「アクティブサイバー防御をめぐる比較法的検討」InfoCom reviewのご紹介

読売新聞が、「積極的サイバー防御」重要インフラ対象に導入へ…政府、攻撃元に侵入や無力化検討」という記事を公表しています。

記事としては、

積極的サイバー防御は、サイバー空間を常時、巡回監視し、安全保障上の脅威となり得る不審な通信や挙動をいち早く把握し、対処するもの

と定義して

システムやネットワークへの侵入や不審な通信の解析などの権限を平時から政府に認めることが柱となる

としています。

概念としては、どこがアクティブなのか、という感じがしています。「政府がネットワークの通信について侵入や不審な通信の解析などの権限を有する」ことをアクティブというという趣旨だと思います。

確かに「通信の秘密」については、「通信」についての積極的な知得が禁じられているので、それをアクティブと読んでいるのかもしれません。しかしながら、インターネットでは、通信を届けるのに対して、通信プロバイダは、誰から誰にという情報は、当然に知っています(まあ、ブロッキングの時は、それ自体が違法といっている変な報告書もありましたが)し、それについて、通信の秩序違反の疑いがあれば、プロバイダは、積極的に、その状況を調査することが可能になるという解釈は、容易だと思われます。(ただし、総務省の消費者行政2課の問題はあるけど-2課と限定しました)。

では、政府が、そのような権限を有するか、ということですが、ここで政府というのは、何なのか?ということだと思います。法執行機関でしょうか。安全保障なので、自衛隊でしょうか。はたまた、情報機関でしょうか。

  • 法執行機関の捜査手法の拡張をいうのであれば、これは、ガバメントウエアや機器介入令状(英国風表現)の論点となります。
  • 自衛隊だとすると、武力攻撃事態のしきい値以下の治安出動とその際の活動の態様の論点なのでしょうか。
  • 情報機関の論点だとすると、それはそれでありだと思いますけど、それだけの才能を確保しているのでしょうか(あと、民主的なコントロールは、どうするの)

ということだろうと思います。図示するとこんな感じです。

 

 

ので、どの時点の論点を議論しているのか、議論すべきなのかを意識することをおすすめします。

このような概念の泥沼にはまらないためには、私の「アクティブサイバー防御をめぐる比較法的検討」(InfoCom Reiew 72号)を読まないといけません。(というか、調査を発注いただいてもOKです>関係者さま)

なお、ガバメントウエアについては、「リーガルマルウエアの法律問題」(InfoCom Reiew66号)があります。

有意義な定義を考える

定義として

民間主体において、自己または第三者に対するサイバーセキュリティの侵害行為がなされているのに対して、サイバーセキュリティ侵害行為の予防・抑止・防止・探知・証拠取得・再発防止のために、サイバーセキュリティの侵害的要素をなしうる行為

と定義しました。世界的には、

  • 「脅威および脆弱性についての発見、探知、分析、対応のための同調された、リアルタイムの作戦」という考え方(2011年に米国国防総省)
  • 「アクティブ防衛は、プロアクティブな防衛手段であって伝統的な受動的な防衛から攻撃までの、変移を把握する用語である」(The Center for Cyber and Homeland Security (CCHS)”Into the Gray Zone: Active Defense by the Private Sector against Cyber Threats

とされています。とにかく曖昧な概念です。

私の定義は、民間主体の行為にフォーカスしました。ただ、新聞の議論は、むしろ、政府がなしうることであるということで、その点についてフォーカスすべきことになります。

手法としては、私の論文ですと

  • アクセスによる調査行為
  • デバイススキャン・クローラー
  • ビーコン
  • ボットネットテイクダウン
  • シンクホール
  • ボットネット乗っ取り
  • ハックバック

について検討しています。

これらは、セキュリティの観点からいって、「侵害的要素をなしうる行為」であるので、それが、国が、「特定の機会」にあることを理由にして、当該セキュリティ侵害的要素をなしうるのか、というのが、「アクティブサイバー防御」という用語のメリットであると考えます。

(平時の問題について考えた場合に)

結局、行為については、それぞれ「セキュリティ的侵害行為」であったとしても、サイバー作戦実行者側に対して、その強制的な行為であると評価されるか、という問題があります。そもそも、作戦実行者に対して、強制的な効果がなければ、国際法的には、ホワイトですから、国内法的な実施者と実施規則の対処を考えればいいことになります。

ここで、強制的(coercive)要素をいれるのは、行為者のシステムに対して、そのような要素を持つ場合、そのような行為が、被害国にとっての介入禁止原則違反になりかねないからです。

上の手法について、表にして論じると

のようになります。

もし、犯罪捜査のための活動であれば、そのための仕組みの論点がありますし、准軍事的インテリジェンスというのであれば、それには、それの論点があります。この新聞記事は、あまりにも床屋談義過ぎます。床屋談義をもとに議論が進められるのであれば、それは、悲しいことですね。「苦手な言葉です」

関連記事

  1. アクティブサイバー防禦に関するSECCON2022の講演資料をア…

  2. 北朝鮮のサイバー攻撃、国連安保理も対象に 専門家パネル報告書

  3. NISTクラウドフォレンジックス法科学チャレンジ報告書(NIST…

  4. Cycon 2019 travel memo day1 (4)

  5. 米国の「連邦組織取引における電子署名の利用」(4)

  6. Ulbricht裁判と刑事的インテリジェンス

  7. CyCon 2019 travel memo day1 (3)

  8. サイバーセキュリティ経営ガイドライン v20をどう考えるか
PAGE TOP