「米ロ首脳が電話会談 サイバー攻撃対処を要請」というニュース(リンクはFNNニュース)がありましたが、マイク・シュミット先生がこれについて、ちょっとした論考を書いていますので、フォローします。

論考は「敵対サイバー行動に対する三つの国際法ルール」(Three International Law Rules for Responding Effectively to Hostile Cyber Operations)というタイトルです。

7月9日、バイデン大統領は、6月のジュネーブでの会談で伝えたプーチン大統領への警告を改めて行いました。この電話会談では、「ロシアが、ロシア領内で活動するランサムウェアグループを阻止するために行動を起こす必要性を強調」し、「米国は、この継続的な挑戦に直面して、国民と重要インフラを守るために必要な行動を取ることを改めて表明」しました。

同日の記者団とのやりとりでも、その意図を疑う余地はありませんでした。

Q ロシアで身代金要求の攻撃に使われているサーバーを攻撃することは意味がありますか？

大統領：彼らを攻撃することですか？

Q ええ…。

大統領 つまり、彼らは特にサーバーを攻撃していたわけではなく、企業を攻撃していたのです。

Q 米国の対応のことです。 これまでの米国の対応は、このような悪質な活動を行っているロシアに対して制裁を行うことでした。 米国は、さらに踏み込んで、実際に使用されているサーバーを攻撃することに意味があるのでしょうか？

大統領：はい。

当然のことながら、米国は、敵対的なサイバー作戦を抑止するためには、強力なサイバー作戦が必要であると判断しています。「SolarWinds」、「Colonial Pipeline」、「REvil」、「Republican National Committee」など、ロシアによる、あるいはロシア領内からの一連の著名なサイバー作戦により、これまでよりも積極的なアプローチをとる必要性が強調されています。結局のところ、法の執行や制裁のような報復行為は、ロシアに国際法上の義務を遵守するよう説得することにはほとんど成功していません。

米国のサイバー司令部の弁護士も、非公式ではありますが、法執行機関による対応のパラダイムは米国の資産を保護する任務には適さないと公然と主張しています。彼らの主張は正しく、大統領の妨害行為に見られるように、米国政府も同意しています。しかし、この問題はアメリカだけのものではなく、ロシアだけが問題を起こしているわけでもありません（最近の敵対的なサイバー操作については、こちらとこちらをご覧ください）。敵対的なサイバー行動の問題は、今や世界的に蔓延しています。

という記載から始まります。そして、サイバースペースに対して、国際法がどのように適用されるかという議論が「劇的に進化」したことから、

適用される国際法に沿って行動し、必要に応じてそれに基づいてサイバー作戦を正当化したり非難したりすることができなければ、サイバースペースの安定性と安全性を育む上で大きな後退となります。

そして、米国の三つの観点すなわち

• 主権は国際法のルールであること
• 国家は、敵対的なサイバー活動を自国の領土から排除するために、相当な注意を行わなければならないこと。
• 国家は、集団的対抗措置をとることができること。

に留意するべきであるということが語られています。

ルールとしての主権

これについては、英国が疑問を呈していること、一方、フランス、オランダ、ドイツ、日本、ニュージーランドがルールであるという認識を示していることが記載されています。

(追加、NATOのサイバー行動のドクトリンのなかでも英国は、主権についてルールであることについて留保を付しています）。

また、実質的には、国家への「帰属」の問題があることがふれられています。

このルールで最初に留意すべきは

他の国家の領域に影響をおよぼすサイバー行動は、主権侵害である(タリンマニュアル2.0ルール4)

ということです。これについては、

未解決の問題は、対象となるサイバーインフラやそれに依存するシステムに物理的な損害を与えるような明白なケースを超えて、どのようなサイバー作戦がそれに当たるのかということである。その可能性は、システムの機能を永久に失わせるものから、不適切な動作をさせるなど、単に国家の領域に影響を与えるものまで多岐にわたる（Tallinn Manual 2.0, Rule 4 commentary; French position, p.7参照）。しかし、エスピオナージ活動は対象国の主権を侵害するものではないという点では、広く合意されています。

いまひとつの問題は、ある国家に帰属するサイバー作戦が、他の国家の本来的な政府機能を妨害したり、強奪(usurps)したりする場合には、主権が侵害される可能性があるということです（タリン・マニュアル2.0、ルール4）。

この典型的な例としては、選挙の実施を妨害することや、他国の領土で遠隔手段による捜索などの法執行活動を行うことが挙げられます。もっとも、ここでも曖昧さが存在するとされています。

