EUにおけるアクティブサイバー防御の概念と是非の質問の無意味さ

2月12日には、SECCONでお話をしますので、その案内については、「2月12日のSECCON2022 電脳会議で「「国家安全保障戦略」の能動的サイバー防御の法的含意」(Legal Implications of “Active Cyber Defense of National Security Strategy”)の講演をします。」であげています。そこで、「国家安全保障戦略」で上げられている「アクティブサイバー防御」という概念について詳しく見ていく予定です。

これについては、

でみていっているところです。

なお、私のブログでいうと、「国家安全保障戦略」については、

でふれています。

でもって、きちんとした整理がなされていない「アクティブサイバー防御」という概念をきちんと定義をするために比較法的な検討をなすことは有意義であるように思えます。このような関心からろんじているものに「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について―があります。

でもって、SECCONにむけて、自分の考えをまとめるためにEU的なアプローチからまとめてある論文を見てみたいなあと考えています。これについては、「EUと責任あるアクティブサイバー防御(The EU )」という論文があるので、それを参考にみていきたいと思います(Kuehn論文ともいいます)。著者は、Dr Andreas Kuehnになります。

1 Kuehn論文

Kuen論文では、EMOTETに対する対応の例を上げたり、また、NIS2指令の議論の際に議論されたことが紹介されています。同論文では、この概念について「濁り(Murky matter)」としてろんじています。

そこでは、いわゆるハックバックをとりあげて、これは、ひとつの手法であり、もっとも侵略的な手法であるとしています。また、同論文は、ボットネットのテイクダウンや悪意あるソフトウエアの除去などを具体的な手法としてあげています。

懸念される運用としては、2021年のEmotetのテイクダウンのようなボットネットの停止や、同年のHafnium対策のような事前通告なしに多数の個人所有のコンピュータの悪意あるソフトウェアの削除やセキュリティ脆弱性へのパッチ適用などがある。懸念される点としては、市民の権利の侵害、法執行機関によるACDOの乱用、無実の第三者のITシステムの混乱や地政学的紛争の激化など、ACDOの失敗による意図しない影響や有害な結果の可能性などが挙げられます。

このうえで、Kuehnは、アクティブサイバー防御を

しかし、他者が運営・管理するインフラに対する先制攻撃的なサイバー作戦には及びません。この間には、さまざまな技術的手段があります。侵入が少なくリスクが低いものには、カナリートークン、ハニートラップ、防御側のコンピュータシステムにおけるトラフィックのリダイレクトなどがあります。一方、より高いリスクを伴うものとしては、ビーコンや善意のワイパーソフトウェアがあり、攻撃者のネットワーク上で起動すると、防御側に「サイバーセフト」の事実を知らせ、コピーされたデータを消去する機能(例えば、第三者による収集を防ぐため)が提供される。

とします。この論文で引用されていたアクティブ・サイバー・ディフェンス:万能薬か蛇足か?(Active Cyber Defense: panacea or snake oil?)という論文では

積極的サイバー防衛とは、特定の進行中の悪意あるサイバー操作やキャンペーンを技術的に無力化し、その影響を緩和し、かつ/または技術的に帰属させることを目的として、個々の国家によって、または集団で、政府機関によって実施または義務付けられた一つまたは複数の技術的措置と著者は理解しています。

と定義付けがなされており、具体的には、HAFNIUM(ハフニウム)に対するFBIのweb shellの除去の例があがっています。これの記事は、

Microsoft Exchange ServerのハッキングでFBIに「ハッキングされたアメリカ全土のコンピューターにアクセスすること」が認められる

という記事で記載されています。

Kuehn論文は、Stiftung Neue Verantwortungの Dr. Sven Herpigの”Active Cyber Defense Operations. Assessment and Safeguards” という論文(2021年11月)(以下、SNV論文といいます)をベースラインにすることを論じています。そこで、このHerpig論文を詳しくみていきます。

