Day 2です。Day1中に、スーツケースが届いたという連絡がこなかったので、結局、必要品を幾つか購入したのですが、領収書をもらうのを忘れてしまいました。(これは、痛かった。領収書は、必須です)
タリン空港からのメッセージにかいてあったスーツケースのトラッキングは、エラーがでるので、ポーランド航空に問い合わせしたところ、Day2の午前中にホテルに既に届けていますという連絡がありました。
それはさておき、復習を兼ねてメモしていきます。
1Jeff Foley, Siemens, Digital Industry 「サイバーセキュリティと重要インフラと防衛セクターの保全」(Cybersecurity and Securing your Critical Infrastructure and Defense Sector)
シーメンスのFoley氏の講演です。
最初は、サイバーセキュリティの風景です。サイバーセキュリティについてすべて知っているというのであれば、たぶん、誤った説明がなされているということからはじまります。脅威は、現実であり、増大しています。脆弱性は、増大しており、これは、攻撃サーフェスを増大させています。接続さた向上は、サイバー攻撃に対して、脆弱な設備です。コンプライアンスは、セキュリティと同義ではありません。標準や要求事項がいろいろと整備されています。
シーメンスは、すべてのビジネスにおいて中核技術を利用しています。チャーター・オブ・トラストは、安全で・サステナブルなデジタル社会のための共同のイニシアチブです。IEC62443-4-1 (産業用オートメーション及び制御システムのセキュリティ-第4-1部:安全な製品開発ライフサイクル要求事項)に基づいたTUV SUD認証を取得した最初の企業です。シーメンスは、ホワイトペーパーも出しています。そこで、縦深防御として、実際のシステムを構築しており、その要求事項としては、IEC62443に準拠しています。
これらのOT標準とリスクベースの枠組ををマッピングしていきます。実際のデータを活用するのに必要になるとしています。OTにおけるベストプラクティスは、スケーラビリティ・可用性・セキュリティが重視されるのには対して、ITは、柔軟性が重視されます。サイバーセキュリティのモデルとしては、従来Purdue Reference Modelが採用されていましたが、その後、リスクマネジメント枠組・サイバーセキュリティケイパビリティ成熟度モデル(C2M2)が採用されるにいたっています。また、OT標準としては、上記以外にも、NISTのSP800-82や同800-27(ゼロトラスト)、同サイバーセキュリティ枠組などがあります。NERC CIPとISA/IEC 62443やNIST枠組をマッピングすることができます。OTサイバーセキュリティは、旅です。基礎から初めて、基礎の上にプログラムを構築し、さらに常時改良を続けます。
アタックサーフェスについては、OTにおいては、非常に広範囲がアタックサーフェスになります。クラウド環境においても考慮する必要があります。また、産業AIを考える必要があります。ゼロトラストも話題です。NIST 800-207によれば、ユーザ、資産およびリソースに注目する用語であるとされています。
防衛セクターにおけるサイバーセキュリティでは、機械のスピードでの自動攻撃に対する対応が必要になることが触れられています。解決策としては、探知ツールの利用、標準的OT等技術の利用などがあります。Soar対応プロセスとして、探知、PARSE、LOcate、通知、検疫、論理的・分離的対応、リカバーがあります。
2 Amy Hogan-Burney「軍に対するアルゴリズム 如何にAIは、国家安全保障とサイバーディフェンスを形作るか 」(Keynote: Algorithms to Armies: How AI Shapes National Security and Cyber Defence)
Amy Hogan Burney (マイクロソフト)のプレゼンです。リンクは、こちらです。テーマとしては、サイバー攻撃一般、AIと防御についてです。
現在のサイバー攻撃は、膨大な数であり、まり、狡猾です。攻撃者を追跡すると、ろしあ、中国、レバノン、イラン、北朝鮮などです。特定できないものは、ストーム、ツナミ、フラッドなどと表現しています。国家による攻撃は、被害者、至るところにいます。ロシアは、サイバー作戦の範囲を路広げています。とくに、欧州で、戦争嫌悪の感情をかきたてようとしています。また、影響工作の脅威が次第に大きくなっています(選挙の年でもあります)。