ここで、シュミット教授は、内政干渉禁止の原則との違いを述べます。

他国の内政・外交への介入の禁止や、武力行使の禁止などのルールは、違反の閾値が高いことが多い（タリン・マニュアル2.0、ルール66および68）。例えば、前者はサイバー作戦が「強制的」(coercive)な性質を持つものであることを要求し、後者は対象国に比較的大きな損害を与えるものに限定している。

そして主権侵害ルールを認めることは、

2つの利点があります。

第一に、いわゆる「被害国」が「責任国」に対して、単なる行儀の悪さではなく、国際法に違反していることを指摘し、恥をかかせることができる。慢性的に不安定な行動をとっている国家でさえ、法律違反のレッテルを貼られるのを避けようとしていることは、ロシアがクリミアを無法に併合しようとした場合のように、国際法の物語の中で自分たちの行動を正当化しようとしていることからも明らかである。また、敵対的なサイバー作戦へのロシアの関与をプーチン大統領が否定したように、自分たちには責任がないと頻繁に主張していることにも表れている。

バイデン大統領の警告に関してより重要なのは、対抗措置は、他国に法的に帰すべき国際法の違反に直面した場合にのみ取ることができるという事実である（国家責任条文、第49条）。対抗措置とは、他国の違法行為に対応して、その行為をやめさせたり、被った損害の賠償を確保したりすることを目的としていなければ違法となる行為であり、報復の欲求のみを動機としたものであってはならない。また、他の制限の中でも、対抗措置は、被害国が被る損害と責任国が被る損害との間におおよその同等性がなければならないという意味で、比例していなければならない（国家責任条文第51条）。

また、主権の問題は、ルールの問題ではない(自主的な規範の問題である)とする立場について

この議論には、2つの点で欠陥がある。

第一に、敵対的なサイバー行動を主権やその他の国際法上のルールの侵害と認定しないと、報復や現物支給のサイバー攻撃以外の対策を講じる機会が失われる。この点に関して、対抗措置は、根本的な不法行為と同じ領域で行われる必要はないことを理解することが重要である。例えば、不法なサイバー行動に対しては、二国間条約で定められている領海の無害通航の禁止や空域へのアクセス拒否など、サイバー以外の対抗措置で対応することができます。しかし、敵対的なサイバー行動が主権やその他の国際法のルールに違反していない場合、そのような対応は対抗措置として認められず、非合法となります。

(略)

第2に、主権のルールを否定する対応国は、自らが国際法に反して活動しているとは考えないかもしれないが、ルールを受け入れる他の国は、その対応を違法と考えるかもしれない（国家責任条文第5章の「不当性を排除する状況」を除く）。(略)

ここで、主権のルールを認めない国家が、敵対的なサイバー作戦に使われたサイバーインフラを永久に破壊することで対応したとします。その国は、主権のルールに違反していないので、合法的に行動していると考えています。しかし、この2つの例では、他の国は、応答国の応答が実施された国の主権を侵害しており、国際的に不正な行為への応答ではないため、対抗措置として正当化できないという理由で、その応答を非合法とみなす可能性があります。(略)

バイデン政権は、米国政府が主権は侵害される可能性のある国際法のルールであると考えていることを公式に表明し、可能であれば、そのような侵害が発生する基準や状況の種類について、さらに詳細な情報を提供すべきである。また、可能であれば、そのような違反が発生する閾値や状況の種類についての詳細な情報を提供する。これにより、主権侵害の主張に対する将来的な対抗措置のほとんどが、しっかりとした法的根拠に基づくものになるだろうと考えている。

相当な注意(Due Diligence)

相当な注意について、我が国でも「サイバー行動に適用される国際法に関する日本政府の基本的な立場」(Basic Position of the Government of Japan on International Law Applicable to Cyber Operations)」(「主権侵害・デューディリジェンス・自衛権-「サイバー行動と国際法についての日本政府の基本的な立場」を読む」参照)がふれているところです。

シュミット教授の論考は、国際法のルールとして認める国家(ドイツ、日本)がいる一方で、GGEが 、「任意な、拘束力のない規範」として論じ、問題としては、解決していな問題であることにふれています。また、ここで、国家のなすべき義務は、GGEでふれられている責任ある国家の義務を越えるものではないこととされています。そして

