Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
サイバー攻撃/戦争のリスクを減らす
ための「信頼醸成措置」と「国際規
範」
小宮山 功一朗
koichiro.komiyama@jpcert.or.jp
1
• 本講演内容は個人の見解であり、所属する組織を代表す
るものではありません
• 時間の都合でインターネットガバナンスの問題について
は説明を割愛します。
– 特集1:インターネットのガバナンスとは - JPNIC
https://www.ni...
前置き
3
遡ること5年 4
Pwn2Ownコンテストとは
• 2007年にCansecの主催者Dragos Rui氏が、
Appleの脆弱性対応の遅さについての懸念
を示すためにはじめたコンテスト。
• 未修正の脆弱性を発見した研究者はその
コンピュータと賞金を手にする。...
賞金リスト(2013)
• ブラウザ
– Google Chrome on Windows 7 ($100,000)
– IE 10 on Windows 8 ($100,000)
– IE 9 on Windows 7 ($75,000)
–...
2013年の結果
初日:
1:30 - Java (James Forshaw) 攻撃成功
2:30 - Java (Joshua Drake) 攻撃成功
3:30 - IE 10 (VUPEN Security) 攻撃成功
4:30 - Ch...
Q.なぜ未修正の脆弱性の価値が7年
で50倍になったのか?
• A. 脆弱性を高値で買い取る人がいるから
• 2013年2月のあるブログによると
– 伊、メキシコ、カザフ, サウジ、トルコ、アルゼ
ンチン、アルジェリア、マリ、イラン、インド、
...
本題
9
目次
• サイバー攻撃の事例とその意味するとこ
ろ
• サイバー戦争とは?
– 特徴(匿名性、非対称性、・・・)
– 想定されるもの
– 日本に固有の問題
• 対策の試み
– ノーム
– Confidence Building Measures...
サイバー攻撃の事例
この10年、11の節目
11
この10年の節目
• Titan Rain事件 (2003)
– 米軍関係機関や米軍需産業から大量のデータが盗まれる(10-20テラバイ
トとも)米国空軍高官が中国を非難する
• エストニアに対するサイバー攻撃(2007年4月)
– DDoS攻...
この10年の節目 (続き)
• Poison Ivyの感染拡大が国内で確認される(2011/11)
– 三菱重工などの国内防衛産業および衆議院や中央官庁の情報が盗まれ
た形跡が確認される
• 米国防総省がサイバー空間を「第5の戦場」と宣言(20...
サイバー戦争とは?
14
その前にサイバー空間とは
• 情報通信技術を用いて情報がやりとりされ
る、インターネットその他の仮想的な空間
– 無線通信ネットワークやインターネットに接続さ
れていない閉域のネットワークまでを含むより大
きな概念
• 陸・海・空・宇宙との相違...
サイバー攻撃の特徴
• 多様性
– ① 主体
– ② 手法
– ③ 目的
– ④ 状況
• 匿名性
• 隠密性
• 攻撃側の優位性
• 抑止の困難性
“防衛省・自衛隊によるサイバー空間の安定的・効果的な利用に向けて(2012)”より
16
サイバー戦争の脅威についての批判的考察
• クラウゼヴィッツの『戦争論』の定義によれ
ば、戦争の条件は"一に暴力性があること。第二
に暴力的行為の先に目的があること。第三に政
治的であること“
• サイバー攻撃により死者がでたことはない。
• ...
民間事業者の懸念
• サイバー戦争では民間が所有するインフ
ラ(コンピューターやルータ)が戦場となる
• 軍隊と軍隊が直接衝突するのではなく、
相互に他国の電力や鉄道などのインフラ
を狙う
– 対策の困難さ
• サイバー戦争への懸念から市場が閉...
政府の懸念(世界共通)
• インターネットガバナンスの問題と背中合わ
せ
• サイバー政策の多面性
– Military Cyber (MOD)
– Counter Cyber Crime (NPA and Prefectural Police...
政府の懸念(日本固有)
• IT依存度の高さ(対開発国比)
• 戦争放棄を掲げる憲法九条
• 自衛隊法第六章第七十六条
– 防衛出動は武力攻撃に対してのみ
– システム防護隊が守るのは自衛隊のネットワーク
– サイバー空間防衛隊(仮)がC4隷下...
Crisis ManagementとCrisis Control
• 『安全保障の考え方とは、つまりは国家
規模での危機管理の考え方にほかならな
い。』
• 安全保障の2つの側面カテゴリ Crisis Management Crisis Con...