また、明日のサイバー攻撃としては、Aiがあります。攻撃者は、新しい技術を利用しています。ロシアベースのストロンチウムを追いかけてきました。いまでは、攻撃者が、新しい技術としてAIを調査に活用しています。偵察・コード作成の支援・言語支援も、その項目です。防御側にもAIの利点はあります。防御側のほうが、より多くのデータを有しており、インフラも優れています。そして、イノベーションを行っています。インシデントの要約・インパクト分析・スクリプトのリバースエンジニアリング、対応の支援があります。AIツールは、攻撃者の識別・対応への利用、他のAIサービスプロバイダへの通知・他の利害関係者との協力、透明性のために利用が可能です。AIアクセスガイドを準備しています。また、マイクロソフトは、責任ある透明性報告をなしています。その報告書(日本語の紹介がでています)においては、ガバナンスアプローチを八千させていること、ツールを支援していること、33の透明性メモを作成していることなどがあげられています。
AI時代におけるサイバーれしてリエンスをどのように実際に測定するかということがあります。イノベーション・パートナー・アップスキルがあります。
従来よりもイノベーションを起こし協力していかないといけないのです。
3 Erick Thek・Robert Wortman,「CERTとCDCの効率を最大化する 理論と実務のギップを埋める」Keynote: Maximizing Efficiency in CERT and CDC: Bridging the Gap Between Theory and Practice)
標準と出現しつつある破壊的な技術について、データの標準化によって、自動化が可能になり、調査の結果を反復しうることになります。しかしながら、スマートシティ、スマートホスピタル、スマートハイウェイ、スマート向上などについての破壊的な技術か出現しており、それらは、あまりにも新しいために標準がありません。
スマート自動車についていえば、安全が重視されており、運転者に事故がおこりそうだとアラートを出してくれるし、地理的情報を利用します。「移動」についての見方がかわりつつあります。自動車についてのエンドポイントの課題があります。AIや機械学習の利用が、なぜ反復される課題を「容易に」するのでしょうか。漏えいデータについてみれば、何か含まれ、何を意味するのでしょうか。20000以上の自動車のククレデンシャルが、収集されており、VWクループやBMWについても、5000以上のクレデンシャルガ漏えいしている。さらに、ほとんどの自動車製造業者が特定されている。また、その自動車の所有者と電子メールを連携させることができる。すまーど自動車というのは、モバイル360環視プラットフォームになりうる。車輪のついたスマートフォーンとでもいうべきものの、データフローについては、標準がないし、デジタルでの出来事を追跡することが難しい、また、ユーザのインストールしたアプリをコントロールすることは難しいこと、自動車会社と仕事をすることは、苦痛なまでに動きが遅い。
4 Lieutenant General Michael Vetter, Federal Ministry of Defence, Germany
Vetter中将のスピーチです。ビデオは、こちらです。
技術によって紛争の様相が変わってきていること、将来の紛争は、データとそのデータの取扱によって代表されること、低コストの自律兵器、ドローン・ロボティックスなどが中心になるであろうこと、サイバーや宇宙の発展が、重要になることが最初に指摘されました。
サイバー攻撃について、 ロシアのウクライナ侵略のまえに実際にはじまっていたこと、また、重要インフラへの攻撃・情報作戦もおこなわれていたことが確認され、抑止力についてもあらたな観点を考える必要があるとされました。匿名性が、攻撃の手法とされました。ドイツでは、ロシアのビザに関してデモが発生した(2016)ことが紹介され、これは、ロシアの作戦であったことが紹介されています。
ハイブリッド攻撃に対する対応は、従来にない課題で、民主主義に対するアクティブな防衛が必要になる。デジタル主権と関連した自律性を考える必要があり、具体的には、
- 安全・セキュアなサプライチェーンを含む安全性/レジリエントな社会/データ中心の国家
- 国家レベルの統合/軍のドメインの統合/物理ドメイントサイバードメイン/同盟国との協力/能力の向上/レジリエントな仕組み/ハードウエアとソフトウエアの統合が重要になること
