はじめに

JPCERT/CCは、サイバーセキュリティ政策に関する諸外国の動向調査として政府機関、国際機関、企業などのニュースの収集および分析を行っています。この記事は、2021年7月から12月までの約6カ月間の出来事で特に重要であると判断したトピックをひとくちサイズで解説しています。

※この記事は一部、JPCERT/CCとしての公式見解ではない、職員の私見を含んでいます。

キャラクター紹介

名前：マーシー 3歳のねこ 好奇心旺盛で、独り言が多い。 飼い主がサイバーセキュリティ企業に勤めている。	名前：モチチロー 7歳のいぬ コミュ力が高く、なにかと事情通。 RSSリーダーや各種SNSを駆使する姿はさながらIT業界人。

トピック1 国連

国連総会一般討論演説において複数の国がサイバー空間に関する課題を指摘した。

2021年9月21日から27日まで第76回国連総会の一般討論演説が行われ、各国の代表が重要視すべき課題と、それぞれの立場を表明しました［1］ 。サイバー空間に関連して提起された問題には、サイバー空間における脅威、サイバー空間における国際法の適用、偽情報の拡散、サイバー犯罪などがあります。

米国は、サイバー空間をめぐる状況とその課題を指摘し、貿易、サイバー、および新興技術といった課題に取り組む姿勢を表明しました。また、バイデン大統領が演説に先立つ会見で貿易、サイバー、新興技術分野におけるルール作りの重要性を訴えました。その中で、米国が重要インフラに対するサイバー攻撃やランサムウェアに対して防御を固めており、サイバー空間に関わるすべての国が参加するルール作りに取り組むことを表明しました。また、米国が自国民、同盟国、および自国の利益を脅かすサイバー攻撃に対する自衛手段を保持することを宣言しました［2］。

米国以外の国もサイバー空間における課題を認識しています。オーストラリアのモリソン首相は、国際社会の課題の一つとしてサイバー空間に関する問題を指摘しました［3］ 。具体的には、領土に関する主張を巡る緊張の高まり、軍事技術の近代化、外国からの干渉、サイバー空間における脅威、偽情報の拡散、および経済的な強制措置を挙げました。さらに、カタールやスイスなど複数の国がサイバー空間における国際法の適用を支持する意向を表明しました。

サイバー攻撃対策って世界のトレンドなのかな？
大企業や国家を標的にした攻撃とか、サイバー関連ニュースをメディアで見ない日はないよね。

この10年ほどの間に、さまざまな組織がサイバー攻撃対策に関心を持つようになったよね。
JPCERT/CCのようなインシデント対応を手助けする組織の重要性の認識も高まっている。2015年の国連GGEの報告書［4］では、いかなる国もインシデント対応を行う組織を攻撃してはいけないことを明記したんだ。

国連GGE？サイバー攻撃の問題を国際的に話し合う場所があるってこと？

うん！複数の国の代表が集まってサイバー空間に関する議論をする場の一つに、国連があるよ。
国連の中にはいろいろな会議があって、国が選出した代表が議論を行う政府専門家会合（Group of Government Experts：GGE）や、国と民間組織が誰でも参加できるオープン・エンド作業部会（Open-Ended Working Group：OEWG［5］）がよく知られているよ。

へえ、そうなんだ！
日本はどこに参加しているの？

日本はGGEやPoA（Programme of Action）にも参加しているし、他にも複数の国との会議を通じてサイバー空間に関する議論に参加して、情報通信技術を利用する適切な方法について意見を表明しているよ。

なるほどー。
でもさ、いろいろな国がサイバー攻撃を防ぎたいという共通の目的を持っているみたいだけど、なんでうまくいかないのかな？

いい質問だねえ。
これは国や地域ごとにサイバー攻撃の定義や対策の考え方が異なっている、というのが大きなポイントなんだ。
サイバー攻撃を防ぐためには、どんな手段がある？