でもって、このHerpig論文を紹介したあとに、Kuen論文は、

EUがACDOを採用するかどうかは、その定義の範囲に左右されると思われる。

といいます。その上で

  • 責任ある能動的サイバー防衛活動のための枠組みが必要(ACDOの実施、使用、監視に関して、十分な情報を得た上で責任ある決定を下すための原則、評価基準、セーフガード)
  • 関心を持つ加盟国およびEU機関の政府代表からなるワーキンググループを結成し、民間企業、学界、市民社会からの専門家の助言を受ける必要がある

としています。

2 Herpig論文

この論文のエグゼクティブサマリーは


政策世界では、長年にわたり積極的なサイバー防衛について議論されてきた。しかし、これらの議論の多くは、国際レベルでも国内レベルでも結論が出されていない。積極的サイバー防衛-悪意のあるサイバー作戦やキャンペーンを軽減し、無力化し、帰属させるための技術的措置の実施-は、その固有のリスクゆえに、この徹底的な分析を必要とする。

ある措置の実施が既存の法的枠組みによってカバーされているかどうかは、確かに良い出発点である。しかし、既存の法的枠組みが、積極的なサイバー防衛のような新しい分野に適用されることは、その枠組みが設計されていない場合である。特に、専門的な法的枠組みがない場合、違法でない可能性があるものはすべて追求されるべきではない。では、積極的なサイバー防衛策を実施すべきかどうか、どのように判断すればよいのだろうか。

アクティブ・サイバーディフェンスの定義は広範であり、その定義に該当する技術的な対策も様々である。網羅的な対策リストを作成し、どれが有効でどれが無効かを判断することは、無駄な作業に思える。そこで、本稿では、対策を講じるべきかどうかを評価するための全体的な枠組みを提案する。このフレームワークには、以下の基準が含まれる。

  •  目標と成功(目的)
  • 効果の種類、空間、対象(効果)
  • 政府の主導機関と関係者の協力性(アクター)
  • 帰属と時間(タイミング)
  • エスカレーション、自動化、頻度、コスト、付随する結果(オペレーション)

個々の対策の評価に加えて、すべてのアクティブなサイバー防御対策に適用されるセーフガードを確立することによって、リスクをさらに軽減する必要がある。実施すべきセーフガードは以下の通りである。

  •  範囲の定義と制限
  • 透明性、監督、影響評価を含む国内法的枠組みの確立
  • ツールやサービスに関するガイドラインの設定
  • 国際法の適用
  • 公共の利益の考慮
  • 信頼醸成措置の適応

積極的なサイバー防衛に関する政策談話を前進させることは重要である。しかし、国内および国際的なサイバーセキュリティは、常にITセキュリティとレジリエンスの向上に依存するものである。アクティブ・サイバー・ディフェンスは、時としてITセキュリティとレジリエンスを補完することはできても、決して代替することはできない。評価フレームワークとセーフガードは、悪意のあるサイバー作戦やキャンペーンから国家を守るためのギャップを埋めるために、積極的なサイバー防衛活動が必要とされる場合、それが善よりも害をもたらすことなく行われることを保証するものである。


としています。政策論のアプローチでもって「アクティブサイバーディフェンス」の概念(ACDといいます)を論じようというもののようです。内容を読んでいきたいと思います。

具体的な報告書は、1 序、2 定義、3 クライテリア、4 セーフガード、5適用、6 推奨にわけて記載されています。

2.1 序

ここでは、ACDがコンセンサスなく議論されてきたこと、このHerpig論文では、政府のおこなう行為に焦点をあてること、枠組を提案すること、が述べられています。

その上で、以下のつの「学派」( “schools of thought”)があるとしています。

  1. 受動的な防衛手段だけでは不十分であり、戦略的環境の構造的特徴に基づく攻撃的な手段が必要であると主張する人々
  2. 基本的な防衛手段のほとんどが実際には各部門で実施されておらず、実施されていれば十分であると主張する人々
  3. 積極的なサイバー防衛を、政府が攻撃的サイバー活動を正当化するために用いるまた別の婉曲表現と見なし、ややあざとく「バックハッカー」と称する人々。

同論文は、高度に侵入的なサイバー作戦を許容するか、現状の制約を維持するかという誤った二元論に陥っているとして、多様な手段のスペクトラムであることを否定しているとします。そして、さらに、国際的(法的)側面、潜在的な波及効果、技術的帰属の課題をもカバーしていないことも指摘しています。

