room3は、「サイバー作戦の責任帰属の法とポリシ(Law and Policy of Attributing Cyber Operations) 」です。
まずは、タリン2.0のじっさいのかなりの部分を執筆したLiis先生です。いまは、自分の会社でもって、トレーニングとかを世界中で行っています。というか、日本にも呼んだらいいのにと思っていたりします。
タイトルは、「悪意あるサイバー活動の責任を帰属させる-法と政策のインタープレイ」( Attributing Malicious Cyber Activity-Interplay between Law and Politics)です。
なお、私のブログでもattributionは、何度か扱っているのですが、訳語からして、難しかったりします。とりあえずは、責任帰属としておきます。(例えば、「専門家風の用語の落とし穴「アトリビューション」」とか)
きわめて多義的な用語であって、利用者がどの文脈で使っているのか、というのを見極める必要があります。国際法では、国家責任を問いうるか、という論点で使われることが多いです。
国際法のもとでの責任帰属は、2ステップの分析によることになります。その1は、法的標準です。これは、国の組織であるか、政府の権限の要素を行使することが法によってみとめられている組織、または、非政府組織については、国の指図、指示、コントロールがある場合に認められます。2つ目のステップは、証拠の問題です。
法的な観点からみるときに責任帰属の目的としては、以下のようなものがあげられます。
(1)国際法に違反したと「辱め」をさせること(Naming and shaming)
(2) 自救行為(unilateral self-help)
(3)司法的手続の訴え
(4)賠償金の交渉(Negotiations for reparations)
この場合には、「合理的な宣明がなされること」が必要になります。というのは、その場にあれば、そのように判断することには、十分に理由がある、ということです。
これにたいして政治的な責任帰属という問題もあります。
具体的には、2016年10月に、US情報コミュニティが、ロシア政府がUSパーソン・機関からの電子メールの漏洩を指示したと確信していたこと、英国のNCSCが、Lazarusグループが、WannaCryの背後にいたことが「高度の蓋然性(highly likely)」を有していると評価したこと、2018年10月にNCSCが、ロシアの軍事情報機関のGRUが、2015年から、2017年までの多数のサイバー攻撃の背後におり、「無差別で、向こう見ず」であったと非難したこと などが、具体的な例になります。
また、米国の国家情報長官局(Office of the Director of National Intelligence)が、2018年9月に、「サイバー責任帰属のガイド」を公表しており、そこでは、
高度の自信(合理的な疑いを越えており、他の合理的な判断が存在しない)
適度な自信(明らかで説得的である、他には、事案が例外となるのみである)
低度の自信(半数以上の証拠が関与を指し示しているが、重要な情報のギャップがある)
この解説に、Cyber Threat Attributionとは何か?(2019年度版)があります。
まとめとしては、現在の枠組みは、被害者に焦点が置かれており、侵入者は、責任帰属を避けたいという仮定を前提としています。これに対して、侵入者の動機を検証することを調査して、被害者の能力および帰属の意欲を調査することを追加すべきである、ということが提案されました。
また、責任帰属については、セキュリティ会社の判断と国家の判断の相違という問題もあることが質疑応答で指摘されました。
Ms. Manon Le Blancのテーマは、”Attribution as Part of Wider EU Cyber Diplomacy Efforts”です。
責任帰属は、攻撃を緩和し、中立化する効果があり、攻撃を停止させることを意図しています。
EUにおいては、水平的ポリシを採用しており、「サイバー外交ツールボックス」を公表しています。
このポイントは、迅速な対応であること、加盟国家単独で、もしくは、集団的に対応すること、責任帰属を行うことは政治的な判断であること、です。
実際には、この対応は、責任帰属は、種々の形態をとることになり、必ずしも公にする必要はなく、また、技術のみ、インテリジェンスのみではなく、安定性なども考慮して判断がなされるものになります。
Prof. Robert E. Barnsbyのテーマは、”Why Certain States are happy to have cyber attacks attributed to them”です。
なぜに、責任帰属を受容するのか、ということです。これには、いろいろな可能性があって、
国際的な注目を集める/被害国の脆弱性を明らかにすることによって自分たちの能力を固辞する/国内的な評価をうる/それ自体のコストが高くない
法的な分析としては、国際的違法行為であると考えていない場合、国家実行に影響を与える場合がありうること、グレイゾーンを悪用しようと考えていること、になります。