サイバースペース・ソラリウム委員会レポート:エグゼクティブサマリのサマリ
こちらは、2020年に公開された「サイバースペース・ソラリウム委員会レポートのエグゼクティブサマリ」のサマリです。個人的メモとして、本文の中で気になったことを埋め込んで作成しました。強調のため、一部太字にしています。
喫緊の課題(全訳、国名削除)
20年以上にわたり、国家的・非国家的攻撃者は、サイバー空間において、米国の権威、米国の安全保障、米国の生活の質、そして米国人の生活を脅かしてきました。米国は、それに対し、刑事告発、経済制裁、そして強固なサイバー・非サイバー軍事能力を開発してきたにもかかわらず、米国への攻撃は続いています。加害者たちは、自分たちの猛攻が大きな報復を誘発することなく、米国にダメージを与えていることを見抜いていました。競合国(←修正)のサイバー工作員は、自国の軍事・経済を加速させるため、もしくは、米国の軍事的優位性を損なうために、数千億ドルの知的財産を盗み出しました。また、犯罪者たちは、グローバルに接続されたネットワークを利用して、個人、企業、政府から資産を盗み出しました。さらに、過激派グループは、ネットワークを利用して資金を調達し、信奉者を募り、国境を越えた脅威と不安を増大させました。米国は、これらの侵略的行為を抑えることができていません。
デジタル化は、経済成長、技術的優位性、生活の質の向上をもたらした一方、米国人に戦略的ジレンマをもたらしました。すなわち、デジタル化やデータ交換が増えれば増えるほど、敵対者が、我々の生活を破壊し、重要インフラを破壊し、経済的・民主的な制度を破壊する機会も増えていきます。現在、我々はサイバー空間において活動しており、米国政府や民間企業が個別には提供できないレベルのデータセキュリティ、レジリエンス、信頼性が必要とされています。さらに、米国政府内でも官民間でも、変化への対応力(俊敏性)、技術的専門知識、統合的な力が足りていません。
これらの課題に対処するために、米国は、サイバースペース・ソラリウム委員会を2019年国防権限化法に基づき設置しました。
サイバースペース・ソラリウム委員会は、「どのような戦略的アプローチがあれば、重大な結果をもたらすサイバー攻撃から米国を守れるのか?」そして、「その戦略を実施するためには、どのような政策と立法が必要なのか」を質すことが任務となります。
どう対処すべきか(要約)
サイバースペース・ソラリウム委員会は、広範な調査を実施した後、下記の3つのレイヤー(層)から構成されるレイヤー型サイバー抑止を提唱します。
- 行動規範形成(Shape behavior)
- 拒否力向上(Deny benefits)
- 懲罰的抑止(Impose costs)
これら3つの抑止層は、75 以上の提言をまとめた 6つの政策の柱に分解されます。
レイヤー型のサイバー抑止の根幹は 2 つの側面から成ります。一つ目は、「拒否による抑止(deterrence by denial)」です。これは、レジリエンスと官民連携、敵の標的となりうる脆弱性を減らすことが求められます。二つ目は、「ディフェンドフォワード(defend forward)」(訳注:defend forwardを、「前方防衛」とする訳もありますが、ここでのforwardには、物理的なニュアンスだけなく、時間的なものもあるので、カタカナとしてみました。最後に、個人的なまとめの補足があります。)という概念です。「ディフェンドフォワード」とは、米国防総省に由来するもので、「軍事的対応を含めた報復的対応を正当化するレベルまでには上がらないサイバー攻撃(閾値以下のサイバー攻撃)」の頻度と重大度を低減することを狙っています。また、ディフェンドフォワードは、進行中の敵の作戦を混乱させ打ち負かすため、積極的に敵の作戦を観察し、追求し、対抗し、武力衝突以外のコストを課すことを示します。
具体的な実践法(要約)
基本的理念:政府改革(全訳)
サイバー抑止の3層構造は、共通の理念の上に成り立っています。その理念とは、「サイバー空間の安全を確保すること」、及び、「攻撃に対応するための米国政府の組織を改革すること」です。
