責任を課すことによって達成されます。

とされていますが、非国家主体のサイバー作戦を、国際法の次元でみたときに、何が論点になるのかというのは、結構、問題ではないか、と考えています。そのような作戦を、直接に停止することはできないのか、それは、誰が、どのように行うのか、それは、国際法的に、正当化されるのか、インターネット媒介者が、何らかの重要な役割をしている、もしくはすべきではないのか、という問題提起がなされてしかるべきかと思います。

私のスタンスからいえば、この上の記述は、パラレルワールドから、現実社会にエイリアンがきているのに、そのエイリアンは、パラレルワールドの秩序維持の責任でしょ、といっているように思えます。国内法の観点からみたときに、被害者や被害国の法執行機関からの強制力行使による制裁・抑止の問題も、この観点で考えるべきだろうと思います。

 

 

 

GCSCスタビリティ報告書 分析7

脆弱に関する規範、サイバー衛生に関する規範のあとは、「攻撃的サイバー作戦」の規範です。

非国家主体は、攻撃的なサイバー作戦に従事するべきではなく、国家主体はそのような活動を防止すべきであり、また、発生した場合には対応すべきである。

では、「攻撃的サイバー作戦」とは何でしょうか。残念ですが、報告書には、その定義はありません。民間企業によるアクティブ・サイバー防御がここで議論されています。私は、アクティブ・サイバー防御を論じたことがありますが、結局は、何を論じるか、具体的な構成要件レベルでなす行為を特定しないと、議論がほとんど意味がないということがもっとも大切なことでした。

報告書は、

これらの非国家主体の攻撃的なサイバー作戦は、防御目的のために行われるため、婉曲的に「アクティブ・サイバー・ディフェンス」といわれる

としています。そして、注で

アクティブサイバー防御は、被害者のネットワークでの自己防衛から攻撃者のネットワークでの破壊的な活動に至る一連の手段として理解される必要があります。 攻撃的なサイバー作戦は、一連のものであるので、防御者が彼らの意図(攻撃または防御)や法的資格とは無関係に自身のネットワークの外で行動することを意味します。 攻撃的なサイバー作戦と積極的なサイバー防御の定義に関して、さらなる作業を実施する必要があります。

として、さらなる分析がひつようであることが示唆されています。

報告書は、このような行為が国によって、きわめて、規制が、ばらついていることを指摘しています。このような行為を、適法だとする立法化をした国家があることを指摘しています。

GCSCは、これらの行いがサイバースペースの安定性を損なうと考えています。深刻な混乱と損害をもたらし、それは、第三者を含むこともあるため、複雑な法的紛争を引き起こし、紛争を拡大させる可能性があります。国家は、非国家主体に、自分自身または第三者の目的のために、攻撃作戦を行う許可を明示的に付与または故意に許可した場合には、危険な実行を設定し、国際法に違反するリスクをおかすことになります。委員会は、攻撃的措置は国家のみに独占されていると信じており、国際法が確立している敵対行為に対する国家の対応の厳格かつ排他的な枠組みが、サイバー作戦にも適用されることを想起します。同様に、国際法の下では、国家に代わって行動する非国家主体は彼らの代理人とみなされなければならず、したがって国家の延長とみなされます。

注で、追加的注釈が引用されています。

個人的には、アクティブ・サイバー防御の定義をさけて、これを許容することはできないといってみても、きわめて議論としては、大雑把だと考えているのですが、どうでしょうか。強制的な効果を攻撃者に対してもたらす行為ということになりますが、国際法としては、一定の要件のもとで、部分的自衛権として、もしくは、対抗措置として許容されるので、そのような緻密な議論と比較した場合に、どれだけ、この規範が、規範として支持されるべきなのか、非常に疑問だと思います。

 

 

 

GCSCスタビリティ報告書 分析6

サプライチェーン・ボットネット版の分析に続きます。

規範5 脆弱性規範

国家は、情報システムおよび技術において認識されている公に知られていない脆弱性または欠陥(flaws)を開示するかどうか、いつ開示するかを評価する手続き的に透明なフレームワークを作成する必要があります。デフォルトの推定値は開示を支持すべきです。