国際規範の構築へむけて
22
国際規範(NORM)とは
• 「サイバー戦争のルール」
• 戦争にもルールがある。
– 国際条約、交戦規程 (Rules of Engagement)
• サイバー犯罪条約(2004年7月発効、2012年11月国内で発効)
– サイバー犯罪の証...
中露の提案
• 2011年9月に中露(+タジキスタンとウズベキ
スタン)が国連総会に”Internet code of conduct
for information security”を作ることを提案
– インターネット上には国家の主権が認め...
国連での議論
• UN GGE(政府専門家会合)
– 情報セキュリティの分野では2004年にロシアの提案でGGEが構
成されるが合意して声明を出すに至らなかった。 2009年に再度
構成され2010年にサイバーセキュリティに関するノームの議論
...
サイバー空間に関するロンドン会
議
• 2011年9月にイギリス外相の呼びかけで開始。
• 西側諸国の政府、業界団体が中心に参加し、サイ
バー戦争への備えが必要であるのを認めつつも既存
の国際法や関連制度を大きく変えたくないというス
タンスをと...
NATO CCDCOE
• National Cyber Security Framework
Manual(2012)
– 各国のNational Security戦略を比較する労作
• Tallinn Manual(2013/3)
– 国際...
国際規範 今後の課題
• 実際に戦争に関するルールは強制力をも
たない。ならばルール作りに参画する意
味はあるのか?
– 例: 潜水艦戦闘行為議定書(1936年)
• 国際規範に応じて・・・
– 解釈の再検討、国内法の整備
– サイバー攻撃と思...
高まる信頼醸成措置(CBM)の必要
性
29
高まる信頼醸成措置(CBM)の必要性
• サイバー空間においては、外国政府の関与が疑わ
れるサイバー攻撃が海外において実際に発生して
いる一方、攻撃主体の特定が困難であると考えら
れていることを踏まえ、攻撃主体の誤認など、当
事者が意図しない形...
CBMの例 1/2
1. CBMs dealing with troop movements and exercises:
a. Notification of maneuvers (with different procedures and ...
6. CBMs dealing with actions which might be interpreted as provocative.
a. Agreement should be reached on acceptable and u...
CBM(信頼醸成措置とは)
• 交流の拡大、透明性の拡大を通して武力衝突を割けるた
めの行為
• 古典的には米ソ首脳間のホットライン
• 『地域安全保障のアーキテクチャ』の三層にあたるとい
う
第一層 サンフランシ
スコシステム
(日米、米韓、...
34
 Asia Pacific Computer Emergency Response Team (APCERT)
• 2003年2月発足(12の国・経済地域から15チームで発足)
•2013年7月現在、20の国/経済地域から30チームが加...
35
 2012年8月末現在、20の国経済地域から30チームが加盟
Full Members (22)
 AusCERT – Australia
 BKIS – Vietnam
 BruCERT – Negara Brunei Daru...
具体的取り組み:TSUBAMEプロジェク
ト
Project Member
23 CSIRTs from 20 economy
Currently Preparing
Vietnam, Lao PDR, Pakistan
23 teams fr...
ご参考:TSUBAMEポータ
ル
37
信頼醸成措置 今後の課題
• CSIRTのレイヤーでの透明性確保の取り組
みとは別に政府間による努力が必要
• 北朝鮮などの対話の窓口すら定かでない
国とどう関わっていくか?
• 国際的な企業活動の増加がさらにすすめ
ば、さらに緊張は高まりにく...
21世紀の力の分散
民間セクター 公共セクター 第三セクター
国際
多国籍企業(IBM、
シェルなど)
国際統治機関
(国連、WTOな
ど)
非政府組織(オック
スファム、グリーン
ピースなど)
全国
全国的企業(アメ
リカン航空など)
21世...
Measurementは可能か?
• “If you can not measure it, you
can not improve it.“ Lord Kelvin
• データを持っている専門家に
期待されるのは「基準をつく
る」ことで指針を...
まとめ
• 国際規範の議論において、国際的な貢献
を果たしていくことは日本の責任
– アジア諸国と折り合いをつけるのは日本に期
待される役割
• CBMの推進は政府以外のプレイヤーの役割
が重要
• 目の前にある脅威を一般化し、指針をつ
くるの...
参考資料
• 論文
– Arquilla, J., & Ronfeldt, D. (1993). Cyberwar is coming! Comparative Strategy, 12(2), 141–165.
– Rid, T. (2011...
時間が余ったとき
43
息抜き Part1:
インターネットは新たな収奪の構造を生み出すか?