米国政府は現在、サイバー空間で国を守るために必要なスピードと敏捷性を持って行動するようには設計されていません。我々は、レジリエンスを確立し、サイバー脅威に対応し、敵対者にコストを課す能力と、そのための軍事的選択肢を維持するために、政府の同時並行的、継続的、協調的な努力を組織化する能力を向上させ、より速く、より賢くならなければなりません。重層的なサイバー抑止戦略に沿って、適切な資金と人員を確保した政府の監督と組織を改革することで、米国はネットワークに対する重大な攻撃の成功確率、被害規模、影響を軽減することができるようになります。
柱1:政府の改革(要約)
「サイバー空間は米国の経済と社会を一変させたが、政府はそれに追いついていない」との認識の下、「政府のあらゆるレベルでの迅速かつ包括的な改善」が求められます。
そのために必要とされる具体的なアクションとしては、
- (行政府)国家サイバー戦略の策定(1.1) 、
- (議会)サイバーセキュリティの統合的監視委員会の設置(1.2) 、
- (議会)国家サイバー長官(NCD)を大統領執行部内に設置(1.3)、
- (議会)Cybersecurity and Infrastructure Security Agency (CISA) を予算・権限を強化(1.4)、
- (議会と行政府)サイバー人材の採用、育成、保持をより良くするための政策の実施(1.5)、
があります。
~~~
補足:国家サイバー長官(NCD)の役割りは、1.3(P.37)に以下のように示されています。
- サイバーセキュリティおよび関連新興技術問題を扱う大統領主席顧問、 サイバー戦略および政策に関する国家レベルの主席調整役
- 米国内の敵対的なサイバー活動へ対処する連邦政府の活動全体を監督・調整
- (国家安全保障顧問または国家経済顧問の同意を得て)内閣レベルまたは国家安全保障会議 (NSC) 主任委員会レベルの会議および関連準備会議を招集
- 指定機関のサイバーセキュリティ予算の審査
~~~
補足:(政府内)人材関係については、P.43〜で、「政府は、既存の人事制度ではないキャリアパスを導入しなければならないなど」の指摘とともに、政府組織内の異なる部門や機関間の移動を容易にするために、「NISTのNICE(National Initiative on Cybersecurity Education) サイバーセキュリティ人材フレームワークやサイバー人材管理システム(CTMS:Cyber Talent Management System)などの標準を導入すること」などが提案されています。
~~~
レイヤ1:行動規範形成(要約)
第1層では、規範と非軍事的手段を強化することで、責任ある行動を形成し、サイバー空間での自制を促すことを求めています。国のリーダーシップなしでは効果的な規範は生み出されません。このため、米国は、サイバー空間における共通の利益と価値観を確保するために、パートナーや同盟国の連携を構築することが求められます。
柱2:規範と非軍事的手段の強化(要約)
「米国やその他の国は、サイバー空間における責任ある行動の規範に合意しているが、今日ではほとんど実施されていない」と言う認識の下、「米国は、法執行、制裁、外交、情報共有などの非軍事的手段を用いて、より効果的に国家がこれらの規範に従うようにし、違反者を処罰することで、現在のサイバー規範のシステムを強化すること」を求めています。違反者を処罰するために、「サイバー攻撃を迅速かつ正確に特定できうる能力、サイバー空間におけるルールに基づく国際秩序」が求めています。
そのために必要とされる具体的なアクションとしては、
- (国務省に)サイバースペース安全保障・新興技術局(CSET;Cyberspace Security and Emerging Technologies )を創設(2.1) 、
- 国際的な情報通信技術基準を定めるフォーラムへの行政府の積極的効果的な関与 (2.1.2)、
- サイバー空間における法執行活動のための国際的手段の改善(2.1.4)、
があります。
~~~
補足:CSETの役割については、2.1(P.48)で、「サイバー空間における国家の責任ある行動の規範と信頼醸成手段の提唱、サイバー脅威に 対する国際社会との外交、インターネットの自由の提唱、安全なデジタル経済の確保、サイバー犯罪と闘うための パートナーや同盟国の能力構築などが含まれるべきである。CSET の局長は大使の地位を持つべきであるが、他機関の海外業務に取って代わるものではなく、むしろ海外での米国の努力の一貫性を確保し、米国の国家戦略との整合性を確保するものである」とあります。
