英国 王立防衛安全保障研究所 (RUSI) 諜報機関が商用クラウドサービスを利用するということはどういうことか？

こんにちは、丸山満彦です。

日本でも、「政府機関が米国を含む海外のクラウド事業者を利用することは安全保障上の問題がある」という意見もありますが、まさにそれって、米国、中国、ロシア以外の200近い国が直面している問題なのだろうと思います。英国も例外ではないようですので、参考にできることはあるでしょうね。。。

英国では、議会の情報・安全保障委員会 (The Intelligence and Security Committee of Parliament: ISC) がの直近の調査項目にクラウドが入っていますね。

英国の王立防衛安全保障研究所 (RUSI) [wikipedia] の研究員が寄稿している論考も参考になる部分があるかもしれません。。。

● The Royal United Services Institute (RUSI)

・2021.11.05 UK Intelligence Agencies and the Commercial Cloud: What Does It All Mean? by Ardi Janjeva and James Sullivan

 

 

---

参考

● U.K. Intelligence and Security Committee of Parliament

● The Guardian

・2021.10.27 Priti Patel pressed to explain award of spy agencies cloud contract to Amazon

US firm Amazon Web Services to host classified material for GCHQ, MI5 and MI6, raising sovereignty concerns

● Center for Strategic & International Studies: CSIS

・2021.10.20 From Data to Insight: Making Sense out of Data Collected in the Gray Zone

 

---

 

 

 