• 各国のISPは通信料
に応じてIPトラン
ジットを購入
• 国内ISP同士は相互
にピアを張り、ト
ラフィックを交換
する
• 代表的不幸モデル:フィリピン
におけるPL...
45
http://www.macra.org.mw/downloads/CRASA/The%20Internet%20Peering%20Deficit.pdf
• 大陸内を接続し、トラ
フィックを地産地消し
ないと接続料金が下が
らない
•...
息抜き Part2:
多様なアジア
• Confidentiality(機密性)
– 給料明細をお互い見せ合うフィリピンのIT企業社員
• Integrity(完全性)
– フィリピンはアジア諸国にさきがけて電子投票シス
テム(ベネズエラ製)を...
ご静聴ありがとうございました。
47
Upcoming SlideShare
Loading in …5
×

サイバー攻撃/戦争のリスクを減らすための「信頼醸成措置」と「国際規範」

2,088 views

Published on

たまにはslideshareをつかってみる

  • Be the first to comment

サイバー攻撃/戦争のリスクを減らすための「信頼醸成措置」と「国際規範」

  1. 1. サイバー攻撃/戦争のリスクを減らす ための「信頼醸成措置」と「国際規 範」 小宮山 功一朗 koichiro.komiyama@jpcert.or.jp 1
  2. 2. • 本講演内容は個人の見解であり、所属する組織を代表す るものではありません • 時間の都合でインターネットガバナンスの問題について は説明を割愛します。 – 特集1:インターネットのガバナンスとは - JPNIC https://www.nic.ad.jp/ja/newsletter/No26/020.html 2
  3. 3. 前置き 3
  4. 4. 遡ること5年 4
  5. 5. Pwn2Ownコンテストとは • 2007年にCansecの主催者Dragos Rui氏が、 Appleの脆弱性対応の遅さについての懸念 を示すためにはじめたコンテスト。 • 未修正の脆弱性を発見した研究者はその コンピュータと賞金を手にする。 • 対象となる製品 – OS、モバイルOS,メジャーなブラウザ、メ ジャーなアプリケーション(Flash、Java) 5
  6. 6. 賞金リスト(2013) • ブラウザ – Google Chrome on Windows 7 ($100,000) – IE 10 on Windows 8 ($100,000) – IE 9 on Windows 7 ($75,000) – Mozilla Firefox on Windows 7 ($60,000) – Apple Safari on OS X Mountain Lion ($65,000) • Web Browser Plug-ins using Internet Explorer 9 on Windows 7 – Adobe Reader XI ($70,000) – Adobe Flash ($70,000) – Oracle Java ($20,000) 6
  7. 7. 2013年の結果 初日: 1:30 - Java (James Forshaw) 攻撃成功 2:30 - Java (Joshua Drake) 攻撃成功 3:30 - IE 10 (VUPEN Security) 攻撃成功 4:30 - Chrome (Nils & Jon) 攻撃成功 5:30 - Firefox (VUPEN Security) 攻撃成功 5:31 - Java (VUPEN Security) 攻撃成功 2日目: 12pm - Flash (VUPEN Security) 攻撃成功 1pm - Adobe Reader (George Hotz) 攻撃成功 2pm - Java (Ben Murphy via proxy) 攻撃成功 賞金総額は1万ドル(2007年) 、1万5000ドル(2008年)、3万ドル(2009 年)、 2010-2011年確認できず、12万ドル以上(2012年)、50万ドル(2013 年) Vupen Security社は総額25万ドルとラップトップ4台を持ち帰った。 7
