「GCHQ:英国サイバー諜報局」で学ぶサイバーセキュリティの法と政策-夏休みの課題ドラマです

Star Channel EXなどの放送・配信で、「GCHQ:英国サイバー諜報局」(原題は、The Undeclared War(宣告なき戦争))が公開されています。でもって、全6エピソードを一気見して、いろいろとサイバーセキュリティを語る上で勉強になった点がありましたので、幾つか、ふれたいと思います。(警告 ネタバレを含む)

いろいろなメディアで、サイバー手段を使った攻撃的な手法の採用がどうの、という趣旨の議論がなされていますが、最低でも、このドラマをきちんとみて、以下の知識を備えないで、その種の議論をなすことはできないだろうなあと思います。個々のエピソードについては、こちらです(たとえば、エピソード1)。

サイバーセキュリティの法と政策(Law and Policy)の分野で興味深かった点としては、個人的には、1 offensive cyberの採用をめぐるCOBRAでの議論 2 ロシアの反射統制 3 国家サイバー部隊の活動(具体的な作戦行動における作戦の自動化処理)になります。以下、触れていきます。

1 offensive cyberの採用をめぐるCOBRAでの議論

エピソード1では、英国中のインターネットがダウンする緊急事態が発生して、Whitehall(官庁街)にある内閣府ブリィーフィングルームで、対策が話されるシーンがでてきました。ちなみにCOBRは内閣府ブリーフィングルーム(Cabinet Office Briefing Rooms)の略称になります。でもって、部屋は、A B Cなどと名称がついていて、一番大きいのが、Aなので、CPBRAと呼ばれることになります。

COBRの説明は、こちらです。

COBRの目的は、自然災害、テロ攻撃、大規模な産業事故や混乱など、大規模または壊滅的な緊急事態が発生した場合のハイレベルな調整と意思決定である。緊急事態によっては、最も密接に関係する役人や機関が、すでに緊急の意思決定の多くを処理している。たとえば、テロ攻撃の場合は、救急隊や治安サービスがすでに対応しているだろうし、洪水やその他の自然災害の場合は、環境庁、地方自治体、救急隊が当面の行動を調整することになる。

2004年に制定された民間非常事態法では、さまざまな種類の非常事態について、地方、国、政府機関、省庁レベルでの責任を定めている。

だそうです。首相役は、Adrian Lester(華麗なるペテン師たち-Hustleです)。

実際の写真はこちら(wikipediaより使用可能な唯一の写真だそうです)。

エピソード2では、このCOBRAで、ロシアに対する「サイバーレスポンス」についての議論がなされました。ちょっと、英語と訳を書き出します。

英語 字幕
首相 Options of offensive cyber response? 措置の案を聞こう
David Neal With respect Prime Minister,Can I say GCHQ opposes the use of OCR(?) in the situation of this kind. 恐れながら、GCHQとしましては、この状況での攻撃には賛成しかねます
首相 Why ? なぜだ
Elizabeth Kahn The cause of role of Unintended consequences. We close down part of Russian Electlicity grid and it turned out that (?) raise Hospitals… ,patient dying… 意図せざる結果を恐れてです。電力供給もうへの攻撃で病院に被害が出れば-
David Neal Offensive cyber is an attack pf a country in any other domain of conflict. very very dangerous With respect, we are proving here. サイバーといえど、国への攻撃には、変わりなく-大変危険です。現にわれわれがそうでしょう。

(以下略)

ということで、緊急事態において、首相が、攻撃的なサイバー対応の案は、ないのか、という質問をしているわけです。

ここで、まず、イギリス英語の文脈では、アクティブサイバーディフェンスではなくて、offensive cyberという用語が使われていることに注意が必要です。近頃の国家安全保障戦略以降のにわかの人には、攻撃国に対して、具体的に、種々の結果をもたらすことをアクティブサイバーディフェンスという人まで出てきているので、これは、誤用もしくは日本方言です、ということは留意しておくべきだと思います。

