NATO CCDCOE サプライチェーンのサイバーセキュリティに対する国の取り組み: リスクの高いベンダーに対してより制限的なスタンスをとる (2023.05)
こんにちは、丸山満彦です。
安全保障上の重要な物資のサプライチェーン全体をサイバー空間を通じても競合から防御する必要があるということで、各国が取り組み始めていますが、フィンランド、日本、英国、米国について簡単にまとめているかんじですかね。。。
日本についても触れられているので興味深いですね。。。
気になるサプライチェーン上のサイバーセキュリティに関連するリスクには、次のようなものがあるかもですね。。。
・事業継続に関する事項:生活に重要な社会システムのサプライチェーンがサイバー攻撃を受けて停止し、社会生活に影響を受ける場合。コロニアルパイプラインがその例(結果的にでしたが...)ですかね。。。
・競争に関する事項:他国との競争上に重要な物資、システム等の製造、運用等に関連するサプライチェーンがサイバー攻撃を受けて、重要な情報が窃取され、他国との競争上の有利が減少するような自体。最新の半導体、医療技術等に関する情報がサイバー攻撃により盗まれるような場合がそうなのでしょうかね。。。
・安全に関する事項:危険な物質等の管理に関係するシステムのサプライチェーンがサイバー攻撃を受け予期せぬ行動をとり、安全に影響が出る場合。(一般的にはシステムにフェイルセーフ機能がついていたり、他の手段の方が容易なので、あまりないかも知れません)
要は、従来、企業単位でみていたリスクを組織(企業等)を跨いで、プロセス全体でみるということですよね。。。
企業内のように権限による統制が効かない中で、どのようにして組織を跨いでプロセス全体の安全を図るかということですよね(例えば、ソフトウェアの品質を確保するという意味では、SBOMのようなもの。運用の品質を確保するという意味では、ISMAP、FedRAMPのような制度)。。。で、それは組織利益ではなく、国民全体の利益に関係するということですから、企業内が規程で守るのであれば、社会全体は法律等により守るというのが、実は良いのかもしれませんね。。。国民の同意の上で。。。
次の文章が、Abstractの3paraの冒頭にありますね。。。
Despite a lack of binding agreements, all four countries reviewed in this paper have some domestic legislation or documents to regulate the supply chain and safeguard national security and foreign policy interests. Except for Japan, they passed laws addressing various cybersecurity issues.
National approaches to the supply chain cybersecurity: Taking a more restrictive stance against high-risk vendors. | サプライチェーンのサイバーセキュリティに対する国の取り組み: リスクの高いベンダーに対してより制限的なスタンスをとる。 |
Supply chain attacks are among the most significant security concerns to nations. There are a variety of options to mitigate supply chain cybersecurity risks, yet none is perfect, especially for state-sponsored cyber threats. This paper focuses on preventative approaches and intends to give an overview of national practices in selected countries: Finland, Japan, the United Kingdom, and the United States. | サプライチェーンの攻撃は、国家にとって最も重大なセキュリティ上の懸念事項の一つである。サプライチェーンのサイバーセキュリティリスクを軽減するための様々なオプションがあるが、特に国家が支援するサイバー脅威に対しては、完璧なものは存在しない。本稿では、予防的なアプローチに焦点を当て、特定の国における国内実践の概要を説明することを意図している: フィンランド、日本、英国、米国。 |
・[PDF]
・[DOCX] 仮訳
目次...
Acknowledgements | 謝辞 |
Abbreviations | 略語 |
Abstract | 要旨 |
1. Introduction | 1. 序文 |
2. United States´ ‘Clean Network’ Initiative for 5G | 2. 米国における5Gのための「クリーンネットワーク」構想 |
3. EU | 3. EU |
4. Four National Approaches to Controlling the Supply Chain Cybersecurity | 4. サプライチェーンのサイバーセキュリティを制御するための4つの国のアプローチ |
4.1 Finland | 4.1 フィンランド |
4.2 Japan | 4.2 日本 |
4.3 United Kingdom | 4.3 英国 |
4.4 United States | 4.4 米国 |
5. United Nations | 5. 国際連合 |
6. Conclusions | 6. 結論 |
7. References | 7. 参考文献 |
要旨と序文...
