2018年米国サイバー戦略をどう見るのか

結局、メディアのような「サイバー兵器を使いやすくなる」とか、「攻撃的対処も可能に」「先制攻撃の権限拡大」とか、威勢のいい表現は、見つけることができませんでした。

むしろ、文言を見ていくと、同盟国とのインテリジェンスをも活用した攻撃の責任帰属の確定とその公的アナウンスによって、外向的手法で、安全なネットワークを構築していこうという実務的な手法の強調が重要視されていると私は、読んでみました。

ソニーピクチャーズでのオバマ大統領のTVインタビュー、NotPetyaでのアナウンスメントと、サイバー戦略としての継続性をみるわけです。

メディアの論調としては、異なりますが、Law & Policyの専門の分析がどのように分析をしているのか、ちょっと聞いてみたいところです。

 

米国サイバー戦略の分析(柱4)

ピラーIV:アメリカの影響力を先進させる

この柱は、米国がインターネットのイノベーションの多くを生んだものと見ていること、国際的なサイバー問題のためのリーダーシップをとっていることにふれています。目的としては、長期にわたる公開性、相互流用性、セキュリティ、信頼性を保持することといっています。

この柱は、「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」と「国際サイバーキャパシティを構築する」から成り立っています。

「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」においては、産業革命以来の比類なき発展がなされていること、人権・基本権をめぐる争いがおきていること、米国は、オープンで、相互運用可能で、信頼性が高く、安全なインターネットを守り、促進するという原則にたつこと、というだとされています。

優先行動として

  • 「インターネットの自由を守り、促進する」
  • 「同様の国、産学官、市民社会との連携」
  • 「インターネットガバナンスのマルチステークホルダーモデルを推進する」
  • 「相互運用可能で信頼性の高い通信インフラストラクチャ/インターネット接続を促進する」
  • 「米国の企業のための市場の促進と維持」

があげられています。

「国際サイバーキャパシティを構築する」は、パートナーに防衛し、米国を援助する能力を供えさせ、より広い外交、経済、安全保障の目標達成に貢献すること、これを通じて、戦略的パートナーシップを構築すること、アメリカの影響力を構築するのち重要であること、などが述べられています。

このために優先してなすべき行動としては、「サイバーキャパシティビルディングの取り組みを強化する」があげられ、ここでは、同盟国・パートナー国のサイバー能力の強化と相互運用性の強化が述べられています。

米国サイバー戦略の分析(柱3)

柱3は、「強さを通して平和を保つ」です。
これは、さらに、「責任ある国家行動の規範によるサイバー安定性の向上」と「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」にわけて論じられます。

「責任ある国家行動の規範によるサイバー安定性の向上」では、「世界的なサイバー規範の遵守を奨励する」ことが優先事項であるとされています。国際法と責任ある国家の行動についての自主的な拘束力のない規範は、それを遵守することによってサイバースペースでの予測可能性や安定性を促進することが述べられています。

「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」では、この意味が「悪意あるサイバー行動に対して防止、対応、抑止のためのすべての道具が利用可能である。これは、外交、情報、軍事(キネティックおよびサイバー)、経済的、諜報、帰属の公表、法執行能力を含む」ものとされています。
この表現でもって、トランプ政権は、サイバー反撃を許容するように、政策を変更したと報道されているようです。
私は、個人的には、オバマ政権からのポリシを変更するものではない、と認識しています。

  • このための優先事項としては、客観的/協調的なインテリジェンスによるリード・制裁を課す・サイバー抑止イニシアチブを構築する・悪意のあるサイバーインパクトと情報操作があげられています。
    「客観的/協調的なインテリジェンスによるリード」においては、情報コミュニティは、悪意ある行為の特定と帰属決定にすべてのサイバーインテリジェンスを用いて世界をリードしていること、この結果は、世界のパートナーと共有されること、が強調されています。

