サイバーセキュリティ対策②:国際ルールの構築に向けて
更新日:
サイバー空間における既存の国際法の解釈や国際ルールの構築に向けては、NATOサイバー防衛協力センター(CCDCOE)が支援し、個人的資格で集った専門家たちによって作成された『タリン・マニュアル2.0』や、オランダのハーグを拠点とする非営利組織であるGCSC(Global Commission on the Stability of Cyberspace:サイバー空間における安定性に関する国際委員会)が2018年11月に公表した『Norm Package Singapore』が参考になると思います。
2018年1月に、NATOサイバー防衛協力センター(エストニア共和国)への日本の参加が承認されました。
2019年3月から同センターに派遣された河野桂子さんの知見を、日本政府は十分に活用するべきだと考えます。
また、非営利組織であるGCSCは、これまでにも、以下の規範を公表しています。
「何人も、公共の用に供されるインターネットの中核部分(IPアドレスとURLを結びつけるDomain Name Systemなど)に対して意図的かつ深刻な損害を与えたり、(そうした行為を)意図的に許容したりしてはならない」(2017年11月)
「何人も、選挙や国民投票に必須の技術的なインフラを妨害することを追求、支持、許容してはならない」(2018年5月)
そして、GCSCは、2018年11月に、次の規範からなる『Norm Package Singapore』を公表しました。
①改竄回避の為の規範
国家主体及び非国家主体は、サイバー空間の安定性に深刻な害をもたらすような製品・サービスの改竄を行ったり、そのような行為を許したりしてはならない。
②ICT機器の窃用回避の為の規範
国家主体及び非国家主体は、他人のICT資源をボットネットや同様の目的の為に流用するべきではない。
③脆弱性評価に関する規範
国家は、公になっていない情報システムや技術の脆弱性等の開示の要否や時期を透明な手続きで行う枠組みを構築しなければならない。
脆弱性は、基本的には公開するべきである。
④深刻な脆弱性を削減・対処する為の規範
サイバー空間の安定性に重要な製品・サービスの開発者等は、セキュリティと安定性を優先し、深刻な脆弱性から逃れられるよう合理的な段階を踏み、適時に脆弱性に対処できるような策を講じなければならない。
悪意あるサイバー活動の防止・対処の為に、全ての主体は、脆弱性情報を共有する義務を課されている。
⑤基礎的防御としての基本的なサイバー衛生に関する規範
国家は、基本的なサイバー衛生確保の為、法令などを含む適切な手法を採らなければならない。
⑥非国家主体による攻撃的サイバー活動を防ぐ為の規範
非国家主体は、攻撃的なサイバー活動をしてはならず、国家は、このような活動を防止し、対応しなければならない。
GCSCは、以上の規範について、「自発的で拘束的でないコミットメント」であり、「時間の経過とともに、規範は明確化され、国際法になっていく可能性がある」と位置付けています。
2020年には、GCSCの最終報告書が公表される予定だと伺っていますが、昨日に書きました国際的合意を求めるべき方向性の検討に役立つ骨子だと思い、最終報告を楽しみにしています。