ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?
こんにちは、丸山満彦です。
Oxford Academicの"Journal of Cybersecurity"で、民間企業による能動的サイバー防衛についての記事がありますね。。。
● Oxford Academic - Journal of Cybersecurity
Abstract | 概要 |
Private sector Active Cyber Defence (ACD) lies on the intersection of domestic security and international security and is a recurring subject, often under the more provocative flag of ‘hack back’, in the American debate about cyber security. This article looks at the theory and practice of private cyber security provision and analyses in more detail a number of recent reports and publications on ACD by Washington DC based commissions and think tanks. Many of these propose legalizing forms of active cyber defence, in which private cyber security companies would be allowed to operate beyond their own, or their clients’ networks, and push beyond American law as it currently stands. Generally, public-private governance solutions for security problems have to manage a balance between (i) questions of capacity and assigning responsibilities, (ii) the political legitimacy of public–private security solutions and (iii) the mitigation of their external effects. The case of private active cyber defence reveals a strong emphasis on addressing the domestic security (and political) problem, while failing to convincingly address the international security problems. The proposals aim to create a legitimate market for active cyber defence, anchored to the state through regulation and certification as a way to balance capacity, responsibilities and domestic political legitimacy. A major problem is that even though these reports anticipate international repercussions and political pushback, against what is likely be received internationally as an escalatory and provocative policy, they offer little to mitigate it. |
民間企業による能動的サイバー防衛(Active Cyber Defence: ACD)は、国内安全保障と国際安全保障の接点に位置しており、米国のサイバーセキュリティに関する議論では、しばしば「ハックバック」という挑発的な旗印のもと、繰り返し取り上げられるテーマとなっています。 この記事では、民間のサイバーセキュリティ提供の理論と実践について考察し、ワシントンDCを拠点とする委員会やシンクタンクがACDに関して最近発表した数多くのレポートや出版物をより詳細に分析しています。 これらの提案の多くは、能動的サイバー防衛を合法化するもので、民間のサイバーセキュリティ企業が自社や顧客のネットワークを超えて活動することを認め、現在のアメリカの法律を超えて活動することを提案しています。 一般的に、安全保障問題に対する官民のガバナンスによる解決策は、 (1)能力と責任の分担に関する問題、 (2)官民の安全保障解決策の政治的正当性、 (3)外部への影響の緩和、 のバランスを管理しなければなりません。 民間の能動的サイバー防衛のケースでは、国内の安全保障上(および政治上)の問題に対処することに重点が置かれている一方で、国際的な安全保障上の問題に説得力を持って対処することができていません。 これらの提案は、能力、責任、国内政治的正当性のバランスをとる方法として、規制や認証を通じて国家に固定された、能動的サイバー防衛のための合法的な市場を創出することを目的としています。 大きな問題は、これらの報告書が、国際的にはエスカレートした挑発的な政策として受け取られるであろうことに対して、国際的な反響や政治的な反発を予想しているにもかかわらず、それを緩和するための提案がほとんどないことです。 |
少し気になった図が下の図です。
Figure 1: the continuum between defensive and offensive cyber operations.
Source: Center for Cyber and Homeland Security. Into the Gray Zone. The Private Sector and Active Defense against Cyber Threats. Washington: George Washington University, 2016.
* Passive Defense | * パッシブディフェンス |
Basic security controls, | 基本的なセキュリティ対策。 |
Firewalls, | ファイアウォール。 |
Antivirus, | アンチウイルス。 |
Patch management, | パッチ管理。 |
Scanning and | スキャンと |
Monitoring, etc | モニタリングなど |
* Active Defense: The (Light) Gray Zone | * アクティブディフェンス (ライト)グレーゾーン |
Information Sharing | 情報共有 |
Tarpits, Sandboxes & Honeypots | タールピット、サンドボックス、ハニーポット |
Denial & Deception | 拒否と欺瞞 (D&D) |
Hunting | ハンティング |
Beacons - Notify owner in case of theft | ビーコン - 盗難の際に所有者に知らせる |
Beacons - Provide information on External networks | ビーコン - 外部ネットワークの情報提供 |
Intelligence Gathering in Deep Web/Dark Net | ディープウェブ/ダークネットでの情報収集 |
* Active Defense: The (Dark) Gray Zone | * アクティブディフェンス (ダーク)グレーゾーン |
Botnet Takedowns | ボットネットのテイクダウン |
Coordinated sanctions, indictments & Trade Remedies | 制裁、起訴、貿易救済措置の調整 |
White-hat Ransomware | ホワイトハットランサムウェア |
Rescue Missions to Recover Assets | 資産回復のための救助任務 |
* Offensive Cyber | * 攻撃的サイバー |
Hacking back/Operations intended to disrupt or destroy external networks or information without authorization | ハッキングバック/許可なく外部のネットワークや情報を破壊することを目的とした作戦 |
● Center for Cyber and Homeland Security:
CCHS
・2016.10.12 [PDF] Into the Gray Zone. The Private Sector and Active Defense against Cyber Threats (Downloded)
また、米国では、能動的サイバー防御確実性法(Active Cyber Defense Certainty Act: ACDC)案が、2017年に下院に提出されていますが、
・2017.10.12 [PDF] 115th Congress 1st Session H. R. 4036 Active Cyber Defense Certainty Act
議論はされずに、2019年に下院再提出されていますね。。。
・2019.06.28 116th Congress 1st Session H.R.3270 - Active Cyber Defense Certainty Act
またYou Tubeの議論も参考になるかもです。。。
● Center for Cyber and Homeland Security CCHS Event
・2016.11.01 [Youtube] "Into the Gray Zone: The Private Sector and Active Defense against Cyber Threats"
■ 参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)
Comments