能動的サイバー防御については、私のブログやシンポジウムの講演などでも何度もふれていました。まず、講演からいくと、

• JNSAパネルディスカッション「アクティブサイバーディフェンスを取り巻く環境について」アクティブサイバーディフェンス、果たしてその実態は？政治的、軍事的、法的そして技術的な側面から討論！かなり白熱（汗 (2024年2月)(Youtubeのリンク)
• 「能動的サイバー防御」時代の幕開け　重要インフラ企業が知るべき法的課題と脅威インテリジェンス活用戦略(網屋 講演の講演録)
• 「国際パネルディスカッション「能動的サイバー防御の包括的研究」」(Codeblue 2023 2023年11月9日)(リンク)

となります。

JNSAパネルは、今年の2月段階においても、まだ、アクティブサイバーディフェンスの定義を語っている状態で、それに対していらついているように見えてしまった点は反省点だろうと思っています。

1 サイバー安全保障分野での 対応能力の向上に向けた提言の公表

それは、さておき、能動的サイバー防御について議論していた「サイバー安全保障分野での対応能力の向上に向けた有識者会議」で、提言がでています。提言は、こちらです。

私のブログでは、

• アクセス・無害化措置についての有識者会議の議論整理(ボットの解毒化等)

• 能動的サイバー防御と「通信の秘密」の関係-有識者会議・「数奇な運命」三部作・国会審議

などで、有識者会議の議論を追っているところでもあります。

これには、

• 官民連携の強化
• 通信情報の利用
• アクセス・無害化措置
• 横断的課題

にわけて論じられています。

2 官民連携の強化

2.1 一般論

官民連携の強化は、

サイバー攻撃が発生した場合の対応能力向上のための官民連携の必要性

を一般論として論じて

重要インフラ事業者等をはじめとする産業界をサイバー安全保障の「顧客（カスタマー）」としても位置づけることが重要となる。さらに、脆弱性解消手段の開発前に悪用が先行する「ゼロデイ攻撃」などから国民生活を守るためには、システム開発やセキュリティ監視等を担うベンダとの連携をより一層深める必要がある

としています。まあ、一般論としては、こういうところかと思います。

2.2 高度な攻撃に対する支援・情報提供

この点については、

• 政府が率先して情報提供し、官民双方向の情報共有を促進すべき

とか

• 提供される情報については、高度な侵入・潜伏能力を備えた攻撃に対し、事業者等が具体的行動を取れるよう、攻撃者の動向を踏まえつつ、専門的なアナリスト向けの技術情報に加え、経営層が判断を下す際に必要な、攻撃の背景や目的なども共有されるべき

とされています。そして、

情報共有を行う場合には、TLPなど情報共有ポリシーを設定することに加え、攻撃の背景や目的に関する情報などのうち、特に漏えいにより我が国の安全保障に支障を与えるおそれがある情報等を扱う場合にはセキュリティクリアランス制度を活用する等、適切な情報管理と情報共有を両立する仕組みを構築すべきである。

という記載もなされています。

このような情報共有の仕組みとしては

• サイバーセキュリティ協議会
• サイバー情報共有イニシアティブ J-CSIP（ジェイシップ）

などがあります。

2.3 ソフトウェア等の脆弱性対応

今回の有識者会議については、どうも、現場感がないないあという感想をもっていたのですが、それが一番でているのが、この「ソフトウェア等の脆弱性対応」の部分ではないかと考えます。

脆弱性情報の提供やサポート期限の明示など、製品ベンダ等が、利用者に対し適切にリスクコミュニケーションを行うべき旨を法的責務として規定すべき

とか

政府は、米国政府が公表している「既知の悪用された脆弱性カタログ」を参考に、国内で悪用されている脆弱性情報を一元的に分かりやすく発信すべきである。

とか、まるで、早期警戒パートナーシップでの対応がなされているのを知らないかのような記載のふりです。

今後の改善について提言する際には、現在の状況がどのようなものであって、それでは、どこの部分が足りないのか、というのを記載するべきであって、それにふれていないのでは、

基本的な知識が不十分であるように見えてしまいます。

脆弱性の開示枠組については、

• 脆弱性の開示の枠組を深く勉強したい人に-ワクチンの予約システムの報道に関して
• 情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書 改訂版

などを読むことをお薦めしています。

脆弱性の調整された開示(CVD)については、日本が世界の最先端をいって、実務の経験もきわめて豊富なので、あたかも

遅れている

かのような表現を有識者委員会にされる必要はないと思っています。

「利用者に対し適切にリスクコミュニケーションを行うべき旨を法的責務として規定」というのは、たしかに、法的な責務としては、規定されていないかもしれませんが、早期警戒パートナーシップは、CVDを「良き規範」として提案しており、その提案が受け入れられており、PSIRTの数も順調に増加しているわけです。すくなくても、そのような堅実な努力を見据えた上で、何か足りないのか、という提案をしてもらいたかったと思います。

また

BOM（Software Bill of Materials）の国際的な相互運用を前提とした活用推進、安全性のテスト基準など製品ベンダ等の規律の設定、脆弱性情報の報告等も求めるべきである

とかの表現もありますが、医療機器等におけるSBOMの採用とかの認識はされているのでしょうか、と考えてしまいます。ちなみにSBOMについては、「「ソフトウエア成分表-SBOM」-米国の進展(最小要素とSBOM能力)・METI報告・薬機法」参照。

「安全性のテスト基準」って、ここで「安全性」という用語を使っているのは何故？ 安全とセキュリティを使い分けているのか、さてどうなのか、とか、いろいろと表現の厳密性に疑問をもってきたりします。

2.4 政府の情報提供・対処を支える制度

ここでは、

継続的なサービス提供のため、重要インフラ事業者等の中でも、サイバー攻撃が発生した場合において、国家及び国民の安全を損なう事態が生じるおそれがある基幹インフラ事業者に対して、インシデント報告を義務化し、情報共有を促進すべき

という提案がなされています。

これについては、特に、私のブログでNIS2指令を具体的に分析しました。

• EU におけるサイバーセキュリティ関係の法と規則-欧州連帯法(Solidarity Act)・NIS2指令など

の4.3で NIS2指令 として、項目をあげています。NIS2の構成は、こんな感じです。

報告義務の合理化のところもありますが、この点は、世界的な動向ということがいえるだろうと思います。