Cycon 2019 travel memo day3 (1 )

Sovereignty and Cyber Operationsです。

司会は、マリア博士です。彼女は2012年に早稲田大学に留学していて、そのときに知り合いました。

でもって、Cycon名物(?)のシュミット先生の講義です。

最初は、主権の定義です。一般的には、国家主権とは、「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」(パルマス島事件 1928)とされています。UN GGEは、主権概念がサイバースペースにおいても適用されることは合意しています(2015報告 パラ20)。

主権の侵害について考えてみます。国際法上、主権の侵害というのは、「国家の行為」に対して適用されます。非国家主体の行為については、国家に責任が帰属しうる場合に適用されます。

主権の侵害については、以下のことがいえます。

(1)領土の保全性(integrity)は、「国境は、侵害されない」ということです。サイバーの文脈では、遠隔で指揮されているサイバー活動は、標的国の領域の保全性を侵害するのか、という問題を引き起こします。

(2)侵害の閾値の問題は、「侵害」といえるのは、どのような場合なのか、という問題である。物理的な損害がある場合、機能不全をもたらす場合、物理的な損害・機能不全を場合(データベースの消去)の場合については、争いがあるところである。一方、エスピオナージについては、侵害に該当しないと考えられています。

(3)具体的には、どうか。
ア) 密接なアクセス 標的システムにマルウエアを挿入し、機能を損なう場合
イ) ハードドライブをオーバーヒートさせ、永続的な損害を与える場合
ウ)ハードディスクを暗号化し、標的のインフラを操作不能にする行為
エ)サイバーインフラを遠隔から操作し、システムの動作を遅延させる行為
オ)将来、破壊活動をするようなマルウエアを埋め込む行為
カ)サイバーインフラの内部を操作しファイルを抽出する行為
キ)空いているポートを探索する行為

主権の侵害は、「本来的な政府の機能」に介入する(intervene)か、奪取する(usurp)場合でなければならない。
本来的な政府の機能というのは、選挙、税の徴収、外交、法執行などです。

「介入」するというのは、例えば、重要な政府のオンラインでの徴収システムに対して執拗なDDoS攻撃を仕掛ける場合です。

「奪取」するというのは、例えば、国家の同意がないのに、ボットネットのインフラをテイクダウンするように、法執行の機能を遠隔で行うことです。

基準としては、1999年の国防省のリモートオペレーションに関する評価が、「攻撃の影響が感じられた国家が、もし、それを感じたのであれば、その主権と領土の保全性が地粉割れたという立場をとることができる」としています。

これらの基本的な概念を押さえたあとで、ジェレミーライト法務総裁の「原則としての主権-ルールではない」という発言についての議論が始まります。
このリンクは、前に示しましたがここです。

一部の人々は、同意なしに他の国のコンピュータネットワークへの干渉に関して「領土主権の侵害」というサイバー特有のルールの存在を主張しようとしています。

主権は、もちろん、国際的なルールに基づくシステムにとって基本的なものです。 しかし、私は現在、その一般原則から、禁止されている介入の範囲を超えた、サイバー活動に対する特定の規則または追加の禁止を推定できるとは思いません。 それゆえ、英国政府の立場は、現在の国際法の問題としてのそのような規則はないということです。

としています。シュミット先生は、この部分について、自分は伝統的な学者である(高橋コメ-研究範囲は、ほんとうに最先端なのですが)として、主権がルールではない、という見解に強く異議を唱えます。

裁判所の判決を例にすると、1926年ローチュス号事件判決、1949年コルフー海峡事件、1974年核実験事件、1986年ニカラグア事件があります。

国家実行だと、1960年のアイヒマン拉致事件(全体像はこちら)、1978年コスモス954事件(外交解決文書はこちら)、2001年の中国での軍用機の緊急着陸事件(海南島事件)とかが、主権の侵害が主張された事件となります。

また、特にサイバー領域に関していうと、2012年の米国国務省の法律顧問 ハロルドコーのコメントがあります。彼は、

相互に接続しあっていて、相互に運用されうるサイバースペースの性質ゆえに、とある国の情報インフラを標的とする活動は、他の国に対しての影響を持ちうる。国家が、サイバースペースで活動するときは、他の国の主権を考える必要がある

としています。

条約法によると、国連の組織犯罪防止条約は、

この条約のいかなる規定も、締約国に対し、他の国の領域内において、当該他の国の当局がその国内法により専ら有する裁判権を行使する権利及び任務を遂行する権利を与えるものではない。(4条2項)

米州機構(OAS)憲章も同様です

(高橋追加-3条e )は、主権について

すべての国家は、外部の干渉なしに、その政治的、経済的、および社会的システムを選択し、それに最適な方法で組織化する権利を持ち、他の国家の問題に介入することを控える義務がある。 上記を条件として、アメリカ諸国は、その政治的、経済的および社会的システムの性質とは無関係に、相互に完全に協力するものとします。

と定めています。

友好関係原則宣言(1970)も同様です。

主権侵害に対する「コスト」です。

ア)「晒されること」(Naming and shaming)