脆弱性については、筆者は、早期警戒パートナーシップの構築の初期からお手伝いすることができて、それは、自分のキャリアでももっとも誇りにすることの一つなわけです。それは、脆弱性について、責任ある開示というべきものを構築したフレームワークなわけです。

それはさておいて、GCSCのフレームワークにおいては、さらに現実社会での、脆弱性の二つのあい反する意味づけがでてきます。その一つは、上記の枠組みでも触れている一つのシステムをより安全にするための契機として、調整されるべき脆弱性といえるでしょう。今一つは、国家によって、独占され、その国家目的に貢献するように利用される脆弱性です。この部分を、解説の付録Bの解説からみてみましょう。

悪意のある行為者、特にならず者国家などの特に狡猾な行為者を追跡するために不可欠なツールは、彼らが依存するデジタルインフラストラクチャの脆弱性を悪用することです。そのため、国家はしばしば、未公開の脆弱性の使用を含む少なくとも一部の選択機能を保持する必要があると主張します。さもなければ、非常に有能な悪意のある行為者は発見されず、チェックされなくなります。

国家が、自ら発見した場合に、その脆弱性を、秘密にして自己の情報としているという状況から、公表する方向に移行するという動きがあることが触れられています。

ここで触れられているのは、ホワイトハウスの脆弱性エクィティポリシおよびプロセスです。このような動きが、他の国家でも確立して、透明性を増すことは、ネットワークの長期的なスタビリティにつながるものとされています。

我が国では、国家が脆弱性を発見して、自らの国益のために利用するなどという発想は、ほとんどなされないわけです。私も、フォローしていませんでした。法執行機関が、脆弱性を利用して犯罪者の通信機器から証拠を収集する行為は、警察官の職務執行として許容されるのか、というようなガバメント・マルウエアの法律問題として考えたことはありますが、そのための脆弱性のコントロールと公表というのは、考えたことはありませんでした。

今後の問題といえるでしょう。が、どこが、このような問題を研究するのでしょうかね。

規範6 脆弱性減少・対応規範

サイバースペースの安定性が依存する製品およびサービスの場合、それらの開発者および生産者は、(1)セキュリティと安定性を優先し、(2)製品またはサービスに重大な脆弱性がないことを保証するための合理的な措置を講じ、(3)後で発見された脆弱性に対して、タイムリーに対策を講じ/その過程で透明性を図る手段をとる必要があります。すべての関係者は、悪意のあるサイバー活動を防止または軽減するために、脆弱性に関する情報を共有する義務があります。

解説によると、脆弱性が悪用される危険性は、特に国家や非国家主体によってなされる場合に大きいことが強調されています。が、それに対しても結局は、脆弱性情報の共有が重要なことが報告されています。その部分は、

高度に接続され、高度に相互依存している世界では、発見された脆弱性は、異なる製造者の/異なる環境の複数の製品およびサービスに影響を与える可能性があります。基礎となる脆弱性を他の製品に公開せずに1つの製品にパッチを適用すると、その製品は保護されますが、大規模なサイバースペースの安定性は保護されません。特定の脆弱性の影響を評価するのに最適な立場にあるのは、多くの場合、脆弱性の影響を受ける製品を開発、生産、インストール、または運用する人です。セキュリティの脆弱性の修正を支援したり、攻撃を防止、制限、または軽減するのに役立つ情報を共有することが重要です

次は、サイバー衛生規範です

7 サイバー衛生規範

国家は、基本的なサイバー衛生を確保するために、法律や規制を含む適切な措置を実施する必要があります。

サイバー衛生(Cyber Hygiene)というのは、サイバーセキュリティに関して、まず、基本的なリスク認識・リスク管理をしましょう、という提言です。

この概念は、友人でもあるケレン・エラザーニ(Keren Erazani)さんのTEDスピーチを思い出させます。ハッカーは、インターネットの免疫システムであるというのが彼女のスピーチです。

セキュリティの世界では、新しい技術・商品をあたかも銀の弾であるかのように販売することが、流行になっているように思えます。しかしながら、いつでも、一番大切なのは、基本的な「サイバー衛生」です。

