CyCon 2025 (The Next Step)の復習をしようと思います。会議のホームページは、こちらです。あと、ビデオが上がっています。こちら。

あと、写真も共有されているのですが、私が、ちゃんと写っているのは、こちら。

今回は17回目だそうです。

1 CyConの歴史

自分としては2009年9月のInternational Cyber Conflict -Legal& Policy Conference 2009に訪問したのが誇りだったりします。こんな感じでした。

この時は、セコムの調査資金で訪問できたのでした。継続ならなかったけど、いい経験でした。そのあとは、

1. 2013
2. 2016
3. 2017
4. 2018
5. 2019
6. 2023
7. 2024
8. 2025

とCyCon自体は、9回参加(2009を含む)しています。あと、2015年は、International Law of Cyber Operations Courseに参加しました。

タリンマニュアル2.0は、武力攻撃の閾値以下の国家主体のサイバー作戦にフォーカスしている(俗にグレイゾーンともいわれています)のですが、その講義をマイケル・シュミット先生、ハイネック先生から聞けたのは、いい思い出です。後に、Codeblueで日本にきてもらったLiis Vihuulさんともこの時にあってますし、カラオケ友達(？)のニック・ウォブマさん(慶應に留学してました)とあったのも、このコースでした。

ということで、今年は、トータルで、10回目のタリン訪問でした。いまでこそ、インシデントレスポンスを中心に、法的なアプローチがサイバーセキュリティの一分野として注目をあびていますが、2010年代は、なかなか、そのような注目はなかったわけで、だからこそ、セコムも途中、打ち切りとなったわけです。そのような状況で、同じテーマを世界の観点から同じレベルでお話しできるのは、いい経験だったなと本当に思います。

2 サイバー法と秩序-サイバースペースの国際ルールのナビゲーション(Cyber Laws and Order-Navigating International Rules in Cyberspace)

 

Workshop day(前は、Day0といってました)ですが、リーガルは、1015から1530まで、タイトルは、「サイバー法と秩序-サイバースペースの国際ルールのナビゲーション」で、講師は、

• Talita Dias博士(いまは、International Policy and Governmental Lead,Partnership on AI (PAI))
• Anastasia Roberts
• Prof Russel Buchan

です。

会議の場所は、こんな感じでした。私は、真ん中の島にいます。

Buchan教授

Buchan教授からの説明です。サイバーガバナンスは、国際法、サイバー規範、サイバー信頼醸成、サイバー能力形成から成り立っていて、国家責任法における帰属(アトリビューション)、主権の原則からなたっていることが説明されました。

また、サイバーガバナンスに関して、UN GGE の報告書、UN OEWGの 報告書が紹介されました。UN GGEについては、私のブログですと、が纏めています。

また、サイバー作戦については、国家・地域のステートメントがなされています。国家のステートメントは、2008年からなされていますが、次第に収斂しています。また、地域のステートメントとしては、アフリカ連合、欧州連合などのものがあり、これについては、Cyber Law Toolkitでふれています。ということでCyber Law Toolkitでのアフリカ連合の紹介は、こちらです。 EU の立場については、こちらです(オリジナルの共通理解の宣言(2024/11/18))。

あと、サイバー作戦についての国家のポジションについては、出版がなされたのですが、それは、Day1でふれるので、その点は、そこのところで。

次は、「国家責任法における帰属(アトリビューション)」の話です。ここでいうアトリビューションは、法律家の用語で、行為者の責任を国家に帰属しうるのか、という問題を意味します。国連の国家責任法案(Draft articles on Responsibility of States for Internationally Wrongful Acts,with commentaries )が、その問題を纏めています(日本語訳)。関連する条文としては

• 4条(国家機関の行為)
• 5条(事実上の機関)
• 7条(権限ゆ越)
• 8条(国家によって指示・コントロールされる行為)

があります。ニカラグア事件の効果的コントロール基準(effective control)があって、この基準を満たすのは、「高い閾値」になっているということだそうです。

