本記事は、Microsoft Trustworthy Computing のブログ “Challenges and Opportunities in Defining Cybersecurity Norms” (2013 年 3 月 21 日公開) を翻訳した記事です。

信頼できるコンピューティング (Trustworthy Computing) 担当バイス プレジデント スコット チャーニー (Scott Charney)

先日、ジョージ ワシントン大学で開催されたサイバーセキュリティの国際的な規範づくりに関するパネル ディスカッションで講演を行いました。

サイバーセキュリティの規範づくりは難しい作業ですが、これからのサイバースペースには欠かすことのできないものです。すでに 20 年以上にわたり、サイバーの脅威を理解し、国家を含む組織や個人にとってのリスクを評価し、適切に対応するための努力が続けられてきました。多くの組織が情報保証に多大な投資を行ってきましたが、大多数のコンピューター セキュリティ専門家は、特に攻撃に対する唯一の対応が防御を強化することである場合、攻撃側に豊富なリソースと粘り強さがあればシステムへの攻撃は成功すると考えています。

サイバーセキュリティの脅威に対応することは難しく、そこには多くの理由が存在します。私はそのうち 6 つの理由��ついて、『Rethinking Cyber Threat – A Framework and Path Forward (サイバーの脅威を再考する - 枠組みと方針)』という文書にまとめていますが、ここではその中から、政府がサイバーセキュリティに関連する国際的なセキュリティの課題をじっくり検討しようとするときに特に困難となる 3 つをご紹介します。

  • インターネットは統合された共有のドメインである。インターネットは市民、企業、政府によって共有されており、それぞれを分離することは困難です。自由な言論、商取引、諜報活動、サイバー戦争などが、この統合された共有のドメインで、すべて同時に、同一の輸送媒体上で発生している可能性があります。活動の主体とその内容を解析する能力が限られた状況で、特定の脅威に合わせて調整した対応を準備することはきわめて難しい作業です。
  • 攻撃の潜在的な結果を予測することは非常に困難である。ネットワーク スキャンや許可されていないシステム アクセスなど特定の不正な行動は、情報の窃盗やデータ完全性の侵害、サービス中断の前触れである可能性があります。さらに、システム間の複雑な相互関係は予期しない連鎖的な影響が生じる可能性をはらんでおり、意図された影響よりも重大な事態につながることもあります。また、重要なインフラストラクチャに対するサービス拒否など明白な攻撃に対しては迅速な対応ができる一方で、検出するのが難しい攻撃もあります。重要なシステムからデータが引き出されることについて言及した文書は多くありますが、より問題となるシナリオは重要データの改ざんかもしれません。検出が難しいだけでなく、データが許可なく変更されたのがいつなのかを識別しにくい場合もあるため、正常だとわかっている状態に「ロール バック」することが難しくなります。
  • 想定される最悪の事態は憂慮すべき甚大なものである。マスコミや政府機関、シンク タンクが想定する最悪のシナリオには、重要なインフラストラクチャ サービスの中断、主要な経済機能の妨害、治安や国の安全保障の危機などが挙げられています。こういった事態の複雑さは、システム間の大規模な相互接続と依存性も原因の 1 つなのですが、このことは必ずしもよく理解されていません。しかしこの複雑さが、攻撃から予想される結果についてコンセンサスを確立することを困難にしてきました。このような攻撃から迅速に回復できるかと言えば、社会は IT システムとそこに含まれるデータへの依存が高まっており、これは、訓練を受けた人々が行う従来の手動のプロセスに頼れなくなっていることを意味している可能性があります。

こういった課題や急速に変化する脅威のランドスケープは、サイバースペースにおける潜在的な衝突の危険に対する懸念も引き起こしています。国連によると、30 か国以上がサイバースペースの使用に関する原則を確立しており、一部はサイバー防衛センターも構築しています。それに呼応し、国際的なサイバーセキュリティに関する政府間の対話も大幅に増加しています。

これまで、こういった国際的な話し合いはほとんどが政府間で行われてきました。各国政府は、サイバースペースにおける国家のふるまいがインターネットの基本的な信用とセキュリティ メカニズムを損なわないようにする有効な規範を、協力して構築する必要があります。また、このような対話からは、数十億人にのぼる世界中の顧客の安全を守るための技術的課題や優先事項といった、民間セクターの観点からの恩恵も得ることができます。

サイバースペースを実現するインフラストラクチャのほとんどを構築し、運用するのは産業界です。また、脆弱性の公開管理、セキュアな開発、セキュリティ インシデント対応、リスク管理などにおいて、ベスト プラクティスと技術的なサイバーセキュリティの規範を生み出し、革新を続けているのも産業界です。これらのトピックの多くが、国家レベルでサイバーセキュリティのリスクを管理する官民の協力体制に関わるものです。しかし、このような協力体制はしばしば国境によって制限されます。政府がサイバーセキュリティおよびサイバースペースにおける規範に沿った行動に関する見解を広げていくのに伴い、国際的な官民の協力体制を形成することは、インフラストラクチャの回復力と複雑なサイバーセキュリティ イベントに対応する俊敏性の確保に役立ちます。

私は 2009 年に、経済スパイとサイバー戦争に関連するサイバーセキュリティの課題に国家的に対応する必要があると提言し、特に次のことに対処するよう呼びかけました。

  • 経済スパイおよびその他、哲学的な面で意見が一致しない分野。国際的な討論を経て、規範の確立につなげる必要があります。そうして確立された規範を、国家政策および国際機関を通して実施します。
  • サイバー戦争の問題。各国はまず、この新しいドメインに対する規則をどのように定めるかについて、国内の態度を確立する必要があります。その際、このドメインの共有・統合という性質の認識にもしかるべき注意を払います。その後、国際的な対話を行い、サイバースペースでの行動に関する国際的な規範を構築しなければなりません。これらの規範を構築することが困難であるのは間違いありませんが、やはり必要であり、結局は避けられないことです。このような取り決めがない場合、一方的で、規範に沿わない可能性がある行動は、取り返しのつかない結果につながります。

これらの問題の重要性は、今日一層高まっていると思います。政府および民間セクターは、有意義なサイバーセキュリティ規範の理解と構築において協力する必要があります。今後についてですが、(1) サイバースペースのインフラストラクチャを構築・運用する民間セクターに対しては、政府と協力してサイバーセキュリティ規範に対する共同のアプローチを形成すること、(2) 政府に対しては、2013 年のサイバースペースに関するソウル会議 (2013 Seoul Conference on Cyberspace) とそれ以降へ向けて民間セクターと協力することを要請していきます。