報告書では、サイバー衛生は

サイバースペースにおける回避可能な危険を防御、防止、および迅速に軽減するために実行するための、優先順位のある重要なタスクを表す基本的な措置のレジームである

と定義づけられています。これは、国家や非国家主体に限られるわけではなくすべてのユーザが、実効しなければならない基本的な注意義務であると位置づけられています。

サイバー衛生の基準としては、ETSI、CIS、ASDなどがすでに準備をしているということがあげられています。

インターネットの責任ある使用と有益な成長のために、サイバー衛生の広範な採用による根本的なサイバーセキュリティ防御が不可欠になったと考えています。セキュリティは、適切なアカウンタビリティを確保するために、すべての行為者に責任が分散された継続的なプロセスと考えられなくてはならず、そのためには、たとえば、自動化されたレポートや情報共有などのメカニズムがあります。

 

 

 

 

 

 

 

 

 

GCSCスタビリティ報告書 分析5

分析4では、パブリック・コアや選挙制度の保護の規範を見てきました

次の規範は、サプライチェーンに関するものです。

規範3です。

国家および非国家主体は、開発および生産において製品やサービスを改ざんしたり、サイバースペースの安定性を大幅に損なう可能性がある場合は改ざんを許容してはなりません。

規範1は、パブリック・コアの保護について論じていますが、これに関して、同様にインターネットを安全かつ安全に使用および活用する能力を社会から奪い、その適切な機能に対する全体的な信頼を弱める可能性があるということから、ソフトウェアおよびハードウェアIT製品の主要コンポーネントについてもその保護が広げられているというのが、この規定の趣旨です。

そこでは、オペレーティングシステム、産業用制御システム、スイッチ、ルーター、その他の重要なネットワーク機器、重要な暗号化製品および標準、マイクロチップ設計、広く使用されているエンド-ユーザーコンシューマアプリケーションについての改ざん(tampering)が禁止されています。

解説によると、この禁止は、上記のような主要コンポーネントの改竄の禁止にとどまるものであって、標的を絞った国家行動を禁止するものではないことが表明されています。

報告書は、国家が、その国家を守るべき義務という点からみるとき、情報技術製品を取り扱う利益と責任の相剋に直面する、防衛のためには、いざというときのために、改竄も正当化されるという点が報告されています。

現実社会は、きれいごとだけではすみませんというか、それが現実ということですね。

規範4は、ボットネット規範です。

国家および非国家主体は、ボットネットとして、または同様の目的で使用するために、一般公共のICTリソースを徴用(commandeer)すべきではありません。

とくに、ボットネットにおいて、そのネットに利用されるデバイスは、通常の第三者ということになり、本人は、ボットネットになっているという認識がない場合がある。そのような場合に、ボットネット化されてしまうと、

デバイスを侵害して、悪意のあるソフトウェアエージェントをインストールすることは、犯罪者などの他の攻撃からデバイスの防御を弱めたり、デバイスの通常の機能を侵害したりするだけでなく、所有者/オペレーターを、最終ターゲットに生じた損害についての責任を問われかねなくする。これは、デバイスの侵害によってデバイスとその所有者/操作者が意図せずに国家間での戦闘行為における戦闘員になり、その場合には、報復や責任を招くこととなるので、特に深刻です。

ということになります。なので、一般消費者のデバイスを悪用することは、社会の信用を損ないネットワークのスタビリティを欠くことになる。

この規範は、規範3がサプライチェーンに関する規範であるのに対して、社会において、デプロイされた場面に関するものということができる。

 

 

 

 

 

 

 