Abstract | 要旨 |
Supply chain attacks are among the most significant security concerns to nations. There are a variety of options to mitigate supply chain cybersecurity risks, yet none is perfect, especially for state-sponsored cyber threats. This paper focuses on preventative approaches and intends to give an overview of national practices in selected countries: Finland, Japan, the United Kingdom, and the United States. | サプライチェーンへの攻撃は、国家にとって最も重大なセキュリティ上の懸念事項の一つである。サプライチェーンのサイバーセキュリティリスクを軽減するための様々なオプションがあるが、特に国家が支援するサイバー脅威に対しては、完璧なものはない。本稿では、予防的なアプローチに焦点を当て、特定の国における実践を概観することを意図している: フィンランド、日本、英国、米国である。 |
There are no international legally binding rules or principles in the cybersecurity of the supply chain and a growing number of states perceive the need for national frameworks and mechanisms for ensuring the cybersecurity of the supply chain and globally common rules, as shown in some discussions ongoing at the UN. Western countries have developed frameworks at the regional and national levels based on their commonly shared perception that the supply chain is vulnerable to threats from adversarial foreign countries and that these threats must be effectively addressed by strengthening national regulations. | サプライチェーンのサイバーセキュリティに関する国際的な法的拘束力のあるルールや原則はなく、国連で行われている議論に見られるように、サプライチェーンのサイバーセキュリティを確保するための国内的な枠組みやメカニズム、世界共通のルールの必要性を認識する国が増加している。欧米諸国は、サプライチェーンが敵対的な外国からの脅威に対して脆弱であり、これらの脅威は国内規制を強化することで効果的に対処しなければならないという共通認識に基づいて、地域レベルや国家レベルで枠組みを構築している。 |
Despite a lack of binding agreements, all four countries reviewed in this paper have some domestic legislation or documents to regulate the supply chain and safeguard national security and foreign policy interests. Except for Japan, they passed laws addressing various cybersecurity issues. In the defence arena, all but Finland are comprehensive in covering almost all products and services, at least from the publicly available information. Finland’s regulations appear more limited in scope as they only focus on ‘the most critical parts of the communication network.’ The UK and the US are explicit in targeting high-risk vendors such as Huawei and particular countries such as China and Russia (in the case of the US) and strict requirements are imposed on domestic providers to remove these risk vendors from their network systems. Finland and Japan are implicit in this regard. However, all four nations have come to a similar practice by excluding or refraining from acquiring certain products and services made by certain countries. | 拘束力のある協定はないものの、本稿で検討した4カ国はいずれも、サプライチェーンを規制し、国家安全保障や外交政策の利益を守るための何らかの国内法または文書を持っている。日本を除いては、サイバーセキュリティの諸問題に対処する法律を成立させている。防衛分野では、フィンランドを除くすべての国が、少なくとも公開されている情報からは、ほぼすべての製品・サービスを対象とする包括的なものである。フィンランドの規制は、「通信ネットワークの最も重要な部分」にのみ焦点を当てているため、より限定的な範囲に見える。英国と米国は、ファーウェイなどの高リスクベンダーや、中国やロシアなどの特定の国(米国の場合)をターゲットにすることを明示しており、国内のプロバイダーには、これらのリスクベンダーをネットワークシステムから排除する厳しい要件が課せられている。この点ではフィンランドと日本が暗黙の了解となっている。しかし、4カ国とも、特定の国によって作られた特定の製品やサービスの取得を除外したり、控えたりすることで、同様の慣行に至っている。 |
National practices on the topic of the cybersecurity of the supply chain and the threat perceptions behind these practices vary between countries, including across the EU and NATO making it even more difficult to develop common international rules and standards. However, there is a pressing need to address the threats ahead of actual incidents since no country is exempt from supply chain cyberattacks and further exchange of good practices between countries is recommended in the UN GGE 2021 Report (para. 57 (b)). Transparency, objectivity and impartiality of these national approaches are key to success, as proposed in the UN GGE Report (para. 57 (a)). | サプライチェーンのサイバーセキュリティというテーマに関する各国の慣行と、その背景にある脅威認識は、EUやNATOを含めて国によって異なるため、共通の国際ルールや基準を策定することはさらに困難である。しかし、サプライチェーンのサイバー攻撃から免れる国はないため、実際の事件に先立ち脅威に対処することが急務であり、国連GGE2021報告書では、各国間のグッドプラクティスのさらなる交換を推奨している(para. 57 (b)). これらの各国のアプローチの透明性、客観性、公平性が成功の鍵であり、国連GGE報告書で提案されている(para. 57 (a)). |
1. Introduction | 1. 序文 |