(コメント)行為者の特定は、identificationで、それが、どこの責任になるかを決定するのが、attributionという用語になっています。この点は、私のブログエントリでふれてますが、特定にアトリビューションを用いる用語法に対する私の違和感は、英語でも、正しかったようです。
あと、インテリジェンスコミニュティによる行為者特定の重要性は、NotPetyaのエントリでもふれました(Kaljulaidエストニア大統領のキーノートです)ので、その実務を念頭においた用語ですね。

  • 「制裁を課す」将来の悪事を抑止するために、迅速かつ透明性のある制裁(consequences)を課すこと、世界のパートナーと協同していることが論じられています。
  • 「サイバー抑止イニシアチブを構築する」制裁の実行は、同様のマインドをもった国家の同盟のもとでなされるときには、インパクトがあって、強いメッセージとなること、米国は、国際的なサイバー抑止力イニシアチブを開始するつもりであること、そのイニシアチブは、インテリジェンスの共有・責任帰属決定の支え・責任ある行動の公の指示表明・悪事行為者に対する共同での制裁実行を含むものであること、が述べられています。

(コメント)トランプ政権が「攻撃を最優先」にしたという評価は、この文章を正面からみるときに、誤解を招くものといえるでしょう。というか、実務的な活動をしらない「誤報」ということができます。責任帰属決定を公にして、行為者に対する抑止とするという実務的な対応が、重視されていること、NotPetya対応が、法と政策の観点からは、きわめてリーディングケースであったことが評価されるべきだったと思います。
日本だと、NotPetyaは、スルーされがちなのですが、そこを評価するのが、プロだと思います。

  • 「悪意のあるサイバーインパクトと情報操作」これは、選挙過程への海外勢力の介入に対しての対応になります。外国政府・民間企業・アカデミアとともに、市民の権利・自由を守りながら、適切なツールを用いて対抗していくことかが述べられています。

米国サイバー戦略の分析(柱2)

柱2は、「アメリカの繁栄を促進する」です。
これは、さらに、「活気あふれるデジタル経済を育む」「米国の独創性を育んで保護する」「優秀なサイバーセキュリティ人材を育成する」からなりたっています

「活気あふれるデジタル経済を育む」ための優先的な行動としては、適応可能でセキュアなテクノロジー市場にインセンティブを与える・革新の優先順位付け・次世代インフラへの投資・国境を越えたデータの自由な流れを促進する・新興技術における米国のリーダーシップを維持する・フルライフサイクルサイバーセキュリティを促進するがあげられています。

  • 「適応可能でセキュアなテクノロジー市場にインセンティブを与える」というのは、セキュアの技術を採用するための市場の障害を克服し、ベストプラクティスを促進する戦略を発展させるために連邦政府が努力するということです。
  • 「革新の優先」は、サイバー脅威を減少させるイノベーティブな能力を発展、共有、構築するのに障害となる政策的障害を排除しようということです。
  • 「次世代インフラへの投資」について、次世代技術(5G、AI、量子コンピューティングなど)の技術の進展のために連邦政府は、協力するということです。
  • 「国境を越えたデータの自由な流れを促進する」については、国家安全の名のもとに、データローカライゼーションや規制の強化をはかる国家が増加しているのに対して米国企業の競争力を減退させるとし、オープンで自由な情報の流通に努力するとしています。
  • 「新興技術における米国のリーダーシップを維持する」においては、米国のサイバーセキュリティのイノベーションを押し進め、堅固な世界的なセキュリティ市場における障害を減少させるとしています。
  • 「フルライフサイクルサイバーセキュリティを促進する」については、システムの脆弱性を減少させ、攻撃が柔軟に回復させるものとし、さらに、テスト、訓練し、運用のベストプラクティスを発展されるとしています。さらに、調整された脆弱性公表、クラウド(crowd)ソースのテストなどのイノベーティブな評価を促進させるとしています。

「米国の独創性を育んで保護する」は、さらに、米国における外国資本による投資と運用の見直しのためのメカニズムの更新・強力でバランスの取れた知的財産保護システムを維持する・アメリカのアイデアの機密性と完整性を守る、という優先事項があげられています。

