EMPACTをみたところで、欧州の対規模なサイバー攻撃に対する国家の仕組みについては、まだみていないことに気がつきました。

欧州の上のようなサイバー攻撃についての国際法的な対応は、このブログですと、「EU、初のサイバー攻撃に対する制裁を決定」、「サイバー外交ツールボックス」、「Cycon 2019 travel memo day1 (4)」「欧州理事会の域外からのサイバー攻撃への制裁枠組み」などで触れているのですが、むしろ、法執行当局がどのように対応するかというのは、確認していなかったので、すこしみていきます。

悪意あるサイバー活動が、経済やデジタル単一市場への動きを阻害するのみではなく、民主主義、自由や価値観を損なうものであることは認識されてくるようになりました。そのなかで、注目される動きとしては、2017年の動きがあります。

「レジリエンス・抑止および防衛-欧州共同体のために協力がサイバーセキュリティを構築する(JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Resilience, Deterrence and Defence: Building strong cybersecurity for the EU JOIN/2017/0450 final)」というコミュニケが公表されています(2017年9月13日)。

このコミニュケにおいては、「レジリエンス構築」「効果的なサイバー抑止力の創出」「国際的協力の強化」がうたわれています。

「大規模なスケールのサイバーセキュリティインシデントおよび危機への協調された対応の委員会勧告(COMMISSION RECOMMENDATION (EU) 2017/1584
of 13 September 2017 on coordinated response to large-scale cybersecurity incidents and crises )」は、一つの興味深いところなのでこれを分析します。

まずは、この 勧告は、

この勧告は、事実認識を述べた部分(27項)をもとに

(1) 加盟国とEUの機関は、青写真に示された協力の目的と方法を統合したEUサイバーセキュリティ危機対応枠組みを、そこに記載されている指導原則に沿って確立すべきである。

(2) EU サイバースセキュリティ危機対応フレームワークは、特に、技術的、運用的、戦略的／政治的など、あらゆる必要なレベルで、関連するアクター、EU 機関、加盟国当局を特定し、必要に応じて、EU の危機管理メカニズムの文脈の中でこれらが協力する方法を定義する標準的な運用手順を策定すべきである。大規模なサイバーセキュリティ事件や危機の際に、過度の遅延なく情報交換を可能にし、対応を調整することに重点を置くべきである。

(3) この目的のために、加盟国の管轄当局は、情報共有と協力のプロトコルのさらなる特定に向けて協力すべきである。協力グループは、これらの問題に関する経験をEUの関連機関と交換すべきである。

(4)加盟国は、各国の危機管理メカニズムが、サイバーセキュリティのインシデント対応に適切に対処するとともに、EUフレームワークの文脈の中でEUレベルでの協力のために必要な手続きを提供することを確保すべきである。

(5)既存の EU の危機管理メカニズムに関しては、青写真に沿って、加盟国は、欧州委員会サービス及び EEAS と共に、自国の危機管理及びサイバーセキュリティの主体と手順を、既存の EU の危機管理メカニズムである IPCR 及び EEAS CRM に統合することに関して、実践的な実施ガイドラインを策定すべきである。特に、加盟国は、EU の危機管理メカニズムに関連して、各国の危機管理当局と EU レベルの代表者との間で効率的な情報の流れを可能にするための適切な仕組みが整備されていることを確保すべきである。

6）加盟国は、欧州をつなぐファシリティ（CEF）のサイバーセキュリティ・デジタルサービスインフラ（DSI）プログラムによって提供される機会を十分に活用し、現在開発中のコアサービスプラットフォーム協力メカニズムが必要な機能を提供し、サイバーセキュリティ危機時にも協力のための要件を満たすように欧州委員会と協力すべきである。

(7) 加盟国は、ENISAの支援を得て、この分野におけるこれまでの作業に基づき、危機時の技術的・運用的協力をさらに強化するために、サイ バーセキュリティインシデントの技術的原因と影響を記述するための共通の分類法と状況報告書のテンプレートを開発し、採用することに協力すべきである。この点で、加盟国は、インシデント通知ガイドラインに関する協力グループ内での進行中の作業、特に国別通知の形式に関す る側面を考慮に入れるべきである。

(8)フレームワークに記載された手順は、加盟国が国家、地域、連合、サイバー外交、NATO のサイバーセキュリティ演習に参加したことから得られた教訓に基づいてテストされ、必要に応じて修正されるべきである。特に、ENISA が主催するサイバー・ヨーロッパ演習の文脈でテストされるべきである。サイバー・ヨーロッパ2018は、そのような最初の機会を提供するものである。

(9) 加盟国及びEUの機関は、必要に応じて、必要に応じて民間企業の関与を伴う政治的対応を含め、国内及び欧州レベルでの大規模なサイバーセキュリティ事件の危機への対応を定期的に実践すべきである。

という勧告がなされています。また、この付属文書には、大規模なスケールのサイバーセキュリティインシデントおよび危機への協調された対応の青写真(Blueprint for coordinated response to large-scale cross-border cybersecurity incidents and crises )が記載されています。

