« 英国 Ada Lovelace 研究所 データスチュワードシップの法的メカニズムを探る | Main | Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。 »

2021.03.06

Atlantic Council : A primer on the proliferation of offensive cyber capabilities(攻撃的サイバー能力の拡散に関する入門書)

こんにちは、丸山満彦です。

Atlantic Counsilが興味深いレポートを出していました・・・

 

● Atlantic Council

・2021.03.01 A primer on the proliferation of offensive cyber capabilities(攻撃的サイバー能力の拡散に関する入門書)

 


20210306-12154

 

Table of contents 目次
Executive summary エグゼクティブサマリー
Introduction はじめに
Offensive cyber capabilities: Seeing the whole chain 攻撃的なサイバー能力:チェーン全体を見る
Semi- and self-regulated markets for OCC proliferation 攻撃的なサイバー能力の拡散のための半規制市場と自主規制市場
1. Vulnerability research and exploit development 1. 脆弱性調査と攻略手法開発
2. Malware payload development 2. マルウェアペイロード開発
3. Technical command and control 3. 技術的な指令・統制
4. Operational management 4. 運営管理
5. Training and support 5. 訓練と支援
Zeroing in on OCC counter-proliferation 攻撃なサイバー能力の不拡散をゼロにする
About the authors 著者について
   