  • 「米国における外国資本による投資と運用の見直しのためのメカニズムの更新」については、電気通信ネットワークが国民生活にとって重要であることから、FTCのライセンスの基準を見直すものとしています。
  • 「強力でバランスの取れた知的財産保護システムを維持する」については、特許、登録商標、著作権の知的の国際的な保護システムを発展させ、敵国が米国の調査と発展を、不当な方法で利得するのを防止するとしています。
  • 「アメリカのアイデアの機密性と完整性を守る」については、いままで、他国が、違法にアイディアなどを奪われてきており、それに対抗するよう努力するとされています。

「優秀なサイバーセキュリティ人材を育成する」においては「才能のパイプラインを構築し維持する」「アメリカの労働者のスキルアップと教育機会の拡大」「連邦のサイバーセキュリティ労働力を強化する」「エグゼクティブ・オーソリティを使用して才能を強調し報酬を与える」が優先事項であるとされています。

米国サイバー戦略の分析(柱1)

トランプ政権の国家サイバー戦略を分析します。4つの柱があることは、前で述べました

1 は、「アメリカ人民、国土、生活様式の保護」です。さらにこれは、「連邦のネットワーク/情報を安全にする」「重要インフラを安全にする」「サイバー犯罪と戦い、インシデントレポートを改良する」にわけて論じられています。

  • 「連邦のネットワーク/情報を安全にする」では、連邦民間サイバーセキュリティの管理と監督を一元化する、リスク管理と情報技術の連携を調整する、連邦サプライチェーンのリスク管理の改善、連邦請負業者のサイバーセキュリティを強化する、政府がベストプラクティスと革新的なプラクティスを導くことを確実にする、にわけて論じられています。
    •  「連邦民間サイバーセキュリティの管理と監督を一元化する」では、主として、DHSの権限の強化が語られています。
    •  「リスク管理と情報技術の連携を調整する」では、大統領令13833によるCIOの権限強化が論じられています。
    •  「連邦サプライチェーンのリスク管理の改善」では、サプライチェーンのリスクをを機関の調達と連邦の要件に統合することなどが語られています。
    •  「連邦請負業者のサイバーセキュリティを強化する」では、請負業者のリスクマネージメントとテスト、調達、遠隔調査、対応を契約ベースでなしうることにすることが語られています。また、大統領令13800報告の統一的な購買についてもふれられています。
    •  「政府がベストプラクティスと革新的なプラクティスを導くことを確実にする」では、政府からの補助金を受領するには、サイバーセキュリティ基準を満たすことが求められるとされています。
  • 「重要インフラストラクチャを安全にする」では、役割と責任の見直し、特定された国家的リスクに応じた行動の順位付け、サイバーセキュリティイネーブラーとしての情報通信技術プロバイダーの活用、私たちの民主主義を守る、サイバーセキュリティ投資へのインセンティブ化,国家研究開発投資の順位付け、輸送と海洋のサイバーセキュリティを向上させる、スペースサイバーセキュリティの向上、にわけて論じられています。
  • 「役割と責任の見直し」では、サイバーセキュリティリスクマネジメントおよび事案対応に関して、連邦機関と民間の役割と責任を見直すことが述べられています。
  • 「特定された国家的リスクに応じた行動の順位付け」においては、甚大なリスクに対しては、民間企業と連邦は協調して対応することが述べられています。
  • 「サイバーセキュリティイネーブラーとしての情報通信技術プロバイダーの活用」においては、プライバシーと市民の自由を保護しながら、情報通信技術プロバイダーは、情報通信セキュリティとレジリエンスを向上させるために連邦と協働しなければならないとしています。
  • 「私たちの民主主義を守る」は、選挙過程に関する脅威に関する情報の共有を向上することを述べています。
  • 「サイバーセキュリティ投資へのインセンティブ化」では、重要インフラにおいてセキュリティの投資が、利益を生むことを理解してもらうことなどを述べています。
  • 「国家研究開発投資の順位付け」では、連邦が、調査・開発が優先されるように改変されることがふれられています。
  • 「輸送と海洋のサイバーセキュリティを向上させる」では、物の輸送が、重要であり、国際的な輸送がサイバー手段によってリスクにさらされているのに対して対応することが明らかにされています。
  • 「宇宙サイバーセキュリティの向上」は、測位・ナビ・時刻(PNT)、インテリジェンス・監視・偵察(ISR)、衛星通信・天候モタリングの観点から、重要であることが述べられています。
  • 「サイバー犯罪を取り除き、インシデントレポートを改善する」では、インシデントレポートとレスポンスの改善、電子監視とコンピュータ犯罪法の近代化、サイバースペースにおける国境を越えた犯罪組織からの脅威を軽減する、海外にいる犯罪者の身柄確保(apprehension)を改善する、犯罪サイバー活動に対抗するパートナー国の法執行能力を強化する、わけて論じられています。
  • 「インシデントレポートとレスポンスの改善」では、サイバーインシデントの連邦への早急に報告の重要性をといています。
  • 「電子監視とコンピュータ犯罪に関する法の近代化」では、法執行機関の能力を拡張する改正、民事仮処分を通じての犯罪インフラの停止、悪意ある活動者に対する適切な制裁を課すことが強調されています。
  • 「サイバースペースにおける国境を越えた犯罪組織からの脅威を軽減する」においては、海外の犯罪組織に対して、法執行機関に対して、捜査および起訴する有効な法的ツールを準備することが述べられています。
  • 「海外にいる犯罪者の身柄確保(apprehension)を改善する」においては、米国政府は、海外の犯罪者を特定し、裁判に引き出すまでを改良すること、適法な犯罪人引き渡し手法の協力を促進するように努力することが述べられています。
  • 「犯罪サイバー活動に対抗するパートナー国の法執行能力を強化する」においては、パートナー国の法執行機関の協力が必要であること、それらの国の能力を強化することは、米国の利益でもあることが述べられています。

