午後１時からのworkshopは、”Has the Time Come for a New Generation of National Cyber Security Strategies?”というポリシのセッションにでました。

アジェンダによると、第１世代のnational cyber security strategies (NCSS-s)を概観して、第２世代のNCSSの目標と成果測定を検討してみましょう、ということのようです。

Mr. Luc Dandurand, ITU – ‘Being Strategic About Cybersecurity. ITU, ENISA, NATO CCD COE, ENISA, OECD et al Joint Project, Relevant Findings and Lessons Learned: The Essential Elements of a Second Generation NCSS’

最初の説明は、ITUの「National Cybersecurity　Strategy　Guide」の説明からです。最終的には、１５の組織がこのガイドに参加し、共著の過程と四つのワークショップを経て作成されました。また、存在するものへのインデックスも追加されています。

これは、規範ではなく、さらに発展させる作業が始まっています。作業は、NCSの原則、プロセス、内容の三つの章から成り立っています。あと、資料部分もあります。原則は、ビジョン、包含的であること、経済的社会的繁栄、人権、リスクマネジメンなどです。また、NCSのライフサイクルは、開始、分析、作成、実装開始、モニタリング／評価、から成り立ちます。注目すべきエリアは、ガバナンス、リスクマネジメント、準備／レジリエンスなどです。それらは、成功の度合いを測定するという過程が発生します。

この作業においては、KPIを定めて測定するということが考えられます。NCSでは、ただ４つのみがKPIを準備しています。個別性・測定可能性・達成可能性・対応性が、要素になると考えられます。

注目すべきものとしては、
オーストラリア（2009／2016）
ロシア（ドクトリン2008、戦略　2013/2014）
ブラジル（デクレ　2008、ガイド2010、戦略2013/2015）
で、それ以外には、マルタ、オランダ、ニュージーランド、シンガポール、イギリス、アメリカ合衆国などがあげられました。

より、賢明なKPIの問題があり、その観点からは、トルコ、ミクロネシア、クロアチア、スロバキアなどが例があげられるそうです。
今後の課題としては、
アクションプランを戦略に含めるかどうか。KPIを戦略に含めるかどうか、リーダーシップとして効果的なものは何か、利害関係者へのコンサルテーションが推奨されるのか
ということでした。

感想ですが、サイバーセキュリティ戦略をうたったときに、その戦略の達成度合いを見るのに、KPIというのは、当然の発想としてでてくるよねというのが議論として出てきたのは、自分としては、新鮮でした。日本でも、いろいろな国家戦略がでているけど、KPIは、どうなっているんだろうと、これから、そういう観点でみていくべきかな、という感じです。

次は
Mr. Raul Rikk, E-Governance Academy – ‘Metrics in the National Cyber Security Index Index and How Nations Could Make Use of Them?’
です。これは、エストニアのega（e-Governance Academy ）の出しているNational Cyber Security Indexのご紹介です。

これは、インディケーターとして一般、ベースライン、インシデント／クライシス対応、国際影響力の項目をあげて、それぞれ評価して、各国を順位付けしています。

ここで調査対象になっている25国は、なかなかに、普段、あまり分析したことがない国が掲載されている点が興味深いところです。
この説明を聞いていて、投資の尺度として、サイバーセキュリティの透明性というのが重視されているのかな、という感じで世界的にみた感じを実感しました。

あと、このようなインデックスとしては、メリッサさんのCyber Readiness Indexプロジェクトが有名で、私もお手伝いしているのですが、それも、世界的にみて投資の一助にするという役割が強かったと思います。国外からの投資を招くということに対する感覚の違い（日本だと、投資がこないほうがいいと実は思っているんじゃないのというのを肌で感じることがあるし）を、思い知らされたというところです。

Dr. Scott J. Shackelford, Indiana University Kelley School of Business – ‘Making Democracy Harder to Hack through National Cybersecurity Strategies’
は、投票機械の機械自体のハッキングの話と、DNCハックのような投票行動に直接影響をあたえるような活動に対する考察の話がでました。投票機械の機械自体のハッキング自体は、いままでに南アフリカ、エストニア、ドイツ、ブラジル、インドなどが起きているということでした。DNCハックの話については、国際法の役割が問題であるという問題提起がなされました。

サイバーピースについての紹介がなされました。この分野では、World Federation of Scientists – Erice Declaration on Principles for Cyber Stability and Cyber Peaceの考察が紹介されました。

休憩を挟んで、
Dr. Joanna Swiatkowska, European Cybersecurity Forum – ‘Poland´s new NCSS: What Has Changed and Why It Needed to Be Changed?’です。

Polandの新しいNCSSの紹介です。新しい戦略は、公共、民間、市民のセキュリティについて、EUの観点から論じたものだそうです。国家のシステムは、運用レベルだとCSIRTが担当しているものの、戦略レベルだと不明額で、それを定義するようにしているようです。また、「能力(Capabilities)」を構築して、増強するようにしています。特に、武力の役割を明らかにして、その実装が論じられており、サイバースペースにおけるフルスペクトラムの実装が論じられています。

また、経済発展(機会-opportunity)に対する脅威としてのセキュリティ脅威を考えているとのことでした。国際的な次元で認識すること、特に、「ハイブリッド」紛争、情報戦争に対するツールにたいしても対抗しうること、アクションプラン、実装の評価、毎年の報告が準備されていることも紹介されました。

ミリタリの全面的な対応、攻撃作戦の準備というのは、世界的にも当然なのがよく分かります。わが国でも、正当な防衛の枠内で、攻撃的な能力をもつのは、当然に許容されているはず(というか、世界的には防衛のための武力行使しか許されないのは、、国連憲章から、同じです)なのに、タブー化されているのは、残念なことです。

Ms.Tanya Collingridge Head of International Cyber Security Team, Foreign and Commonwealth Office, United Kingdom – ‘Defend, Deter, Develop – ‘What the UK Is Doing in Response to Cyber Threats through Its National Cyber Security Strategy’です。

National Cyber Secuirty stratefy 2016-2021のご紹介です。

これは、また、別のときに、このドキュメント自体を分析しないといけないかと思いますが、それはさておき、Joanna氏の説明によると、厳密なマトリックスができており、抑止および防衛(ハードターゲット)が明確になされている点に特徴があるそうです。また、攻撃者の特定における政府の役割の強調:技術的・政治的・法的役割の分析もなされています。

優先事項に関して、エスカレーションがなされることになっており、GCHQ-NCSCが国家インフラと認識されています。ちなみにNCSCは、2016年10月から開始だそうです(29ページ)
報告書をみるとき、アクティブサイバー防衛が原則として、打ち出されている点が特徴といえそうです(33頁)。

「すべての人に対してのモーニングコール」となるという話でした。その一方で、サイバー攻撃能力は、回答にならないだろうというコメントも印象的でした。

ワークショップの最後は、Mr. Jos Leenheer, Senior Policy Coordinator, Cyber Security Department of the National Coordinator for Security and Counterterrorism, the Netherlands – ‘Building the Cyber Dikes: Developing the Netherlands Cyber Security Effort’です

National Cyber Security Strategy の紹介です。
変更点としては、PPP(Public Private participation)、ネットワーク集中、国内的であるときもに国際的、知識と経験のバランス、ビジョンとしてのサイバー衛生、リスクベースのアプローチ、意識-技術だそうです。

ただし、データが不足しており、量的に把握することが困難であること、経済的に評価も困難であることが課題であると報告されました。
今後の活動として、探知-対応-国際的協力-教育・イノベーョシン-予防というサイクルを回すこと、になるそうです。

ということで、集中して聞いた午後のワークショップでした。