あと、首相が、具体的に対応策の提案を求め、それについての適法性の検討(具体的には、エスカレーション評価など)がなされているのは、非常に興味深かったです。

プーチンの車を乗っ取ることや専用機の墜落などが、具体的な策として提示されているのは、面白いです。グラブセットというフェークニュース工場のシャットダウンをエクスプロイトから、作成してシャットダウンするようになりますが、結局、21時間しかダウンできなかったというストーリーになります。

2 ロシアのハイブリッド戦略-反射統制

エピソード3「若きロシアのスパイ」では、ロシアの戦略の講習のシーンがでてきます。そこでは、

第1段階では、敵国の能力と意思を弱め、体制と指導者の信用を失墜させます。その手段は、諜報活動 暗殺、SNS での情報操作 サイバー攻撃 フェイク映像 目的は、国民の幻滅 混乱 情報不安を招くこと これにより開戦宣言するころには、既に敵国の防衛能力は、著しく低下しています つまり我々が優勢です

第2段階では、敵国の戦略的状況を誘導していきます 同盟国との関係が一つ一つ損なわれていけば、敵国は見方がいなくなり孤立します そうなれば我々が攻撃するのは、一国だけでいい その戦術を説明します。 敵国の行動を我が国の有利な方へ導いていく それが「反射統制」(Reflexive Control)という戦術です。

我々の最終目標は敵国の完全降伏です。その目標から逆算して敵国の現況を操作する 情報国選により敵国は選択肢がひとつしかない状況に追い込まれる 情報国産により敵国は選択を迫られるたびに 自らの意志で決定していると思う  しかし実際はロシアの意思です 自由など幻想にすぎない 敵国が歩む道はわれわれが敷いているのです

ということで、ここで、「反射統制」(Reflexive Control)という用語がでてきています。ロシアにとっての「認知領域の戦い」-—「反射制御」理論の誕生とその展開 — 人事教育局人材育成課 防衛部員 長沼 加寿巳 の論文もあります。

個人的には、「反射統制」の理論については、勉強したことはなかったので、非常に勉強になりました。

3 Offensive Cyberの実施

個人的に、オフォンシブサイバーといっても、技術的なものは、サイバーフォースがどれだけできるのだろう、実際に、オフェンシブな作戦活動はどうするのだろうという疑問をもっていました。これを解決してくれたのが、このエピソード6「静かなる開戦」です。(上の写真は、エピソート6の画面より)

ちなみに、具体的なオペレーションをする会議の前に

2018年に法務長官が演説でレッドラインを明確に示した サイバー空間を通じた選挙への介入(原文はUse of cyber to manipulate electroral system )は、「内政干渉に当たる(intervention of domestic affairs) affairs)」

として何もしなければ、戦車が、ロンドンを走るのを認めるものだという説明をしています。この2018年のスピーチは、何回か、ブログでも触れたのですが、ここです。  シュミット先生の反論は、こちら。

ちなみにブレイヴァーマンQC法務長官のチャタムハウスでの講演はこちら。 

このディスカッションのあと、「軍が指揮をとる」ということになります。このArmyは、NCFということになります。NCFについては、こちらのブログ(ハックのライセンス-英国サイバーフォース「実践-責任あるサイバーパワー」の公表)。それで、上のシーンにつながります。ユニフォームが、GCHQ にやってきて、実際のオペレーションをします。セリフとしては

国家サイバー部隊と共にロシアの軍需産業を今日中に叩いてもらえるか?

となります。(しかし,字幕は、パーフェクトですね。プロの仕事)

法理論的には、上の段階では、内政干渉禁止原則違反の国際的違法行為の段階なので、まだ、武力攻撃のレベルにはいたっていないというのが首相の認識のはずです。なので、そのレベルでの「Armyの出動」になります。国際法的には、マイナーな自衛権で正当化される問題になりますが、国連の国家責任法案には、記載のない部分になります。また、この場合、日本だと国内法の整備が必要になります。緊急事態だということになると、警察官職務執行法の例によるという議論になるかと思いますが、それだとしてもサイバー的な方法についての議論はありませんし、また、果たしてそのような方式がいいのかということになります。

