Cyber Capabilities and National Power -4- （いぎりすのやつ）

Published On : 2021-09-09

Cyber Capabilities and National Power -4-

「Cyber Capabilities and National Power」を読んでみるシリーズ第四弾です。

# ちなみに、弊社内の一部では本レポートを「いぎりすのやつ」と呼称しており、原題を忘れがちです。。。

今回は、以下のカテゴリを見ていきます。

◆Cyber security and resilience ＜サイバーセキュリティとレジリエンス＞

◆Global leadership in cyberspace affairs ＜サイバー空間における問題に対するグローバルリーダーシップ＞

◆Offensive cyber capability ＜攻撃的なサイバー機能＞

◆Cyber security and resilience ＜サイバーセキュリティとレジリエンス＞

この章では主にサイバーレジリエンスについてレポートされており、特に民間企業や民間企業向けの国の取り組みについて言及されています。

In the private sector, the major obstacle to improving cyber resilience is the lack of willingness among companies to share information regarding cyber incidents. This is partly the result of cultural and structural factors. These include a general lack of familiarity with cyber-security issues among senior business leaders, an overreliance on government regulators to establish cyber-security requirements and traditional Japanese business practices that hinder collaboration between companies. According to government statistics, Japanese companies have been slow to integrate cyber security into their corporate governance, especially their risk planning.

抄訳「民間セクターでは、サイバーレジリエンスを改善する上での主な障害は、サイバーインシデントに関する情報を共有する企業間の意欲の欠如です。これは部分的に文化的および構造的要因の結果です。これらには、経営層の間でのサイバーセキュリティ問題に関する一般的な知識の欠如、サイバーセキュリティ要件を確立するための政府規制当局への過度の依存、および企業間のコラボレーションを妨げる伝統的な日本のビジネス慣行が含まれます。政府の統計によると、日本企業はサイバーセキュリティをコーポレートガバナンス、特にリスク計画に統合するのに時間がかかっています。」

手厳しいですね。自助、公助、共助の考え方において、日本の民間企業は、共助の意識の欠如および公助への過度の依存体質があると指摘しています。また経営層にサイバーセキュリティに関する知識の欠如も指摘されています。この点については2015年に経産省が「サイバーセキュリティ経営ガイドライン」を発行し、サイバーセキュリティは経営問題であり、セキュリティ対策はコストではなく投資と捉え、セキュリティ投資は必要不可欠かつ経営者としての責務と明記していますが、中々浸透していないのが実感です。

そのサイバーセキュリティ経営ガイドラインについては、以下のような記述がありました。

The fact that these guidelines are based on the Cybersecurity Framework of the US National Institute of Standards and Technology illustrates both a tendency towards the adoption of the US view on cyber security and an absence of significant domestic innovation on the issue.

抄訳「これらのガイドラインがNIST（米国国立標準技術研究所）のサイバーセキュリティフレームワークに基づいているという事実は、サイバーセキュリティに関する米国の見解を採用する傾向と、この問題に関する重要な国内イノベーションの欠如の両方を示しています。」

ここでも米国への依存度について言及されています。確かに米国やEUなど独自で基準策定をしていますが、確かに日本のセキュリティ関連のドキュメントの多くはNISTやENISAやその他海外団体のドキュメントを下地としたものが多いのは事実でしょう。その背景にはビジネスがグローバルで展開されている以上、何も参考にせず独自のドキュメントを作成するよりも片方参照とはいえ海外でも通じるドキュメントとする上では悪い選択ではないとも考えられます。

◆Global leadership in cyberspace affairs ＜サイバー空間における問題に対するグローバルリーダーシップ＞

この章では日本のサイバー外交について述べられております。サイバー外交では、サイバー空間における法の支配の促進、信頼醸成措置の推進、能力開発に関する国際協力の強化という3つの柱がある旨と、様々な国や組織とサイバー外交を推進している旨が報告されています。

◆Offensive cyber capability ＜攻撃的なサイバー機能＞

この章は題名の通りですね。皆様ご存じの通り、日本では難しい問題ですが、レポートでもこのように記載されています。

The development of any offensive military capability is constrained by Japan’s military history and by current views on the post-Second World War pacifist constitution. Article 9 of the constitution denies the country the right to military forces of any kind.

抄訳「攻撃的な軍事力の発展は、日本の軍事史と第二次世界大戦後の平和主義憲法に関する現在の見解によって制約されています。憲法第9条は、国があらゆる種類の軍事力を行使する権利を否定しています。」

Since 2015 the government has made additional reinterpretations to make it possible, under certain circumstances, to come to the aid of an ally even if Japan itself is not under attack. This shift is now also seen as allowing collective self-defence and active defence in cyberspace.