が強調されました。また、産業のパートナーに対する統合へのインセンティブを考える必要があるとしています。
さいごにマルチドメイン統合のためには、文化の移行が必要になるとされました。
結論としては、サイバー環境に対するストレスがあたらえられている状況であること、レジリエントでロバストな環境が整備されなければならないこと、統合的なセキュリティが重要であること、防衛のためには、タイムリースピードと対応能力が重要であることが、強調されました。
Q&Aでは、サプライチェーンのセキュリティの問題、量子コンピュータの場合の問題、軍のセキュリティと国の安全保障戦略との統合については政治的なリーダーシップが重要であること、ドイツにおける宇宙の重要性、ドイツのアトリビューションについてサイバーセキュリティセンターが情報収集をにない政治的な責任の分野であることなどの議論がなされました。
5 Compute to Compete: Cloud, AI, and Strategic Competition over Digital Infrastructure
Trey Herr氏のモデレートによる「競争への計算.デジタルインフラでのクラウド、AIそして戦略的競争」です。ビデオのリンクはこちらです。
国際的安全保障競争のなかで、コンピューティングを検討しようというものです。そのための質問としては、キートレンド、 紛争の実際、パワーの育成、平和の強化方法です。
キートレンドとしては、国際関係論からは、半導体やサプライチェーンが問題となっていること、AI・データの重要性(とくに2014年のアルファ碁からの発展)、国家のデータに対するコントロール、半導体の品不足(レジリエンスとの関係)などがあげられました。
技術的能力については、センシング能力・AI能力・人間とのかかわり方との議論、コンピュータ能力の向上は、競争での優位性を求めてなされていること、が触れられました。
紛争についていえば、圧倒的なデータに依拠していること、情報の優位性が重要であること、サイバーインフラ・データインフラが重要であること、バランスをどのように維持するか、デルタ(状況意識プラットフォーム)によって利用しうること、プラットフォームが利用できること・アクセスしうること・そのようなプラットフォームがサイバーセキュリティの要素になること、が議論されました。
コンピュータシステムが中央システムから、分散システムに変更されていることから、さらに国家の安全保障のプロセスか関係者と密接に関連するようになったこと、関係する民間のみならず、イノベンーションとも関連していること、複雑さ・可用性・アクセス可能性の観点からとらえることができ/それらが非常に変わってきているること、80年代90年代の議論が再び注目すべきことが議論されました。
国家が、「パワー」を育てるためにすべきことをセキュリティの枠組で考えるということについては、サプライチェーンセキュリティの観点、防衛技術の強化、データフローへの焦点、セキュリアソフトの開発を考えると、サイバーレジリエンス法があること、コンピュータのエコスシテムをあげることができること、サプライチェーンは、不十分で、最大の弱点になりうること、民間企業の役割の重要性、EU Chips法(輸出規制・輸出の認可制・優先オーダー)などについて議論されました。
ロシアのウクライナ侵略については、民間部門の果たしている意味、データのクラウドへの移転、クラウド自体が、イネーブラーとしての役割を果たしたこと、AIが広範囲に利用されたこと、宇宙の利用が重要であること、などが議論されました。
6 宇宙における平和の維持(Keeping Peace in Outer Space (Law))
午後からは、Dr Giulia Pavesi( Researcher at Leuven Centre for Global Governance Studies, Netherlands)のモデレートによる「宇宙における平和の維持」です。ビデオは、こちらです。
6.1 Anna Blechová「スペースデブリを宇宙兵器に(From Space Debris to Space Weapony)」
「サイバー対衛星兵器(ASATS)は、適法とされる可能性がある」というのがテーマです。
宇宙は、平和領域と認識されていました。それにもかかわらず、紛争領域となっています。宇宙についてのNATOのポリシーがあります。中国は、対衛星ミサイルが報道されています。また、ロシアは、宇宙での軍拡競争をやめようとする提案に拒否権を行使しました。宇宙の経済効果はWEFが報告をしています。
