いつも、CyConという会議を主催しているNATOのCCDCoEから、「サイバー脅威とNATO2030:水平線スキャンと分析」という書籍が出ています。

オンラインで講読可能です。サイバーセキュリティと国家という観点からみても興味深い論考が揃っているように見えます。私としては、特にパート4が、「情報共有、サイバー脅威インテリジェンスおよび演習」というテーマになっているのに興味を引かれました。

あと、出版記念イベントも開催されました。

でもって、エントリのタイトルどおりですが、このうちの第10論文、「サイバー脅威インテリジェンス共有のための調整的課題のNATOのための考察」を読んでいきます。副題が、日本、米国および英国の研究となっていて、興味を引かれたということがあります。

1 序

序では、

サイバー脅威インテリジェンス（CTI）共有として知られるセキュリティインシデントに関する情報交換のためのアプローチを発展させる努力は国際的な必須事項であり（Mengesら、2019年）、政府はもはや、国際的なサイバー防衛を運用するために、ビジネスエコシステムやサプライチェーン全体の自主的なコンプライアンスに頼ることはできません。

とされています。そして

そのため、CTIを共有することは、サイバー作戦と戦略的キャンペーンを(1) 効果の本質、(2) 効果の世界的な広がり、(3) 効果の持続時間、および (4) 国家を危険にさらすデータの流出と集約の程度 の観点から、理解することとなり、 直接的にも間接的にも対象となる社会や国にとって、重要なものです。

として、日本、英国、米国についての調査をなしたことが説明されています。

2  サイバー脅威インテリジェンス共有 /調査のコンテキスト、洞察および課題

この部分では、2017年のワナクライとNotPetyaの事件が政府の関心をひいたこと、2018年5月には、欧州議会が、ロシア連邦と北朝鮮が国際法に違反していると非難したこと、国際的対応を呼びかけたこと、これらのキャンペーンの戦略、程度、タイムスケールに対する理解が、もし、政府と多国籍企業が情報を共有したら、向上すると考えられること、などが触れられています。

また、日米において2013年の枠組みが定められていること、もっとも、日本ではサイバー攻撃の早急に責任の帰属を決定するフォレンジックデータへの直接のアクセスができていないこと、サイバーセキュリティは、ITスペシャリストから、国家的な課題になっていることなどが述べられています。

3 サイバー脅威インテリジェンスの課題

過去のサイバーセキュリティの課題としては、各国のサイバー戦略の比較、ハーモナイゼーション、国際的組織のメンバーシップなどがあるが、同論文は、サイバー脅威インテリジェンス共有が重要であるとして、そのための課題として以下の三つがあるといいます。

課題1 脅威インテリジェンスの能力と意図

日本と米国における脅威インテリジェンス情報の共有については、

互換性のないプラットフォーム、法的および管轄権の制約、相反する、または互換性のない戦略文化

か課題になっているという。これは、NATO内部における分析も同様である。

日本においては、脅威情報のための標準(STIX、TAXIIやMISP)が一般化しておらず、自動処理も広くなされているわけではないことが指摘されています。

また、法的な制約については、日本における自衛隊が、自らの重要インフラを防衛するためのみにしか活動できない(自衛隊法76条がサイバー手法を武力攻撃たりうると定義していないこと)があげられています。

(高橋注-これは、正確ではないと思います。サイバー手段によっても武力攻撃事態にいたった場合には、防衛出動は可能なはずです。武器でもって、どう戦うの？という実際の問題があることは認めますが。むしろ、武力攻撃にいたらない場合の位置づけがきわめて不十分というほうが課題としては正確だと思います)

日本においては、攻撃的な演習に参加できないこと、深層学習などのスキルが欠如していることがあげられています。NISCの予算が限られており、また、他の省庁と比較した場合に権限が限られていることなどが指摘されています。

さらに、クリアランスのシステムが損害しないこと、機密情報を適切に扱う経営陣のプログラムが存在しないことも指摘されています。機密区分のあいまいさ、タグ付けの適切さが保障されないという問題も指摘されています。

米国のCISAが、日本に対して国家重要インフラを特定し重大な脅威を調査するしくみを整えるようにアドバイスをしているものの、国内の情報共有のプラットフォームが存在していないことが、効率的な共有を妨げているという耳の痛い指摘もなされています。サイバーインシデントの際に求めれらる技術的・人材的要求の評価モデルとして米国のODNIやDoDの成熟度モデルが提案されているということです。

課題2 レスポンシビリティとアカウンタビリティの境界

堅牢な脅威インテリジェンス能力をサイバーセキュリティの実践に組み込むことで、国家的なサイバー防衛への参加を促し、民間部門を活性化させ、説明責任を果たすことができるようにすることは、すべてのインタビュイーが問題であると同時に機会でもあると認識していた。

米国が80パーセント、英国が65パーセントであるのに対して、日本は、半分しか、脅威情報を受領し消化する能力があるかという評価をしていないことが指摘されています。またCISOのいるのが、27パーセントに満たないことがも指摘されています。

また、日本においては、サイバー脅威インテリジェンスに基づいて行動することに、消極的であることが述べられています。これをおこなわなくても公表されることはありませんし、罰金がかせられることもありません。

また、論文は、仮想プライベートサーバーなどの国際的なインフラに対しての法執行機関のアクセスの困難さ、法執行の困難さ、日本における自衛隊法の改正の必要性等を論じています。

(高橋注-日本における自衛隊法の改正の必要性の部分は、Gady/Koshinoのこの論文が根拠なのですが、この論文は、法的な解釈論を正確に論じるというものではないので、あまり重視しない方がいいように思えます)

課題3 お互いを理解すること

サイバーセキュリティのガバナンスは、

 継続的な監視、測定、管理に基づいたリスク管理アプローチであり、異なるアクター間の信頼と期待の安定性を確立することを目指している。

このような認識の上に米国、日本、英国における政策が、それぞれの経験に基づいていること、また、米国における継続的従事へのパラダイムシフト、日本における憲法9条の制約、英国の議論などに依頼していることなどが議論されています。

NATOのための考察

このような考察の上に、

NATOは、特に、MISPの使用を可能にし、サイバー脅威インテリジェンスの共有をサイバーセキュリティ成熟性、レジリエンスの発展評価プログラムの一部としてサイバー権限構造を提供する実務の最善の方法を奨励することにより、パートナーや同盟国がCTIを共有できるようにするための体制を整えています。NATO CCDCoEは、以下の点で主導的役割を果たすことができる。
(1) 情報の流れを迅速化するために、パートナーおよび同盟国全体の脅威インテリジェンス能力の非互換性を調整し、レベル設定を促進する。

(2) 信頼できる脅威インテリジェンスを確保するために協定を調整すること

(3) 脅威インテリジェンスの共有を可能とするようにパートナー及び同盟国が分類の最小限のセット、互換性のあるオントロジー、比較可能な 実現するための人材セキュリティクリアランス管理プログラムを採用することがてきるようにすること

(4) 国際的な脅威インテリジェンスのエコシステムの改善点を容易に特定できるように支援するための 技術、プロセス、労働力の能力に対応した脅威インテリジェンスの成熟度スケールの発展を促すこと

(5)  国際的なサイバーミッションのために脅威インテリジェンスの能力と公的機関と信頼できる共有を構築するために グローバルな産業と、説明責任を促進するためのメカニズムの開発

と論じています。