Healey, Jenkins and Work は、

政策コミュニティと、有線通信で日々戦っている事業者や研究者との間に断絶があるため、多くの場合、両側の善意の思想家が、運用の概念、望ましい最終状態、認識されている欠点について議論する際に、事実上互いを無視して話してきた

と結論付けています 。

ACDの概念のもとに考察されるべきものが、何であるのか、というコンセンサスがないままに議論されており、それがさらに議論を複雑にしているとします。同論文ではそのような懸念の上に

特定の継続的な悪意のあるサイバー作戦またはキャンペーンを、無力化し、またはその影響を緩和し、または技術的に帰属させることを目的として、個々の国家によって、または政府機関によって、集団的に実施または義務づけられた一つまたは複数の技術的措置。

と定義して議論を進めることとしています。この課題に対する対応を進めることが、フリーサイズの解決によるも、むしろ、ニュアンスの評価となるとしています。同論文では、このような観念のもとで、2021年におきたHafnium group によるProxyLogonの悪用に対するFBIの作戦であり、いまひとつは、ドイツの刑事局によるEmotetのテイクダウンの作戦をACDを代表的なものとして紹介しています。これらの作戦は、双方ともにせいこうしたものと評価されていますが、アメリカとドイツの法的な枠組のもとでそれぞれの意味が異なることが論じられてもいます。

2.2 定義

ここでばまず、最初にジョージワシントン大学の論文Center for Cyber and Homeland Security (2016), Into the Gray Zone – The Private Sector and Active Defense Against Cyber Threats, The George Washington University の定義を引用しています。この定義は、「「アクティブサイバー防御をめぐる比較法的検討」InfoCom review」でも紹介しています。

しかしながら、共通の定義は、存在しないこと、類似の概念である前方防衛、破壊的カウンターサイバー作戦、プロアクティブ防衛などが紹介されています。引用されている論文は、以下の感じです

Herpig論文の定義が上のようなものであることは触れました。この定義は、

  1. 戦略的に防衛であること
  2. 特定の悪意あるサイバー作戦/キャンペーンに対する対応と一般的に考えられていること
  3. それ自体としては、IT セキュリティを向上させるものではないこと

という特徴を有するとされています。また、集団的アクティブサイバー防衛としても考えられていることが触れられています。また、法執行・情報作戦、軍事作戦同様のものと考えられるとされています。

Herpig論文で、具体的な作戦の例が上げられています(13頁)。

  • インターネットサービスプロバイダ(ISP)に対して、悪意のあるトラフィックの遮断や迂回を義務付ける
  •  ISPに対して、侵害された顧客システムをwalled garden/サンドボックスに閉じ込め、システムのクリーンアップやパッチの適用方法に関する情報を表示することを義務付ける。
  •  ボットネットなど、悪意のあるサイバーキャンペーンで使用されるコマンド&コントロールインフラを乗っ取るためのシンクホールを設置すること
  •  コピーして実行すると、現在位置を知らせたり、ターゲットに対して他の行動を起こすビーコンを自社の周辺に配備すること(ハニーポットの一部として)。
  •  ISP が提供するデバイス以外のソフトウェアやハードウェアのアップデートや通知を顧客に配信することを ISP に義務付けること
  •  悪意のあるサイバーキャンペーンで使用されるコマンド&コントロールインフラを乗っ取り、被害者のシステム上のマルウェアをアンインストール または無効化し、あるいはパッチを展開すること
  •  犯人の活動を監視したり技術的にサイバーキャンペーンを行ったりその活動を阻害するために脆弱性を利用しマルウェアを展開し て ITインフラを侵害すること
  • 悪意のないサイバーキャンペーンを行うために脆弱性を利用し、犯人の活動を阻害し技術的に属性づけること

また、この概念にはいらないものとしては

  • ファイアウォール、マルウェア検知ソフトウェア、侵入検知システム及び類似のソフトウェアの導入
  •  セキュリティベンダーと侵害の指標やその他のデータを共有し、製品の調整や再構成を行うこと
  •  悪質なサイバー操作やキャンペーンに関する情報を収集するためにハニーポットを設置または設置を義務付けること
  •  情報操作を妨害するためにITインフラを侵害すること(例:「GLOWING SYMPHONY作戦」)。