UK Intelligence Agencies and the Commercial Cloud: What Does It All Mean?	英国の情報機関と商用クラウド：その意味するところとは？
Ardi Janjeva and James Sullivan	Ardi Janjeva氏、James Sullivan氏
While cloud technologies allow intelligence agencies to ‘crunch’ data at scale and maintain competency in a big data world, there are concerns over the contracting of third parties based outside of the UK, and questions about oversight mechanisms for commercial cloud technologies.	クラウド技術は、情報機関が大規模なデータの「クランチ」を行い、ビッグデータの世界で能力を維持することを可能にしますが、英国外に拠点を置くサードパーティとの契約には懸念があり、商用クラウド技術の監視メカニズムにも疑問があります。
A recent Financial Times report confirmed the procurement of a high-security cloud system by the UK’s intelligence community. The hosting of sensitive intelligence data on non-government systems is a significant pivot away from traditional practice, where the assumption is that in-house capabilities are relied upon to host sensitive data. The immediate concern about data sovereignty is slightly misleading, as it is most likely that the data is stored and processed on UK soil. However, this public-private partnership between the UK government and Amazon does raise questions relating to the UK’s current lack of sovereign cloud capability, incentives for future UK investment in research and development, and existing oversight mechanisms for big tech and cloud technologies.	最近のファイナンシャルタイム紙の報道によると、英国の情報機関が高セキュリティのクラウドシステムを調達していることが確認されています。政府以外のシステムで機密情報データをホスティングすることは、機密データのホスティングに社内の能力を活用することを前提としていた従来の慣行から大きく脱却することになります。データの保存と処理は英国内で行われる可能性が高いため、データの主権に対する懸念はやや誤解を招く恐れがあります。しかし、英国政府とアマゾンの官民パートナーシップは、英国には主権的なクラウド能力がないという現状、英国の研究開発への将来的な投資に対するインセンティブ、ビッグテックやクラウド技術に対する既存の監視メカニズムなどに関する問題を提起しています。
The Rationale Behind Cloud Technology in a Data-Rich World	データリッチな世界でのクラウド技術の合理性
The amount of data in the world is doubling every two years and the 21st century has seen an explosion in both openly available data and data that the intelligence services collect and work on. Security agencies must be able to piece these together to deliver on their national security objectives. Intelligence agencies know they will be left behind if they rely on legacy systems to turn data into actionable information, particularly in an environment where adversaries are embracing technology and the analysis of data at scale.	世界のデータ量は2年ごとに倍増しており、21世紀に入ってからは、公開されているデータと情報機関が収集しているデータの両方が爆発的に増加しています。セキュリティ機関は、国家安全保障上の目標を達成するために、これらのデータを組み合わせることができなければなりません。情報機関は、データを実用的な情報に変換するためにレガシーシステムに依存していては、取り残されてしまうことを知っています。特に、敵がテクノロジーと大規模なデータ分析を取り入れている環境ではなおさらです。
Jeremy Fleming, the director of GCHQ, has stated publicly that ‘China by more or less any measure is doing well in the development of AI capabilities’, while others in the US have gone further to say that China is comfortably winning the ‘AI race’. Innovations in the way that data is held and connected to create a more complete picture of intelligence operations are central to the future of intelligence analysis. The UK must not fall behind in this endeavour.	GCHQの長官であるジェレミー・フレミング氏は、「中国は多かれ少なかれ、AI能力の開発に成功している」と公言していますが、米国ではさらに、中国が「AIレース」を楽勝で制していると言う人もいます。諜報活動の全体像を把握するためにデータを保有し、接続する方法の革新は、諜報活動の分析の将来にとって中心的なものです。英国はこの試みに遅れをとってはなりません。
It is also important to address the assumption that data will automatically be less secure in a cloud environment. In reality, the level of cyber security depends on the risk management controls adopted by a cloud service provider, such as: how network architecture is designed and segmented; the level of investment in innovative security measures; patching regimes; the ability to make ongoing changes to network architecture; training and investment in skilled staff; compliance with regulatory mandates and risk management frameworks; and most importantly, how the data is physically secured. This final point should be emphasised – it is likely in this case that the cloud network will be air-gapped (physically isolated from unsecure networks).	また、クラウド環境では自動的にデータの安全性が低下するという仮説にも対処する必要があります。実際には、サイバーセキュリティのレベルは、クラウドサービスプロバイダが採用するリスク管理に依存します。例えば、ネットワークアーキテクチャの設計とセグメント化の方法、革新的なセキュリティ対策への投資レベル、パッチ適用体制、ネットワークアーキテクチャを継続的に変更する能力、熟練したスタッフへのトレーニングと投資、規制上の義務とリスク管理フレームワークへのコンプライアンス、そして最も重要なことは、データが物理的にどのように保護されているかということです。最後に強調しておきたいのは、この場合、クラウド・ネットワークがエアギャップ（安全でないネットワークから物理的に隔離されていること）されている可能性が高いという点です。