重要なのが、ケスラーシンドロームです。スペースデブリと国際法については、デブリは、宇宙物体ではないこと、国際人道法か宇宙に適用されうるのか、という質問については、行程されます。また、一般的な国際法を停止させるものではなく、補完するものです。この観点から、宇宙条約9条(他国の利益に妥当な考慮を払う義務)の汚染の禁止・対応責任の規定が適用されると考えられます。それ自体、さけられないものであり、低領域の脅威です。
追加議定書の36条1項が適用されてり、環境への影響をかんがえる必要があり、宇宙条約9条違反の可能性があるということなります。サイバー対衛星兵器は、それ自体、適法とされるのに比較して、物理的対衛星兵器は、違法と考えられること、があげられます。
6.2 Dr Chris O’Meara「対衛星兵器と自衛権 法と限界」(Anti-Satellite Weapons and self defence Law and Limitations)
次は、クリス・オメアラ(エクスタ大学上級講師)です。「対衛星兵器と自衛権 法と限界」というタイトルです。ロシアの対衛星兵器(ASAT)の試験が、宇宙デブリを増加させているということがいわれています。ASATは、
- キネティック対衛星兵器
- 非ネネティック対衛星兵器
- 電子的対衛星兵器
- サイバー攻撃
に分けられます。これに対しては、宇宙条約・月協定・さらに一般的な国際法として国連憲章2条4項・51条(武力攻撃の禁止)があげられます。国際法は、兵器の規制、武力紛争法・ユス・アド・ベルムの機会があります。ユス・アド・ベルム(武力行使の禁止と自衛権の定め)については、こちら(ユス・アド・ベルム)の記事です。
自衛権については、Chris O’Meara講師が、オックスフォード出版から「国際法における必要性と比例原則と自衛権」という本を出版しています。必要性・比例原則の具体的な内容については、ユス・アド・ベルムの内容になるので省略します。宇宙に関連すると、攻撃者との関連・衛生は、保有者なのか、運営者なのか、利用者なのか、という問題があります。また、軍事のみの利用なのか]両用の問題)、という問題もあります。
これらの関係で、NATOの宇宙ポリシー(リンク) 、国連の総会決議(75/36) 、同(77/41) が紹介されています。民間への損害 第三者の権利・利益の問題がユス・アド・ベルムとの関係で問題になるとされています。
6.3 Deborah Housen-Couriel「宇宙活動および物体のサイバーセキュリティ 戦略的な法的含意」(Cybersecurity of Outer Space Activities and Objects : Some Strategic Legal Implications)
Deborah Housen8(Couriel, Chief Legal Officer and VP Regulation for Konfidas Digital Ltd., Advisory Board for the Federmann Cyber Security Research Center)の「宇宙活動および物体のサイバーセキュリティ 戦略的な法的含意」のプレゼンです。
宇宙は、サイバーと離れては存在しないこと、宇宙システムに対するハックは、決して新しいものではないこと、が紹介されました。衛星のライフスパンで考えたときに、サイバーの脆弱性がどんどん拡大することが指摘されました。宇宙物体・設備において取り扱われる機微なデータを標的とするサイバー攻撃(具体的には、衛星・地上のビデオの妨害・破壊、PNTサービスへのサイバー攻撃、データ保存システムへの攻撃など)は、国際的違法行為や責任を発生させます。
宇宙の安全保障とサイバーセキュリティの比較(国家実行・平和利用・責任・標準など)・重なりがあります。また、宇宙法のヒエラルキーを考えることができます。条約や国家実行の上に宣言(インテルサットやインマルサット・OSCEやPARIS CALLなど)があり、その上に国内法がある問を構造も同一です。
宇宙においては、宇宙の脅威を減少させるOEWGが開催されており、合意には、いたらなかったものの幾つかの動きがあることが説明されました。特に
- 2022年12月14日のEU指令(2022/2555)の附属文章1の(11)
- NISTのIR 8270 4の商用衛星運用のためのサイバーセキュリティ
が注目すべきものとしています。
6.3 Dr Stefano Mele 「宇宙とEUサイバーセキュリティ法」(Space and EU Cyber security Laws)