が上げられています。このような考察をもとに、Herpig論文は、

このような(概念の)広範さは、積極的なサイバー防衛それ自体を認めるか認めないかという二項対立の議論を防ぐために意図的に設けられたものである。個々の対策に伴うリスクと機会を評価するための共通のフレームワークを提示するためである。しかし、議論の焦点となるのは、悪質な作戦やキャンペーンの背後にいるグループのITシステムの脆弱性を突いて、そのインフラを破壊するような活動であろう。

としています。

2.3 基準(クライテリア)

Herpig論文は、定義に従ってACDが認められるかどうかという議論は賢明ではないとしています。

同論文は、ACDの具体的な作戦によって、

(意図しない、またはサイバー物理的な、特に重要なインフラにおける)損害、基本的権利の侵害、主権の侵害、紛争の拡大、可能な成功に対するリスクを計算する場合、積極的なサイバー防衛に対する共通の測定は存在しない。

として、したがって、脆弱性衡平プロセス(VEPs) や政府開示決定プロセス(GDDPs)に関する議論を参考にして

誰が、誰に対して、どこで、どのような効果を、そしていつ、積極的なサイバー防衛活動を行うか

を含めて、特定の措置を行う前に評価すべきであるということになります。

積極的なサイバー防衛作戦を行う最終的な決定(およびそれが責任ある決定であるかどうか)は、実施されたセーフガードに従って評価された個々の基準にわたる要約された意味合いにかかっている。従って、積極的なサイバー防衛作戦の展開に関する決定は、常にケースバイケースで行われなけれ ばならない。

とされています。

そして、同論文は、以下で、以下のような図を展開して議論していきます。

<br /> <body></p> <p>このページで使用するフレームは、お使いのブラウザーではサポートされていません。</p> <p></body><br />

2.4 安全策

基準とその指標をみていますが、Herpig論文は、以下の要素をあげて、安全策としています。

  • 範囲を定義し、制限する
  • 国内法的枠組みの確立 (影響評価の義務付け、監視の実施、透明性と監査可能性を確保する)
  • ツールやサービスに関するガイドラインの策定
  • 国際法の適用
  • 公共の利益の考慮
  • 信頼醸成措置の適用

これらの各要素については、特に詳細に論じる必要はないものと考えます。個人的には、Herpig論文は、この点において限界が生じていると考えます。

当たり前ですが、法的な枠組は、このような再発見されるような安全策を必要とはしていません。国際法にしろ、国内法にしろ、歴史的な経験に基づいて、それぞれの利益に基づいて構築されている枠組があり、手続的な保障があります。

そうだとすると、3で上げられた各作戦について、それらが、国内法においてどのような位置づけになるのか、国際法においてどのような位置づけがなされるのか、そして、もし、法的なリスクについて、十分な対応がなされていないという分野があるのであれば、それはどこであるのか、その十分な対応がなされていないということはにによるのかを指摘することが足りるはずだと思っています。法的な許容性を論じるのに、他の分野の要素を取り入れる必要はないと考えられます。

2.5 具体例

Herpig論文では、Hafnium group によるProxyLogonの悪用に対するFBIの作戦とドイツの刑事局によるEmotetのテイクダウンの作戦を具体例としてあげています。

HAFNIUM(ハフニウム)に対するFBIのweb shellの除去の例がは、興味深い例になります。具体的には、

Microsoft Exchange ServerのハッキングでFBIに「ハッキングされたアメリカ全土のコンピューターにアクセスすること」が認められる

という記事で記載されています。これらの事件の分析については、省略します。

2.6推奨事項

Herpig論文では、

  • 法執行機関や国のサイバーセキュリティ機関によってブルースペースでできることに積極的なサイバー防衛作戦を集中させること
  • サイバー作戦やキャンペーンによる主権侵害の存在とデューディリジェンスの適用についてより多くの国の合意を得ること
  • オピニオ・ジュリスと国家の実践を通じて国際慣習法をさらに発展させること
  • サイバー作戦による主権侵害の分野の発展により、レッドスペースでの対策が可能となるが、デューディリジェンス義務の発展により、グリーンスペースやグレースペースにも範囲が拡大する可能性
  • Hafnium-ProxyLogonやEmotetボットネットのような悪質なサイバー作戦やキャンペーンを踏まえ、志を同じくする国々が積極的サイバー防衛作戦の共通理解に合意し、集団的積極的サイバー防衛に関する対話を進めるかどうかを検討すること
  • 共通のフレームワークや共同での能動的サイバー防御の演習も考えられること