2018年10月に英国の国家サイバーセキュリティセンターは、ロシアのサイバー活動を違法だとしました。この活動は、機能不全、侵入、アクセス取得・試行を含む損害を与えるものでした。

ただし、法的な分析はなされていません。

イ)対抗措置(countermeasures)

これは、「本来的には法に反する手法で」(otherwise unlawful)、相手方に、(違法行為を)停止させるように対するもの、です。

本来的に、主権を侵害するサイバー措置を許容する。

本質的にサイバーでない反応(not cyber in nature)は、許容されない

例・領海や領空を閉鎖し関係ない旅客に影響をあたえる

ウ)信頼性(Credibility)、抑止力、エスカレーション

つまみ食い(cherry picking)-他の国家に対してクレームをする場合には、インパクトを失う。また、ルールに基づいた命令が、弱まる

抑止力-他の国家を抑止する選択肢を失う

エスカレーション-国際法は、より高度な深刻さのレベルにいくことを防止している

国際法は、広い範囲の措置を提供しており、不十分なリスクを課題評価してはならない。

ということで、「閾値未満の攻撃」について国際法がどのように考えているかを15分で、しかも最新のライト法務総裁のコメントにまで触れるという、今回も充実の講義でした。

他の先生方のプレゼンは、次のエントリで。

 

Cycon 2019 traval memo day2 (4)

Day2 最後は、The Emerging Understanding of International Law in Cyberspaceというセッションです。10年以上前から、サイバーに関する調査で知っているStefanoさんの登場です。あと、Heliさんも日本に来たときに、いろいろとお話をしました。

最初は、Heli Tiirmaa-Klaarさんは、現在は、エストニアの外務省の Ambassador at Large for Cyber Securityです。日本でお会いしたとき(2015)は、EUサイバー政策調整課長でした。そのあと、ボストンでもお会いしました(2016)。狭い世界とは、このことです。

サイバーセキュリティ枠組みについてのお話です。世界の安定性について国連の政府専門家会合(UN GGE)の2014、2015の報告書の成功裏に終わったこと(この関係の私のブログは、これ)、サイバースペースにおける主権の話、国連憲章が、サイバーにも適用されることが、2014年で確認されたことなどがなされました。

また、能力構築が議論されており、EU外交ツールボックスが紹介されました。

Mr. Nikolas Ottさんは、OSCEのProject Manager です。タイトルは、「国際的なサイバー外交における地域組織の役割」です。彼の論文は、マリアさんと共著なのですが、論文集の321頁以下です。

論文集では、最初にUN GGEの現状が紹介されています。(講演では、この部分はなかったような気がします)

法と政策については、4つの柱(GGEによる)があり、その柱とは、(1)規範・ルール・原則 (2)信頼醸成措置 (3)国際的協力 (4)国際法の適用です(2015年の報告)。

この観点からすると、地域組織の役割とは、(法と政策の)インキュベーターであるとともに、実装者であるということなります。すなわち、国際法の適用を確かにして、情報を共有して、ひいては国家間の関係を安定化する役割になります。

実装については、相互の支援がなされており、また国際的なものと地域的なものとの協力がなされています。
実際のワークプランや地域でのロードマップが構築されており、実際にOSCE、ASEAN、OAS、EUなどが行動しています。そして、2018年のUN GGEのプロセスによると、国連軍縮部(UNODA)との協力が提案されていたというのが注目されるべきとされています。

Dr. Stefano Meleは、Carnelutti Law Firmのパートナーで、2017のCodeblueでも講演してくれました。2007の調査から、いろいろと助けてもらっています。

講演の内容は

G7の役割に触れたあと、

二国間における関係の利点について、外交関係にはいる国を選択することが可能なこと、それぞれの義務を設定するのが容易であり、秘密にもしやすいこと、より詳細なさだめをなし、また、変更も容易であること、などがあげられます。

国際的な関係や地域の関係については、国際法や欧州法の原則に基づいて抑止戦略を構築することがなされており、特に、欧州の制限措置についての決定が紹介されました。

また、2016年には、サイバー活動についてのG7原則が明らかにされています。この原則は、人権、プライバシー、データ保護についての保護を意図した原則を再確認し、テロリズムやサイバー犯罪についての闘いのための情報共有と協力を確認しています。また、サイバー攻撃が、武力の行使(use of force) 、武力攻撃(armed attack)となりえ、自衛権の行使を正当化しうるものとなりうることを明確に確認しています。

2019年には、ディナール宣言がなされています。これは、私のブログで、速報しているので、そこで

2018年には、サイバースペースのトラストとセキュリティのためのパリ・コールがありました。全文は、こちらというのは、day2 (1)でも紹介しました。

内容としての注目点は、(1)市民・重要インフラ・サプライチェーン・投票システムを守るために、ベストプラクティスと教訓を共有すること (2)信頼醸成措置を促進し・実行すること(3)非国家行為者・民間企業によるハックバックの禁止があります。

ということで、昼間のセッションは、終了。

夕方からは、ビーチスタイルで来てくださいといわれているディナーパーティです。(でも、街中は、15度Cくらいなんですが)