~~~
補足:エグゼクティブサマリには記載がありませんでしたが、2.1.3(P.51)に、同盟国への支援に関して、「米国の敵対国は、米国のパートナー国を将来米国に対して使用される可能性のあるサイバー作戦の実験台として利用している。これらのパートナー国の能力を強化することは、サイバー兵器をテストし、改良しようとする敵対者を牽制するのに役立つ」との記述があります。また、2.1.6(P.53)に、アトリビューション能力の向上の必要性についての記述もあります。
~~~
レイヤ2: 拒否力向上(要約)
第2層では、国家のレジリエンスを促進し、サイバーエコシステムを再構築し、政府と民間セクターとの関係を強化して、共通の状況認識と共同協力のレベルを確立することで、敵対者に利益を与えないようにすることを求めています。米国は、サイバー空間における自国の利益と制度を確保するために、国を挙げてのアプローチを必要としています。
柱3:国家のレジリエンスの促進(要約)
レジリエンスとは、「被害をもたらしたり、威圧、抑止、抑制、その他自国の行動を形成する可能性のある攻撃に耐え、迅速に回復する能力」です。レジリエンスは、敵の作戦に利益を与えず、敵側の戦略的目的を達成する能力に対する信頼を低下させる鍵となります。
そのために必要とされる具体的なアクションとしては、
- (議会及び行政府)CISAの権限強化と予算配分 (3.1)、
- (議会)経済の継続性計画の策定 (3.2) 、
- (議会)サイバー対応・回復基金の用意 (3.3)、
- (議会)連邦・州・地方自治体における選挙の支援 (3.4)、
- (行政府)デジタルリテラシーや国民の意識向上を促進、情報操作に対する社会的レジリエンスを構築すること (3.5)、
があります。
~~~
補足:国家のレジリエンス実現の課題認識についての記述が、3.1(P.55)にありました。
国家のレジリエンスの実現のために、「各機関が、担当するセクター内のリスクを特定し、評価し、民間セクターのリスク管理を支援すること、また、物理的およびサイバーを含むセクター横断的なリスクを特定し、長期的に管理することができる国家レベルでのリスク管理が必要である」が、「機関の能力と意欲に不均衡と矛盾」があるとの認識が示されています。
そこで、「議会は、セクターごとにリスク管理機関を法律に成文化し、その権限の下にある重要なインフラセクターのリスクを特定し、評価し、管理を支援するための責任と要件を確定し、これらの責任を遂行するために必要な各機関の資金を適切に配分すべきである」とありました。
~~~
柱4:サイバーエコシステムの再構築(要約)
セキュリティ向上のためには、議会・行政府は、民間企業と提携し、プラスの結果が得られるようにインセンティブを調整する必要があります。市場を調整する必要がある場合もあります。また、市場が存在しない場合や、リスクに適切に対処できない場合には、米国政府は、法制化、規制、行政措置、公的機関や民間企業の投資を検討すべきです。
そのために必要とされる具体的なアクションとしては、
- 情報通信技術製品のセキュリティ認証制度の確立(4.1)、
- 脆弱性を放置するベンダへの損害賠償の責任を負う法律の制定(4.2)、
- サイバーセキュリティに関する統計データの収集・提供をするサイバー統計局の設立(4.3)、
- サイバーセキュリティ保険商品の認証の開発(4.4)、
- クラウドセキュリティ認証の開発(4.5)、
- 情報通信技術サプライチェーン戦略の策定(4.6)、
- 個人データの収集、保持、共有を定める国家データセキュリティ・プライバシー保護法の制定(4.7)、
があります。
~~~
補足:エコシステムの構築についての記述がP.71ににありました。これらの柱を実現するために、上の提案(4.1〜4.7)が提示されています。
- 製品メーカーが「先に市場に出す」という考え方を捨てて「安全に市場に出す」という、より安全な技術の創出を促進すること(「現在、テクノロジー企業は、セキュリティよりも『最初に市場に投入されること』を優先しなければならないという強い市場圧力にさらされており、その結果、他の企業や個人にリスクを転嫁している。」)
- ユーザーや組織の安全性を高めるために行動を変えさせること
- エコシステム全体にセキュリティを展開できる企業に権限を与えること
