Sovereignty and Cyber Operationsです。
司会は、マリア博士です。彼女は2012年に早稲田大学に留学していて、そのときに知り合いました。
でもって、Cycon名物(?)のシュミット先生の講義です。
最初は、主権の定義です。一般的には、国家主権とは、「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」(パルマス島事件 1928)とされています。UN GGEは、主権概念がサイバースペースにおいても適用されることは合意しています(2015報告 パラ20)。
主権の侵害について考えてみます。国際法上、主権の侵害というのは、「国家の行為」に対して適用されます。非国家主体の行為については、国家に責任が帰属しうる場合に適用されます。
主権の侵害については、以下のことがいえます。
(1)領土の保全性(integrity)は、「国境は、侵害されない」ということです。サイバーの文脈では、遠隔で指揮されているサイバー活動は、標的国の領域の保全性を侵害するのか、という問題を引き起こします。
(2)侵害の閾値の問題は、「侵害」といえるのは、どのような場合なのか、という問題である。物理的な損害がある場合、機能不全をもたらす場合、物理的な損害・機能不全を場合(データベースの消去)の場合については、争いがあるところである。一方、エスピオナージについては、侵害に該当しないと考えられています。
(3)具体的には、どうか。
ア) 密接なアクセス 標的システムにマルウエアを挿入し、機能を損なう場合
イ) ハードドライブをオーバーヒートさせ、永続的な損害を与える場合
ウ)ハードディスクを暗号化し、標的のインフラを操作不能にする行為
エ)サイバーインフラを遠隔から操作し、システムの動作を遅延させる行為
オ)将来、破壊活動をするようなマルウエアを埋め込む行為
カ)サイバーインフラの内部を操作しファイルを抽出する行為
キ)空いているポートを探索する行為
主権の侵害は、「本来的な政府の機能」に介入する(intervene)か、奪取する(usurp)場合でなければならない。
本来的な政府の機能というのは、選挙、税の徴収、外交、法執行などです。
「介入」するというのは、例えば、重要な政府のオンラインでの徴収システムに対して執拗なDDoS攻撃を仕掛ける場合です。
「奪取」するというのは、例えば、国家の同意がないのに、ボットネットのインフラをテイクダウンするように、法執行の機能を遠隔で行うことです。
基準としては、1999年の国防省のリモートオペレーションに関する評価が、「攻撃の影響が感じられた国家が、もし、それを感じたのであれば、その主権と領土の保全性が地粉割れたという立場をとることができる」としています。
これらの基本的な概念を押さえたあとで、ジェレミーライト法務総裁の「原則としての主権-ルールではない」という発言についての議論が始まります。
このリンクは、前に示しましたがここです。
一部の人々は、同意なしに他の国のコンピュータネットワークへの干渉に関して「領土主権の侵害」というサイバー特有のルールの存在を主張しようとしています。
主権は、もちろん、国際的なルールに基づくシステムにとって基本的なものです。 しかし、私は現在、その一般原則から、禁止されている介入の範囲を超えた、サイバー活動に対する特定の規則または追加の禁止を推定できるとは思いません。 それゆえ、英国政府の立場は、現在の国際法の問題としてのそのような規則はないということです。
としています。シュミット先生は、この部分について、自分は伝統的な学者である(高橋コメ-研究範囲は、ほんとうに最先端なのですが)として、主権がルールではない、という見解に強く異議を唱えます。
裁判所の判決を例にすると、1926年ローチュス号事件判決、1949年コルフー海峡事件、1974年核実験事件、1986年ニカラグア事件があります。
国家実行だと、1960年のアイヒマン拉致事件(全体像はこちら)、1978年コスモス954事件(外交解決文書はこちら)、2001年の中国での軍用機の緊急着陸事件(海南島事件)とかが、主権の侵害が主張された事件となります。
また、特にサイバー領域に関していうと、2012年の米国国務省の法律顧問 ハロルドコーのコメントがあります。彼は、
相互に接続しあっていて、相互に運用されうるサイバースペースの性質ゆえに、とある国の情報インフラを標的とする活動は、他の国に対しての影響を持ちうる。国家が、サイバースペースで活動するときは、他の国の主権を考える必要がある
としています。
条約法によると、国連の組織犯罪防止条約は、
この条約のいかなる規定も、締約国に対し、他の国の領域内において、当該他の国の当局がその国内法により専ら有する裁判権を行使する権利及び任務を遂行する権利を与えるものではない。(4条2項)
米州機構(OAS)憲章も同様です
(高橋追加-3条e )は、主権について
すべての国家は、外部の干渉なしに、その政治的、経済的、および社会的システムを選択し、それに最適な方法で組織化する権利を持ち、他の国家の問題に介入することを控える義務がある。 上記を条件として、アメリカ諸国は、その政治的、経済的および社会的システムの性質とは無関係に、相互に完全に協力するものとします。
と定めています。
友好関係原則宣言(1970)も同様です。
主権侵害に対する「コスト」です。
ア)「晒されること」(Naming and shaming)
2018年10月に英国の国家サイバーセキュリティセンターは、ロシアのサイバー活動を違法だとしました。この活動は、機能不全、侵入、アクセス取得・試行を含む損害を与えるものでした。
ただし、法的な分析はなされていません。
イ)対抗措置(countermeasures)
これは、「本来的には法に反する手法で」(otherwise unlawful)、相手方に、(違法行為を)停止させるように対するもの、です。
本来的に、主権を侵害するサイバー措置を許容する。
本質的にサイバーでない反応(not cyber in nature)は、許容されない
例・領海や領空を閉鎖し関係ない旅客に影響をあたえる
ウ)信頼性(Credibility)、抑止力、エスカレーション
つまみ食い(cherry picking)-他の国家に対してクレームをする場合には、インパクトを失う。また、ルールに基づいた命令が、弱まる
抑止力-他の国家を抑止する選択肢を失う
エスカレーション-国際法は、より高度な深刻さのレベルにいくことを防止している
国際法は、広い範囲の措置を提供しており、不十分なリスクを課題評価してはならない。
ということで、「閾値未満の攻撃」について国際法がどのように考えているかを15分で、しかも最新のライト法務総裁のコメントにまで触れるという、今回も充実の講義でした。
他の先生方のプレゼンは、次のエントリで。