脆弱に関する規範、サイバー衛生に関する規範のあとは、「攻撃的サイバー作戦」の規範です。

非国家主体は、攻撃的なサイバー作戦に従事するべきではなく、国家主体はそのような活動を防止すべきであり、また、発生した場合には対応すべきである。

では、「攻撃的サイバー作戦」とは何でしょうか。残念ですが、報告書には、その定義はありません。民間企業によるアクティブ・サイバー防御がここで議論されています。私は、アクティブ・サイバー防御を論じたことがありますが、結局は、何を論じるか、具体的な構成要件レベルでなす行為を特定しないと、議論がほとんど意味がないということがもっとも大切なことでした。

報告書は、

これらの非国家主体の攻撃的なサイバー作戦は、防御目的のために行われるため、婉曲的に「アクティブ・サイバー・ディフェンス」といわれる

としています。そして、注で

アクティブサイバー防御は、被害者のネットワークでの自己防衛から攻撃者のネットワークでの破壊的な活動に至る一連の手段として理解される必要があります。 攻撃的なサイバー作戦は、一連のものであるので、防御者が彼らの意図（攻撃または防御）や法的資格とは無関係に自身のネットワークの外で行動することを意味します。 攻撃的なサイバー作戦と積極的なサイバー防御の定義に関して、さらなる作業を実施する必要があります。

として、さらなる分析がひつようであることが示唆されています。

報告書は、このような行為が国によって、きわめて、規制が、ばらついていることを指摘しています。このような行為を、適法だとする立法化をした国家があることを指摘しています。

GCSCは、これらの行いがサイバースペースの安定性を損なうと考えています。深刻な混乱と損害をもたらし、それは、第三者を含むこともあるため、複雑な法的紛争を引き起こし、紛争を拡大させる可能性があります。国家は、非国家主体に、自分自身または第三者の目的のために、攻撃作戦を行う許可を明示的に付与または故意に許可した場合には、危険な実行を設定し、国際法に違反するリスクをおかすことになります。委員会は、攻撃的措置は国家のみに独占されていると信じており、国際法が確立している敵対行為に対する国家の対応の厳格かつ排他的な枠組みが、サイバー作戦にも適用されることを想起します。同様に、国際法の下では、国家に代わって行動する非国家主体は彼らの代理人とみなされなければならず、したがって国家の延長とみなされます。

注で、追加的注釈が引用されています。

個人的には、アクティブ・サイバー防御の定義をさけて、これを許容することはできないといってみても、きわめて議論としては、大雑把だと考えているのですが、どうでしょうか。強制的な効果を攻撃者に対してもたらす行為ということになりますが、国際法としては、一定の要件のもとで、部分的自衛権として、もしくは、対抗措置として許容されるので、そのような緻密な議論と比較した場合に、どれだけ、この規範が、規範として支持されるべきなのか、非常に疑問だと思います。