An ‘Off-the-Shelf’ Approach for Security Agencies	セキュリティ機関のための「すぐに使える」アプローチ
RUSI has written extensively about the relevance of AI and machine learning capabilities to achieving security objectives. Integrating AI and machine learning capabilities into the activities of an entity as large as an intelligence agency requires infrastructure that is rapidly scalable, a data centre that can secure and store as much data as it can collect (wherever it collects it from), and computing power that is capable of processing and analysing that data.	RUSIは、セキュリティ目標の達成にAIや機械学習の能力が関連することについて、これまで何度も記事にしてきました。情報機関のような大規模な組織の活動にAIや機械学習の能力を統合するには、迅速に拡張可能なインフラ、収集できるだけのデータ（どこから収集するかは問わない）を安全に保管できるデータセンター、データを処理・分析できる計算能力が必要となります。
Rather than developing that infrastructure in-house, security agencies can choose to rent it ‘off-the-shelf’ from private providers. Although the clientele of a cloud provider is broader than just the intelligence community, by and large intelligence agency requirements are well-served by commercial cloud technology products. From a productivity perspective, it does make far more sense for the intelligence community to use these commercial products to analyse large volumes of data, rather than developing in-house capabilities that may not be fully functional, take far longer to build, require ongoing maintenance, and potentially run well overbudget.	情報機関は、このようなインフラを自前で開発するのではなく、民間の提供者から「すぐに使える」形でレンタルすることができます。クラウドプロバイダーの顧客層は情報機関だけではありませんが、一般的に情報機関の要求は商用クラウドテクノロジー製品によって十分に満たされます。生産性の観点から言えば、情報機関が大量のデータを分析するためにこれらの商用製品を使用することは、完全に機能しない可能性があり、構築に時間がかかり、継続的なメンテナンスが必要で、予算を大幅に超過する可能性がある社内機能を開発するよりも、はるかに理にかなっています。
The Amazon cloud partnership should be seen as the continuation of a long-established trend rather than a pivotal point of departure	アマゾンとのパートナーシップは、出発点というよりも、長年のトレンドを引き継いだものと考えるべきでしょう。
From an analytical perspective, there are clear short-term wins for the intelligence community when using an off-the-shelf capability. Techniques like natural language processing, machine translation and speech recognition can be deployed to reduce processing times, in turn freeing up intelligence analysts’ time to focus on tasks which require more brainpower.	分析の観点から見ると、既製の機能を使用することで、情報機関にとって短期的な利益が得られることは明らかです。自然言語処理、機械翻訳、音声認識などの技術を導入して処理時間を短縮することで、情報アナリストの時間をより多くの頭脳を必要とするタスクに集中させることができます。
Real-time or near-real-time collaboration across numerous domains and geographical locations can help to create a decision space akin to ‘a single pane of glass’, in the words of one US General. Indeed, we do know that the service being provided by Amazon has interoperability firmly in mind, allowing the intelligence agencies to conduct faster searches on each other’s databases. The positive effects of this on decision-making can be expected to be immediate: a higher-speed, more flexible environment that increases the chances of finding ‘the needle in the haystack’ in a timely fashion. Although the aforementioned techniques can be deployed separately from the cloud, commercial offerings may be lower quality than cloud offerings and the development resource may be prohibitive.	また、多数の領域や地理的な場所を超えたリアルタイムまたはそれに近いコラボレーションにより、米国のある将軍の言葉を借りれば、「一枚のガラス」のような意思決定空間を作り出すことができます。実際、アマゾンが提供しているサービスは、相互運用性を念頭に置いており、情報機関が互いのデータベースをより速く検索できるようになっていることがわかっています。より高速で、より柔軟な環境で、"干し草の中の針 "をタイムリーに見つけられる可能性が高まるのです。前述の技術はクラウドとは別に導入することもできますが、市販のものはクラウドに比べて品質が低く、開発リソースが膨大になる可能性があります。
Despite these positives, the use of ‘off-the-shelf’ capability should not be completely at the expense of the UK’s own research and development. One unintended consequence of this partnership could be the slowing down of investment in UK innovation. Looking at EU strategy, there is a strong desire to invest in next-generation tools and infrastructures to store and process its own data. Similarly, vendor diversity matters, and relying on one cloud provider is suboptimal to say the least – though the value for money of contracting multiple providers should also be a consideration.	このような利点はあるものの、「既製品」の能力を利用することで、英国独自の研究開発を完全に犠牲にしてはなりません。このパートナーシップの意図しない結果として、英国のイノベーションへの投資が鈍化する可能性があります。EUの戦略を見ると、自国のデータを保存・処理するための次世代ツールやインフラへの投資を強く望んでいます。同様に、ベンダーの多様性も重要であり、1社のクラウドプロバイダーに依存することは、控えめに言っても最適ではありません。ただし、複数のプロバイダーと契約することによるコストパフォーマンスも考慮に入れるべきでしょう。