うーん、攻撃を受けてもダメージを受けない仕組みを作るとか、攻撃する人のやる気を削げばサイバー攻撃はなくなるかも！どう？

そうそう。でも、考えてみて。ソフトウェアの脆弱性をなくすこと、システムをセキュアに運用すること、人間が完璧に攻撃を見つけること、これらの達成は難しいことだと思わない？
この難しさを克服するため、各国がさまざまな考え方をもとに努力を積み重ねてきているよ。
具体的には、脆弱性を修正したソフトウェアのアップデート、システムの監査、または教育・研修があるね。
あとは攻撃するための時間やお金といったコストを高める、攻撃者のやる気を削ぐといった手段もあるけど、法律や制度の違いや、サイバー攻撃を認定することには難しさがあって、なかなかうまくいっていない状況なんだって。

トピック2 米国

米国務省副長官の下にサイバー関連部局を設置する計画を公表した。

2021年10月25日、米国務省はサイバー関連部局の設立計画を明らかにしました［6］。新部局は（a）国際的なサイバー空間の安全保障、（b）国際的なデジタル政策、（c）デジタルの自由（digital freedom = サイバー空間の自由な表現や民主主義を守る活動）に重点的に取り組むとしています。また、新たに重要技術・新興技術を担当する組織を設置し、同盟国やパートナーとの協議、多国間フォーラムなどの場で、当面の技術分野の外交を主導する見通しです。（a）にはサイバー政策と交渉、攻撃の抑止、サイバーオペレーション、能力開発）、（b）にはITU等の標準化機関との連携、信頼性のある電気通信システムの推進、デジタル技術トラックや多国間アジェンダへの関与が含まれています。

米国はインターネットが生まれた国でもあるし、今までもこれからもサイバーセキュリティ政策では世界から着目され続けるよね。
ところで、米国政府のサイバー関連部門はいくつかあるみたいだけど、各部門はどんなことをしているの？

主に民間組織を管轄するのは、国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁（Cybersecurity and Infrastructure Security Agency: CISA）だよ。
そのほかにも、ホワイトハウスで全体統括を行う国家サイバー長官、防衛を担当する国防総省、外交や国際的な議論に参加する国務省、技術標準を所管する商務省、または法を執行する司法省などが対外的によく知られているかな。

すでに外国との連携を担う部署はありそうだけど、米国はこの部局にどんなことを期待しているの？

さっき触れたように、サイバー空間における課題は、一つの国で解決できないからね。米国務省は複数の国と協力するためにこの部局を作ったと言われている。この部局を新しく作ったことで、米国が積極的に他国と連携していきますよ、というメッセージが伝わるね。

そうか、現政権の国際協調姿勢が反映された方針ともいえるんだね。また教えてね！
（というか普通に会話してたけど、このいぬ、何者ッ…？！）

（つづく）

おわりに

普段はサイバーセキュリティ政策に触れる機会が少ない方にも興味を持っていただけるよう、カジュアルな会話形式でご紹介いたしました。ぜひ感想をお寄せください。

国際部 登山 昌恵、早期警戒グループ 持永 大

参考情報

［1］ 国際連合
Amid Onslaught of Crises, World Must Restore Trust, Solidarity to Tackle COVID-19, Climate Change, Secretary-General Says, Opening Annual General Assembly Debate
https://www.un.org/press/en/2021/ga12364.doc.htm

［2］ 米国 ホワイトハウス
Remarks by President Biden Before the 76th Session of the United Nations General Assembly
https://www.whitehouse.gov/briefing-room/speeches-remarks/2021/09/21/remarks-by-president-biden-before-the-76th-session-of-the-united-nations-general-assembly/

［3］ オーストラリア首相府
Virtual Remarks to the United Nations General Assembly
https://www.pm.gov.au/media/virtual-remarks-united-nations-general-assembly

［4］ 国際連合
A/70/174
https://digitallibrary.un.org/record/799853/files/A_70_174-EN.pdf

［5］ 国際連合
Open-ended Working Group
https://www.un.org/disarmament/open-ended-working-group/

［6］ 米国 国務省
Department Press Briefing – October 25, 2021
https://www.state.gov/briefings/department-press-briefing-october-25-2021/