が、推奨事件として上げられています。

3 ちょっとした感想

3.1 法律家としてのアプローチについて

いろいろな利益について、きわめて網羅的に考えられており、非常に参考になります。それとともに、上で論じたように法的には、それぞれの分野において、「もともとは」一定の安定した枠組が存在しているといえます。

それは、

  • 国内法であれば、法執行のための刑事訴訟法であり、防衛のための整備された法、情報機関の民主的な統制のための法的枠組に現れるわけ
  • 国際法であれば、武力行使禁止原則、対抗措置の枠組、自衛権の考え方

に表現されている、といえます。

しかしながら、これらの従来の枠組が、国際的な国家支援組織による情報通信による大規模なセキュリティ侵害等に対して、意識的に対応してはいなかった というのも事実でしょう。そうだとすると、

法律家としては、アクティブサイバー防御という用語を

国内法・国際法の従来の枠組において、その位置づけが比較的不明瞭な領域での活動

という形で、傘のような用語として、

それ自体の議論の領域決めの機能を放棄する

ほうが、実は機能的であるということがいえそうです。

分析の上に許容される活動を「アクティブサイバー防御」であると呼ぶか、というのは、結局は、議論の出発点ではなく、終着点である ということになります。

3.2 法律家はどう見るのか

でもって、法律家はどう見るのかという問題です。

これは、さらに国際法的な見方と国内法的な見方にわけて考えることができます。

3.2.1 国際法の観点

「アクティブサイバー防御」なので、防御すなわち、他国からの何らかの力の行使があることが前提です。もっともこれについては、どの段階で、防御のために自衛権が許容されるのかという問題も出てきます。この点については、で触れています。

それはさておき、防御のために、サイバー的な活動をします。これは、その活動が、どの国家組織が行うかで、法的には、法執行か、情報活動か、軍事的活動かにわかれます。それぞれ、国際法的な枠組が決まっています。

軍事的な活動を行う場合には、それが、サイバー的な手段だとしても、その枠組は、国連憲章51条の枠組になるので、不明確な要素はなく、ACDの枠内で論じる意味はあまりありません。

3.2.2 国内法の観点

「アクティブサイバー防御」については、他国からの何らかの力の行使があることが前提です。これに対して、法執行の問題もありますし、また、法執行機関の犯罪抑止活動、情報機関の准軍事的活動も論点になってきます。これらは、国家機関の活動であることから、適正手続や民主的コントロールの問題も起きます。

3.2.3 次元の狭間でおきる問題

次元がクロスオーバーするときに、問題が発生しがちなのは、SF映画を例にとるまでもないことです。これは、この話も同様です。

国内法で許容されるとしても上記の活動は、国際的な側面からみたときに、主権を侵害することはできないという原則があります。しかしながら、その活動が攻撃国がなしている場合には、その活動が主権を侵害ししても許容されるのではないか、ということもいえるわけです。このような問題は、具体的にどのようなオペレーションによって惹起されうるのか、それに対する有効なコントロールは、何なのか、という問題は、今後考えるべき問題といえるでしょう。

関連記事

  1. 国際法対サイバー規範-「サイバーセキュリティに関する国連オープン…
  2. GCSCスタビリティ報告書 分析8
  3. ワールド経済フォーラムの「サイバー犯罪防止-ISPの原則」(3)…
  4. ジョセフ・ナイ サイバーと倫理
  5. なぜ、経営者にとってサイバーセキュリティのマネジメントは難しいの…
  6. 通信の秘密の数奇な運命(国際的な側面)と「国力としての防衛力を総…
  7. GCSCスタビリティ報告書 分析5
  8. Cycon 2019 travel memo day1 (4)
PAGE TOP