GCSCスタビリティ報告書 分析4

原則の分析についで、いよいよ規範について、それぞれ見ていくことになります。

これらの原則に基づき、委員会は、他者の仕事を補足し、重複することのないようにし、8つの規範を作成しました。

ということです。

この報告書は、他の作業と相まって一つの規範の体系を提供するものということになるのかと思います。解説では、国連GGEの指摘がベースになることが触れられています。

解説によると

GCSCは現在の一連の規範のギャップを埋めることに焦点を当て、規範の議論に技術的な特異性を追加し、実装の問題に対処しました。

ということで、これがパブリック・コア規範(規範1)、選挙制度保護規範(規範2)、サプライチェーン規範(規範3)などにつながっています。

今一つは、

国連GGEの規範とGCSCによって提案された規範とのもう1つの大きな違いは、GCSCが非国家主体にも責任を課すべきだと考えていることです。

とされています。この点が、マルチステークホルダーの関与のところでも分析しましたが、このGCSCスタビリティ報告書の特徴であることはすでに触れました。

これらの認識を前提に、このエントリでは、前半の2つを見ていきましょう。

パブリック・コア規範(規範1)です

国家および非国家主体は、インターネットのパブリックコアの一般的な可用性またはインテグリティ、ひいてはサイバースペースの安定性を意図的かつ実質的に損なう行為を行ったり、悪意で許容したりしてはなりません。

報告書では、付録Bにおいてここの規範の解説がなされています。

なんといっても、ここの注目は、「パブリック・コア」という概念かと思います。この概念は、

パケットルーティングおよび転送、命名および番号付けシステム、セキュリティとアイデンティティの暗号化メカニズム、伝送メディア、ソフトウェア、データセンターなど、インターネットのインフラストラクチャの重要な要素を含めます

と定義されています。

解説によるとき、

2015年に採択された国連GGEの規範は重要なインフラストラクチャを保護しましたが、インターネットのパブリックコアがその用語でカバーされているかどうかは明らかではありません。多くは、重要なインフラストラクチャを公益事業とサービス(例:電力、通信、銀行など)と考えています。

ということから、これらを明示することに意味があったものと考えられます。

国際法的なアプローチからするときに、サイバー・インフラについては、主権的権能を国家が享受することが認められています(タリンマニュアル2.0 規則2)。そして、(武力紛争時おいて)これらのインフラは、軍用に利用されていなければ、民用物として保護されるということになります。また、平時においては、これらを損なったり、損なう行為を許容すれば、主権侵害とされ(同 規則4)、国際的違法行為とされる(同 規則 14)ことになります。なので、規範としては、国際法の世界では、すでに手当てがなされいるということになるかもしれません。国内法の世界でも、これらのインフラは、当然に保護されているでしょう。もっとも、重要インフラの定義が国によって異なるということはいえるので、その意味で、重要インフラ防御の規定をインターネットのコア部分にも配慮するようにという意味は、十分にあるものと考えられます。

選挙制度保護規範(規範2)です

国家および非国家主体は、選挙、国民投票、または投票に不可欠な技術インフラストラクチャを混乱させる(disrupt)ことを目的としたサイバー作戦を追求、支援、または容認してはなりません。

現在、サイバーセキュリティの世界では、情報操作に対する関心がきわめて高いです。現代の「サイバー攻撃」であるとか、「ハイブリッド戦争」であるという人もいます。そのような分野において、一つの規範を明確化しているのがこの規範2であるということがいえるでしょう。

この規範2は、どこに特徴があるのでしょうか。明確に、「選挙、国民投票、または投票」と保護されるべきものが明らかにされていること、その「不可欠な技術インフラストラクチャ」が保護されるとされていること、名宛人は、国家および非国家主体であること、容認も禁止されること、ということかと考えています。

規範2について付録Bの解説を見ていきましょう。

解説をそのまま翻訳してみましょう。

-----

 国家のコミティ(互譲)における国家の行動を導くすべての規則、教訓、原則の中で、非干渉禁止原則はおそらく最も神聖なものとされています。国連憲章の第2条(4)は、この規範を明確にし、法的、したがって拘束力のある原則としてそれを高めています。

 すべての加盟国は、国際関係において、いかなる国家の領土保全または政治的独立に対する脅威または武力行使、または国連の目的と矛盾するその他の方法を控えなければならない。

この規定を通じて、憲章の立案者は、国家の物理的または政治的自治に向けられた強制的措置が、不干渉の原則に対する最も重大な脅威になりうると考えていました。実際、どちらも国家主権にとって不可欠です。国家によって支配されている領土は、その主権能力の現れかもしれませんが、政治的権限と自立を享受できなければ価値はありません。さらに、自由で公正に行われる選挙などの国家参加型のプロセス以上に、真の政治的独立を反映するものはありません。国連憲章は、過度の外部干渉に対する強力な保護を付与しようとしました。これらの保護対策は、デジタル時代に再び挑戦されるようになりました。