- 国家や経済の安全保障にとって重要な産業や技術を特定し、その対策を講じること、及び、マクロ経済(産業戦略や市場の排除など)とミクロ経済(サプライチェーンのリスク管理など)での脆弱性を低減するために、データセキュリティの向上を図ること
- プライバシーデータ経済を安全なものにするための法的・技術的な規範が必要であること
~~~
補足:サイバー保険についての記述が、4.4(P.79〜)に示されていました。サイバー保険市場には期待しているもの、現状は「上手くいっていない」との認識が示されています。その理由として、「リスクの価格設定や価格調整を担当するアンダーライターやクレームアジャスター、つまりサイバーリスクを十分に把握している人材を見つけるのに苦労していること」、及び、「リスクのモデルが不十分であったり、一貫性がなかったりするのが現状であること」が理由として示されています。
~~~
柱5:民間セクターとの連携強化(要約)
民間企業がそのネットワークの防衛とセキュリティに主な責任を負っている一方で、米国政府は民間企業との連携を強化すべきです。サイバー攻撃に対抗するため、民間企業のセキュリティ向上のための情報を提供し、民間企業との協業のためにより良い状況認識を確保することが求められます。
そのために必要とされる具体的なアクションとしては、
- (議会)「社会システムの重要インフラ」の特定(5.1)、
- (議会)脅威情報・分析情報などのデータの官民間の共有(5.2)、
- (議会)CISA官民統合サイバーセンターの強化、連邦政府のサイバーおよびサイバーセキュリティセンターの包括的システム分析レビューの1年以内の実施(5.3)、
- (行政府)CISA の下に計画・調整用のセル(共同サイバー計画セル)を用意すること(5.4)、
があります。
~~~
補足:民間との連携についての記述が、P.97にありました。「サイバー領域の資産、機能、エンティティのうち、敵対者にとって魅力的な標的となるものの大部分は、民間部門が所有・運営している。よって、米国政府と産業界は、サイバー空間における国家の安全を確保するために、『集団的防衛』という、責任を共有するという新たな社会契約を実現しなければならない」という認識の下、以下の3つを政策の柱が示されています。
- 米国政府のサイバーセキュリティ支援について、民間企業の優先順位付けの枠組みの作成
- (サイバー脅威に対する状況認識を高めるための手段としての)情報共有
- 米国政府がサイバー防衛の取り組みを民間企業の取り組みとよりよく統合すること
特に、「システム上重要な重要インフラ」(SICI; systemically important critical infrastructure)の概念は、(オバマ政権下で発行された)行政命令13636 の第9条だけでは不足で、明確に法制化すべきで、指定されたSICIは、「政府から特別な支援を受け、その独自の地位と重要性にふさわしいセキュリティと情報共有の要件を負担すべきである」と示されています。SICIにに対し、「課題の特定、権限・予算の増加、それに伴う説明責任を求めること」が基本的な考え方にあるようです。権限については、例えば、米国法典第 18 編第 2511 条(2)にある盗聴法を改定し「電子通信プロバイダ」に制限されている攻撃者に関する情報の取得を可能とすることや、米国法典第 18 編第 3121 条(ペン・レジスターおよびトラップ・アンド・トレース法)を改定し、アクティブディフェンス(active defense)活動を可能とすべきであるなどの提案があります。
~~~
レイヤ3:懲罰的抑止(要約)
「懲罰的抑止」の鍵となる要素は、唯一ではありませんが、軍事力があります。米国は、競争から危機や紛争に至るまでの交戦範囲において、サイバー能力と非サイバー能力を採用するための能力、回復力、準備態勢を維持しなければなりません。
柱6:軍事的手段を含む選択肢の維持と活用(要約)
サイバー空間はすでに戦略的競争の場となっており、国家が力を投じ、自国の利益を守り、敵を罰する場となっています。将来の有事や紛争には、ほぼ確実にサイバーの要素が含まれています。
