Private Sector Cyber Defense: Can Active Measures Help Stabilize Cyberspace?

Wyatt Hoffmanさんなどの”Private Sector Cyber Defense: Can Active Measures Help Stabilize Cyberspace?”という報告書をご紹介します。

この報告書は、Cernegie  Endowment for International Peaceが2017年に公表したものです。民間部門は、アクティブサイバー防衛手法(以下、ACDといいます)をサイバーセキュリティの実務にとりいれるようになる、そして、それを政府や社会は、適切にコントロールをすべきという報告書になります。

同報告書は、ACDの手法を受動性/能動性によって分類・分析し、その利点とリスクを最初にあげています(7頁から10頁)。

利点 リスク
より潜在的な脅威についての知識を得、攻撃者の能力および意図について知ることができ、不意打ちを予防し、資産の防護に役立つ

 

ミスにより、または、攻撃者の操作により思わぬ攻撃を受ける

 

攻撃者に対してどこで、いつ、どのようにという選択肢の範囲が広い

 

関係のない第三者コンピュータに対して、または、攻撃者であると誤って特定されことによって破滅的/損害を与えることの結果としての偶発的な被害
防御側のネットワークに対しての侵入が行われたあとであっても、計画された/継続中の作戦を破滅/停止する拡張された能力 攻撃者が、ACD手段に対して対応する結果として攻撃者と防御者におけるエスカレーションがおきる。
データの利用を制限し、攻撃を複雑化する/攻撃者の直接ないし間接的なコストをあげる(特に、特定する)ことによって、将来の攻撃を抑止する 外部のネットワークに影響を与えることにより政治的もしくは法的な結果も引き起しかねず、戦略的意味が不確実である

 

その上で、状況犯罪予防(Situational Crime Prevention (SCP))との類似性を検討しています(14頁から18頁)。

そして、同報告書は、政府と民間部門の権限や役割について考察していて、民間部門の権限は、政府部門の協力、監督、裁判所命令によってなされるべきだとしています。

米国や世界の動向を見た上で、同報告書は、健全な原則の発展と責任ある利用を促進するようなインセンティブを促進することが必要であるとしています。

同報告書は、そのあと、民間企業において、ACDが必要になってきているとしており、特に、金融機関においては、その動機が強く、オランダが、その影の市場になっていると紹介しています。

報告書は、民間部門がACDを行うことのリスクと便益を紹介しています。

リスク 便益
法執行行為への妨害と予期せぬ政治的結果 政府負担の軽減と資源の必要とされる領域への集中
不必要なリスクの甘受と防御能力の欠如による大規模な漏えい 迅速な対応と効果の増大
国家をまたぐ種々の法に対する複雑な管理 サイバーセキュリティのシステム的な長期の向上

また、これらの考察をもとに、攻撃のスペクトラムとともに、そのリスクとの関係について考察しています(19-21頁)。

この考察のあと、報告書は、海事事件(特にソマリア沖のアデン湾の海賊)において民間会社(private security contractors (PMSCs))が警備をなすことになってから、急激に被害が減少したこと、まだ民間警備請負業者と契約している会社については、保険料が安くなるという仕組みも採用されたことなどを紹介しています(23-31頁)。

政府としては、武力は、自らが独占して保持していたいわけですが、海賊の実際の前には、民間警備会社を認めざるを得なかったわけです。むしろ、協会の結成とガイドラインの構築のほうが現実的となったわけです。

2011年には、海事業警備保障協会(Security Association of the Maritime Industry (SAMI))が結成され、ISO 28007(船舶と海事技術—民間海事警備会社(PMSC)のためのガイドライン) は、船舶における民間武装警備請負(PCASP) の行為についてのガイドライン)が制定されています。

この報告書においては、無法が広がるところでは、自力で防衛する傾向が広がること、リスクとのトレードオフは、避けられないこと、政府のコントロールがきかない場合には、民間が、規制を回避しようとする傾向があること、民間の行動が、組織的にエスカレーションしてしまうというのは根拠がない/過大な恐れであること、インセンティブが、規範とベストプラクティスをコントロールしうること、一時しのぎの方法であるが、安定した関係を発展させるための方法ともなること、などが、この実際が変化した理由であると分析しています。

これらの考察のもとに、現実的な原則とそれに基づいたACDの利用を図るべきであって、その遵守のためにインセンティブを活用することであると提言しています(33頁以降)。

そして、そのために、規範的な原則が提言されています。その原則には、目的限定、範囲および期間、必要性、比例の原則、効果の原則、監視の原則、協力の原則、説明責任の原則、責任の原則、裁量の原則があげられています。

3月にワシントンDCを訪問したときに、著者のHoffmanさんにインタビューさせてもらいました。適切な行為規範の設定とそれを利用している場合のインセンティブ(保険料の低減)というアイディアは、卓見だと感じました。もっとも、法律的には、上のリスクででている強制的契機を受ける組織やその組織の属する国からすると、そのような行為を許容しうるのか、という問題は大きいと思います。

 

 

関連記事

  1. 「企業におけるITシステム利用時の機関設計と内部統制」が弁護士ド…
  2. EMPACTとサイバー犯罪対策(Project Nova) (2…
  3. 総務省 「IoTセキュリティ総合対策」の公表 (その2)
  4. ENISA「サプライチェーン攻撃の脅威状況」を読む
  5. Cycon 2019 travel memo day3 fina…
  6. コンタクトトレーシングについてのNHK BS1 キャッチのインタ…
  7. 辻井重男「フェイクとの闘い」を読む
  8. 「通信の秘密」にコメントする前に気をつけたいこと
PAGE TOP