----

内政不干渉原則と国家主権の関係への意識がなされた上で、国連憲章2条4項の位置づけがなされ、それが、さらに近時の情報操作作戦によって脅威が増してきたことが触れられています。

そして、サイバーの関与する選挙干渉が、主権の違法な侵害であるのか、違法な内政干渉なのかの議論があることが紹介されています。

この部分は、Michael N. Schmitt, “’Virtual’ Disenfranchisement: Cyber Election Meddling in the Grey Zones of International Law,” Chicago Journal of International Law, Vol. 19, No. 1, と Nicholas Tsagourias, “Electoral Cyber Interference, Self-Determination and the Principle of Non-Intervention in Cyberspace,” https://www.ejiltalk.org/electoral-cyber-interference-self-determination-and-the-principle-of-non-intervention-in-cyberspace/. だそうです。

----報告書の引用です

委員会は、地域、地方、または連邦レベルでの選挙または参加プロセスの実際の実施は、それぞれの国の法律に従って実施されるべき国家の権限であると認めています。それでも、選挙インフラへのサイバー攻撃は国境の外から発生する可能性があり、多国間協力の解決が必要です。選挙機関のデジタル化を選択する国が増えるにつれて、そのようなインフラストラクチャに関連するリスクと脆弱性は多様になり、大規模で攻撃的なサイバー作戦の可能性も増えます。したがって、政府は、他の国家の技術的な選挙インフラストラクチャに対するサイバー活動への関与を控えることを約束しなければなりません。この基準を勧告するにあたり、委員会は、国際法の違反と見なされるかどうかにかかわらず、選挙の干渉は容認できないと断言するのみです。

-----

個人的には、影響力の行使に限られる場合に規範違反となるか、ということについては、この規範も触れていないと解釈します。技術的なインフラというのは、あまりはっきりしませんが、投票者データベース、投票機械、投票用アプリやコンピュータを指しているように思えます。

その意味で、海外からの影響を受けたフェークニュース工場は、この規範の直接の対象ではないと考えられます。

 

 

 

 

 

 

 

 

GCSCスタビリティ報告書 分析3

分析2では、マルチステークホルダーの関与について、検討してみました。

次は、原則です。

責任:誰もがサイバースペースの安定性を確保する責任があります。

制限:国家または非国家主体は、サイバースペースの安定性を損なう行動をとるべきではありません。

行動の要求:国家または非国家の関係者は、サイバースペースの安定性を確保するために合理的かつ適切な措置を講じる必要があります。

人権の尊重:サイバースペースの安定性を確保するための努力は、人権と法の支配を尊重しなければなりません。

どれもが、非常に重要なものです。その一方で、国際法/国内法の両面から分析するという私の立場から深読み(?)をするとき、それぞれ、興味深い含意があるといえるかもしれません。

責任:誰もがサイバースペースの安定性を確保する責任があります。

について読めば、「誰もが(everyone)」とされているところが、ポイントかと思います。国家および非国家主体という用語が、規範の鼎立・実施に重きをおいたところで使われているのに対して、一般利用者さえもが、この責任原則の名宛人となるというのは、(当然とはいえ)興味深いです。

最初の原則は、サイバースペースの分散型および分散型の性質を示しています。サイバースペースの安定性を確保するためにマルチステークホルダーのアプローチが必要であることを再確認し、特に「ステークホルダー」をすべての個人を含むように拡大します。

次は、制限の原則です。

制限:国家または非国家主体は、サイバースペースの安定性を損なう行動をとるべきではありません。

これは、2018年の総会決議73/27(「国際安全保障の文脈における情報および通信の分野における発展」)同73/266(「国際安全保障の文脈におけるサイバースペースにおける責任ある国家の振舞を進める(advancing)」)に適合するものだそうです。

また、2015年の国連GGEにも対応しています。

この解説のところで、この規範が、非国家主体に対しても名宛されており、たとえば、攻撃者に対してハッキングすることは、サイバースペースのスタビリティを損なうものと例示されているのは、興味深いところです。