でもって、場所は、テラスビーチという室内ビーチ(?)。

確かに、一歩中に入ると、中は、温かくて、半袖スタイルでした。

 

 

 

 

Cycon 2019 travel memo day2 (3)

昼食のあとは、Global silence or global battle?のセッションです。ちょっと、アジアっぽいお話が入るところが特徴というところでしょうか。

1st Lt Ji Young Kongさんは、「 万能の剣/北朝鮮のサイバー作戦および戦略」韓国の観点からの話です。(論文集では、144頁)

 

北朝鮮が、従来から、サイバー能力に重点をおいていたこと、50から60のエリート兵士をコンピュータサイエンスを学ぶために留学させていること、サイバーユニットは、6800名ほどとかんがえられること、RGB(偵察一般局)をベースにした組織を有していること、などが紹介されました。

サイバー攻撃が、情報・エイピオナージ/サイバーテロリズム/金融戦争の3つのステージになるということが、紹介されました。
具体的な話としては、2013年のCampaign Kimsuky、2015年のOperation Blockbuster(ソニーピクチャーズ事件など)、Wanna Cryおよひ仮想通貨窃取などの金融戦争(Financial Warfare)などがあげられています。(なお、これらの活動については、論文集の150頁以下に詳しいです)

これらに対しては、北朝鮮は、TTP(Tactics,Technique,Procedure-戦術、技術、過程)の観点から、これらの活動を行っていることが語られました。

次は、Ms. Mihoko Matsubaraさんの発表です。

APACにたいするサイバー脅威として、ハクティビズム、誤情報・選挙干渉、エスピオナージ、金融動機によるサイバー攻撃、ビジネス継続性に対する妨害、通称に対図対決があること、が紹介されました。
また、その他のリスクとして、重要インフラ、中小企業に対するリスクもあります。

具体的な紛争として、インドとパキスタンの2019年のソーシャルメディアの紛争の例、台湾対中国の関西空港の偽情報の事件(2018年)、台湾の選挙の候補者の偽写真の事件(2018年11月)-イヤーピースで助けてもらっているような写真などが紹介されました。

恥ずかしながら、関西空港の偽情報事件は、フォローしていないかったので、非常に勉強になりました。日本語の記事としては、「【台風21号】関空孤立めぐり中国で偽ニュース 「領事館が中国人を救出」 SNS引用し世論工作か」などがあります。

Mr. Kah-Kin Hoさんの発表です。

テロが、合法性、必要性、自信からおきていること、この3つが相互関係を有しており、サイクルをなしていること、抑止力・アトリビューション・ポイントになることなどがはなされ、サイバーにおいても同様であるということでした。
度々でていましたが、英国のジェレミー・ライト法務長官が、2018年5月に主権は、ルールではなく基本であるという発言をしたということがここでも取り上げられました。これは、Day3のシュミット先生のところで触れます。
英国は、同年10月には、ロシアのGRUが、国際法を破っていると批判しているということで、一貫性があるのでしょうか、ということもありますね。

Cycon 2019 travel memo day 2 (2)

休憩のあとは、「ダークウエブ-軍事作戦のためのインパクト」というセッションにでました。

CDR Dr. Robert Koch, Chief Penetration Testing Section, Bundeswehr Cyber Security Centreは、「影の中に隠れて」というタイトルです。同名の論文が、論文集に所収されています(267頁以降)。

ダークウエブでの活動がどれだけ安全なのか、まずは、クリアネット、ディープウエブ(サーチエンジンからアクセスできない情報)、ダークネット(利用されていないがルート可能なIPアドレス空間)についての用語についての説明です。

次は、インターネットにおける匿名性です。Torを紹介し、匿名化を解く、ということを話しました。この非匿名化手段については、カテゴリ1、カテゴリ2、カテゴリ3にわけて議論されています。

カテゴリ1は、技術レベルです。これは、Tor自体の脆弱性を利用するものと、ブラウザを利用するものにわけられます。カテゴリ2は、設定のミスをつくものです。カテゴリ3は、ヒューマンエラーから、個人を識別するものです。例としては、ジルクロードのドレッド・パイレーツ・ロバートの話があげられます。

また、トラフィックについての監視の結果の話がなされました。

ダークウエブマーケットとそのデータです。

いろいろいな調査による違法行為の割合が紹介されました。もっとも、実際には、評価がしにくいとされました。

データを眺めてみると、機密のデータが見つかることもある、実際に具体的なシステムに対するデータ(アクセスのための情報は販売されている、また、SCADAのデータもあることはある)は、きわめてまれである、個人情報がほとんどである、ということです。

総合的なデータマネジメントにおける推奨事項としては、ダークウエブに対しても、クリアネットやディープウエブと同様の追跡を行うこと、また、ハニートークンや戦略的にデコイを配置することもあげられる、ということでした。

Dr. Andrea Melegari, Senior Executive Vice President, Expert System Spaさんは、「AI・スタイロメトリイを利用したダークウエブのアイデンティティを暴く」というタイトルです。

スタイロメトリイというのは、「著者の個々のスタイルの特色」の研究によって、文書の著者を識別するこころみということです。単語の選択、文章の構造、シンタックス、スペル、区切り方などが、著者の「指紋」を明らかにすることができます。