Executive summary エグゼクティブサマリー
Offensive cyber capabilities run the gamut from sophisticated, long-term disruptions of physical infrastructure to malware used to target human rights journalists. As these capabilities continue to proliferate with increasing complexity and to new types of actors, the imperative to slow and counter their spread only strengthens. But to confront this growing menace, practitioners and policy makers must understand the processes and incentives behind it. The issue of cyber capability proliferation has often been presented as attempted export controls on intrusion software, creating a singular emphasis on malware components. This primer reframes the narrative of cyber capability proliferation to be more in line with the life cycle of cyber operations as a whole, presenting five pillars of offensive cyber capability: vulnerability research and exploit development, malware payload generation, technical command and control, operational management, and training and support. The primer describes how governments, criminal groups, industry, and Access-as-a-Service (AaaS) providers work within either self-regulated or semi-regulated markets to proliferate offensive cyber capabilities and suggests that the five pillars give policy makers a more granular framework within which to craft technically feasible counterproliferation policies without harming valuable elements of the cybersecurity industry. These recommended policies are developed in more detail, alongside three case studies of AaaS firms, in our companion report, Countering Cyber Proliferation: Zeroing in on Access as a Service. 攻撃的なサイバー能力は、洗練された長期的な物理的インフラの破壊から、人権ジャーナリストを標的にしたマルウェアまで多岐にわたっています。これらの能力は複雑さを増し、新しいタイプのアクターにまで増殖し続けているため、その拡散を遅らせ、対策を講じる必要性は強まるばかりです。この増大する脅威に立ち向かうために、実務家や政策立案者は、この背後にあるプロセスと動機を理解しなければなりません。サイバー能力の拡散という問題は、しばしば侵入ソフトウェアの輸出規制の試みとして提示されてきましたが、これはマルウェアの構成要素に焦点を当てたものでした。このプライマーでは、攻撃的サイバー能力の 5 つの柱である脆弱性研究と悪用開発、マルウェアのペイロード生成、技術的指揮統制、運用管理、訓練・支援を提示し、サイバー能力の拡散をよりサイバーオペレーション全体のライフサイクルに沿ったものにするために、サイバー能力の物語を再定義しています。この入門書では、政府、犯罪集団、産業界、アクセス・アズ・ア・サービス(AaaS)プロバイダーが、攻撃的なサイバー能力を増殖させるために、自主規制市場または半規制市場でどのように活動しているかを説明し、5 つの柱が政策立案者に、サイバーセキュリティ産業の貴重な要素を損なうことなく、技術的に実現可能な核不拡散政策を立案するためのより詳細な枠組みを提供することを提案している。これらの推奨される政策は、AaaS企業の3つのケーススタディとともに、当社の関連レポート「サイバー拡散のカウンターリング」の中で、より詳細に展開されています。AaaSをゼロにする。
Introduction はじめに
The proliferation of offensive cyber capabilities (OCC) has often been compared with nuclear proliferation and stockpiling. Nuclear and cyber are two very different threats, especially in their regulatory maturities, but in both of them a multitude of bilateral and multilateral treaties have been created and then sidestepped, acceded to, expanded, and abandoned like steps in a dance. Regulatory and policy aspects in the OCC domain are particularly difficult due to the elusive nature of cyber capabilities, and the difficulty of measuring them, especially in the absence of a clear framework that defines and maps them to the broader picture of international equilibria. Offensive cyber capabilities are not currently cataclysmic, but are instead quietly and persistently pernicious. The barrier to entry in this domain is much more of a gradual rise than a steep cliff, and this slope is expected to only flatten increasingly over time.1 As states and non-state actors gain access to more and better offensive cyber capabilities, and the in-domain incentives to use them,2 the instability of cyberspace grows. Furthermore, kinetic effects resulting from the employment of offensive cyber capabilities, the difficulties in the attribution process of attacks caused by an invisible militia, and the lack of mature counterproliferation regimes bring the problem to a geopolitical scale. 攻撃的サイバー能力(OCC)の拡散は、しばしば核拡散と備蓄と比較されます。核とサイバーは、特にその規制の成熟度においては全く異なる脅威ですが、両者とも多数の二国間・多国間条約が作成された後、ダンスのステップのように回避され、同意され、拡大され、放棄されてきました。OCC の領域における規制・政策的側面は、サイバー能力の捉えどころのない性質と、それを測定することの難しさから、特に、国際的な均衡の大局的なイメージと定義し、マッピングするための明確な枠組みがないために、特に困難なものとなっています。攻撃的なサイバー能力は、現在のところ激変的なものではなく、静かに持続していく悪質なものです。この領域への参入障壁は、急峻な崖というよりはむしろ緩やかに上昇しており、この傾斜は時間の経過とともにますます平らになっていくと予想されます。さらに、攻撃的なサイバー能力の利用による運動効果、見えない民兵による攻撃の帰属過程の難しさ、成熟した核不拡散体制の欠如が、この問題を地政学的な規模にまで 追い込んでいます。
Creating a counterproliferation regime in cyberspace has confounded policy makers for over a decade. As the number of state-sponsored cyber actors continues to rise alongside the severity of cyber attacks, the issue has become even more pressing. サイバー空間における核拡散防止体制の構築は、10 年以上にわたって政策立案者を困惑させてきました。国家が支援するサイバーアクターの数が、サイバー攻撃の深刻さとともに増加し続けているため、この問題はさらに緊急性を増しています。
The renewed vigor with which the European Union (EU) has seized upon this topic and the arrival of new occupants in the locus of political authority in the United States present an opportunity to provide the debate with a more complete context and to more precisely frame the interests of the players involved. This effort sits within the body of work that frames the construction, sale, and use of OCC as a question of proliferation. Policy efforts should seek to reduce the utility of these capabilities and influence the incentives of the parties involved in the process of proliferation, rather than seeking vainly to block proliferation entirely. 欧州連合(EU)がこの問題に新たな勢いで取り組んでいること、そして米国の政治的権威の座に新たな地位を獲得したことは、この議論をより完全な文脈で提供し、関係者の利益をより正確にフレーム化する機会を提供しています。この取り組みは、OCC の構築、販売、使用を拡散の問題としてフレーム化している一連の研究の中に含まれています 。政策努力は、拡散を完全に阻止することを無駄に求めるのではなく、これらの能力の効用を減じ、拡散のプロセスに関与する当事者のインセンティ ブに影響を与えることを目指すべきです。

 

|

« 英国 Ada Lovelace 研究所 データスチュワードシップの法的メカニズムを探る | Main | Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 Ada Lovelace 研究所 データスチュワードシップの法的メカニズムを探る | Main | Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。 »