この柱1においては、特に刑事的手続に関しての新たな動向について注目したいところです。

「トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる」?

トランプ政権が、公表した「NATIONAL CYBER STRATEGY(国家サイバー戦略)」に関して、Tech Crunchは、「トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる」という記事をあげています。

この記事の内容としては、現政権としては大統領指令PPD-20を破棄して「“攻撃の最優先”(offensive step forward)」という表現をとるようになった。“大統領の指示はこれまでの抑制を逆転して、実質的に、関連部門からの攻撃的なサイバー作戦を可能にするものだ”。ということだそうです。

このような記事を読むと、すぐにトランプ政権は、サイバー攻撃に対して、サイバー的な手法を用いて、攻撃者に対して、実際の被害が発生するような攻撃的な手法を採用するようになったというイメージを持ちそうになります。はたして、そうなのか、いままで、特にソニーピクチャーズやNotPetyaなどの事件において国家実行として行われてきたものを変更するのか、それについては、実際の文章をみていかないといけないような気がします。

戦略自体は、序と4つの柱からなりたっています。

4つの柱は「アメリカ人民、国土、生活様式の保護」「アメリカ反映の促進」「強靱さによる平和の保全」「アメリカ影響の進展」です。

序は、ここに至る道筋と前進とにわけて論じられています。前者においては、オープンなインターネットの考え方をもと米国は、これを発展させてきたが、競争者/敵(ロシア・イラン・北朝鮮)は、インターネットを米国の軍事、経済、政治力の及ばないところとみて主権の影に隠れて、他の国の法を侵しているとしています。
前進においては、サイバースペースを確保することが戦略の基礎であり、技術の進展と政府や民間部門の効率的な運営が必要なるとしています。また、ポリシとしては悪意あるサイバー活動やそのエスカレーションを防止するために、コストを賦課することを採用しなければならないとしています。このコスト賦課は、サイバー/非サイバーを問わないということも記載されています。

さて、どうも文章の上からは、「サイバー兵器」を使ってどうの、ということは感じられません。次では、具体的な柱を見ていくことにしましょう。