NATO CCDCOE タリンペーパー第13号:平時のサイバーアトリビューションに関する証明基準の開発
こんにちは、丸山満彦です。
NATO CCDCOEに、タリンペーパー第13号:平時のサイバーアトリビューションに関する証明基準の開発が掲載されていますね。。。サイバー攻撃を受けたら、誰から?というのは普通の感覚ですが、それを確かめるのは難しいですね。。。
サイバー攻撃は誰が行っているのかを証明するための基準の合意ができると素晴らしいと思うもののなかなか難しいのは理解できます。
この著者は、アトリビューションについて、
- 技術的
- 政治的
- 法的
に分けて議論する必要があると考えているようです。確かに中国のサーバーから攻撃を受けていることが明確になったとしても、それを中国政府職員のハッカーが攻撃をしているといえるのかというと、それだけでは不十分でしょうし、、、この辺りは、サイバー攻撃とは何か、とか、色々と法的な観点からの検討も必要ですし、技術+法律の知識が必要となる領域ですね。。。
● The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE
・2022.04 Tallinn Paper: Developing Applicable Standards of Proof for Peacetime Cyber Attribution
| Tallinn Paper: Developing Applicable Standards of Proof for Peacetime Cyber Attribution | タリン・ペーパー 平時のサイバーアトリビューションに関する証明基準の開発 |
| In order to take countermeasures properly under customary international law, states must attribute the triggering internationally wrongful act to the perpetrator state accurately. International law tolerates no mistake or error in such attributions, in essence holding states to a standard of proof of “beyond reasonable doubt” for a countermeasure to be lawful. However, in the potentially more consequential context of self-defence — in which, unlike with countermeasures, military force is authorised — a notably less stringent standard of “reasonableness” applies and errors in attribution are accepted. The author proposes that standards of proof applicable to peacetime cyber attribution should be more stringent as the severity of the action in response increases. According to the new Tallinn Paper, a more balanced approach would subject attribution of internationally wrongful cyber operations giving rise to countermeasures to a preponderance of the evidence standard. At the same time, any response taken by a state in self-defence should require attribution based on clear and convincing evidence before it is deemed “reasonable”. | 国際慣習法の下で適切に対抗措置を講じるためには、国家は、国際的に不正な行為の引き金となったものを、加害国に正確に帰属させなければなりません。国際法は、このような帰属の誤りや間違いを許しません。要するに、対抗措置が合法であるためには、「合理的疑いを越えて」という証明基準を国家に課しているのです。しかし、より大きな影響を及ぼす可能性のある自衛の文脈では、対抗措置とは異なり、軍事力が認められているため、「合理性」の基準はかなり緩やかであり、帰属の誤りは容認されます。著者は、平時のサイバーアトリビューションに適用される証明基準は、対応する行為の重大性が増すほど、より厳格になるべきだと提案しています。この新しいタリンペーパーによれば、よりバランスの取れたアプローチは、対抗措置の原因となる国際的に不正なサイバー操作の帰属を証拠の優越基準に委ねるというものです。同時に、国家が自衛のために行う対応は、「合理的」と判断される前に、明確かつ説得力のある証拠に基づく帰属を必要とするはずです。 |
・[PDF] Tallinn Paper: Developing Applicable Standards of Proof for Peacetime Cyber Attribution
米国は、中国だ、ロシアだとかなり名前を上げてきていますし(中国はそんなことはないと反論することもあります)、具体的に犯人を起訴、逮捕するケースもあります。。。最近は中国やロシアもそういうことを公開し始めていますね。。。
日本でも「令和3年版警察白書」で、中国からのサイバー攻撃を受けたというメモ(第1部 特集·トピックス - 特集2 サイバー空間の安全の確保 P20)があります。。。
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明
・2022.03.30 中国 国家サイバースペース管理局 我が国のインターネットは海外からのサイバー攻撃に遭っています。。。(2022.03.11)
« 防衛装備庁 防衛産業サイバーセキュリティ基準の強化について | Main | SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31) »
Comments