分析４では、パブリック・コアや選挙制度の保護の規範を見てきました。

次の規範は、サプライチェーンに関するものです。

規範３です。

国家および非国家主体は、開発および生産において製品やサービスを改ざんしたり、サイバースペースの安定性を大幅に損なう可能性がある場合は改ざんを許容してはなりません。

規範1は、パブリック・コアの保護について論じていますが、これに関して、同様にインターネットを安全かつ安全に使用および活用する能力を社会から奪い、その適切な機能に対する全体的な信頼を弱める可能性があるということから、ソフトウェアおよびハードウェアIT製品の主要コンポーネントについてもその保護が広げられているというのが、この規定の趣旨です。

そこでは、オペレーティングシステム、産業用制御システム、スイッチ、ルーター、その他の重要なネットワーク機器、重要な暗号化製品および標準、マイクロチップ設計、広く使用されているエンド-ユーザーコンシューマアプリケーションについての改ざん（tampering）が禁止されています。

解説によると、この禁止は、上記のような主要コンポーネントの改竄の禁止にとどまるものであって、標的を絞った国家行動を禁止するものではないことが表明されています。

報告書は、国家が、その国家を守るべき義務という点からみるとき、情報技術製品を取り扱う利益と責任の相剋に直面する、防衛のためには、いざというときのために、改竄も正当化されるという点が報告されています。

現実社会は、きれいごとだけではすみませんというか、それが現実ということですね。

規範４は、ボットネット規範です。

国家および非国家主体は、ボットネットとして、または同様の目的で使用するために、一般公共のICTリソースを徴用（commandeer)すべきではありません。

とくに、ボットネットにおいて、そのネットに利用されるデバイスは、通常の第三者ということになり、本人は、ボットネットになっているという認識がない場合がある。そのような場合に、ボットネット化されてしまうと、

デバイスを侵害して、悪意のあるソフトウェアエージェントをインストールすることは、犯罪者などの他の攻撃からデバイスの防御を弱めたり、デバイスの通常の機能を侵害したりするだけでなく、所有者/オペレーターを、最終ターゲットに生じた損害についての責任を問われかねなくする。これは、デバイスの侵害によってデバイスとその所有者/操作者が意図せずに国家間での戦闘行為における戦闘員になり、その場合には、報復や責任を招くこととなるので、特に深刻です。

ということになります。なので、一般消費者のデバイスを悪用することは、社会の信用を損ないネットワークのスタビリティを欠くことになる。

この規範は、規範３がサプライチェーンに関する規範であるのに対して、社会において、デプロイされた場面に関するものということができる。