  8. 8. Q.なぜ未修正の脆弱性の価値が7年 で50倍になったのか? • A. 脆弱性を高値で買い取る人がいるから • 2013年2月のあるブログによると – 伊、メキシコ、カザフ, サウジ、トルコ、アルゼ ンチン、アルジェリア、マリ、イラン、インド、 エチオピアに限定して感染が確認されているRCS というウイルス – アフリカ・中東の活動家などに対して使用された – これは2つのFlashの未修正の脆弱性を使用してい る。なお後にVupenというフランスの会社が脆弱 性を届け出た。参照 http://www.securelist.com/en/blog/208194112/Adobe_Flash_Player_0_day_and_HackingTeam_s_Remote_Control_System 8
  9. 9. 本題 9
  10. 10. 目次 • サイバー攻撃の事例とその意味するとこ ろ • サイバー戦争とは? – 特徴(匿名性、非対称性、・・・) – 想定されるもの – 日本に固有の問題 • 対策の試み – ノーム – Confidence Building Measures(信頼醸成措置) – (インディケーター共有) • まとめ 10
  11. 11. サイバー攻撃の事例 この10年、11の節目 11
  12. 12. この10年の節目 • Titan Rain事件 (2003) – 米軍関係機関や米軍需産業から大量のデータが盗まれる(10-20テラバイ トとも)米国空軍高官が中国を非難する • エストニアに対するサイバー攻撃(2007年4月) – DDoS攻撃により政府サイト、新聞社、オンラインバンキングが全て使 えない状態が断続的に数日間続く。 • Operation Ghostnet/GhostRATが発覚(2009年3月) – ダライラマ法王代表部や各国大使館を対象とした標的型攻撃 • Stuxnetの感染拡大が確認される(2010/7) – 2010年に主にイランなど中東諸国で感染がみられる、USBドライブを媒 介して感染を広げるタイプのウイルスとして報道される。後に稼働す る条件などから推定してイランが保有する核燃料施設のウラン濃縮用 遠心分離機を誤動作させるものと発覚した。 • USCYBERCOM創設(2010/10) – 各軍の部隊をUSCYBERCOMの下に集約することにより、サイバー空間作 戦を融合。 12
  13. 13. この10年の節目 (続き) • Poison Ivyの感染拡大が国内で確認される(2011/11) – 三菱重工などの国内防衛産業および衆議院や中央官庁の情報が盗まれ た形跡が確認される • 米国防総省がサイバー空間を「第5の戦場」と宣言(2011/7) • NY Times報道「米国とイスラエルがStuxnetを作成」(2012/6) – NSA(アメリカ国家安全保障局)とイスラエル軍の情報機関が、この ワームをイラン攻撃用に作ったと報じる • 米下院公聴会がファーウェイとZTEを召喚(2012/9) – 報告書では政府に対して排除を求め、企業に対しても、両社製品を使 わないよう勧告。 • MANDIANT社がAPT1レポートを公表(2013/2) – 中国人民解放軍によるサイバー攻撃の実態をつぶさにレポート • 韓国の銀行・放送事業者がサイバー攻撃をうける(2013/3) – 韓国で3月20日、放送3局と2つの金融機関など6機関でコン ピューターネットワークなどに何者かが侵入、現金自動預払機の利用 や一部の業務にトラブル 13
  14. 14. サイバー戦争とは? 14
  15. 15. その前にサイバー空間とは • 情報通信技術を用いて情報がやりとりされ る、インターネットその他の仮想的な空間 – 無線通信ネットワークやインターネットに接続さ れていない閉域のネットワークまでを含むより大 きな概念 • 陸・海・空・宇宙との相違 – 国境がない – 人工物 (多くの場合、民間事業者がインフラを所 有) – Governanceが不明確な点が多い 15
  16. 16. サイバー攻撃の特徴 • 多様性 – ① 主体 – ② 手法 – ③ 目的 – ④ 状況 • 匿名性 • 隠密性 • 攻撃側の優位性 • 抑止の困難性 “防衛省・自衛隊によるサイバー空間の安定的・効果的な利用に向けて(2012)”より 16
  17. 17. サイバー戦争の脅威についての批判的考察 • クラウゼヴィッツの『戦争論』の定義によれ ば、戦争の条件は"一に暴力性があること。第二 に暴力的行為の先に目的があること。第三に政 治的であること“ • サイバー攻撃により死者がでたことはない。 • 現在起きているサイバー攻撃は、sabotage(妨害 行為), espionage(スパイ行為),subversion(破壊行 為)の昔からの3つの類型で説明できる。 17 参照: Rid, T. (2011). Cyber war will not take place. Journal of strategic studies, 34(March 2013), 37–41.