主権の原理についても説明があなされています。政治的なものか、国家をするものか、という点に関して、原則かルールか、という争いがあって、英国は、原則であって、ルールではない(私のブログでは、「英国のスエラ・ブレイヴァーマンQC法務長官の「将来のフロンティアの国際法」についてのコメント」参照)ということが紹介されました。また、米国については、前にCyCon USでの「」のコメントがなされたことがありますが、Buchan教授によると具体的な立場を論じるのは、困難とのことです。これらを覗くと一般的には、ルールであるとされています。

この主権のルールは、「領土的インテグリティ」と「政治的独立性」からなりたっています。「領土的インテグリティ」というのは、純粋主権もしくは相対的主権(relative sovereignty)とされています。重大なハームが違反を構成します。「政治的独立性」は、外部からの妨害(interference)から、本来的な政府機能を保護するものです。

タリタ・ディアズ博士

ディアズ先生からは、国家責任関係の論点についての講義がなされました。具体的な内容としては、内政干渉禁止、相当な注意、国家責任です。

内政干渉禁止

この点については、国際司法裁判所のニカラグア事件判決(ICJ (1986)13)でふれられています。また、国連の2015GGE報告書、2021GGE報告書でもふれられています。

内部・外部の事象(ドメイン・レザベ)

における強制的な(Coercive)な行為による干渉を禁止するものです。行為は、強制的なものでなければなりません(ただし、ニカラグア事件は、方法が強制的であることをもとめています)また、間接的な干渉としては、支援・監督が必要とされています。

具体的にこの内政干渉禁止に該当するサイバー作戦の行為として、税金徴収権能、公的健康努力に対する偽情報、投票マシーンに対する白金ががあげれますが、標的化された投票者に対する偽情報については、争いがあるとのことです。

相当な注意(due diligence)

これの先例は、パルマス島事件(Islands of Palmas case)(常設仲裁裁判所)(2RIAA 829)で、

国家にたいして、その領土内において、他の国家の権利を尊重することをもとめる

ものになります。コルフ海峡事件(Affaire du droit de Corfou)国際司法裁判所(ICJ(1949)4)においては、機雷原の設置がアルバニアの了知なしには行い得ないとして、少なくても、アルバニアは、危険海域付近の船舶にたいして警告を発する時間的な余裕をゆうしていたが、実際には、災害を防ぐために何もおこなわなかったのであり、この重大な不作為は、アルバニアの国際責任を引き起こすとしています。

この相当な注意の現代における意味としては、非国家主体が、出現していること、ハームの防止を想定していること、があります。

この相当な注意については、GGE2013では、「国家はすべき(should)」とされていて、同2015では、「国家は、知りながら、その領域を(反する行為)を許容してはならない」としています。

もっとも、具体的な各国の細かい立場については、違いが存在することのようです。具体的には、

• 単なる規範であって、ルールではない(イギリス、イスラエル)
• 情報通信システムに完全に適用される(オーストラリア、コスタリカ、デンマーク、エストニア) にたいして、解決されていないとする(カナダ、ニュージーランド)

というちがいがあるそうです。

また、要件としては

1. ハームの閾値(重大化すること-must have been materialized)
2. 知っていること(knowledge)
3. 注意を欠くこと(lack of knowledge)
4. 行動しうること(capacity to act)  -より行動できる場合にはより行動しなければならない

があげられています。そして、これは、行動する義務であり、結果に関する義務ではありません。

違法性を排除する事情(Circumstances precluding wrongfulness)

これについては、以下のようなものがあります。

1. 同意(国家責任法案20条)
2.  自衛権(self-defense)
3. 対抗措置(counter measures)
4. 遭難(Distress)
5. 不可抗力(Force majeure)
6. 緊急避難(Necessities)

対応(response)

これは、「(軍事用語としての)対抗措置」、「返報(retorsion)-それ自体は、国際義務に反しない措置」「戦時復仇(Belligerent reprisals)-一方の交戦者が、組織的に戦争法規に違反する行為をおこなった場合、他方の交戦者が、武力紛争法を遵守させる目的をもって、武力紛争法の禁止または制限に波瀾する措置をとることをいう」 とは 異なります。