このような環境の中で、米国は、悪意のある敵対者の行動を武力攻撃のレベル以下に制限し、紛争を抑止するために、「ディフェンドフォワード」が求められます。サイバー空間での米国への攻撃におけるコストとリスクを敵国に知らせる明確な宣言的政策(シグナリング、P.33)を確立する必要があります。また、信頼できる抑止力と軍事的選択肢を全面的に維持するために、通常兵器と核戦力に置いても、サイバーセキュリティとレジリエンスが必要です。「競合状態」から「危機的状況」、「紛争」に至るまでのあらゆる交戦範囲において、十分なサイバー戦力を確保しなければなりません。そのために、十分な能力、能力、合理化された意思決定プロセスが必要です。
必要とされる具体的なアクションとしては、
- (議会、国防総省)サイバーミッション部隊(CMF;Cyber Mission Force)の戦力構成評価の実施(6.1)、
- (議会)核制御システム関連部門のサイバーセキュリティ脆弱性評価の実施(6.2)、
- 脅威インテリジェンス共有プログラムへの国防産業(DIB)(6.2.1) 、
- DIB ネットワーク上の脅威ハンティングの実施(6.2.2)、
があります。
~~~
補足:「米国は閾値以下では敵対的行動を防げていないこと」及び、「米国の軍事的優位性の基盤となる軍事技術も(敵対者が戦略的優位性を獲得するために悪用できる)脆弱性となる」という認識の下、「ディフェンドフォワード」を中心とした政策の実施のためには、以下の3つが必要であると示されています(P.111〜)。
- 敵対者に対抗するためのサイバー作戦と活動を計画しリソースを割り当て、実施すること。これらには、敵対者の攻撃的なサイバー能力やインフラ、サイバー作戦や活動を支援する組織、及び、意思決定の拠点への対処も含まれる
- 地政学的状況に迅速に対応できる能力とプロセスを、サイバー部隊内に備え、これらの サイバー能力を他の軍事・非軍事ツールと容易に統合できるようにする。これにより、統合軍は、情報面での優位性を獲得し、 グローバルな指揮統制を行い、長距離攻撃を実行することが可能となる
- サイバー空間において、早期警告情報の提供、進化する敵のTTP(戦術、技術、手順)・能力・ペルソナの状況認識の獲得、及び、運用環境準備(OPE)の実施を行うこと
その上で、「CMF の戦力構造の評価と兵力対タスク分析」、「サイバー司令部の訓練、人員配置、装備のための主要戦力プログラム(Major Force Program: MFP)カテゴリーを含む予算の正当化表示」、「サイバー関連の権限の委譲(米国防総省サイバー司令部、NSA、国防情報システム庁(DISA)、国防総省サイバー犯罪センター(DC3)などへ)の分析と勧告」など、制度を作る視点だけでなく、その効果を推し量るために評価軸の策定、及び、レビューの実施を求める提案が示されています。
~~~
補足:サイバーミッション部隊(CMF;Cyber Mission Force)の記述が、P.113にあります。CMF は「2020年現在、133 チーム、合計約 6,200 人の要員を擁している。しかし、CMFの要件は2013年に定義されたものであり、現在まで部隊構成の目標が一定であったにもかかわらず、CMF の任務(国防総省の情報ネットワーク(DoDIN)の防衛)の範囲、及び、活動の規模(より危険な脅威環境に対応した活動の拡大)が拡大したこと」が示されています。
~~~
最後に(全訳)
我々は、サイバー空間の現状を容認できない。現状を放置すれば、新たな攻撃を招き、報復を恐れずに米国を攻撃する者が後を立たないことになるでしょう。敵対者はサイバー能力を高めている一方で、米国の脆弱性は拡大の一途をたどっています。防衛力を向上させ、リスクを軽減するために、米国政府ができることはたくさんあります。
しかし、政府の活動だけでは十分ではないことは明らかです。米国経済を牽引し、技術革新を促進し、米軍を支える重要なインフラのほとんどは、民間部門にあります。米国政府が民間企業とシームレスに連携して、レジリエンスのあるサイバーエコシステムを構築する方法を見つけられなければ、国家の安全は決して確保できません。
現状を放置すれば、行き着く先では、大規模サイバー攻撃が大規模な物理的破壊につながり、政府の過剰な行き当たりばったりの対応に拍車がかかり、デジタル経済のイノベーションを阻害し、米国の強さをさらに蝕むことになりかねません。