  18. 18. 民間事業者の懸念 • サイバー戦争では民間が所有するインフ ラ(コンピューターやルータ)が戦場となる • 軍隊と軍隊が直接衝突するのではなく、 相互に他国の電力や鉄道などのインフラ を狙う – 対策の困難さ • サイバー戦争への懸念から市場が閉鎖的 になることがビジネスにどう影響するか (例: HUAWEI) 18
  19. 19. 政府の懸念(世界共通) • インターネットガバナンスの問題と背中合わ せ • サイバー政策の多面性 – Military Cyber (MOD) – Counter Cyber Crime (NPA and Prefectural Police) – Intelligence and Counter- Intelligence (CIRO,NSC(Planed)) – CIP and National Crisis Management(METI) – Cyber Diplomacy and Internet Governance(MIC, MOFA) • グローバルなサプライチェーン • 重要インフラ防護の難しさ • プライバシー 19
  20. 20. 政府の懸念(日本固有) • IT依存度の高さ(対開発国比) • 戦争放棄を掲げる憲法九条 • 自衛隊法第六章第七十六条 – 防衛出動は武力攻撃に対してのみ – システム防護隊が守るのは自衛隊のネットワーク – サイバー空間防衛隊(仮)がC4隷下に創設された が・・・ • インテリジェンス機関の機能/権限が弱い • サイバー攻撃に対応するのは民間か?警察か?自衛 隊か? – 不正アクセス禁止法 • 政府内にスペシャリストが育ちにくいシステム 20
  21. 21. Crisis ManagementとCrisis Control • 『安全保障の考え方とは、つまりは国家 規模での危機管理の考え方にほかならな い。』 • 安全保障の2つの側面カテゴリ Crisis Management Crisis Controle 役割 危機が起こった時にどうする か? (受動的) 危機発生の予防・防止(能動的) 企業活動に喩えるならば • クレーム対応マニュアル • 火災発生時の避難訓練 • クレームを避ける売場作り • 防火設備の導入 既存の例 BCP、障害復旧 啓発(ウイルス対策、OSのアッ プデート) サイバー戦争 高度な解析技術、攻撃技術の 開発、APT対応 国際規範の構築、Confidence Building Measures(信頼醸成 措置)の確立、演習の実施 21
  22. 22. 国際規範の構築へむけて 22
  23. 23. 国際規範(NORM)とは • 「サイバー戦争のルール」 • 戦争にもルールがある。 – 国際条約、交戦規程 (Rules of Engagement) • サイバー犯罪条約(2004年7月発効、2012年11月国内で発効) – サイバー犯罪の証拠保全や容疑者引き渡しについて定める。2011年末時点で37ヶ国が 署名 – 行為者が国の場合、実効力なし。そもそも批准国に偏り • 2013年7月現在「サイバー戦争、サイバー攻撃に関する国際条約」を作る大き な動きはない。(*1) 以下のような場で平行して議論が散発的に行われている。 – NATO CCDCOE – ソウル会議 – UNGGE – 欧州安全保障協力機構(OSCE) – 上海協力機構 – Cyber Norms Workshop 2012(http://citizenlab.org/cybernorms2012/) *1 2011 年 10 月、ロシアが「国際情報安全保障条約(案)」を国連加盟各国に提示したそうであるが、潮流を作るに至っていない http://atlantic2.gssc.nihon-u.ac.jp/kiyou/pdf14/14-001-012-Sasaki.pdf 23
  24. 24. 中露の提案 • 2011年9月に中露(+タジキスタンとウズベキ スタン)が国連総会に”Internet code of conduct for information security”を作ることを提案 – インターネット上には国家の主権が認められ、 従って国家の権利と責任が発生するということ – どの国家もインターネットを敵対的行為のために 使用することは許されないこと – インターネットを管理するより透明性の高い仕組 みを作る必要があり、国連が検討過程で主導的な 立場を果たすこと • 一長一短 24
  25. 25. 国連での議論 • UN GGE(政府専門家会合) – 情報セキュリティの分野では2004年にロシアの提案でGGEが構 成されるが合意して声明を出すに至らなかった。 2009年に再度 構成され2010年にサイバーセキュリティに関するノームの議論 を続けるべきなど5項目の提案を含んだレポートを完成した。 – 2012年に再度構成され、2010年の提案をもとにより踏み込んだ ノームの具体案が提案されると期待されている。 • ITU – 国連の専門機関の一つであるITUはサイバー戦争について、ポジ ションを明確にとっていない。 – 一方で中東政府機関などから情報を盗み出したとされるウイル スの分析を民間ベンダーと協力して行い、その結果を主に途上 国に提供するなど、サイバー攻撃対策に必要となる技術的な能 力を高めている。 25
  26. 26. サイバー空間に関するロンドン会 議 • 2011年9月にイギリス外相の呼びかけで開始。 • 西側諸国の政府、業界団体が中心に参加し、サイ バー戦争への備えが必要であるのを認めつつも既存 の国際法や関連制度を大きく変えたくないというス タンスをとる • ロンドンでの初回会合と続く2012年ブダペストでの 会合では、現時点でサイバー攻撃対策について強制 力を持つ国際法を新設するのは時期尚早と結論付け た。 • 2013年秋にソウルでの会議が予定されており、上記 のメッセージを繰り返し発出していくと考えられて いる。 26参照: http://www.seoulcyber2013.kr/
  27. 27. NATO CCDCOE • National Cyber Security Framework Manual(2012) – 各国のNational Security戦略を比較する労作 • Tallinn Manual(2013/3) – 国際法などの専門家の3年におよぶ検討 – 既存の国際法がサイバー空間にどのように適 応されうるかを議論するためのたたき台 – 誰のための「マニュアル」か? 27
  28. 28. 国際規範 今後の課題 • 実際に戦争に関するルールは強制力をも たない。ならばルール作りに参画する意 味はあるのか? – 例: 潜水艦戦闘行為議定書(1936年) • 国際規範に応じて・・・ – 解釈の再検討、国内法の整備 – サイバー攻撃と思われる事象によりA銀行の 窓口業務が停止した → ? 28
  29. 29. 高まる信頼醸成措置(CBM)の必要 性 29
  30. 30. 高まる信頼醸成措置(CBM)の必要性 • サイバー空間においては、外国政府の関与が疑わ れるサイバー攻撃が海外において実際に発生して いる一方、攻撃主体の特定が困難であると考えら れていることを踏まえ、攻撃主体の誤認など、当 事者が意図しない形でのエスカレーションによる 不測の事態を回避するため、信頼醸成措置を着実 に進める。 (NISC, サイバーセキュリティ戦略[案], 2013) • 信頼醸成措置(CBM)とは – 交流の拡大、透明性の拡大を通して協調的な関係性 を醸成する行為。 – 代表的なものは米ソ首脳間のホットライン設置。現 在の安全保障の分野ではARFを通じた対話などが機能 している。 30
