サイバーセキュリティ戦略・サイバーセキュリティ 2018が決定しました。
具体的な案はこちらです(資料1)。
報道は、こちら。(たとえば、ZD Net 政府の新たなサイバーセキュリティ戦略が決定–東京五輪後も視野)
資料は、概要と意見募集の結果も含まれているので非常に大部になります。
サイバーセキュリティ戦略の重点施策は(1)経済社会の活力の向上および持続的発展、(2)国民が安全で安心して暮らせる社会の実現、(3)国際社会の平和・安定および我が国の安全保障への寄与、(4)横断的施策――の4項目になるので、それらで興味のあるものをピックアップしてみましょう。
(1)経済社会の活力の向上および持続的発展
「経済社会の活力の向上および持続的発展」は、新たな価値創出を支えるサイバーセキュリティの推進、多様なつながりから価値を生み出すサプライチェーンの実現、安全なIoTシステムの構築にわけて論じられています。
「サプライチェーンのつながりの端で起こったサイバーセキュリティの問題が、実空間、さらには、経済社会全体にこれまで以上に広く波及し、甚大な悪影響を及ぼすおそれがある。」(戦略16頁)という表現からわかるようにダウンストリームに注目されていますね。世界的には、サプライチェーンという用語は、むしろ、機器が自分の手元にくるまでにセキュアなのか、ということのほうが一般的ですね。
ただ、17頁ででるように官公庁の調達物資のセキュリティについても今後は、考えていきますというのは、非常にいい傾向なのかと思います。
(事務所のアクセスの足回りは、Nuroなので、偉そうなことはいえない私です)
安全なIOTシステムについては、でました「責任分界点」ですね(戦略18頁)。我がブログの一番人気用語です。ここでは、「責任分界点(既知の脆弱性への対応に関する製造者責任や運用者等の安全管理義務などインシデント発生時における各主体の法的責任を含む)」という形で、liabilityの用語をいれている意味で、物理的な安全管理基準の適用範囲という実定法上(たとえば、電気通信事業法41条ね)に限定すべきという私の立場にケンカを打っているわけですが、とりあえず、「含む」として、実定法上は、ここらへんはいれないのが一般だけど、許してね、という感じがでているので許すことにしましょう。
「範囲や定義、物理安全対策」もふれています。自動車の安全基準といっても、これから、つながるシステムのうちのどこまでが、「自動車システム」なのか、という考え方がでてきますね。その意味で、「範囲や定義、物理安全対策」という意味が書いてあるんでしょうね。深いです。
「脆弱性対策」(戦略18頁)の「機器製造事業者、電気通信事業者、利用者等の各々の主体の相互理解と連携の下で取り組むべきである」という用語も深いですね。脆弱性研究会(脆研)が脆弱性についての一定の調整作業等をおこなっていますが、通信機器については、さて、どうしましょうか、ということもでてくるわけでしょうね。まさに「連携の下で取り組むべきである」というのは、そのとおりなのですが、どうするといいのか、実際に考えていかないといけません。
(2)国民が安全で安心して暮らせる社会の実現
国民が安全で安心して暮らせる社会の実現は、国民・社会を守るための取組、官民一体となった重要インフラの防護、政府機関等におけるセキュリティ強化・充実、大学等における安全・安心な教育・研究環境の確保、2020 年東京大会とその後を見据えた取組、従来の枠を超えた情報共有・連携体制の構築にわけて論じられています。
これらの項目のなかで、法的な観点から、興味深い点としては、以下の点になるかと思います。
「サイバー関連事業者等と連携し、脅威に対して事前に積極的な防御策を講じる「積極的サイバー防御」を推進する。具体的には、国は先行的防御を可能にするための脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用、ボットネット対策等、サイバー犯罪・サイバー攻撃による被害を未然に防止できるような取組を推進する」という記載(戦略21頁)が、気になります。
「アクティブ防衛」という用語との関係については、以前のエントリでふれたことがあります。法的に厳密にみた場合に、これらの取り組みは、サイバー犯罪・攻撃の実行行為がなされる以前と実行行為がなされた以降の対応が、含まれているのは、考えておいたほうがいいように思います。
まず、世界的に「アクティブ(サイバー)防衛」というのは、「実行行為がなれた以降」に、その実行行為がなされたことを契機にして、実行行為者に対して、強制力を行使することによって、証拠の収集・将来の実行行為の抑止をなしうるのか、というのを議論するのに、使われるのが「主たる」場合(このように法的に整理して論じる論者も多くはないです)です。
エントリの「アクティブサイバー防衛手段(active cyber defense measure)確実化法」でも、攻撃者に対するアクセスを論じていることからも、わかるかと思います。
ここで、日本でいう「積極的サイバー防御」の推進、というのをそのまま「日本でもアクティブ防衛方針になりました」というと、例によって、ロスト・イン・トランスレーションになります( communicatonを当然に遠隔通信と訳するがごとし)。
「脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用」は、むしろ、サイバーインテリジェンスのうちの、事前のインテリジェンスと捉えるほうが言いように思います。「ボットネット対策等」については、情報共有と、実際のテイクダウン、場合によっては、ホワイトワーム投入作戦があります。特に、テイクダウン作戦、ホワイトワーム投入作戦については、法的な整理が必要なので、夏の間に論文をまとめることにしましょう。(関係省庁さんからの委託調査でもいいです)