このような結果を避けるために、米国政府は、本レポートで詳述されている層状のサイバー抑止の新戦略と、このアプローチを実現するために考案された75以上の提言の採用に向けて動かなければなりません。
議会と行政府は、これらの勧告と関連する立法案を綿密に検討すべきです。議会はまた、今後 2 年間にわたって本報告書の勧告の実施状況を監視し、評価し、報告する方法を検討すべきです。
ディフェンドフォワードについての補足
ディフェンドフォワードについての記述が、レポート中にいくつかあった(P.24〜、P.28〜、P.33〜、P110〜)ので、最後にまとめてみます。
ディフェンドフォワードは、敵対的サイバー脅威に対して、攻撃が起きた後の事後反応的なアプローチではなく、プロアクティブなアプローチとなります。これは、「米国では、甚大な被害をもたらすサイバー攻撃を防いできたにもかかわらず、武力攻撃のレベル以下の悪意ある敵対的行動に対処できていない」という認識の下で、積極的に敵の作戦を観察し、追求し、対抗し、敵の行動を変えるためのコストを課す対策にシフトしなければならないという示唆に基づく対処のアプローチです。
国防総省が打ち出した当初のディフェンドフォワードの概念(2018 年国防総省サイバー戦略;Department of Defense Cyber Strategy 2018)は、「サイバー部隊を『受動的対応のみ』で組織化するだけでは、軍事的・非軍事的な手段を取り込むことができないという認識から生まれたもので、国家が黙認している日常的な活動(例:スパイ活動)と、武力攻撃を構成する戦略的なサイバー攻撃との間の様々なスペクトルが存在する敵対行為について」(P.110)に言及しており、「武力紛争のレベルを下回る活動を含めた悪意のあるサイバー活動をその発生源で 混乱させたり、止めたりする」ための軍事的手段に焦点を当てています。さらに、「ディフェンドフォワードを実施するためには、同盟国やパートナーのサイバー空間(グレー空間)で活動することが必要である」(P.116)との考え方も示されています。
また、その上位の概念である、継続的交戦(persistent engagement)は、「(米軍が)他政府部門と協力して米国ネットワークのレジリエンスを構築すること、サイバー空間の悪意の活動を可能な限り前倒しで防御すること、そして米国政府と軍事機能を混乱させようとする敵対的な試みに対抗すること」(P.111)で、以下の2つの側面を持つとあります。(補足:継続的交戦についてはこちらのポストのLuber氏の発言にも少しあります。)
- 「活動(acting)」: 足場を組むサイバー作戦を実施し、敵の活動場所を特定し、戦争になれば、敵のインフラや能力に対して対抗すること
- 「有効化(enabling)」: パートナーに早期警戒情報を提供し、脅威情報を共有し、要請があれば、有事や危機への対処の人員と能力の形で支援すること
このレポートにおいて、再定義されたディフェンドフォワードは、重層的なサイバー抑止の重要な要素として、つまり、(3つの抑止層の一つである)「懲罰的抑止」において重要な要素であり、あらゆる手段を積極的かつ統合的に活用することになります。すなわち、国際法との整合の下で「灰色」と「赤色」の空間で活動することが含まれます(「本質的に防御的な戦略である。しかし、戦術レベルと運用レベルには攻撃的な要素がある。」(P.33))。また、国際法との整合の下で「(法律、金融規制、外交、教育などの)あらゆる権限、機会、能力」を、サイバー空間の防衛に適用するための総合的な努力の一環であり、敵対者との継続的交戦を示唆しています(図2参照)。さらに、(重要インフラを保護のためには)「標的に到達する前に脅威を阻止する」方法を見つけることを模索することも含みます。
ディフェンドフォワードは、2019 年度の国防許可法(NDAA)152 及び国家安全保障大統領覚書(NSPM)13153 の発行による法改正により、採用することを可能しました。
2020/05/07
p.s.
翻訳の用語の揺れを減らすために、訳語集を作ってみました。まだまだ完成には遠いのですが、一旦公開します。
p.p.s
actingとenablingの訳語については、田中絵麻先生にご教授頂きました。ありがとうございます。
修正履歴
2020/06/16(伊東寛氏のアドバイスにより修正)
強靭化(Impose costs)
→
懲罰的抑止(Impose costs)