ISPとサイバーセキュリティをちょっと調べていたら、WEF(ワールド経済フォーラム)の「サイバー犯罪防止-ISPの原則(Cybercrime Prevention Principles for Internet Service Providers)」という報告書を見つけたので、すこし読んでみます。
WEFには、結構、サイバーセキュリティにフォーカスしているフォーラムがあります。サイバーセキュリティセンターは、こちらです。そこで、サイバー犯罪対策のためのパートナーシップができています。今年のダボス・クロスター会議でサイバー犯罪対応アライアンスのコンセプトデザインが明がちなるとのことなのてで、こちらはこちらで確認したいと思います。
でもってISPの原則のほうにもどります。
これは、サイバーセキュリティとデジタル・トラストの未来を形作るための世界経済フォーラム・プラットフォーム(World Economic Forum Platform の Shaping the Future of Cybersecurity and Digital Trust)が、2018年3月に設立されて以来、デジタルスペースのセキュリティとトラストを確かにする必要のために検討をして、2020年1月に明らかにしたものです。大手ISPと多国間組織からなるグループの議論に基づいています。
この序文によると
攻撃に対する「参入障壁」をより強固なものにし、攻撃に対する罰則をより強力なものにするために、官民連携を推進する。
というものです。また、この報告書には、特に、BT Group、Deutsche Telekom AG、Emirates Integrated Telecommunications Company (Du Telecom)、Europol, European Cybercrime Centre (EC3)、Global Cyber Alliance (GCA)、International Telecommunications Union (ITU)、Internet Society、Korea Telecom、Proximus
Saudi Telecom Company Group、Singtel、Telstra などの協力によって作成されており、ISPがきわめて重要な位置を占めていたことがうかがわれます。個人的には、サイバーセキュリティの維持のためにはインターネット媒介者の果たすべき役割がきわめて重要になるだろうと言い続けてきたわけ(インターネット媒介者の役割と「通信の秘密」)で、WEFが、その点にきちんと注目しているのは、興味深いところだったりします。
ISP をはじめとする通信サービスやインフラのプロバイダーは、オンライン・エコシステムの中で独自のポジションを占めています。
この原則は、サイバー犯罪の予防と発見に向けた姿勢や、そのような組織が共通の利益のために他の組織とどの程度協力しているかについて、これらの組織の最上級レベルでの議論を促進するのに役立つはずである。
「独自のポジション」とありますが、他の仕組みに比較してもっとも安価に被害を回避するための努力をなしうる場所にいるということなのだろうと思います(「最安価事故回避者」かな)。わが国だと、まずは、理念としての「通信の秘密」から論じる訳ですが、むしろ、こういう大きな枠組みの中で論じる考え方のほうが好みだったりします。
筆者が、きちんと法と経済的なアプローチをわきまえているのは、
特に、ISP が安全に行動するための最良のインセンティブを提供する適切な政策枠組を確立するために、政府や公共部門がどのようにしたらよいかを検討することも提案されています。
という表現からもいえると思います。あと、序文のあとは、
行動と期待される結果のためのインセンティブ(Incentives for Action and
Expected Outcomes)
であったりします。具体的なインセンティブは、「オンラインサービスのトラストの構築」「悪意ある行動のないネットワークによる限界マージンの向上」「国家的オンラインエコシステムの健全性への貢献」「不正行為・刑事的告発/探知/報告のオーバーヘッドの減少」「会社の社会的責任」「評判とブランドの向上」があげられています。
この原則は、外部リスクからネットワークや重要なインフラを保護するための技術的なガイダンスを提供することを意図するものではなく、むしろ、この作業に協力した ISP が、一般的なオンライン犯罪から消費者を保護する目的で ISP が取るべきであると考えるより戦略的な行動に焦点を当てているところに特徴があるといえるでしょう。わが国では、私も構成員のひとりであった「次世代の情報セキュリティ政策に関する研究会」が、ISPのこのような役割に注目していた訳ですが、やっと世界的にも、このようなアプローチが追いついてきたと評価するのがいいかと思います。
さて、具体的にあげられている原則ですが、わかりやすく、名前をつけて論じてみましょう。
1. (消費者保護のための共同行動の原則)広範囲に及ぶサイバー攻撃から消費者をデフォルトで保護し、既知の脅威を特定して対応するために仲間と協力して行動する。
2. (意識・理解向上の原則)脅威に対する認識と理解を高め、消費者が自分自身とネットワークを守るための支援を行うための行動をとる。
3. (連携強化の原則)セキュリティのベースラインを向上させるために、ハードウェア、ソフトウェア、およびインフラメーカーとの連携を強化する。
4. (積極的対応の原則)攻撃に対する効果的な防御を強化する為に、ルーティングとシグナリングのセキュリティを向上させる。
報告書の7ページ以下は、「脅威の規模」の報告です。ソーシャルエンジニアリング、マルウエア、Dos攻撃による被害等の数字があげられています。
では、次のエントリから、具体的な原則について見ていくことにしましょう。