この手法を用いて、ダークウエブを分析しましたというのが、この報告です。報告の結論としては、有効であること、人間の分析が一般的なツールであること、AIによってより速く・安価にできることというとです。

ただし、この報告については、どうやって元のデータの著者を決めているのか、それ自体が仮説に基づいているので、有効であると評価することはできないのではないか、というのが、聞いていた先生方の評価のようです。ちょっと残念かもです。

Mr. John Gwinnup, Cyber Threat Analyst, NATO Intelligence Fusion Centreの発表は、「軍事諜報分析についてのダークウエブとそのインパクト」というタイトルです。

問題意識としては、

1)ダークウエブというのが軍事作戦にとって脅威となっているのか

2)ダークウエブが軍事作戦を支援するための諜報・情報のソースとして利用できるか、

ということです。

軍事諜報についての説明がなされたあと、ダークウエブの説明がなされました。これらに対する研究は、よくバズワードを伴って行われています。

行為者確定して責任を帰属させるために利用可能であるのか、また、Torを暴いてしまうことができるか、という問題があります。例えば、ハンザを遮断してしまったという具体的な例もあります。

Cycon 2019 travel memo day2 (1)

Day2のキーノートは、多様なスピーカーの登壇です。

VAdm Arnaud Coustillière, Director General of the General Directorate for Digital Communication and Information Systems (DGNUM), Ministry for the Armed Forces, Franceのお話は、「信頼されるデジタル革命へのサイバー紛争」というタイトルです。
基本的な内容としては、デジタル社会の進展がなされていること、具体的には、2010年前後から、エストニアは、パイオニアであったこと、2014年ころは、プロパガンダが問題となり、フェークニュースが話題となったこと、2015-2016年には、新しいパラダイムがおきて、データセキュリティの新たなチャレンジがおきているということがはなされました。そして、デジタル国境は、主権の問題、GAFAが信頼にむけてのパートナーとなるか、という問題を抱えていることについて触れられました。
重要な問題は、データのオリジン、データ革命になります。

次は、日本から、薗浦健太郎内閣総理大臣補佐官のプレゼンです。日本の防衛政策に関する概観です。柱としては、(1)国家防衛ガイドライン (2)抑止力 (3)5G の三つでした。
(1)国家防衛ガイドライン については、日本を囲む特別な環境、中国とロシアの能力、同ガイドラインの目的、マルチドメインに対応して防衛力、サイバードメインにおける能力について、それぞれ詳細に、わかりやすく説明がなされました。
(2)抑止力については、特にサイバードメインに対する対応として、ワナクライ、APT10において、行為者の責任帰属について非難声明をなしているということが紹介されました。
休みの時間には、日本からの訪問した人たちの間で、こうやって日本の防衛政策についてわかりやすく整理されて聞く機会って国内でもほとんどないのではないか、という話がでていました。

Mr. B. Edwin Wilson, Deputy Assistant Secretary of Defense for Cyber Policy, United Statesは、「サイバー戦略と抑止力枠組み」というタイトルです。
重要インフラの防衛、能力向上などがサイバー戦略の根幹であるという話です

クロスパートナーシップ、国際的な問題 特に情報共有ネットワーク、信頼性構築手段の重要性があげられます。そのなかで、サイバー分野に対しては、そのプレイヤー、状況などのチャレンジが行われています。
抑止力枠組については、国土安全保障省との協力、未来を形作ること、現実化すること(集団的安全保障)によって国家利益をはかることなどがはなされました。

Mr. Tom Burt, Corporate Vice President, Microsoftは、「デモクラシの防衛のためのサイバーセキュリティ」というタイトルです。

MSのキーノートは、いつも興味深く、かつ最先端なので、勉強になります。

国家による行為者と、利益のためのサイバー攻撃と国家による攻撃との境目が曖昧になってきている。また、イスラエルは、(力学)爆撃をサイバー攻撃者に対して行っており、また、北朝鮮、中国、ロシアなどの国家行為者が破壊的な攻撃を行っている。

Strontium(サイバー攻撃集団 Pawn Stormの別名)は、デモクラシーを標的にしています。これらの攻撃(ファンシーベアやAPT28ともいわれる)に対して、米国の上院やシンクタンクなどの民主制の利害関係者に対する攻撃を防止しました。また、ベルギー、フランス、ドイツ、ポーランド、ルーマニア、セルビアなどの104のアカウントを標的とするスピアフィッシングを発見した。デジタル犯罪ユニットは、これらの攻撃に関する84のウエブサイトをシャットダウンしました。

また、デジタル平和を進める動きについては、進歩がありました(良いニュースです)。具体的には、サイバースペースのトラストとセキュリティについてのパリ・コールG7の規範イニシアチブ国際的抑止力イニシアチブ(米国政府)、制裁に関するEU理事会枠組(規則等へのリンクは、前のエントリに張っておきまし)、 国連のプロセス(今後)があげられます。