  31. 31. CBMの例 1/2 1. CBMs dealing with troop movements and exercises: a. Notification of maneuvers (with different procedures and length of advance notice for different types and sizes of maneuvers). b. Notification of alert exercises and mobilization drills. c. Notification of naval activities outside of normal areas. d. Notification of aircraft operations and flights near sensitive and border areas. e. Notification of other military activities (in the "out of garrison" category) which might be misinterpreted. 2. CBMs dealing with exchanges of information. Information may be exchanged, directly or through third parties, in the following categories: a. Military budgets b. New equipment and arms c. Unit locations d. Significant changes in a unit's size, equipment or mission e. The major elements of strategic and tactical doctrine 3. CBMs dealing with exchanges of personnel. These personnel exchanges should be balanced in terms of numbers and duration, and could include: a. Inviting observers to maneuvers, exercises and "out of garrison" activities. (The observers could be from neighboring states, from a third party neutral nation, or from an international organization). b. Stationing permanent liaison observers at major headquarters. (As in b above, the observers could be from neighbors, neutrals, or international organizations). c. Exchanging personnel as students or instructors at military academies, military schools, and war colleges. d. Exchanging military attachés from all three services (land, sea, air). These attaché positions should be filled by highly qualified personnel, and not be used as "golden exiles" to get rid of officers who are politically undesirable. 4. CBMs dealing with the assembly, collation, and dissemination of data. a. A central registry should be set up (under international organization auspices) to assemble, collect, analyze and publish information on armaments, organization and disposition of military units. b. Independent technical means (under national or international organization control) should be available to verify this data. There should be agreement on the nature of these means and an understanding that there will be no interference with these means. 5. CBMs dealing with border tensions. a. Set up demilitarized zones in sensitive border areas. Depending on the sensitivity of the area and the tensions between the two countries, certain types of weapons and units (i.e., armor, artillery) could be excluded from these areas. b. Establish joint patrols in these areas (with or without the participation of other third party neutrals). c. Establish fixed observation posts in these areas manned by neutrals and representatives from the two border nations. d. Set up sensors (ground, tower, air, tethered aerostat) to supplement these patrols and observation posts. 31
  32. 32. 6. CBMs dealing with actions which might be interpreted as provocative. a. Agreement should be reached on acceptable and unacceptable military activities, especially in sensitive and border areas. b. Clear limits should be placed on those military activities, such as a mobilizations and calling up selected reserves, which could lead to misunderstandings. Notification procedures should be established for practice movements. 7. CBMs dealing with communications. a. Direct ("hot line") communications systems should be established between heads of state, chiefs of military forces (defense ministers), general staffs, and units in contact across a border. b. The use of coded military message traffic (on-line and off-line cryptography) should be limited. 