前から調査等をご一緒させていただいたメレ弁護士(Gianni & Origoni パートナー)からは「宇宙とEUサイバーセキュリティ法」の話です。
宇宙は、標的になるのは、重要インフラであること、失敗の中央ポイントになること、システムの陳腐化、機微な知的財産へのアクセスができること、が理由になります。実例としては、VIASATの事案(2022)( 私のブログでの分析はこちら)があげられます。
これに対応するものとしては、5つ(リスク・アセスメント、インシデントの情報共有、重要インフラ防護、サプライチェーン、当局による監査)の柱があります。欧州の法律としては、
- NIS2指令
- サイバーレジリエンス法
- NIS指令
- GDPR
が根拠になります。ENISA の報告書(出現しつつあるサイバーセキュリティ脅威の特定と2030年への課題))においては、宇宙関連のインフラ・物体についての分析がかけています。これらの法律は、十分でしょうか、と質問が投げかけられます。しかしながら、十分ではないと考えられます。欧州宇宙庁(ESA)なども今後にむけて、努力していかないといけないという指摘がなされています。
7 現代紛争におけるデータの不正使用に対する安全策「 Safeguarding Against Data Misuses in Modern Conflicts」
Day2の最後のセッションは、現代紛争におけるデータの不正使用に対する安全策(Safeguarding Against Data Misuses in Modern Conflicts (Law))です。ビデオは、こちら。
7.1 Tatjana Grote 「アフターライフにおける考察-軍によって収集された個人データの保持と利用の占領後のルール」(Reflections on the Afterlife)
タチアナ・グローテさん(エセックス大学)の「アフターライフにおける考察-軍によって収集された個人データの保持と利用の占領後のルール」です。論文集にも、詳細な検討がなされた論考が収録されています。
軍事的支配と個人データについていうと、外国領土において、軍事的支配を維持するのに個人データは、利用され、特にバイオメトリックデータが利用されることが、触れられています。この具体例として、米国は、アフガニンスンの戦闘において、個人データ、特にバイオメトリックデータを収集したところ、その携帯省庁間アイデンティティ探知機器(HIDE)をおいて撤退したということがありました。タリバンは、これにアクセスをなし得て、報復の危険があります。他国に対する軍事的支配において、個人データは、重要な役割を果たします。特にバイオメトリックデータは、そうです。これらは、重要な外を惹起しうるものですが、現在の講学上においては、ギャップが存在しています。
占領後において、国際人道法の適用はあるのか、という問題があります。伝統的な見解においては、領土・国家官庁の効果的なコントロールは、物理的な近接性が、必要とされるので、占領後の適用は否定されます。しかしながら、新しいアプローチは、機能的アプローチにおいては、適用が肯定されますし、Wieder and Guamieri v UK事件においては、占領データが、国家領域においてとリア塚ョ割れる限りにおいて適用が肯定されます。占領後の国際人道法の適用は、解決していないとされます。
ハーグ陸戦条約42条は、
一地方が事実上敵軍の権力内に帰したときは占領されたものとする。
では、データをもとにしたコントロールが、事実上のコントロール(effective control)に該当するのかということを論じます。一般的には、個人テータへのコントロールのみでは十分ではないとされます。ジュネーブ条約第2追加議定書4条(1)は、基本的な保障を定めています。これについて個人データのコントロールが、交戦当事者の手中にあるか、という問題になります。これについては、一般的に否定されています。
しかしながら、義務ごとに機能的に、適用されるものを考えるべきではないか、ということが提案されています。
7.2 Anastasia Roberts 「デジタル戦闘地域における軍事心理作戦-法的枠組の実際の適用」(Military Psychological Operations in the Dugutal Battlespace A Practicial Application of the Legal Framework)
Anastasia Roberts 「デジタル戦闘地域における軍事心理作戦-法的枠組の実際の適用」です。NATOの心理作戦の定義からはじまります。