対抗措置(countermeasures)は、国際法を執行するための数少ない方法となります。そのための要件などについては、「国際法上の対抗措置の概念」でまとめていました。また、現在では、集団的対抗措置が論点になっています。これが最初に提案されたのは、CyCon2019になります(Cycon express-世界初の集団的対抗措置の提唱)。あと、現在の議論状況は、CyCon 2024(CyCon memo Day 1-HuntForward・集団的対抗措置・Black Box標的判断)

Anastasia Roberts先生

Roberts先生からは、国際人道法の枠組(International Humanitarian Law)の枠組の説明です。ジュネーブ条約第1追加議定書(外務省の解説)条文。49条は、攻撃の定義および適用範囲を定めています。暴力行為をいうとされていて、手段のみならず、結果も武力の行使の結果であることがのべられています。

また、同57条(2)(a) (ⅲ)においては、文民への結果を引き起こすことが予測しうる場合の差し控えが定められています。具体的な問題として、冬における発電所への攻撃や、社会的ボットの利用において、敵国の体制の破壊をもたらすような誤情報の拡散を例にあげていました。論点としては、機能の喪失が、攻撃に該当するか、ということがあるとされました。

また、同議定書48条は、区別の基本原則が述べられています。攻撃に関してのみ、この原則の適用があることなります。

現在の論点としてデジタルデータが、この対象となるかが議論されていて、データは、攻撃対象足り得ないとされ、文民の保護とのギャップがあることが指摘されました。また、常時、注意をはらうことが指摘されました。

ケーススタディ

ケーススタディとして二つの事例をもとに国際法を検討することになりました。

ひとつは、Maldoniaが、政府のデータベースとして利用されているソフトウエア(Centurion)にマルウエアを仕組んだだという事例です。国際法違反かどうか、その場合、どのルールに違反したのかは、対応は、なにか、が質問されました。事案としては、Solar Winds事件を参考にしているます(SolarWinds作戦の国際法的分析について)。攻撃者の国家責任の帰属、ルールとして主権、内政干渉禁止、結果についての種々のアプローチが銀路されました。

いまひとつは、厳格な秘密ということなので、メモとしては、パス。

3 ウクライナセッション

法律のワークショップのあとは、「ウクライナ サイバー紛争の発展、ベストプラクティス、イノベーション」等の講演です。

3.1 ウクライナのためのIT Coalition

エストニアとリクセンブルグによって設立されたIT連合です。(エストニア防衛省のプレスリリース)

その目的は、

• 新しいデータセンターとクラウド環境の拡張と構築
• 戦略的通信能力のさらなる開発
• デジタルイノベーションの涵養
• サイバー能力のデリバリー
• システム、プラットフォーム、センサーの統合

です。先導国家(Lead Nation)と参加者からなりたっています。

Takeawayとしては

• 現代の戦場は、高度にデジタル化されており、ネットワークセントリックであること。デジタルソリューションは、戦場に種々の影響をあたえている
• ウクライナは、軍事目的に、自己のソリューションを開発し、民間技術を適用している。このCoalitionは、将来の戦争シナリオにそなえるための重大な機会である。

3.2 イノベーションと防衛技術開発のセンター

• 新しい環境
• 出現している技術の統合
• ドローンの優越性
• 軍事的なAI利用

について話しています。

アプローチの違い

最初は、アプローチの違いとして、独立したネットワークのサーバーの場合とクラウドの違いから説明されました。そこでは、

• ウクライナでもっとも利用されているシステムは、民間の軍事ネットワークで運用されていないこと
• セキュリティは、制限を意味するのではなく、製品を支援する
• プラットフォームセキュリティの優越を確保する前に製品の長期のセキュリティエンジニアリング・ソフトウエア開発ライフサイクルが計画されるべきこと
• 新しい環境は、サイバーセキュリティやイノベーティブなアプローチへの注意を増加させる。