パリ・コールは、9つの柱があるのですが、それぞれ国連のGGEのレポートや米中の合意、G20 宣言、その他を引き継いだまとめたものとなっています

産業界としては、その第一の責任があることを認識しており、そのための活動としてサイバーセキュリティ・テック・アコード(日本語翻訳です)をあげることができます。そこでは、4つのコミットメントがあります(ユーザ・消費者の保護、(無関係な)市民・企業に対するサイバー攻撃に反対、サイバー能力増加、サイバー攻撃対応に対する支援)。

また、MS社としては、デモクラシ防御プログラムがあります。選挙のインテグリティ・選挙キャンペーンのセキュリティ、誤情報防衛です。選挙を防衛するために、「選挙ガード」というオープンソースの技術を提供しています。

 

 

 

 

Cycon 2019 travel memo day1 (5)

休憩を挟んで、Twilight Talk: Cyber Operations vs. Information Operationsです。

サイバー作戦と情報操作を比較するセッションです。

サイバーセキュリティ コンピュータ、電子通信システム、電子通信サービス、有線通信、情報を含む通信の損害の防止、保護、回復をいい、その可用性、インテグリティ、認証、機密性、否認不可を確かにすること(NSPD-54)

標的は、コンピュータ

情報戦および影響工作 情報を念入りに利用することによって、敵のなす選択を混乱させ、誤導し、影響をあたえるもの

-心を標的とする

これらの共通事項は、

サイバースペース作戦は、欺モウと利用者への引っかけによる 情報工作は、欺もうによる内容、正当ではないアトリビューションによる
経済的なインセンティブによりサイバーセキュリティへの注意を減少させる 経済的なインセンティブにより認知の限界を悪用し、プラットフォーム滞留時間を増加させる
シリコンにもとづいた情報処理システム 人間の脳にもとづいて情報処理システム
ソフトウエア、ハードウエア、人間の操作の脆弱性 認知および心理的な脆弱性
CPU/帯域/メモリ/容量の限界 認知の容量・記憶の限界
セキュリティと対立する業務の便利さ 分析的試行に対立する認知の経済性
社会への接続、ITの統合は、脆弱になる 憲法第1修正、真実へのコミットメント、懐疑主義が脆弱になる

と比較することができます。

いくつかの類似点

サイバースペースが、戦場 情報環境に包含される 情報環境が戦場 ・物理・情報・認知
サイバー能力 ・アクセス ・ソフトウエア/ハードウエアの脆弱性 ・ペイロード 心理的作戦 ・ユーザへのアクセス ・認知の脆弱性・カスタマイズされた内容
標的かされた情報通信技術 ・機密性・正確性・可用性 人類へのインパクト 情報・散漫・あいまい 混乱・誤導・挑発
ウイルス ネットワークセグメンテーション ヘルプ 標的かされた聴衆へのバイラル  共同体のセグメント化が状況の認知を妨げる

 

インテリジェンスの必要な本質
ほとんど戦術的なもの 標的について 戦略・システム・個人
ほとんどが機密であり、取得が困難である
ほとんど 戦略的 政治的状況についての深い理解に関する
ほとんどが公開であり、取得は容易である(ただし、分析は、困難)
紛争前の作戦
サイバースペースを標的の環境にする
・標的の継続的な偵察と識別
・無権限アクセスの確立と維持
情報環境を標的とする
・作戦開始前に影響を与えるアカウントを確立
・継続的な参加と信用性の確保への従事
・他人が力を増強できるように実際の仕事をするように基礎づくりをする
・心理的なプライミング効果を実現
作戦のタイプ
サイバー攻撃
サイバー悪用
プロパガンダ
混乱の生成
漏洩(リーク)

ということで、デモクラシーへの攻撃というのも、今回のテーマの一つなのかもしれません。

ということで、この日は、お天気も良くなったので、タウンホールの前のロシア料理屋さんで、お食事して終了。

 

 

 

Cycon 2019 travel memo day1 (4)

room3は、「サイバー作戦の責任帰属の法とポリシ(Law and Policy of Attributing Cyber Operations) 」です。

まずは、タリン2.0のじっさいのかなりの部分を執筆したLiis先生です。いまは、自分の会社でもって、トレーニングとかを世界中で行っています。というか、日本にも呼んだらいいのにと思っていたりします。

タイトルは、「悪意あるサイバー活動の責任を帰属させる-法と政策のインタープレイ」( Attributing Malicious Cyber Activity-Interplay between Law and Politics)です。

なお、私のブログでもattributionは、何度か扱っているのですが、訳語からして、難しかったりします。とりあえずは、責任帰属としておきます。(例えば、「専門家風の用語の落とし穴「アトリビューション」」とか)

きわめて多義的な用語であって、利用者がどの文脈で使っているのか、というのを見極める必要があります。国際法では、国家責任を問いうるか、という論点で使われることが多いです。

国際法のもとでの責任帰属は、2ステップの分析によることになります。その1は、法的標準です。これは、国の組織であるか、政府の権限の要素を行使することが法によってみとめられている組織、または、非政府組織については、国の指図、指示、コントロールがある場合に認められます。2つ目のステップは、証拠の問題です。