3番目は、行動の要求(requirement of act)の原則です。

行動の要求:国家または非国家の関係者は、サイバースペースの安定性を確保するために合理的かつ適切な措置を講じる必要があります。

これは、2015年GGE報告書の

ICTの使用におけるスタビリティとセキュリティを向上させる手段の開発と適用に協力する

という用語に対応しているということです。

解説では、民間企業や個人の義務についても、強調されているといえます。

民間企業は、協力してサイバーの脅威を軽減することができますし、個人はアップグレード、パッチ適用、多要素認証の使用などのベストプラクティスを採用していることを確認して、ボットネットがマシンを乗っ取るリスクを軽減できます。

という記述があります。では、国家の義務は、何か?というと、実は、緊張を高めるのを避け、スタビリティを増す義務がある、という記述がありますが、その内実にどのようなものがあるか、というのは、詳述されていなかったりします。

最後、そして、軽視すべきではないのが、人権原則です。

人権の尊重:サイバースペースの安定性を確保するための努力は、人権と法の支配を尊重しなければなりません。

法律家の観点からするとき、この原則は、国際法にあっては、その他の原則(たとえば、国家平等原則、内政干渉禁止の原則)と同一のレベルで一つの原則として、認められており、その一方で、国内法にあっては、それ自体が、権利と義務の体系だろうという突っ込みがなされそうです。

その意味で、二つのパラレルワールドで、働き方が違う要因を、名前が同一だからといって、ごちゃまぜにしているんじゃないの、という感じもありますが、それはさておき、「人権原則」がうたわれています。

このごちゃ混ぜ感は、解説でも感じられるかと思います。

少なくとも、人権原則の遵守は、国家がサイバースペースでの活動に従事する際に、国際法に基づく人権義務を遵守することを要求しています。

文言的には、武力紛争時の国際人道法の適用を意味するような感じですね。

人権は、世界人権宣言が念頭におかれています。そして、デジタルの文脈では、国連総会決議68/167、デジタル時代のプライバシーの権利、A / RES / 68/167(2013年12月18日)、 国連総会決議69/166、デジタル時代のプライバシーの権利、A / RES / 69/166(2014年12月18日)になります。

国内法の次元で、プライバシーが問題になるのは、当然に必要ですが、その一方で、国際法の次元で、どのような場合に、プライバシーが問題になるのでしょうか。法律家としては、この点も考えないといけませんね。個人的には、デューディリジェンスの際の結果回避義務の発生時の調査義務の場合に出てくることは、わかるのですが、それ以外だとピンとこないところです。

全体としてみるときに、原則の名宛人が、国家と非国家主体、そして一般ユーザまで広がっている、というのは、非常に興味深かったりします。そして、それぞれで、国際法と国内法、その裂け目の問題を考えさせてくれるということはいえるのでしょう。

 

 

 

 

GCSC スタビリティ報告書 分析2

分析1では、「サイバーステビリティ」という概念について検討してみました。

次に「マルチステークホルダーの関与」についてみていきましょう。報告書では、4で「マルチステークホクルダーの関与(engagement)」として分析されています。

でもって、マルチステークホルダーの関与って何?ということになりますが、定義らしき記述は直接にはありません。が、WSISの中の表現である

政府、民間部門、市民社会、国際組織、アカデミアおよびその余の利害関係者が、効果的に参加し、パートナーシップを組み、協力する

ことということになるかと思います。この表現は、そのあとに、そのようなマルチステークホルダーの関与が、その権限と責任のなかで、特に、発展途上国のバランスのとれた意見表明とともに、情報社会の発展に欠かせないものだとつながっていて、政治的にも、いろいろいな意味を有していることが、読み取れそうです。

報告書では、国家の関与について、G8の2011年の宣言や、国連のGGEなどの報告書、国連の2018年決議を引用して、説明を加えています。

が、個人的に面白いのは、エグゼクティブサマリで

一部の人々は、国際的な安全と安定を確保することは、ほぼ独占的に国家の責任であると信じ続けています。ただし、実際には、サイバー戦場(つまり、サイバースペース)は、主に非国家主体によって設計、展開、運用されており、サイバースペースの安定性を確保するために、彼らの参加が必要であると考えています。さらに、多くの場合、非国家主体がサイバー攻撃に最初に対応し、さらに、それを起因ともなりうるため、その参加は避けられません。