A Warning for UK Data Sovereignty?	英国のデータ主権への警告？
In some quarters, the current deal has been framed as a problem for UK data sovereignty. Some of the arrangements that have been made public, such as the fact that classified UK intelligence data will be stored and protected in the UK and not abroad, and that Amazon will not have any access to information held on the cloud platform, suggest that technically speaking, this risk has been mitigated.	今回の契約は、英国のデータ主権に関わる問題であると指摘する声もあります。英国情報機関の機密データは海外ではなく英国内で保存・保護されることや、アマゾンがクラウドプラットフォーム上の情報にアクセスできないことなど、公開されている取り決めの中には、技術的にはこのリスクが軽減されていることを示唆するものもあります。
However, there are higher-level questions that do emerge when the UK’s intelligence community gradually becomes reliant on commercial cloud technologies. It is important to recognise that commercial partnerships for the UK agencies are not an overnight development; in particular, the role of US technology companies in UK intelligence infrastructure has been built up over the course of two decades. Thus, the latest Amazon cloud partnership should be seen as the continuation of a long-established trend rather than a pivotal point of departure.	しかし、英国の情報機関が徐々に商用クラウド技術に依存するようになると、より高度な問題が浮上してきます。特に、英国の情報インフラにおける米国のテクノロジー企業の役割は、20年かけて構築されたものです。したがって、今回のアマゾンクラウドとの提携は、重要な出発点というよりは、長年にわたって確立されてきた傾向の継続と見るべきでしょう。
Although it has been reported that the intelligence community attempted to procure this infrastructure from a UK provider, there was no viable UK-based offering. This is clearly a regrettable outcome, but equally a reality check is needed when there are calls for sovereign technology solutions. The funds that would have been required to procure and develop a UK solution would likely have far exceeded the estimated cost of the Amazon contract, and it would have brought a great deal of risk compared to the tried-and-tested services provided by Amazon. Undoubtedly, the UK government would have given these issues a great deal of thought before proceeding with the Amazon deal. More broadly, discussions around sovereign technology are a matter of industrial strategy and lie beyond the remit of the intelligence community.	情報機関は、このインフラを英国のプロバイダーから調達しようとしたと言われていますが、英国を拠点とする有力なプロバイダーは存在しませんでした。これは明らかに残念な結果ですが、ソブリン・テクノロジーのソリューションが求められているときには、同様に現実を確認する必要があります。英国のソリューションを調達して開発するために必要な資金は、アマゾンとの契約で見積もられたコストをはるかに超えた可能性が高く、アマゾンが提供する試行錯誤されたサービスに比べて大きなリスクを伴うものでした。英国政府は、アマゾンとの契約を進める前に、間違いなくこれらの問題を十分に検討したことでしょう。より広く言えば、主権技術に関する議論は産業戦略の問題であり、情報機関の権限の及ぶ範囲を超えています。
Future investment in UK innovation means incentivising the private sector to take on more risk with technology investment; introducing incentives for a collaborative model across government, academia and the private sector; and making government the customer of first choice for potential suppliers. There is certainly no quick fix.	今後、英国のイノベーションに投資するためには、民間企業がテクノロジーへの投資でより多くのリスクを負うようにすること、政府、学術機関、民間企業が協力するモデルへのインセンティブを導入すること、政府を潜在的なサプライヤーにとって第一候補の顧客とすることが必要です。即効性のある解決策がないのは確かです。
What is the Role of Oversight?	監督の役割とは？
The role of oversight mechanisms is usually front and centre of the public debate. But it is important to understand the role that different types of oversight play. In terms of oversight of the intelligence community’s capabilities, mechanisms do exist and should suffice. The cloud services offer an extension of what is currently done in-house but at scale, rather than presenting a whole new set of capabilities. The amount of data that is collected is not necessarily changing, but rather the ability to make sense of that set of data and use it more effectively. The Investigatory Powers Commissioner’s Office has for several years been in place to make judgements on whether the agencies are carrying out their activities in a necessary and proportionate manner. There is no reason for this arrangement to change.	監督メカニズムの役割は、通常、公的な議論の中心となっています。しかし、さまざまなタイプの監視が果たす役割を理解することは重要です。情報機関の能力を監視するという意味では、メカニズムは存在しており、それで十分です。クラウドサービスは、全く新しい機能を提供するのではなく、現在社内で行われていることを拡張して大規模化したものです。収集されるデータの量が変わるのではなく、そのデータの意味を理解し、より効果的に使用する能力が変わるのです。数年前から調査権限委員会が設置され、各機関が必要かつ適切な方法で活動を行っているかどうかの判断を行っています。この仕組みを変える理由はありません。
There are undoubtedly higher-level strategic concerns that agreements like the one with Amazon reinforce about the UK’s technology advantage, and the ability to bring that to bear when it really matters	アマゾンとの契約のように、英国の技術的優位性と、それを重要なときに発揮できる能力について、より高度な戦略的懸念があることは間違いありません。