法的な観点からみるときに責任帰属の目的としては、以下のようなものがあげられます。
(1)国際法に違反したと「辱め」をさせること(Naming and shaming)
(2) 自救行為(unilateral self-help)
(3)司法的手続の訴え
(4)賠償金の交渉(Negotiations for reparations)

この場合には、「合理的な宣明がなされること」が必要になります。というのは、その場にあれば、そのように判断することには、十分に理由がある、ということです。

これにたいして政治的な責任帰属という問題もあります。

具体的には、2016年10月に、US情報コミュニティが、ロシア政府がUSパーソン・機関からの電子メールの漏洩を指示したと確信していたこと、英国のNCSCが、Lazarusグループが、WannaCryの背後にいたことが「高度の蓋然性(highly likely)」を有していると評価したこと、2018年10月にNCSCが、ロシアの軍事情報機関のGRUが、2015年から、2017年までの多数のサイバー攻撃の背後におり、「無差別で、向こう見ず」であったと非難したこと などが、具体的な例になります。

また、米国の国家情報長官局(Office of the Director of National Intelligence)が、2018年9月に、「サイバー責任帰属のガイド」を公表しており、そこでは、

高度の自信(合理的な疑いを越えており、他の合理的な判断が存在しない)

適度な自信(明らかで説得的である、他には、事案が例外となるのみである)

低度の自信(半数以上の証拠が関与を指し示しているが、重要な情報のギャップがある)

この解説に、Cyber Threat Attributionとは何か?(2019年度版)があります。

まとめとしては、現在の枠組みは、被害者に焦点が置かれており、侵入者は、責任帰属を避けたいという仮定を前提としています。これに対して、侵入者の動機を検証することを調査して、被害者の能力および帰属の意欲を調査することを追加すべきである、ということが提案されました。

また、責任帰属については、セキュリティ会社の判断と国家の判断の相違という問題もあることが質疑応答で指摘されました。

Ms. Manon Le Blancのテーマは、”Attribution as Part of Wider EU Cyber Diplomacy Efforts”です。

責任帰属は、攻撃を緩和し、中立化する効果があり、攻撃を停止させることを意図しています。
EUにおいては、水平的ポリシを採用しており、「サイバー外交ツールボックス」を公表しています。

このポイントは、迅速な対応であること、加盟国家単独で、もしくは、集団的に対応すること、責任帰属を行うことは政治的な判断であること、です。

実際には、この対応は、責任帰属は、種々の形態をとることになり、必ずしも公にする必要はなく、また、技術のみ、インテリジェンスのみではなく、安定性なども考慮して判断がなされるものになります。

Prof. Robert E. Barnsbyのテーマは、”Why Certain States are happy to have cyber attacks attributed to them”です。

なぜに、責任帰属を受容するのか、ということです。これには、いろいろな可能性があって、
国際的な注目を集める/被害国の脆弱性を明らかにすることによって自分たちの能力を固辞する/国内的な評価をうる/それ自体のコストが高くない

法的な分析としては、国際的違法行為であると考えていない場合、国家実行に影響を与える場合がありうること、グレイゾーンを悪用しようと考えていること、になります。

CyCon 2019 travel memo day1 (3)

午後の前半は、Law in Action: Defending a Nation in Cyberspaceです。

最初は、Prof. Jeff Kosseffの”The Contour of ”Defend forward” Under International Law”です。 サイバーコマンダーパネルでも紹介した”Defend forward”を国際法の観点から分析するという講演です。
Kosseff先生は、昨年も発表して、その際に紹介してもらった記憶があります。それは、さておき、同先生の同名の論文が、IEEEから出版される論文集の307頁以下に掲載されています。
”Defend forward”は、”persistent engagement”という概念に随伴するもので、これを理解するのには、10年来の米国のサイバー政策をみないといけないとしています。

2011年7月のサイバースペースの作戦戦略では、アクティブサイバー防衛という戦略が有名になりましたが、あくまでも、国防省のネットワークに対するものでした。2015年4月のサイバー戦略で、政府と部門のネットワークを防衛すると明らかにされています。

2018年3月のサイバーコマンド・ビィジョンにおいて、”Defend forward”という概念を明らかにしています。そこでは、「敵対者の起点にできるだけ近いところで前方に防御(Defend forward)する活動によって、私達は、その範囲を広げて、敵対者の弱点を明らかにし、彼らの意図と能力を学び、そして彼らの起源に近い攻撃に対抗しうる。 継続的に従事することによって(persistent engagement)、敵対者に戦術的な摩擦と戦略的なコストを課し、防御にリソースを移し、攻撃を減らすことを強いる。」とされています(同6頁)

2018年サイバーコマンドニュースレターで、Defend forward戦略は、「侵略者の自身と能力に集中し、武力攻撃未満の実際になされている戦略的キャンペーンに対し、対抗し、争う防衛活動である継続的従事戦略(persistent engagement strategy)」のひとつであるとしています。
そこで、サイバーコマンドは、3つの努力すべき事項をあげています。