欧州においては、危機対応のためのプログラムが準備されていて、大規模なサイバーインシデントは、危機として認識されることが明らかにされています。この場合、委員会によって、統合政治的危機対応( Integrated Political Crisis Response (IPCR) arrangements)を利用して、政治的な対応協調がなされます。

青写真は、危機対応の仕組みがどのようにして加盟国間の協調と、現存するサイバーセキュリティ機関をフルに利用するかというのを記述しています。

導きの原則

比例性(Proportionality)、補完性(Subsidiarity)、相補性(Complementarity)、情報の機密性(Confidentiality of information)が導きの原則としてあげられています。

中心目標

この青写真は、政治・運用・技術の三つのレベルのアプローチをあげています。そして中心目標としては

• 効果的な反応
• 状況認識の共有
• 重要なコミュニケーションの合意

をあげています。これらの活動についての関係者は、加盟国(当局、ポイントオブコンタクト、CSIRTS)、EU関係部門(ENISA、Europol、CERT-EU、)、欧州委員会(ERCCなど)、EEAS (欧州対外アクションサービス-European External Action Service)です。

技術レベルについては、インシデントハンドリング、脅威とリスクの継続的な分析を含むモニタリングと観測が含まれます。

運営レベルでの協調は、政治レベルでの決定の準備、サイバーセキュリティ危機のマネジメントの協調、EUレベルにおける結果およびインパクトの評価などを範囲とします。

EUレベルにおける関係者の対応については、以下の図が記載しています。

また、上記の危機管理システムについては、IPCRプロセス( Integrated Political Crisis Response (IPCR) )が存在しているのですが、サイバー特有のプロセスが追加されています。

その図は、こちら。

追加されている事項は、モニタリング、インシデント状況報告、EU の政治的協調(対応基金、外交ツールボックス、強調された技術対応、公衆コミュニケーション)、ENISAの事後質問になります。

これらについて、説明がされているので、ちょっとメモします。

ステップ1 モニタリングと警告

サイバーセキュリティのインシデントと脅威に関する定期的な EU サイバースセキュリティ技術状況報告書は、ENISA が作成する。これは、公開されている情報、独自の分析、および加盟国の CSIRT（自主的に）または NIS 指令の単一窓口、Europol の欧州サイバー犯罪センター（EC3）、CERT-EU および European External Action Service（EEAS）の欧州連合情報センター（INTCEN）が共有している報告書に基づく。インシデントと脅威について 報告書は、理事会、欧州委員会、CSIRTs ネットワークの関連機関が利用できるようにすべきである。

ステップ 2 分析およびアドバイス

利用可能なモニタリングと注意喚起に基づき、欧州委員会サービス、EEAS、GSCは、IPCRのアクティベーションの可能性（完全または情報共有モード）に向けて議長国に助言できるように準備ができるよう、可能な進展について相互に情報を提供している。

ステップ3 IPCRの活性化の評価/決定

議長職は、EUレベルでの政治的調整、情報交換、意思決定の必要性を評価します。このため、議長国は非公式な円卓会議を招集することができます。議長職は、欧州委員会または理事会の関与を必要とする分野を最初に特定します。これは、統合的状況認識・分析（ISAA）報告書作成のための指針の基礎となります。議長職は、危機の特徴、起こりうる結果、関連する政治的ニーズを考慮し、関連する理事会作業部会および／または欧州委員会、PSC の会議を招集することの妥当性を決定します。

ステップ4  IPCRアクティベーション/情報共有および交換

アクティベーション時には（情報共有モードでも全面的なものでも）、IPCRのウェブプラットフォーム上に危機ページが作成され、ISAAのフィードとなる側面に焦点を当てた具体的な情報交換が可能となり、政治レベルでの議論を準備することが可能となります。ISAAのリードサービス（欧州委員会のサービスまたはEEASのいずれか）は、ケースの状況に応じて決定される。

ステップ5 ISAA提出

ISAA報告書の作成を開始する。欧州委員会/EEASは、ISAA SOPに概説されている通りにISAA報告書を発行し、IPCRウェブプラットフォーム上での情報交換を促進したり、特定の情報要求を出したりすることができる。ISAA報告書は、議長国によって定義され、そのガイダンスに記載されている政治レベル（例えば、欧州委員会や理事会）のニーズに合わせて作成され、状況の戦略的概観と議長国によって定義された議題項目に関する情報に基づいた議論を可能にします。ISAA の SOPs に基づき、サイバーセキュリティの危機の性質によって、ISAA 報告書が欧州委員会のサービス（CNECT 総局、HOME 総局）のいずれかによって作成されるか、それとも EEAS によって作成されるかが決定される。
IPCRの発動後、議長国は、ISAAが理事会における政治的調整及び／又は意思決定プロセスを支援するために、ISAAの具体的な重点分野を概説する。また、議長国は、欧州委員会サービス/EEASとの協議を経て、報告書の提出時期を特定する。

ステップ6以降は、一般的なものなので、ちょっと省略。

ステップ6 非公式な議長円卓会議の準備

ステップ7 議長円卓会議/欧州共同体政治的協調/決断のための準備手段

ステップ8 Coreper(加盟国の常任代表から成る委員会)/理事会における政治的協調/意思決定

ステップ9 インパクト モニタリング

ステップ10 フェージングアウト