技術の統合

また、DELTAというシナジーで動く戦闘システムは、11のモジュールからなりたっています。具体的には

1. 敵および友軍のデジタルマップ
2. セキュアチャット
3. モバイル・オフラインアプリ
4. データによる意思決定
5. クラウドのファイル保存
6. 標的プランボード
7. インテリジェンスツール
8. 司令官の計画マトリックス(ミッションコントロール)
9. 戦場ビデオ分析システム
10. 独立管理
11. 敵ユニットについての情報管理

です。そして、50を越えた統合がなされており、30は進行中です。その統合のイメージは、こんな感じです。

ここでは

• パラダイムシフトは、数カ月で起きている
• データの真正と保護への注意が増大されることが早急な解決の鍵である
• 作戦の成功の相当部分は、リアルタイム情報の利用によって指揮される
• 標準は、記載されておらず、ウクライナは、パイオニアである

敵の早急な破壊のためのツール

DELTA プラットフォームへのビデオ分析プラットフォームにAIが利用されています(ウクライナ国防省のリリース) そこでは、

• 前線からのビデオ放送と記録
• インスタントのビデオ通信
• デジタルマップへの送信と集団映像分析
• アベンジャーズAIプラットフォーム利用による敵装備の自動探知
• リアルタイムの自動探知-70パーセントの正確さ

ツールについては、ドローン評価等について利用しています。要点としては、

• 戦場は、変化した。ロボティック技術が広く行き渡っている。
• 現在の敵対行為は、1月に何回もシナリオの変化がある。安いスペアパーツで開発される

AVENGERSプラットフォーム

軍事的なAIの利用のプラットフォームとしてAVENGERSプラットフォームが紹介されました。これは

• クラウドにおける敵の(準)リアルタイム・自動探知システム
• C2システムのオーバーレイと暗号解読ツールの統合
• データ準備、機会学習トレーニング、ベンチマークのためのツール、プロセス、標準
• 交流およびエッジデプロイメント(ネットワークのペリメーターのできる限り近くでデータを処理すること)の技術的法的枠組
• 現実世界の戦闘行動からのannotated objects-ユニバーサル軍事データセット

を要素とするものです。戦闘における統計から行くと、軍事資産の70パーセントを探知しており、平均時間は、2.2秒になります。

ここでのポイントは、

1. ロシアは、大きな国家であり、国内資源を有している。ウクライナの人々を空くのは、ロボット技術を用いた戦いが重要になる。
2. ウクライナは、AIを意思決定というよりも、軍におけるルーティンワーク省くために利用している
3. エッジデバイスにへのAIアプリの移行は、データセキュリティへの洗練されたアプローチを必要とする
4. 基本的な画像認識めためでさえ、大量のシナリオが実装されておらず、より深い調査を必要とする

まとめ

• 産業は、NATOが標準化するよりも早く動いている。商業的標準は、軍をアップデートすることを押し進めている
• 防衛AIは人気があるものの、相当数のオプションがデータ附則のために活用されていない
• 現代の戦闘においては、沢山のシステムが協力する必要がある、柔軟性が求められる。しかし、安全かつ、相互流用性のある標準も必要である。
• 現在、敵対行為シナリオは、一月に何度もかわっている。安価なスペアパーツによって開発・実装される技術的、科学的アプローチは、敵に対して、多大なアドバンテージとなる。

3.3 (ウクライナCERT) サイバー戦争の3年間 -現在地(3 years of Cyber War -Where we are)

ウクライナCERT(Computer Emergency Response Team of Ukraine)の話になります。おこなっているのは、インシデントレスポンスと脅威インテリジェンスになります。脅威のほとんどは、ロシアですが、北朝鮮、中国などからのものもあります。エスピオナージ、金融犯罪、業務妨害などです。

攻撃サーフェスは、XAKNET、ZAPR、FRWLなどです。現在では、pdfに仕組まれたてDiscordから データを奪う仕組みが注目されます。

ということで、Day 0は、終了です。法律のワークショップといい、ウクライナのセッションといい、きわめて濃い一日でした。特にウクライナの実際の話は、インパクトがありました。

そのあと、アイスブレーカーが、フェリーターミナルで開かれました。