このルールには、プラスの効果もあります（この点については、Eric Jensenが近日中にLawfareに投稿する予定です）。この規則は、国家に、自国の領土が敵対的なサイバー活動の拠点となることを故意に許可していないことを確認するための実行可能な措置をとることを義務づけ、そうしない国家に対しては対抗措置をとる道を開いています。このような対抗措置は、敵対的なサイバー作戦を行っている第三者に対して直接サイバー作戦を行うという形をとることもあれば、領土国にデューディリジェンスの義務を遵守させるために領土国自身に対してサイバー作戦を行うという形をとることもあります。領土国家が敵対的なサイバー作戦を終了させるために、その状況下で合理的にできることを行っている場合にのみ、その扉は開かれません。

というコメントをしています。この相当な注意の法的な効果についての明確な論述が今後明らかにされることとなる点は、注目されるでしょう。

この点については、敵対的行動が国際法のルールに関係していなくても、このルールを適用すべきであり、結果の重大性が唯一の基準であると指摘されることがあり、大統領の警告も表面的にはそのように読めます。大統領の警告は、表面的にはそのように読めるのですが、もしそれが法上のルールであれば、領土国は、他国や非国家主体が被害国に対して合法的に行うことができる敵対的サイバー作戦を終了させる法的義務を負うことになります。これでは意味をなしません。そこで、タリン・マニュアル2.0国際専門家グループは、義務は非国家主体によるサイバー作戦にも及ぶが、このルールは、領土国家が実施した場合に違法となる作戦のみを包含すると結論付けています。

主権のルールと同様に、バイデン政権はデューデリジェンスが国際法のルールであることを認識すべきである。しかし、このルールに警戒心を持っている国からの反発を招くような、上記以上の要件が含まれていると主張してはならない。デューディリジェンスのルールがなければ、米国は、非国家主体の敵対的なサイバー活動や、国家への帰属を確実に立証することが困難な場合に、効果的に対応するための法的根拠を欠くことになりがちである。

集団的対抗措置

最後は、集団的対抗措置の問題です。これは、2019年のCyConでエストニアのカリユライド大統領が提案して話題になった概念です。当社のブログのエントリは、こちら「 Cycon express-世界初の集団的対抗措置の提唱」です。

あまり、表立って議論されてはいませんが、フランスは、反対とのことです。あと、NATOでも議論されているとのことです。

ショーン・ワッツ教授と私は最近、この問題を深く分析しました。私たちは、国家間で「国家が集団的に対抗措置を講じることができるかどうかは、依然として不確定である」と考えました。しかし、私たちの結論は次のとおりです。

「被害を受けた国に代わって集団的にサイバー対策を行うこと、ひいては被害を受けた国の対策を支援することは、合法である。エストニアのような国家の立場を明確に排除するような、集団的対抗措置の明確な禁止が結晶化していないことを説明しました。むしろ、国際法の大きなベクトルは、前世紀から集団主義の方向に向かっており、今後も大きく変化するとは考えられないのです。また、サイバー空間という特殊性から、対抗措置に対する寛容さが求められています。国家はこの前提におおむね同意していると思われる。最後に、対抗措置のルールの目的と趣旨は、サイバーの文脈で考えると、対抗措置を一括して行うことができるという解釈を支持している。」

この立場を採用することで、国家は、サイバースペースが相互依存の領域であり、一国でのサイバー作戦が世界的な影響を及ぼす可能性があるという現実に大きく対応することができる。不法なサイバー作戦に対する集団行動を排除する法解釈は、敵対的なサイバー作戦に対して多くの国家を事実上無防備にすることになります。また、被害国の対策を支援することで国際的な安定性が高まる場合であっても、サイバー能力のある国は、悪意のある行為者による不安定なサイバー行動に直面した場合に、十分な効果を発揮できない可能性のある報復しかできないことになります。

バイデン政権は、集団的対抗措置は合法であるとの立場をとるべきである。そうすることは、国際舞台への復帰と、同盟国やパートナーへのコミットメントを公言することと一致する。これらの国は、サイバー空間で強力な敵に直面したときに米国の支援を必要とする可能性があり、その支援を提供することが米国の国家支援になることが多い。特に、集団的対抗措置が利用可能であれば強力な抑止力となりますが、それがない場合は、独自に効果的な対応ができない国家に対する敵対的なサイバー作戦に門戸を開くことになります。

結論

最後に、大統領の警告に戻りますが、もし政権が、ロシアから発せられたがロシア国家に直接帰属しない敵対的なサイバー操作に対応することを真剣に考えているのであれば、その意図が理解され、敵対的なサイバー行動に対応するために取るかもしれない対策がしっかりとした法的根拠に基づいたものになるように、これらの規則を受け入れることを公に表明するのが賢明でしょう。

ということが、シュミット教授のコメントになります。

私としては、むしろ、そのような「法的な根拠」に裏打ちされているのが、大統領の一連のコメントという認識をしています。