ポジショニング
サイバーコマンドは、この戦略が、敵国が、米国のネットワークに到達するまえに敵国の能力や活動・作戦の効果を弱くするものであるとしています。
警告
このDefend forward戦略は、敵国の活動、意図、能力に対する警告能力を拡張するものである。
影響
この概念は、敵国に対して、サイバースペースにおいて責任を負わずに活動しうるという考え方の濫用させないことによって安定性を増すものである。

Kossef先生は、この3つの事項について分析をしていきます。
まず、ポジショニングについては、サイバーコマンドが武力紛争のレベルにいたらない場合におけるものとなしている点について、厳密には、武力行使(use of force)以下の場合であるとするのが、国際法における強い議論であるとしています。

そして、この場合においては、主権侵害の問題が議論されるとしています。主権侵害とされる場合には、許容される対抗措置となるか、というのが問題となります。そして、対抗措置の問題だとしても、どの国に対して、なしうるのか、どの限度でなしうるのか(比例原則)という限界が起こる、ことが議論されます。

警告については、敵国の能力についての情報収集を意味することになり、これらの活動は、他の国のネットワークの通信に対してのアクセスの能力の問題となり、エスピオナージや主権の問題が発生します。

サイバーエスピオナージ自身については、国際法に違反するものとはされていない。もっとも、その過程においてデータ、ネットワーク、システムに影響を及ぼしてしまった場合には、また、別個の責任が生じうるものと考えられる。

影響活動については、国際法のもとで、問題を惹起しないものも存在する。違法なサイバー活動に対して「非友好的な」活動を行うものとして報復(retorsion)として行われるものもそうである。

また、同先生によれば、対抗措置としての許容できるものであれば、仮にロシアの主権を侵害したとしても米国のデモクラシーに対する介入を終了させるために必要なものであれば、適法であろうとされました。

私自身としては、基本的に主権侵害にいたらないレベルの活動については、国際法の枠外となるので、それに継続的に従事するというところに大きな意味があるのかな、という感想です。そうであれば、従来の国際法の枠組みとも矛盾しないなあ、ということかと思います。

質疑応答としては、事前通知の要件は、どうなるのか?という質問や、英国の司法長官の考え方との関連はどうなるのかという質問がでました。後者については、day3でシュミット先生の講義で触れていますので、そこで。

Mr. Kenneth Kraszewskiさんの発表は、アメリカでの2018年3月のSam Samというランサムウエアの事案について、国際法的な考察をするというものです。これも原稿集の291頁から、論文が掲載されています。この攻撃でアトランタの政府関係は、260万ドルをシステムを会すくするのに使うのを余儀なくされたそうです。

考察自体としては、武力行使、介入の禁止、主権の侵害についての一般論を述べて、それらに該当するか、という検討をしています。彼の分析によれば、アトランタ政府は、深刻な被害を被っているので、攻撃者の特定の問題がはっきりすれば、主権の侵害になるだろうという判断でした。
攻撃者と責任帰属の問題については、効果的なコントロール基準によって、公の報道の限りでは、そのような国への責任帰属が伺える事情はないとされました。
そのあと、対抗措置、緊急避難(Plea of necessity)、自衛行為、報告(retorsion)について検討しています。そこで、retorsionのみが米国のとりうる手法であるという報告をしています。

個人的には、責任帰属と、主権侵害の議論がどうも混乱している感じがします。ソニー事件との比較について質問したのですが、どうも、明確な説明がなくて、結論としては、微妙な感じがしています。

Ms. Kadri Kaskaさんの発表は、”International law and global Supply Resilience”です。
ファーウェイの5Gとセキュリティへの示唆というお話です。
5G、ファーウェイ、中国のトライアングルで、技術.コストとインテリジェンスの法、技術と経済がそれぞれ、裏付けになっています。

ファーウェイについては、決定的証拠は欠如しており、また、経済スパイの記録もあります。
また、中国自体には、国家的に技術的優越性を狙いっていること、法的・政治的環境、諜報活動の実際・影響を与える活動などがあります。

法的には、諜報活動と国際法の問題、ソフトウエアのバックドアはどうなるのか?という話がありました。

質疑応答で、Kubo先生から、国内法やWTOルールの関係はどうなるのか、その点について細かく詰めるべきではないか、という質問がありました。私としても、その通りだと思います。その意味で、発表としては、微妙かなという感じでした。

CyCon 2019 travel memo day1 (2)

次は、サイバーコマンダーパネルです。登壇者は、LtG Ludwig Leinhos(ドイツ)、BGen Maria A. Biank(アメリカ)、BGen Francesco Vestito(イタリア)です。

最初は、Leinhos氏によるドイツのサイバーコマンドの紹介です。サイバーコマンドの実際について、情報提供的に使用と勤めていること、国際協力を重視していること、NATOとの関係を意識していることがコメントされました。

