![[レポート]国際パネルディスカッション「能動的サイバー防御の包括的研究」 – CODE BLUE 2023 #codeblue_jp](https://devio2023-media.developers.io/wp-content/uploads/2023/11/codeblue_2023_1200_630.png)
[レポート]国際パネルディスカッション「能動的サイバー防御の包括的研究」 – CODE BLUE 2023 #codeblue_jp
CODE BLUE 2023で行われた「国際パネルディスカッション「能動的サイバー防御の包括的研究」」というセッションのレポートです。
こんにちは、臼田です。
みなさん、セキュリティ対策してますか?(挨拶
今回はCODE BLUE 2023で行われた以下のセッションのレポートです。
国際パネルディスカッション「能動的サイバー防御の包括的研究」
国家間紛争におけるサイバーセキュリティの重要性が、ロシアのウクライナ侵攻によって改めて浮き彫りになった。本セッションでは、能動的サイバー防御という用語で示された日本の国家安全保障戦略を国際法、憲法、刑事法、比較法の観点から考察する。様々な法的背景を持つ専門家の意見を取り入れながら、日本におけるこの問題についての議論を包括的に行うことを目的とする。対象となる問題には 憲法上の通信の秘密、武力行使の禁止、自衛権などから、国際法上の対抗措置、緊急避難、サイバー防御手段を正当化するための国内刑事法の問題などが含まれる。 発表の概要 (1) 国家安全保障戦略の概要とこれまでの経緯(高橋) (2) 国家安全保障戦略の国際法上の位置づけ(ディアス) (3)NATO加盟国および他国における防御に関する国内法整備の動向 (ウォブマ) (4) 日本における能動的サイバー防御と憲法論(曽我部) (5) 日本の能動的サイバー防御と防衛法・刑事訴訟法(西貝) (6) パネルディスカッション
Presented by : 高橋 郁夫 - Ikuo Takahashi ニック・ウォブマ - Nick Wobma タリタ・ディアス - Talita Dias 曽我部 真裕 - Masahiro Sogabe 西貝 吉晃 - Yoshiaki Nishigai
レポート
- まずタイトルの話
- 能動的サイバー防御
- 昨年12月16日に公表されている
- 武力攻撃に至らないものの、国のインフラに重大な懸念があるサイバー攻撃を防止するために能動的サイバー防御を導入する
- この言葉がインパクトがあり報道された
- 能動的サイバー防御とは?
- 3つの概念
- 重要インフラが攻撃を受けたときの民間と政府の情報共有
- 日本国内の通信事業者が攻撃者の検知のために所要の取組を進める
- 特に通信の秘密との関連で議論をよぶ
- 重要インフラに対して可能な限りすぐに止められるように政府に権限を与える
- 非常に積極的な表現
- この内容を色んな分野から検討しようというテーマ
- 国際法と国内法の観点でそれぞれ見ていく
- 国際法と国内法のポンチ絵
- 国と国との観点だけ論じている国際法
- 国と人を議論している国内法
- まず国と国の観点でサイバー攻撃のときになにかできるの?
- なにかできるとして国内的にどうやって落ち着けるの?
- 他の国はどうしているの?
- これらを考えていく
- 国際法についてリモートからタリタ氏
- タリタ氏
- ロンドンから参加
- 能動的サイバー防御についての国際法からの観点
- どうやって正当化できるのか
- Active Cyber Defenseについて
- 国家安全保障の懸念で外国の侵入の無害化をする話
- これは原則上違反してしまう可能性がある
- 原則として他国の主権を侵害してしまう可能性がある
- なぜなら侵入し他国を侵害するから
- 日本の国際法に関する内容
- 日本ではルールとして侵害可能だとしている
- 重要インフラに対する侵害は主権の侵害であるため、そこに対してソフトウェアなどの停止を行う
- 他の国であればシステムに対する侵入だけで主権の侵害とする場合もある
- スペインではそう
- コスタリカは情報収集でも主権の侵害としている
- ACDは対象の国の侵害になる可能性がある
- 極端な場合には不干渉の違反になる可能性もある
- 国の独立性の原則がある
- 重要インフラへの攻撃は日本に対する不当な干渉と考えられる
- どうしたらACDの正当化が可能か
- 武力攻撃に対するものという解釈をする
- しかし武力攻撃に満たないものも書いてある
- 対抗措置とする
- 義務の不履行に対して行う
- 前にあった不当な行為に対抗できる
- しかしサイバー空間ではアトリビューションが難しい
- 被害国が対応する前に該当国に依頼しないといけない
- サイバー空間ではそれも難しい
- 緊急避難
- これも例外的な防御
- しきい値は非常に高い、条件が厳しい
- 重大で差し迫った場合にのみ
- これが唯一の脅威を予防する手段である場合
- ACDの正当化のために簡単に使える条件ではない
- しかし国に対するアトリビューションが必要ない
- トレードオフがある
- どのようにACDを使うかはこれらを全て考慮しなければならない
- 武力攻撃に対するものという解釈をする
- ニック氏
- 他の国ではどうしているか
- 私はオランダの司令官だが政府の立場で話すわけではない
- 法にかかるサイバーセキュリティの研究などを行っている
- ACDという言葉は問題で、共通の言葉ではない
- 攻撃的なサイバーが入るのか、自動的なのか?
