サプライチェーン・ボットネット版の分析に続きます。
規範5 脆弱性規範
国家は、情報システムおよび技術において認識されている公に知られていない脆弱性または欠陥(flaws)を開示するかどうか、いつ開示するかを評価する手続き的に透明なフレームワークを作成する必要があります。デフォルトの推定値は開示を支持すべきです。
脆弱性については、筆者は、早期警戒パートナーシップの構築の初期からお手伝いすることができて、それは、自分のキャリアでももっとも誇りにすることの一つなわけです。それは、脆弱性について、責任ある開示というべきものを構築したフレームワークなわけです。
それはさておいて、GCSCのフレームワークにおいては、さらに現実社会での、脆弱性の二つのあい反する意味づけがでてきます。その一つは、上記の枠組みでも触れている一つのシステムをより安全にするための契機として、調整されるべき脆弱性といえるでしょう。今一つは、国家によって、独占され、その国家目的に貢献するように利用される脆弱性です。この部分を、解説の付録Bの解説からみてみましょう。
悪意のある行為者、特にならず者国家などの特に狡猾な行為者を追跡するために不可欠なツールは、彼らが依存するデジタルインフラストラクチャの脆弱性を悪用することです。そのため、国家はしばしば、未公開の脆弱性の使用を含む少なくとも一部の選択機能を保持する必要があると主張します。さもなければ、非常に有能な悪意のある行為者は発見されず、チェックされなくなります。
国家が、自ら発見した場合に、その脆弱性を、秘密にして自己の情報としているという状況から、公表する方向に移行するという動きがあることが触れられています。
ここで触れられているのは、ホワイトハウスの脆弱性エクィティポリシおよびプロセスです。このような動きが、他の国家でも確立して、透明性を増すことは、ネットワークの長期的なスタビリティにつながるものとされています。
我が国では、国家が脆弱性を発見して、自らの国益のために利用するなどという発想は、ほとんどなされないわけです。私も、フォローしていませんでした。法執行機関が、脆弱性を利用して犯罪者の通信機器から証拠を収集する行為は、警察官の職務執行として許容されるのか、というようなガバメント・マルウエアの法律問題として考えたことはありますが、そのための脆弱性のコントロールと公表というのは、考えたことはありませんでした。
今後の問題といえるでしょう。が、どこが、このような問題を研究するのでしょうかね。
規範6 脆弱性減少・対応規範
サイバースペースの安定性が依存する製品およびサービスの場合、それらの開発者および生産者は、(1)セキュリティと安定性を優先し、(2)製品またはサービスに重大な脆弱性がないことを保証するための合理的な措置を講じ、(3)後で発見された脆弱性に対して、タイムリーに対策を講じ/その過程で透明性を図る手段をとる必要があります。すべての関係者は、悪意のあるサイバー活動を防止または軽減するために、脆弱性に関する情報を共有する義務があります。
解説によると、脆弱性が悪用される危険性は、特に国家や非国家主体によってなされる場合に大きいことが強調されています。が、それに対しても結局は、脆弱性情報の共有が重要なことが報告されています。その部分は、
高度に接続され、高度に相互依存している世界では、発見された脆弱性は、異なる製造者の/異なる環境の複数の製品およびサービスに影響を与える可能性があります。基礎となる脆弱性を他の製品に公開せずに1つの製品にパッチを適用すると、その製品は保護されますが、大規模なサイバースペースの安定性は保護されません。特定の脆弱性の影響を評価するのに最適な立場にあるのは、多くの場合、脆弱性の影響を受ける製品を開発、生産、インストール、または運用する人です。セキュリティの脆弱性の修正を支援したり、攻撃を防止、制限、または軽減するのに役立つ情報を共有することが重要です
次は、サイバー衛生規範です
7 サイバー衛生規範
国家は、基本的なサイバー衛生を確保するために、法律や規制を含む適切な措置を実施する必要があります。
サイバー衛生(Cyber Hygiene)というのは、サイバーセキュリティに関して、まず、基本的なリスク認識・リスク管理をしましょう、という提言です。
この概念は、友人でもあるケレン・エラザーニ(Keren Erazani)さんのTEDスピーチを思い出させます。ハッカーは、インターネットの免疫システムであるというのが彼女のスピーチです。
セキュリティの世界では、新しい技術・商品をあたかも銀の弾であるかのように販売することが、流行になっているように思えます。しかしながら、いつでも、一番大切なのは、基本的な「サイバー衛生」です。
報告書では、サイバー衛生は
サイバースペースにおける回避可能な危険を防御、防止、および迅速に軽減するために実行するための、優先順位のある重要なタスクを表す基本的な措置のレジームである
と定義づけられています。これは、国家や非国家主体に限られるわけではなくすべてのユーザが、実効しなければならない基本的な注意義務であると位置づけられています。
サイバー衛生の基準としては、ETSI、CIS、ASDなどがすでに準備をしているということがあげられています。
インターネットの責任ある使用と有益な成長のために、サイバー衛生の広範な採用による根本的なサイバーセキュリティ防御が不可欠になったと考えています。セキュリティは、適切なアカウンタビリティを確保するために、すべての行為者に責任が分散された継続的なプロセスと考えられなくてはならず、そのためには、たとえば、自動化されたレポートや情報共有などのメカニズムがあります。