に対応するところの分析といえるかもしれません。報告書では、

一部の政府は、国際的な安全と安定の確保はほとんど国家の責任であると信じ続けています。この伝統的な安全保障の見方は、国家は強力な手段による市民の攻撃から保護する責任があるという考えから生まれています。これは国連憲章第24条に成文化された国連安全保障理事会の責任に反映されています。このような思考は、物理的領域では、政府が正当な武力行使を独占しているだけでなく、領域への攻撃や防衛に使用される軍事グレードの武器(飛行機、戦車など)をコントロールしていることによって強化されるかもしれません

実際には、サイバー戦場(つまり、サイバースペース)は、主に民間セクターによって設計、展開、および運用されています。政府は、その独自の責任にもかかわらず、この領域の排他的な保護者ではありません。政府がサイバースペースでの合法的な武力行使に関して法的な(de jure)独占を維持している場合でも、このドメインの攻撃と保護に関する実用的な独占権はなくなり、強力なサイバー兵器の拡散と使用を防ぐこともできなくなります。むしろ、技術コミュニティ、市民社会、および個人も、標準を広く伝えることなど、サイバースペースの保護に大きな役割を果たしています。したがって、結果を改善し、サイバースペースの安定性をサポートする規範とポリシーが適切に形成され、望ましくない結果を回避するために、マルチステークホルダーのアプローチが必要です。

同様に重要なことは、たとえ国家が単独で行きたい(go alone)と思っても、できないことです。サイバースペースの安定性に影響を与える問題への非国家主体の参加は避けられません。たとえば、民間部門と技術コミュニティの多くのメンバーが重要なプロトコルとサービスを担当し、商用製品やオープンソース製品を使用している国家を保護する場合があります。さらに、政府の伝統的な役割と政治的特権である攻撃の調査と責任帰属の決定(attribution)さえ、もはや彼らの唯一の知識と責任の領域ではありません。

と国際法的なアプローチに対しても批判をなしているように思えます。

個人的には、「国際法のみ」の分析が、限界があるというのは、そのとおりだと思います。が、法的には、国際法の次元と国内法の次元があるわけです(上の図参照)し、では、それをごっちゃにして規範といえばいいのか、というと、それは違うような気がします。むしろ、国際法の次元で、きちんと分析できる事項は何なのか、また、国内法の次元で分析できる事項はなにか、また、その次元の狭間で何が起きているのか、それをどう考えるのか、というのが、問題なように思います。

次元の狭間というとドクター・フーの世界観だとカーディフ(Cardiff-Walesの首都ね)になります。このカーディフを分析するのは、国際法の論文としても、すごくいけてることになりそうです。上の図みたいに、古き良き国際通信は、接続点だけで管理されていればよかったんですが、インターネットは、そのように構築されていないので、いろいろなところに次元の狭間なところで事件がおきるわけですね。

なので、サイバーマン

とか、

ダーレク

 

とかが、従来の世界観に忍び込んでくるわけです。

 

 

 

 

 

 

 

GCSC スタビリティ報告書 分析1

GCSC スタビリティ報告書で、気になるところをメモしていきたいと思います。

最初に気になるところは、そもそも、この報告書の位置づけということかと思います。報告書の序のところに

委員会の仕事は空虚ではなく、GCSCは、他の多くの機関やプロセス(過去と現在の両方)がサイバースペースのスタビリティに関心を共有していることを認識し、他の作業と重複をしないように努めました。むしろ、GCSCは、他の複数の利害関係者や政府のプロセスに基盤をおこうとしましたし、将来の作業に影響を与えようとしています。

という記述があります。

そして、他の作業として、

  • United Nations Group of Governmental Experts (UN GGE)
  • Open-Ended Working Group (UN OEWG),
  •  Global Forum on Cyber Expertise (GFCE),
  •  World Summit on the Information Society (WSIS),
  • the Global Commission on Internet Governance (the Bildt Commission),
  •  Internet Governance Forum (IGF)
  •  Global Conference on CyberSpace (GCCS/the London Process)
  •  the NETmundial Initiative,
  • the Organization for Security and Co-operation in Europe (OSCE)
  •  the African Union Commission (AUC)
  •  the Charter of Trust,
  • the Cybersecurity Tech Accord
  •  The Hague Program for Cyber Norms
  •  the United Nations Institute for Disarmament Research (UNIDIR)
  •  the Paris Call for Trust and Security in Cyberspace (“the Paris Call”)
  •  UN Secretary-General’s High-level Panel on Digital Cooperation.

