[レポート]CCELとサイバー防御・先制措置のあいまいな境界線：日本の法的・戦略的転換点 - CODE BLUE 2025 #codeblue_jp #codeblue2025

こんにちは、臼田です。

みなさん、セキュリティ対策してますか？(挨拶

今回はCODE BLUE 2025で行われた以下のセッションのレポートです。

CCELとサイバー防御・先制措置のあいまいな境界線：日本の法的・戦略的転換点

日本のサイバー・カウンター能力強化法（CCEL）は、憲法の範囲内で積極的サイバー防衛を認めている。同法は、サイバー攻撃とはみなされない、マルウェアの無力化やIPアドレスの追跡といった国内での予防的措置を、文民の監視下で可能にする。帰属と先制に関する法の曖昧さは、法的および地政学的に重大な問題を提起する。本講演では、サイバー主権、国際協力、および先制措置の合法性に対するCCELの革新的なアプローチを検証する。また、欧米の枠組みとの比較分析を行い、グローバルなサイバー作戦と多国間ガバナンスへの関連性を探る。

Speakers
Andrea Monti アンドレア・モンティ

レポート

• サイバーセキュリティの法律について話す
  • イタリアのハッキングコミュニティにも関わっている
  • 弁護士
  • コンピュータ犯罪に対応している
  • 当時は頭の良い子どもたちのものだった
• サイバーセキュリティはたくさんの意味を持つ
  • 少なくとも欧米においては民間企業の問題
  • 政府もやるが民間企業がないと
  • サイバーセキュリティの意味を分析することも大切
  • 言葉は時間とともに意味が変わる
  • 諜報活動・法執行・軍事の境目が曖昧になっている
  • 法律については次の高橋先生が話す
  • ただ全体像について話す
  • 民間企業にとってどういう意味を持つのか
• 現状
  • サイバーセキュリティはどんどん民間企業への外部委託がされている
  • グレーゾーンで力のある非政府主体が台頭
  • 政府は民間プラットフォームや企業に依存している
• テクノネオ中世主義
  • 国家による武力行使の独占が企業や国際的ネットワークによって挑戦されている
  • 実際の活動のほうが偽装しやすい
  • 技術手段として攻撃して隠す
  • ハックバックしたことは合法だったのか？
• 意味が重要
  • 用語が考え方・見方を形成する
  • 時間とともに変わる
  • 専門家でない人はサイバーは重要ではないと考えていた
  • しかしサイバー戦争と呼ぶと変わった
  • アメリカは言葉を変えて戦略的に使っている
  • イタリアも同じことをしている
    • サイバー対応を正当化せている
• Hacking Back
  • 外交手段として正しいのか？
  • 地政学的戦略ではなく技術的なところが焦点
  • 政策で使うことの問題
    • 帰属が問題
    • 国がやっていた場合先制攻撃になる、と取られることも
• 攻撃
  • 反撃をする瞬間がある
  • 従来の軍事効果の代わりに費用対効果がある
• 活動の曖昧化
  • どこから問題になるか
  • 主権国家に対する敵対になる
  • 所属が曖昧で度の国化もわからない
• CCELの主な特徴
  • 発生前に州が介入できる
  • 他の主権国家を侵害するとその国家の法に違反する可能性がある
• CCELと日本
  • 2022年の国家安全保障戦略を読むべき
  • 名前の意味が変わっていく
• 民間ではどういう意味があるか
  • 政府であればある程度免責がある
  • 民間は免責されない
  • フォレンジックも大事
    • 正当性をアピールする
• リスクと緩和
  • 契約で合法的な否認可能性
  • アウトソースは最小限に
  • 中小企業は最も脆弱かも
  • 内部のポリシーを更新すべき
  • 法的な助言が必要
  • 教育分野を強化する
  • 通常のインシデントマネジメントとに組み込む
  • リーダーシップを訓練する
  • 最悪のシナリオをシミュレーションする
  • シャドウブローカーに気をつける
• まとめ
  • CCELはサイバーセキュリティが国家安全保障の一部となったことを意味する
  • どのように協力するかが重要

感想

言葉の意味を考えて、細心の注意が必要ですね。