Supply chain attacks are significant security concerns to nations. The European Union Agency for Cybersecurity (ENISA) reported that there were 24 confirmed supply chain attacks between January 2020 and early July 2021 and more than 50% of these attacks were attributed to well-known state-sponsored cybercriminal groups.[1] While analysis of these past cases and attribution is important from a law enforcement perspective, this paper focuses on preventative approaches and intends to give an overview of national practices in Finland, Japan, the United Kingdom, and the United States. | サプライチェーンの攻撃は、国家にとって重大な安全保障上の問題である。欧州連合サイバーセキュリティ機関(ENISA)は、2020年1月から2021年7月初旬までに24件のサプライチェーン攻撃が確認され、これらの攻撃の50%以上が有名な国家支援型サイバー犯罪集団に起因すると報告した[1]。 これらの過去の事例と起因の分析は法執行の観点から重要であるが、本稿では予防的アプローチに焦点を当て、フィンランド、日本、英国、米国における各国の実践を概観する。 |
Concern about cyber threats in the supply chain is not new, but a perception as to what constitutes cyber threats to supply chain security may vary by country. There are also a variety of options to mitigate supply chain cybersecurity risks but none of these is perfect, especially for state-sponsored cyber threats. Think of an ICT company headquartered in a state where that company has close ties with authorities and its software products are widely used for critical infrastructure around the globe. Other scenarios may include gaining unauthorised access to a closed network and inserting backdoors to a victim's computer terminal by perpetrators who may not even be in the country. In such cases, it is far from easy to arrest and punish criminals. What the US Congress did to Kaspersky products in 2017 was to remove them from government procurement, even though it was fully certified under the US government-run validation programme. Other countries are taking a similar approach. | サプライチェーンにおけるサイバー脅威への懸念は新しいものではないが、サプライチェーンのセキュリティに対するサイバー脅威を構成するものについての認識は、国によって異なる可能性がある。また、サプライチェーンのサイバーセキュリティリスクを軽減するための様々なオプションがありますが、特に国家がスポンサーとなるサイバー脅威に対しては、どれも完璧ではない。ある国に本社を置くICT企業が当局と密接な関係を持ち、そのソフトウェア製品が世界中の重要なインフラに広く使用されている場合を考えてみるとよい。また、国内にいない犯人によって、閉ざされたネットワークに不正にアクセスされたり、被害者のコンピューター端末にバックドアを挿入されたりするケースも考えられる。このような場合、犯人を逮捕し、処罰することは容易ではない。2017年に米国議会がカスペルスキー製品に対して行ったことは、米国政府が運営する検証プログラムの下で完全な認証を受けていたにもかかわらず、政府調達から外すというものでした。他の国も同様の方法をとっている。 |
With such national security interests in mind, this paper starts with frameworks at the regional level: the US-led Clean Network Initiative for 5G and the EU Toolbox of risk mitigating measures (Chapters 2 and 3). Chapter 4 explores what regulatory measures are in place in these countries and whether the measures are removing particular vendors or countries from the defence arena. To this date, there is no binding international agreement on this matter and only diplomatic negotiations at the UN provide a norm that is distinct from legally binding rules and principles. Chapter 5 confirms what has been agreed upon and what has yet to be agreed upon at the UN. With growing numbers of similar national approaches, more and more countries will become aware of the problem and this will help to shape international agreement. Chapter 6 seeks commonalities of the threat perception and measures in place with a view to looking for more legislative moves at regional and multilateral fora. | このような国家安全保障上の利益を念頭に置き、本稿ではまず地域レベルの枠組みとして、米国主導の5GのためのClean Network InitiativeとEUのリスク軽減措置のToolboxを紹介する(第2章と第3章)。第4章では、これらの国々でどのような規制措置がとられているのか、またその措置が特定のベンダーや国を防衛の場から排除しているのかどうかを調査している。現在までのところ、この件に関する拘束力のある国際合意はなく、国連での外交交渉のみが、法的拘束力のある規則や原則とは異なる規範を提供している。第5章では、国連で何が合意され、何がまだ合意されていないのかを確認している。同じような国のアプローチが増えることで、より多くの国が問題意識を持ち、それが国際的な合意を形成することにつながる。第6章では、地域や多国間の場での立法化を視野に入れながら、脅威の認識や対策の共通点を探っている。 |
This report is written by Keiko Kono overall, and Chapter 3 is written in part by Samuele De Tomas Colatin. Legislative efforts in respective nations and international organisations are ongoing and this paper thus is not conclusive and definitive but a study, hoping to be followed by further analysis in the future. | 本報告書は、全体を河野恵子が、第3章をSamuele De Tomas Colatinが一部執筆している。各国や国際機関における法整備は現在も進行中であり、本稿は決定的なものではなく、今後のさらなる分析に期待する研究である。 |
Comments