などがあげられています。これらの報告書の関係は、どうなるの、また、たとえば、国際法のアプローチと、どのように違うの、という問題があるわけですが、それらは、あとで、考えてみましょう。

この報告書のポイントとなる概念は、「サイバーステビリティ」という概念になります。これは、報告書で、定義が紹介、分析されています(報告書の 「2 サイバースペースのスタビリティで意味されるもの」)

サイバースペースの安定性とは、誰もがサイバースペースを安全かつ安全に使用する能力に合理的に自信があることを意味します。そこでは、サイバースペース内で提供されるサービスと情報の可用性とインテグリティが一般に保証(assured)され、変化が比較的平穏に管理され、緊張が非エスカレート的な方法で解決されます。

というのが定義です。解説では、通常の用語とともに国際関係論における位置づけが触れられています。利用者の自信(confidence)に関連する概念であること、普段に変化する概念であること、が重要だそうです。

セキュリティの要素のうち、インテグリティと可用性が保証されていること、というのは、興味深いです。機密性は、どうなるのでしょうか。それについては、多分、スタビリティ枠組みでは、直接に関与しないよ、というメッセージなのかと思います。(結局、国家に影響がでないようなものは、スタビリティの概念とは直接は関係しないとしているのかもしれません)

そして、この「スタビリティ」は、7つの要素(?-報告書でも、これらの性格は、書いてなくて、item)から成り立っています。

このフレームワークには次が含まれます。(1)マルチステークホルダーの関与。 (2)サイバー安定性の原則。 (3)自発的規範の開発と実施。 (4)国際法の順守。 (5)信頼醸成措置。 (6)能力開発。 (7)サイバースペースの回復力を確保するための技術的な標準が、オープンに普及し、幅広く利用されること。(サマリから)

図でいくとこんな感じ。

そして、報告書では、マルチステークホルダーの関与、原則、規範が深く調査されているわけです。

それらは、次のエントリで。

GCSC スタビリティ報告書 推奨事項

ということで、エグゼクティブサマリのエントリの続きです。

推奨事項

最後に、複数の利害関係者の関与の重要性であることと、、行動規範を宣言することはそうではないという事実の両方をを認識するとともに、委員会は複数の利害関係者モデルの強化、規範の採用と実施の促進、および規範に違反する者の責任(accountable)に焦点を当てた6つの勧告を行います。

具体的には、委員会は以下を推奨しています。

  1. 国家および非国家主体は、抑制を促進し、行動を促すことにより、サイバースペースの安定性を高める規範を採用し、実施します。
  2. 国家と非国家主体は、その責任と限界とに対応して、規範違反に適切に対応し、規範に違反する者が、予測可能で意味のある結果に直面することを確かにします。
  3. 国際機関を含む国家および非国家主体は、スタッフの訓練、能力と能力の構築、サイバースペースの安定性の重要性の共有理解を促進し、さまざまな関係者の異なるニーズを考慮に入れる努力を強化します。
  4. 国家および非国家主体は、規範違反およびそのような活動の及ぼす影響に関する情報を収集、共有、レビュー、および公開します。
  5. 国家および非国家主体は、サイバースペースの安定性を確保するために、関心のあるコミュニティを設立および支援します。
  6. 国家、民間セクター(技術コミュニティを含む)、市民社会が適切に関与し、協議する安定性の問題に対処するために、常設のマルチステークホルダーエンゲージメントメカニズムを確立します。

このレポートの公開は、終わりと始まりの両方を表しています。委員会はその任務を果たしました。ただし、GCSCのメンバーとサポーター、およびその目標をサポートするすべての人々にとって、これらの原則、規範、推奨事項を実装するために必要なハードワークはまだ始まったばかりです。安定性が確保されない場合、サイバースペースの利点が失われるため、始めなければなりません。