GCSC(サイバースペースの安定性に関するグローバル委員会)が、サイバースタビリティ報告を公表しました(2019年11月12日)
報告書は、こちらです。
で、以下は、エグゼクティブサマリーの翻訳です
主要国間の戦略的安定と相対的な平和の25年の期間の終わりに達しました。国家間の紛争は新しい形をとっており、サイバー活動はこの新しく不安定な環境で主導的な役割を果たしています。過去10年間で、国家および非国家主体によるサイバー攻撃の数と巧妙さが増し、サイバー空間の安定性を脅かしています。簡単に言えば、人々や組織は、サイバースペースを安全かつ安全に使用する能力に自信がなくなったり、サービスや情報の可用性とインテグリティが保証されなくなったりします。
このような背景に対して、サイバースペースの安定性に関するグローバル委員会(GCSC)が召集され、サイバースタビリティを推進するための勧告が行われました。まず、7つの要素からなるサイバー安定性フレームワークを特定しました。このフレームワークには次が含まれます。(1)マルチステークホルダーの関与。 (2)サイバー安定性の原則。 (3)自発的規範の開発と実施。 (4)国際法の順守。 (5)信頼醸成措置。 (6)能力開発。 (7)サイバースペースの回復力を確保するための技術的な標準が、オープンに普及し、幅広く利用されること。このフレームワークを定義した後、委員会は、その要素のうちの3つの要素、マルチステークホルダーの関与、原則、規範を徹底的に調査しました。
多くの国際的な合意において、マルチステークホルダーの関与が求められていますが、依然として議論があります。一部の人々は、国際的な安全と安定を確保することは、ほぼ独占的に国家の責任であると信じ続けています。ただし、実際には、サイバー戦場(つまり、サイバースペース)は、主に非国家主体によって設計、展開、運用されており、サイバースペースの安定性を確保するために、彼らの参加が必要であると考えています。さらに、多くの場合、非国家主体がサイバー攻撃に最初に対応し、さらに、それを起因ともなりうるため、その参加は避けられません。
委員会は、これらの非国家主体はサイバースペースの安定性を確保するために重要であるだけでなく、原則にもとづいて規範に拘束されるべきであると結論付けました。 4つの原則はこの見解を反映しており、すべての関係者が責任を持ち、抑制を行い、行動を起こし、人権を尊重することを求めています。
- 責任:誰もがサイバースペースの安定性を確保する責任があります。
- 制限:国家または非国家主体は、サイバースペースの安定性を損なう行動をとるべきではありません。
- 行動要件:国家または非国家の関係者は、サイバースペースの安定性を確保するために合理的かつ適切な措置を講じる必要があります。
- 人権の尊重:サイバースペースの安定性を確保するための努力は、人権と法の支配を尊重しなければなりません。
これらの原則に基づき、委員会は、他者の仕事を補足し、重複することのないようにし、8つの規範を作成しました。これらは、サイバースペースの安定性を確保し、以前に宣言された規範の技術的懸念またはギャップに対処するために設計されたものです:
- 国家および非国家主体は、インターネットのパブリックコアの一般的な可用性またはインテグリティ、ひいてはサイバースペースの安定性を意図的かつ実質的に損なう行為を行ったり、故意に許可したりしてはなりません。
- 国家および非国家主体は、選挙、国民投票、または投票に不可欠な技術インフラストラクチャを混乱させる(disrupt)ことを目的としたサイバー作戦を追求、支援、または許可してはなりません。
- 国家および非国家主体は、開発および生産において製品やサービスを改ざんしたり、サイバースペースの安定性を大幅に損なう可能性がある場合は改ざんを許容してはなりません。
- 国家および非国家主体は、ボットネットとして、または同様の目的で使用するために、一般公共のICTリソースを指示すべきではありません。
- 国家は手続き的に透明なフレームワークを作成して、情報システムおよび技術において認識されている公に知られていない脆弱性または欠陥を開示するかどうか、いつ開示するかを評価する必要があります。デフォルトの推定値は開示を支持すべきです。
- 製品およびサービスにサイバースペースの安定性が依存する場合、それらの開発者および生産者は、(1)セキュリティと安定性を優先し、(2)製品またはサービスに重大な脆弱性がないことを保証するための合理的な措置を講じ、(3)後で発見された脆弱性に対して、タイムリーに対策を講じ/その過程で透明性を図る手段をとる必要があります。すべての関係者は、悪意のあるサイバー活動を防止または軽減するために、脆弱性に関する情報を共有する義務があります。
- 国家は、基本的なサイバー衛生を確保するために、法律や規制を含む適切な措置を実施する必要があります。
- 非国家主体は攻撃的なサイバー作戦に従事するべきではなく、国家主体はそのような活動を防止すべきであり、また、発生した場合には対応すべきです。