あと、仮想通貨、自動運転車についても言及されているのは、興味深いです(戦略21頁)。
サイバー犯罪への対策について、「新たな捜査手法の検討」がはいっています(戦略21頁)。この点は、注目ですが、GPS捜査最高裁判決みたいに、オレオレ合法論で突っ走ったりしないようにということでしょうか。
個人的には、サイバー攻撃より、熱波攻撃対応で、夕方から夜中に競技をするようなスケジュール変更を早急に考えることのほうが、優先順位が高そうな気がしますけども、それは、さておきましょう(警備の問題があるのかもしれませんが)。
(3) 国際社会の平和・安定及び我が国の安全保障への寄与
国際社会の平和・安定および我が国の安全保障への寄与としては、自由、公正かつ安全なサイバー空間の堅持、我が国の防御力・抑止力・状況把握力の強化、国際協力・連携について論じています。
ここでは、特に、「国際社会の平和と安定及び我が国の安全保障のため、サイバー空間における法の支配を推進することが重要である。」(戦略32頁)は、注目されます。これは、基本的には、わが国としては、このような観点を打ち出していたわけですが、これだけ明確に記載してあるとインパクトがあるなあと改めて思います。「これまでに明らかにされた責任ある国家の行動規範について、着実な履行・実践を通じ普遍化を進める。そうした規範を国際社会に広げ、国家実行を積み重ねていくことで、規範に反する行動を抑止する。」ということで、まさに、サイバー規範の重視ということで、なかなか、責任ある宣言だなあと思います。
また、「サイバー攻撃に対する国家の強靱性を確保し、国家を防御する力(防御力)、サイバー攻撃を抑止する力(抑止力)、サイバー空間の状況を把握する力(状況把握力)のそれぞれを高めることが重要である。」(戦略33頁)も重要です。
「防衛産業が取り扱う技術情報等は、それが漏洩・流出した場合の我が国の安全保障上の影響が大きいため、安全な情報共有を確保する仕組みの導入、契約企業向けの新たな情報セキュリティ基準の策定、契約条項の改正等の取組を行う。これらについて、官民連携の下、下請け企業等を含めた防衛産業のサプライチェーン全体に適用することを前提とした検討を行う。」というのは、防衛産業サイバー基盤という感じになるのでしょうか。興味深いです。
「伊勢志摩サミットにおいて G7 首脳が確認したとおり、一定の場合には、サイバー攻撃が国際法上の武力の行使又は武力攻撃となり得る」(戦略33頁)
まさに、わが社のここの記載(サイバー攻撃と武力行使)みてね、ということで、一般的な国際法コミュニティの見解そのものになります。
「また、G7 ルッカ外相会合において確認したとおり、悪意のあるサイバー攻撃等武力攻撃に至らない違法行為に対しても、国際違法行為の被害者である国家は、一定の場合には、当該責任を有する国家に対して均衡性のある対抗措置及びその他の合法的な対応をとることが可能である」(同)ということで、これも、ちゃんと対抗措置についてコメントがなされており、さらに合法的な対応(外交その他)についてもコメントがなされています。きわめて法的な記述であり、興味深いです。
「同盟国・有志国とも連携し、脅威に応じて、政治・経済・技術・法律・外交その他の取り得る全ての有効な手段と能力を活用し、断固たる対応をとる。」まさに、SONYピクチャーズ事件、ワナクライ事件、NotPetya事件などでの各国の国家実行 (CyCon Xでも何回か話にでました)をベースにした記述です。
これらは、まるで、シュミット先生のまとめを聞いているみたいな記述です。
興味深いというか、むしろ、戦略文書にこれだけ法的に、しかも正確な記述がはいってきたということで感慨深いものがあります。
(4)横断的施策
横断的施策は、人材育成、研究開発の推進、研究開発の推進、全員参加による協働が述べられています。興味深い点は、以下のところでしょうか。
「政府機関や企業等の組織を模擬したネットワークに攻撃者を誘い込み、攻撃活動を把握すること」(戦略40頁)がふれられています。攻撃がなされている間に、受信者(?)が、真の受信者の代わりに、デコイに通信してあげるという、個人的には「通信の秘密」との整理は、どうなっているの?作戦のひとつになります(解釈論としては、「取扱中とはいえない」とか、「受信者の承諾がある」とかいうのかと思いますが、通信は、一方の承諾でいいというのは、例外だったよね、とかあります)。
また、「政府機関や重要インフラ事業者等のシステムに組み込まれている機器やソフトウェアについて、必要に応じて、不正なプログラムや回路が仕込まれていないことを検証できる手段を確保することが重要である」(戦略40頁)。イギリスのGCHQにいったときに、技術の担当の方は、このような業務をになっていましたね。お約束ですが、GCHQの組織は、「ロンドンのとある映画会社の地下深く」 (オジサマお待ちかね-オープニング)にありました(?-UFOっていうテレビみたいだね、というのが私の感想)。
日本だとクールジャパンのセットかなんかをつくって、そこの地下に調査会社つくるとか、いかがでしょうかね。
「中長期を視野に入れて、サイバーセキュリティと、法律や国際関係、安全保障、経営学等の社会科学的視点、さらには、哲学、心理学といった人文社会学的視点も含めた様々な領域の研究との連携、融合領域の研究を促進する。」(戦略41頁)です。まあ、戦略のここらへんというのは、どうも、帳尻あわせみたいな感じがするわけですが、このような視点は、本当に大事なので、ぜひとも実現してほしいと思います。
CyConに自費でいって、詳細な報告書あげているわけですが、これが自腹感満載というのは、来年は、なんとかしていただきたいと思います。出張報告に私のブログ使った人は、ぜひとも、私の来年の旅行に、貢献してほしいなあと考えていたりします。
ということで、非常に興味深いサイバーセキュリティ戦略でした。