実際のオペレーションのシーンになります。

脇でみてればいい(私たちがボタンを押すわ)  戦犯扱いされないためにね (そうしないとハーグの戦争規定が適用されるわよ?)(You stand aside We press the button. Otherwise you are covered by the rule of war by (?)Hague )

となります。(ちょっと聞き取れないところがありました、ごめんなさい)

ハーグ陸戦規則だと

  1. 部下について責任を負う1人の者が指揮していること。
  2. 遠方から認識することができる固着の特殊標章を有すること。
  3. 武器を公然と携行していること。
  4. 戦争の法規及び慣例に従って行動していること。

が戦闘員の要件となり、ジュネーブ諸条約第Ⅰ追加議定書では、

第四十三条 軍隊
1 紛争当事者の軍隊は、部下の行動について当該紛争当事者に対して責任を負う司令部の下にある組織され及び武装したすべての兵力、集団及び部隊から成る(当該紛争当事者を代表する政府又は当局が敵対する紛争当事者によって承認されているか否かを問わない。)。このような軍隊は、内部規律に関する制度、特に武力紛争の際に適用される国際法の諸規則を遵守させる内部規律に関する制度に従う。
2 紛争当事者の軍隊の構成員(第三条約第三十三条に規定する衛生要員及び宗教要員を除く。)は、戦闘員であり、すなわち、敵対行為に直接参加する権利を有する。

(略)

第四十四条 戦闘員及び捕虜
1 前条に規定する戦闘員であって敵対する紛争当事者の権力内に陥ったものは、捕虜とする。
2 すべての戦闘員は、武力紛争の際に適用される国際法の諸規則を遵守する義務を負うが、これらの諸規則の違反は、3及び4に規定する場合を除くほか、戦闘員である権利又は敵対する紛争当事者の権力内に陥った場合に捕虜となる権利を戦闘員から奪うものではない。
3 戦闘員は、文民たる住民を敵対行為の影響から保護することを促進するため、攻撃又は攻撃の準備のための軍事行動を行っている間、自己と文民たる住民とを区別する義務を負う。もっとも、武装した戦闘員は、武力紛争において敵対行為の性質のため自己と文民たる住民とを区別することができない状況があると認められるので、当該状況において次に規定する間武器を公然と携行することを条件として、戦闘員としての地位を保持する。
(a)交戦の間
(b)自己が参加する攻撃に先立つ軍事展開中に敵に目撃されている間
この3に定める条件に合致する行為は、第三十七条1(c)に規定する背信行為とは認められない。

というさだめがあります。

でもって、戦闘員が、コントロール+E ボタンを押して、オフェンシブサイバーが自動的に展開されるシーンになります。

そうすると、問題は、この自動的に展開される攻撃オペレーションが、標的に対して、十分なものか、また、コラテラルダメージをもたらさないのか、それらをどうやって、国としては、確保するのか、という問題になります。これられは、LAWS(Lethal Autonomous Weapons System)で議論される論点でもあります。

4 ボトムライン

ということで、サイバーセキュリティの法と政策に関して、スピーカーをする立場のある私の立場からしても、このドラマは、専門的な検証がよくなされていること、法についてのコメントもきわめて正確であることがいえるかと思います。当然、エンターテイメントとしても一級品です。

「ハックバックで、相手の抑止」とかいっている政治家の方々には、サイバーセキュリティの本当の論点を感じ取ってもらうには、最適な教材ということなのであろうと思います。

この番組のイッキ見は、セキュリティ業界関係者の夏休みの課題

ということでいいだろうと思います。

 

 

 

 

関連記事

  1. NFT電子印鑑は、「信頼できる電子署名」(UNCITRAL)であ…
  2. なぜアップルは、メンバーではないのか-政府による「適法なアクセス…
  3. パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべき…
  4. 脅威情報共有のプラットフォーム(5)-MISPとNIS指令
  5. 経済安保のマトリョーシカ-政策・特定重要物資・特定重要技術をめぐ…
  6. アクティブサイバー防禦に関するSECCON2022の講演資料をア…
  7. 「個人データの取引」が「公正かつ自由」であること-G7 データ保…
  8. 「自民、サイバー捜査の強化提言へ ウイルス活用も」などの記事
PAGE TOP