抄訳:「2015年以降、政府は、特定の状況下で、日本自体が攻撃を受けていなくても同盟国の支援を受けることができるように、追加の再解釈を行っています。この変化は、サイバースペースでの集団的自己防衛と積極的な防衛を可能にするものとしても見られています。」

所謂、集団的自衛権ですね。レポートではサイバー空間でも適用されるのではないかと分析しています。この章でもうひとつ、日米のサイバー空間における協力について言及されている箇所がありました。

The fact remains that, for the foreseeable future, Japan will probably remain reliant on its alliance with the US for any kind of offensive response to a cyber threat. It is notable that the 2015 guidelines for US–Japan defence cooperation include an entire section dedicated to cyberspace, setting out the circumstances under which the US can lend cyber support in Japan’s defence. The narrowest interpretation of the text would limit US assistance to the protection of Japanese critical information infrastructure used by US forces in Japan, but in the broadest interpretation the text is analogous to NATO’s Article 5, with a serious cyber attack on Japan being treated like an attack on the US.

抄訳:「近い将来、日本はサイバー脅威へのあらゆる種類の攻撃的対応について米国との同盟に依存し続けるであろうという事実は残っています。日米防衛協力に関する2015年のガイドラインには、サイバースペースに特化したセクション全体が含まれており、米国が日本の防衛においてサイバー支援を提供できる状況が示されていることは注目に値します。テキストの最も狭い解釈は、日本で米軍が使用する日本の重要な情報インフラストラクチャの保護に対する米国の支援を制限しますが、しかし、最も広い解釈では、テキストはNATOの第5条に類似しており、日本に対する深刻なサイバー攻撃は米国に対する攻撃のように扱われます。」

2015年から日米間ではサイバー空間における協力について言及されていると記載されています。最近の話ではなく前からしっかりと考えられていたことがわかります。では、言及されているドキュメントではどのように記載されているか見てみましょう。

日米防衛協力のための指針（2015.4.27）
自衛隊及び日本における米軍が利用する重要インフラ及びサービスに対するものを含め、日本に対するサイバー事案が発生した場合、日本は主体的に対処し、緊密な二国間調整に基づき、米国は日本に対し適切な支援を行う。日米両政府はまた、関連情報を迅速かつ適切に共有する。日本が武力攻撃を受けている場合に発生するものを含め、日本の安全に影響を与える深刻なサイバー事案が発生した場合、日米両政府は、緊密に協議し、適切な協力行動をとり対処する。

確かに、サイバー事案が発生した場合は米国が日本に適切な支援を提供できる旨が記載されています。

サイバーセキュリティとレジリエンスの章でレポートされている内容は日本のセキュリティ業界にとって長年の課題が未だ解決に至っていないことを思い知らされます。また、これまで見てきた通り、国としての取り組みはともすると外から見ると遅い歩みに見えるかもしれませんが、米国追従と揶揄されつつも着実に進んでいるように見受けられます。翻って、日本企業はこのような国の取り組みに頼る、監督官庁に言われた以上のことはしない、業界横並びの意識ではなく、自助、共助について改めて考えて、能動的なセキュリティ対策へ行動変革することが自組織を守る近道となるのではないでしょうか。

本ブログでは一部を切り取ってのご紹介に留まっていますので、ご興味のある方は原文を一読ください。

◆参考文献

Cyber Capabilities and National Power（IISS）：

https://www.iiss.org/blogs/research-paper/2021/06/cyber-capabilities-national-power

CYFIRMAでは組織のセキュリティ戦略から戦術面まで活用できる、包括的な脅威インテリジェンスを提供しています。ご興味のある方は、どうぞお気軽にお問い合わせください。

CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています！

✧毎週火曜日に発行「Weekly Security Update」

CYFIRMAが独自で毎週発行している「Weekly Security Update」のメールマガジンです。
その週にあった出来事をピックアップし、さらにサイファーマならではの情報も交えてご紹介しています。
ハッカーの会話をモニタリングしているからこそ、通常では得られない様な情報もいち早く手に入れる事ができますので、
ご興味のある方は下記よりお申込下さい。
※同業他社の方はお断りする場合がございます、ご了承下さい。

メルマガお申込

✧毎月定期開催「CYFIRMA ウェビナー」

脅威インテリジェンスとは何かという初歩的な内容から、MITRE ATT&CKフレームワークの活用方法、
毎月の脅威トレンド報告などなど、旬な話題を取り入れ、かつ弊社独自目線も取り入れた内容となっており、
弊社サービス紹介というよりも、脅威インテリジェンスをどう考えるか、どう活用するかという部分で
皆様のヒントとなるよう運営しております。是非お気軽にご参加下さいませ！！！

ウェビナー詳細＆お申込

✧その他、ご不明な点がございましたらこちらからご連絡下さい。