8. CBMs dealing with weapons. a. Agreement should be reached on levels and types of weapons, with emphasis on the exclusion of high-performance and expensive weapons systems. b. Agreement should be reached on levels of military arms budgets. c. Defensive weapons (anti-aircraft artillery, anti-tank weapons, mines) should be given preference in ceilings over offensive weapons (tanks, artillery, aircraft). 9. CBMs dealing with extra-military contacts a. Encourage visits by military athletic teams. b. Encourage social and professional contacts through the attaché network and the various elements of the regional military system. 10. CBMs dealing with training and education. a. Teach CBM approaches in national military academies, staff schools, and war colleges, as well as in the multinational military schools. b. Apply CBM techniques in command post and field exercises. c. Encourage the development of military trans-nationalism (i.e., a sense of military professionalism and mutual respect that transcends national boundaries). d. Examine primary and secondary school curricula and texts for aggressive, hostile or false information on potential adversaries. 11. CBMs and regional military systems. a. The institutions and activities of regional military systems such as the Inter-American Military System should be examined to see how they can be used in support of a confidence-building regime. The CBM support functions can include verification, contacts, channel of communications and a forum for expressing a wide range of ideas. (The institutions of the Inter-American Military System include: Inter-American Defense Board, Inter-American Defense College, multinational military schools in Panama, Service Chief's Conferences, military attaches, joint exercises, communications links, etc). b. Consideration should be given to lowering the presently high U.S. profile in most of the institutions of the Inter-American Military System, and to the possibility of moving key institutions (Board and College) to a Latin American country. 12. CBMs and functionalism. Certain functional areas of military-to-military cooperation should be assessed for their possible value as confidence-builders, even between adversary nations. These include: search and rescue (SAR) missions for aircraft and shipping; disaster relief; hurricane tracking; civic action; humanitarian projects. 13. CBMs dealing with ways of expanding CBMs. a. Establish a regional or subregional mechanism, similar to the Conference on Security and Cooperation in Europe (CSCE) to study confidence-building measures and ways to improve and increase them. b. Discuss CBMs at the periodic conferences of service chiefs. c. Explore the possibility of extending CBMs geographically to other areas. In the Central American case to the Caribbean and South America. 32 CBMの例 2/2
  33. 33. CBM(信頼醸成措置とは) • 交流の拡大、透明性の拡大を通して武力衝突を割けるた めの行為 • 古典的には米ソ首脳間のホットライン • 『地域安全保障のアーキテクチャ』の三層にあたるとい う 第一層 サンフランシ スコシステム (日米、米韓、 米豪など) 第二層 六者協議、軍 事演習(米タイ、 米韓) 第三層 ARF,APEC ASEAN+3 上海協力機構, ASEANなど 33
  34. 34. 34  Asia Pacific Computer Emergency Response Team (APCERT) • 2003年2月発足(12の国・経済地域から15チームで発足) •2013年7月現在、20の国/経済地域から30チームが加盟 •アジア太平洋地域に所在する国際連携CSIRTからなるコミュニティ • JPCERT/CCの関わり - 創設メンバー -現・議長、運営委員、事務局 • 2013年9月より加入資格を改訂(予定) グローバルな企業などからの参加 を募る。 具体的取り組み:APCERT