政治的・軍事的目的の実現に影響をあたえながら、認知・態度・行動に影響を与えるために、認められた聴衆に向けられた通信やその他の手段を利用する計画された行動
と定義されています。そのうえで、目的として
- 民間人の保護に注目をおいた、国際的な武力紛争におけるデジタル戦闘領域における軍事的心理作戦の法的枠組を明確にすること、これは、軍事的訓練および計画の現実的な適用を支援する
としています。国際国際人道法(IHL)と国際人権法(IHRL)との間の緊張関係があるとして、心理作戦と民間人保護の規定においてギャップが認識されるとして、民間人は、武力(use of force)から、保護されるという規定があるものの、「暴力効果」を及ぼす心理作戦については、攻撃とされ、そのようなものとして規制されるべきであるとします。また、プライバシーの権利や言論の自由は、どうでしょうか。IHLは、直接には、これを扱うものではありません。
世界人権宣言(UDHR)19条、12条の紹介の上で、国際人権法を武力紛争法に適用するということを考えます。また、軍事的トレーニング・計画の問題も検討します。これは、要素を明確にして、文脈依存の判断を避けるべきという観点があります。民間人の保護の特定の規定(畏怖の禁止・医療関係者の保護・死者の尊厳)があります。また、一般的な民間人の保護の規定もあります。これについては、国際赤十字の解説もあります。有形・無形の形でも尊重されることなどです。常時の配慮の義務といわれています。
推奨事項としては
- 国際人道法は、心理作戦について軍事的訓練計画の法的枠組を橋渡しをなすこと
- 提案された軍事作戦は、「攻撃」に該当すると評価・認可のプロセスのもとにあること
- 法的な支援がなされること
があるとされました。
7.3 Petra Mahnič 「現代紛争におけるデータの不正使用に対する安全策(Safeguarding Against Data Misuse in Modern Conflicts(Law)」
Petra Mahnič (EU理事会法律顧問)「現代紛争におけるデータの不正使用に対する安全策」は、文脈、放送禁止、RTフランス対EU理事会、などについての議論がなされています。
文脈においては、EU の制限的措置(Restrictive Measures)が2014年3月からなされていること(EUのページ)、2022年2月23日の第1パッケージ、ロシアのウクライナ侵略、その後の、第2・第3のパッーケージがなされたことが紹介されています。
理事会規則(EU 9833/2014)(リンク) (ウクライナ情勢の不安定化に関するろしあの活動に関する制裁) において、前文において、ハイブリッド脅威として、ロシアの国際的なメディア操作キャンペーンが触れられています。
また、Case T-125/22は、RTフランス対EU理事会の事件です。リンク。事件の報道については、「EU,ロシア国営のRTとSputnikを禁止」 判決は、こちらです。
判決(2022年7月27日)は、この禁止の効力を認めています。
同措置の目的は、欧州統合条約の21条などを目的として、同3条(1)と(5)に照らして、偽情報は、民主社会の起訴を損なうものであり、現代福祉を損なうものであるとしています。これに対して、RTフランスは、適正手続(防御権)、表現の自由、営業の自由、国籍による差別禁止の原則を根拠として申立をおこなったわけです。
ロシア連邦への依存、前文の認定、特定の文脈なとから考えたときに、防御権が侵害されたとはいえないとしています。表現の自由については、義務と責任がおもなう性質であること、一時的な性質・放送以外の方法は、可能であること、EU域外の放送が許容されていること、などから許容されるとされました。erga omnes義務(国際社会への義務)の違反に対する対応であることから゛許容されるとされました。
その余の事件としては、T-262/15事件(Kiselev v Council、リンク) 、T-237/22(Usmanov v Council、リンク )があります。
- 特定人の広告サービスと放送の禁止(2024年5月17日)
- プロパガンディスト(propagandist)への資産凍結手続(2024年5月27日)
- 2024年5月7日から、欧州メディア自由法が発効(17条では、EU域外からのメディアサービスへの措置が定められている)
- デジタルサービス法
があげられています。
ということで、Day2も終了です。ホテルに戻って、やっと、スーツケースともご対面です。