- 国によって違う
- 何も決めていない国もある
- 意見が別れている
- NATO CCDCoEがサイバーディフェンスの比較を行った
- 2021年の研究レポート
- アメリカのドキュメント
- 自動的防御と書いている
- より危険なものにはアクティブ
- ほとんどの国でグレー
- ACDが不明瞭だと難しい
- ACDが攻撃に含まれるかどうか
- 国によっても違うし、調査のタイミングでも毎回変わる事がある
- ACDに言及するけど定義していない国もある
- 具体的にNATOの話
- 同盟国の領土を守る
- defensive cyberspace operation(DCO)
- offensive cyberspace operation(OCO)
- これを区別している
- 定義がはっきりするとポリシーが明確になる
- DCOは有効的な自由を確保する
- ネットワークの外に出ることも考えられる
- OCO
- ネットワークの外に攻撃的に使う
- 力を誇示する
- NATOのネットワークの外の活動についても書かれている
- 曽我部氏
- 京都大学
- 憲法の専門家
- 国内法の話
- ACDが2022年に安保三文書がでた
- 今後法律とかで具体的な措置を取っていく
- 憲法上どんな問題があるか
- 憲法でどういう条文が関わるか
- 13条
- 国民を尊重する
- 名文されていないものを導き出す
- プライバシーもここで導き出される
- 21条の2項
- より直接的に関わる
- 通信の秘密はこれを犯してはならない
- この解釈
- 通信情報だけでなくメタ情報も含まれるとされる
- 漏洩する行為などが禁止される
- 攻撃に対する閲覧などの例外がある
- しかし例外は厳密に扱わないといけない
- ACDはこれに当たるのか?という点がポイント
- 13条
- 1999年の通信傍受法
- 犯罪捜査のために警察が通信を傍受することを定義して
- 当時許されるかどうか激しく議論された
- 論点としては規制目的、規制が最小限、手続き的保証
- 軽い犯罪の操作に通信傍受は認められていない
- 組織的な殺人や薬物などの真相解明
- 他の方法によって著しく困難な場合
- 関係のない通話を聞いてしまうことを少なくする
- 期間を限定する
- 裁判所の令状が必要
- 歯止めがかかるようにしている
- 情報が取得された後の管理
- 別の凡例
- マイナンバー判決
- 今年のもの
- 取得した情報がハッキングなどで漏洩しないように技術的な処置がされていることも合憲性として必要とされた
- ACDと通信の秘密
- 様々なことを包括しているので具体的にどういうことかによる
- 例として3つ考えてみよう
- 通信トラフィックの大量監視
- 疑わしい通信の分析、アトリビューション
- 分析に基づく対処(テイクダウンなど)
- 通信の秘密と特に拘るのは上2つ
- 通信トラフィックの大量監視
- これは難しい
- 疑わしくない通信も見るのはハードルが高い
- 緻密な議論が求められる
- メタデータだけでも積極的取得になる
- 安全保障のためだが有害かどうかはわからない
- 重要な目的と言えるのか
- 疑わしい通信の分析、アトリビューション
- これは比較的正当化しやすい
- 詳細なデータの分析なので侵害度は高い
- ACDの場合に令状を出すのがふさわしいのか
- 保障も必要
- まとめ
- 大量監視をどう考えるか
- 手続保障事前・事後のものや組織をどうするか
- 西貝氏
- 刑事法的観点
- 千葉大学
- 日本ではACDの定義が定まっているわけではない
- しかし適用すべきという要諦はある
- ポートスキャンなどは可能になる可能性がある
- 侵入などは適法か考える必要がある
- 刑法は誰にでも適用できる
- ここでは刑法の観点で適法かどうか確認する
- 企業や行政機関が攻撃にさらされている場合には基本的に緊急避難を適用していく考え方
- 刑法では国際法と緊急避難はにているかもしれないが、詳しく触れない
- しかし予防的な行為はできない
- これではACDの目的を達成することは難しい
- つまり現在よりもっと早期に適用できる法整備が必要になる