  35. 35. 35  2012年8月末現在、20の国経済地域から30チームが加盟 Full Members (22)  AusCERT – Australia  BKIS – Vietnam  BruCERT – Negara Brunei Darussalam  CCERT – People's Republic of China  CERT Australia – Australia  CERT-In – India  CNCERT/CC – People's Republic of China  HKCERT/CC – Hong Kong, China  IDCERT – Indonesia  ID-SIRTII – Indonesia  JPCERT/CC – Japan  KrCERT/CC – Korea  MOCERT – Macau  MyCERT – Malaysia  PHCERT – Philippine  SingCERT – Singapore  SLCERT – Sri Lanka  TechCERT – Sri Lanka  ThaiCERT – Thailand  TWCERT/CC –Chinese Taipei  TWNCERT – Chinese Taipei  VNCERT – Vietnam General Members (8)  BDCERT – Bangladesh  BP DSIRT – Singapore  EC-CERT –Chinese Taipei  GCSIRT – Philippines  MonCIRT – Mongolia  mmCERT – Myanmar  NCSC –New Zealand  NUSCERT – Singapore ご参考:Asia Pacific Computer Emergency Response Team (APCERT)
  36. 36. 具体的取り組み:TSUBAMEプロジェク ト Project Member 23 CSIRTs from 20 economy Currently Preparing Vietnam, Lao PDR, Pakistan 23 teams from 20 economies (as of Mar 2012) ・APAC地域のCSIRTと共同で のネットワーク定点観測を 行う。 ・データを共有し、CSIRT間 の連携を強化する。 36
  37. 37. ご参考:TSUBAMEポータ ル 37
  38. 38. 信頼醸成措置 今後の課題 • CSIRTのレイヤーでの透明性確保の取り組 みとは別に政府間による努力が必要 • 北朝鮮などの対話の窓口すら定かでない 国とどう関わっていくか? • 国際的な企業活動の増加がさらにすすめ ば、さらに緊張は高まりにくくなる。 38
  39. 39. 21世紀の力の分散 民間セクター 公共セクター 第三セクター 国際 多国籍企業(IBM、 シェルなど) 国際統治機関 (国連、WTOな ど) 非政府組織(オック スファム、グリーン ピースなど) 全国 全国的企業(アメ リカン航空など) 21世紀の中央政 府 全国非営利団体(ア メリカ赤十字など) 地方 地方企業 地方政府 地方団体 • 情報化が進むと力が分散する。 • 「知識共同体」がオゾン層破壊や地球温暖化など、科学的な知識が重要 な課題を取り上げ、国際協力の基礎になる情報を提供し、世論を形成 している。 39参照: “アメリカへの警告―21世紀国際政治のパワー・ゲーム” ジョセフ・S. ナイ (2002)
  40. 40. Measurementは可能か? • “If you can not measure it, you can not improve it.“ Lord Kelvin • データを持っている専門家に 期待されるのは「基準をつく る」ことで指針を示すこと • OECD Working Party on Information Security and Privacy (WPISP)で議論が始 まったばかり 40 参照:政府機関 セキュリティ 統一基準 総合評価 (2007) http://www.nisc.go.jp/conference/seisaku/dai15/pdf/15siryou01.pdf
  41. 41. まとめ • 国際規範の議論において、国際的な貢献 を果たしていくことは日本の責任 – アジア諸国と折り合いをつけるのは日本に期 待される役割 • CBMの推進は政府以外のプレイヤーの役割 が重要 • 目の前にある脅威を一般化し、指針をつ くるのが今後数年の課題である 41
  42. 42. 参考資料 • 論文 – Arquilla, J., & Ronfeldt, D. (1993). Cyberwar is coming! Comparative Strategy, 12(2), 141–165. – Rid, T. (2011). Cyber war will not take place. Journal of strategic studies, 34(March 2013), 37– 41. – Baseley-walker, B. (2012). Transparency and confidence-building measures in cyberspace – Gartzke, E. (2012). The Myth of Cyberwar - Bringing War on the Internet Back Down to Earth. – 東京財団政策研究. (2011). アジア太平洋の地域安全保障アーキテクチャ. • 書籍 – Clarke, R., & Knake, R. (2010). Cyber War: The next threat to national security and what to do about it – 土屋大洋. (2011). ネットワーク・ヘゲモニー ―「帝国」の情報戦略 – 伊東 寛.(2012). 「第5の戦場」 サイバー戦の脅威 • その他 – NATO CCDCOE.(2012). National Cyber Security Framework Manual http://www.ccdcoe.org/369.html – Introduction to a Preliminary Report on The Harvard, MIT and U. of Toronto Cyber Norms Workshop 2.0 http://citizenlab.org/cybernorms2012/introduction.pdf – コラム 「サイバー攻撃に係わる法的問題(3)-各論点をめぐる議論の状況-」 http://www.mod.go.jp/msdf/navcol/SSG/topics-column/col-047.html 42
  43. 43. 時間が余ったとき 43
  44. 44. 息抜き Part1: インターネットは新たな収奪の構造を生み出すか? • 各国のISPは通信料 に応じてIPトラン ジットを購入 • 国内ISP同士は相互 にピアを張り、ト ラフィックを交換 する • 代表的不幸モデル:フィリピン におけるPLDTとGlobeの仁義な き戦い 44
  45. 45. 45 http://www.macra.org.mw/downloads/CRASA/The%20Internet%20Peering%20Deficit.pdf • 大陸内を接続し、トラ フィックを地産地消し ないと接続料金が下が らない • データセンター作れな い
  46. 46. 息抜き Part2: 多様なアジア • Confidentiality(機密性) – 給料明細をお互い見せ合うフィリピンのIT企業社員 • Integrity(完全性) – フィリピンはアジア諸国にさきがけて電子投票シス テム(ベネズエラ製)を導入した – 本人確認はサインか?印鑑か? • 印鑑が使われているのは主に日本とベトナム • Availability(可用性) – 雤が降るとインターネットが途切れがちなインドネ シア – 電力事情のせいで高度な計画停電が日常的に行われ るネパール 46
  47. 47. ご静聴ありがとうございました。 47

×