Biank氏からは、米国のサイバーコマンドとして統合司令部(J6)としての仕事と、CIOおよびポリシとしての仕事があることが紹介されました。サイバーを他のドメインと同様に取り扱うことが語られ、それは、完全に統合されているとされました。
特に、2018年サイバーコマンドビジョンが紹介され、同ビジョンは、「敵国に対して、戦術的摩擦および戦略的コストをかけ、資源を防衛に振り向け、攻撃を減少させる」という継続的従事を考えていること、そして、そのために、「敵国の攻撃の源にできる限り近接した前進防衛すること(defending forward)」がキーになることが強調されました。
このdefending forwardというのは、ひとつのキーワードになっていました。また、Cycon USの2019年のテーマは、defending forwardになります。国際法的にも、この概念をどのように扱うか、というのは、非常に興味深い論点です。また、別途、論じることになります。

Vestito氏からは、イタリアの防衛省の観点からの話がなされました。敵国は、あなたのことを考えており、爆撃機と同様であるということを話していました。また、イタリアでも、国家サイバーフレームワークが公表されており、インテリジェンス運営組織が、それをになうとされています。
統合サイバーコマンドミッションにおいては、イタリアの防衛のためにレジリエンスと両用という二つの用語がキーワードになっているということが、うたわれています。
また、サイバーレンジの話もなされており、どのようにして、.milのドメインを防衛するのか、また、そのプラットフォームから、民間を守っていくのか、という問題があるとされました。また、質疑応答においては、選挙におけるセキュリティの確保が重要であるということも語られました。

Academic Keynoteは、Prof. Alberto Sangiovanni Vincentelliです。テーマは、「インフラに対するサイバーセキュリティへの未来のチャレンジ」です。

テーマとしては、
(1)産業コントロールシステム(典型的なSCADAのコンポーネントが脆弱であること) 
(2)無数のセンサーを持ったIoTの脅威(ボットネット)
(3)企業は、攻撃に直面する領域が増大している
領域の増大という意味からすると
この図のようになり、バトル状態となっています。そして、そのもっとも、全面に出ているのか、乗り物の分野ということになります。
(4)四つの疑問があります。
・私はどこにいるのか
・私のまわりには何があるのか
・次に何がおきるのか
・何をすべきなのか

畳み込みニューラルネットワーク、マイクロプロセッサのセキュリティ、メルトダウンがどのようになるか、アノマリを探知するのは困難であること、レジリエンスなどが注目すべき事項になります。

Industry Keynoteは、LtG (ret.) Robert Sheaです。タイトルは、「サイバースペースの状況への考察」です

脅威情報については、行動のスピードが重要であり、ロシアによる虚偽情報、ソーシャルメディアの兵器化が問題である。中国は、誤情報、虚偽情報については、それを無視しており、むしろ、オーウェルの1984の世界を作っている。
情報は、力そのものであり、データは、パワフルである。
このような状況では、システムのレジリエンスさが重要である。

ということで、昼休みです。

CyCon 2019 travel memo day1 (1)

5月29日は、Day1です。

まずは、オープニング。

CCD CoEのTarien大佐から オープニングの挨拶です。CCD CoEは、サイバー演習や攻撃的サイバー作戦の研究を行っており、47ケ国から、60名という人数で、頑張っていること、などが紹介されました。

そのあとは、いよいよカリユライド大統領のスピーチです。この大統領のスピーチについては、非常にインパクトがあったのと、そのまま、全文が公開されていたので、CyCon expressで紹介しておきました。

(大統領の言葉を借りると)「国際法は、小国の核兵器」であるので、特にサイバー領域における国際法の役割は、大きいと思います。我が国においては、残念ながら、サイバーセキュリティにおける国際法の認識は、乏しいとしかいいようがないので、この大統領のスピーチの意味をかみしめてほしいです。

このカリユライド大統領のスピーチについては、シュミット先生が、分析をなしています。その分析は、「Esonia Speaks out on Key Rules for Cyber Space」です。この分析自体、非常に重要なものですが、まずは、このtravel memoの完成を急ぐので、分析は後日。

次は、Nielson提督のスピーチです。デジタル世界への移行に関する話となります。

欧州におけるデジタル世界の移行に関しては、ロシアから、離れていないという事情が影響を及ぼしているという話から始まります。クラウド・ビッグデータが影響を及ぼすようになっており、サイバースペースにおいて敗北しつつあるのではないか、という認識が示されています。敵国(Adversary)は、他の次元にいるのではないか、という問題を提起しました。

2014年には、サイバーは、ひとつの様相であったのに、現在では、軍事攻撃のひとつのドメインとなっており、全く異なっている、そして、それに対応するためのステップが採られるべきことが重要だとされています。

そのステップは、攻撃的・防衛的能力をブーストさせることであり、技術的・運営的な点で産業界と協力することが重要だと強調されました。

なお、提督のスピーチにふれる記事としては、これがあります。

小休憩前の最後は、米国のWheeler(もと)提督(米国サイバーコマンド)のスピーチです。

2010年5月、サイバーコマンドが統一された司令部として創設されたことから始まり、その後、経済的エスピオナージやソニープクチャーズ事件がおきたこと、それらを経過して、現在では、国内の民主主義を標的とした攻撃がなされており、サイバー兵器化しているのが現状であるという分析です。

現在の課題としては、サイバースペースにおけるチャレンジがなされていること、優越性を確保すること、能力をなしとげること、競争状態になること、などがあげられるということが語られました。