- 手遅れにならない限界が一つの基準になるがそれも難しい
- 議論も煮詰まっていない
- 実態の刑法でできるとしてどうするか
- 法律に書いていく必要がある
- 行政機関主導のACDが考えられる
- 行政法規に書いていくことになる
- 警察官職務執行法が対象に上がる
- 正当防衛や緊急避難などが引用されている
- 一部の警察活動が正当化されている
- ただし警察官職務執行法は物理空間に関する記述
- 警察関係者からもサイバー空間について記述してほしいという要望もある
- ACDのためにこれを拡張するのか
- これからの議論になる
- ACDによって権利侵害があるため操作手続きのための令状制度が必要ではないか
- しかし未然の活動は警察ではなく行政の仕事として捉えられる
- 同様の措置も難しい
- 緊急の措置が必要なタイミングでどのように記述するか、裁判所がどれくらい確認するかは難しい
- 議論
- TTXでやる
- 日本国政府の法律の監視をする
- 相手は侵略の野心を隠していない
- 侵略の準備活動として同士の国の日本にも不安感を煽ろうとしている
- 政府が特定の命令に基づいてISPにログを国に提出しなさいという法律案が政府から出ようとしている
- この場合の憲法適用性
- 曽我部氏
- 大量監視は頭から否定されるわけではないと補足
- 規制目的の重要性などから検討していく
- どれぐらいログが疑わしいか、危険性があるか、誰が認定するのか
- 第三者の目が入らないといけない
- 他の対応手段があるのか
- などを考慮して評価する
- 確定的なことは言いづらいが可能と判断できる場合もある
- 2つめ
- 国民的なアップロードサイトで危険なファイルがある場合にISPにブロッキングされる場合があるとどうか
- 曽我部氏
- その場合は許される可能性がある
- しかしプロバイダはたくさんあるので同命令を出すのか
- 具体的な設計は課題
- 次に情報を分析できるようになったとする
- ブロッキングだけでなく元から止めたい
- 国際法的にどうできそうか?
- タリタ氏
- サイバー攻撃で日本政府に危害が加わっている状況と解釈
- 日本の主権に対する違反と判断できる可能性がある
- 国際法において対抗措置は正当化される
- 日本の利益に対する逼迫した危険があると判断できる
- 対抗措置自体は認められるが、どのISP、どのサーバを止めるかはよく議論する必要がある
- 人権の侵害に繋がる可能性がある
- これをするのは必ずしも国が直接やらなくてもいい
- 例えば元の国がデューデリジェンスを行えていないことになる
- ニック氏
- 実務的には国内では様々な当事者がいる
- 警察、軍、政府対応者
- 対応するために法的なフレームワークが必要
- それを実行できるようにしないといけない
- タリタ氏
- これは継続的なサイバー作戦に対して防止するためにオペレーションに対して将来的にも適用しないといけない
- どこかで完了としないといけない
- 西貝氏
- こういう対処をしていく場合の国内法の整備も必要
- 令状を使うための手続き
- しかし日本では令状は犯人を捕まえるものであるから、もう少し違うかも
- 権限の濫用を防ぐためにやるが、裁判所がそれをできるのか、第三者機関にやってもらうのか
- TTXでやる
- オーディエンスへの最後の質問
- 日本での能動的サイバー防御と、Active Cyber Defenseという言葉はどう違うのか?
- 色んな国でいろんな使われ方をしているということを前提に話さないといけない
感想
非常に興味深い内容でした。
まだまだこれから議論をしていかないと行けない内容ですね。とりあえず、慎重に判断していきましょう。
![[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp](https://images.ctfassets.net/ct0aopd36mqt/Zons7RQD2xcZVq9pUY8Dp/4d05341e17a1eb3ccf108b25f8044b03/eyecatch_codeblue_2024_1200x630.png)