However, there are important oversight-related questions regarding technology companies involved in UK national security. Assessing who is a reliable and trusted partner is a continuous process; even if the company is based in a partner country which is also an intelligence ally, it should still be subject to continuous scrutiny. Much like for the telecommunications sector, there may be existing processes in place for establishing low- and high-risk vendors that are subject to constant re-evaluation.	しかし、英国の国家安全保障に関わるテクノロジー企業については、監督上の重要な問題があります。信頼できるパートナーを見極めるには、継続的なプロセスが必要です。たとえその企業が情報機関の同盟国であるパートナー国に拠点を置いていたとしても、継続的な監視の対象となるべきです。電気通信分野と同様に、低リスクと高リスクのベンダーを確立するための既存のプロセスがあり、常に再評価される必要があります。
When national security data is processed by a private company, questions around the performance and auditability of AI systems are understandably emphasised by policymakers. Private companies have shareholders and stakeholders who are answerable to interests that are not necessarily aligned with those of the agencies, and these interests could change over time. Such oversight questions are not new and would have been explored by the Intelligence and Security Committee over the last decade and beyond. However, a quick glance at the Intelligence and Security Committee’s webpage shows that ‘cloud technologies’ have just been listed as the subject of one of its ongoing inquiries. The procurement of cloud technologies by the intelligence community is a live issue.	国家安全保障データが民間企業によって処理される場合、AIシステムの性能と監査可能性に関する疑問が政策立案者によって強調されるのは当然のことです。民間企業には、政府機関とは必ずしも一致しない利害関係者に回答する株主や利害関係者がおり、これらの利害関係者は時間の経過とともに変化する可能性があります。このような監督上の疑問は新しいものではなく、過去10年以上にわたって情報・安全保障委員会で検討されてきたはずである。しかし、情報・安全保障委員会のウェブページを見てみると、進行中の調査対象の1つとして「クラウド技術」が挙げられているだけである。情報機関によるクラウド技術の調達は、生きた問題です。
In the US, Congress is being encouraged to take a more active role in working with industry to create a comprehensive set of rules, guidelines and technology acquisition processes that will make up a healthy data ecosystem. Parliamentary involvement in the UK could help ensure that the cloud services being procured across government meet certain conditions: for example, that interoperability is not impeded by ‘vendor lock’ where capabilities are designed to only work in a single cloud environment. A ‘build once, deploy anywhere’ philosophy should be central to the way that UK government agencies – and not just the intelligence community – are approaching procurement in this space.	米国では、議会が産業界と協力して、健全なデータエコシステムを構成する包括的なルール、ガイドライン、技術取得プロセスを策定する上で、より積極的な役割を果たすことが求められています。英国でも議会が関与することで、政府が調達するクラウドサービスが一定の条件を満たしていることを確認することができます。例えば、単一のクラウド環境でしか機能しないように設計されている「ベンダーロック」によって相互運用性が阻害されないようにすることができます。情報機関に限らず、英国の政府機関がこの分野の調達に取り組む際には、「一度構築すればどこにでも展開できる」という理念を中心に据える必要があります。
Conclusion	結論
As was seen with the reaction to the Palantir/NHS COVID-19 Data Store deal last year, contracts for big technology and data projects are under the microscope. There are undoubtedly higher-level strategic concerns that agreements like the one with Amazon reinforce about the UK’s technology advantage and the ability to bring that to bear when it really matters, as well as the future of in-house innovation in a world where the private sector can offer high-level capabilities.	昨年のPalantirとNHSのCOVID-19データストア契約への反響に見られるように、ビッグテクノロジーやデータプロジェクトの契約は注目されています。アマゾンとの契約のように、英国の技術的優位性とそれを本当に重要なときに発揮する能力、そして民間企業が高水準の能力を提供できる世界における自社のイノベーションの将来について、より高度な戦略的懸念があることは間違いありません。
Yet we must also be clear about the rationale behind the cloud technology revolution and acknowledge the benefits that it will bring not just to the UK, but to adversaries too. Forming effective partnerships with private sector stakeholders will be important to avoid falling behind allies and adversaries, but with that comes a whole set of considerations which both Parliament and the wider public need to engage with in the most informed way possible. For cloud technologies, it seems that a UK parliamentary inquiry intends to do just that.	しかし、クラウド技術の革新の背景にある理由を明確にし、英国だけでなく敵国にもその恩恵が及ぶことを認識する必要があります。同盟国や敵国に後れを取らないためには、民間の利害関係者と効果的なパートナーシップを築くことが重要ですが、それには、議会や一般市民が可能な限り情報を得た上で関与する必要がある一連の検討事項が伴います。クラウド技術に関しては、英国議会の調査がまさにそれを意図しているようです。