サイバー攻撃を分類する

ちょっと違う「サイバー攻撃」の定義

 

書名に冠されている「タリン」とは、東欧の小国家エストニアの首都の名前である。タイムカプセルのように中世欧州の風情を残す古都タリンは、一方で、サイバーセキュリティにおける象徴的な地でもある。2007年にこの都市に向けて、大規模なサイバー攻撃が仕掛けられ、都市機能が麻痺するに至るという大事件が起きたからである。

 

NATO(北大西洋条約機構)は、その翌年、この地にサイバー防衛の研究拠点としてCCD COE(Cooperative Cyber Defence Centre of Excellence)なる施設を設置した。この機関に国際法の専門家が集められ、サイバー戦に対し現行の国際法でどこまで対応できるのか3年をかけて吟味され、95項目のルールと注釈が提示された。これが『タリン・マニュアル』である。この書籍の性質を端的に表しているのが、その「サイバー攻撃」の定義だろう。それはルール30に次の通り示されている。

 

 

サイバー攻撃とは、それが攻撃的(offensive)であるか、防御的(defensive)であるかに関わらず、人員の負傷や死亡、または物体への損害や破壊をもたらすと合理的に期待されるサイバー行動(cyber operation)である。 [Schmitt, 2013, ページ: 106]

 

 

サイバー行動(あるいはサイバー作戦)という言葉も初めて出てきたので定義を見てみよう。これは、同書末の用語解説で説明されている。

 

 

サイバー空間の使用において、もしくはサイバー空間の使用による目標の達成を第一の目的とするサイバー能力(cyber capabilities)の使用。 [Schmitt, 2013, ページ: 258]

 

 

つまり、『タリン・マニュアル』においてはサイバー能力による人やモノへの損害を期待される攻撃のみを「サイバー攻撃」として定義しており、物理的な破壊がないような攻撃はそのように呼びさえしないのである。この定義は国際法の議論においては、「攻撃」という言葉が各種法規で制限される重要なニュアンスを含んだ言葉であることを踏まえた特殊なものである。

 

『タリン・マニュアル』では、従来の国際法で制限される「攻撃」同様に、そのまま扱えるような一部のサイバー行動を「サイバー攻撃」と呼んでいる。そして、既存の国際法がどこまで適用可能なのか。つまり、例えば、どこまでを自衛権による反撃の可能な武力攻撃、あるいはそれと同等と見なせるものなのか示している。

 

そして、それでもなお、どのように専門家間で意見が分かれているのかを明示して、サイバー空間における国際法議論の礎(いしずえ)となろうとしている。『タリン・マニュアル』は強制力を持った条約ではなく、NATOの公式見解でもないと但し書きのされた専門家の意見の集積であって、その役割を過大に捉えてはいけない。しかし、国家間におけるサイバー攻撃に関して、有効な国際的合意がいまだ途上にあ

ることを考えると、無視できない大きな存在である。

 

 

『タリン・マニュアル』での分類をまとめてみる

 

この『タリン・マニュアル』に、サイバー・トゥー・サイバー行動(cyber-to-cyber operation)、キネティック・トゥー・サイバー行動(kinetic-to-cyber operation)という表現が出てくる。そして、サイバー・トゥー・キネティック行動(cyber-to-kinetic operation)という表現はここにはでてこない。物理的な破壊を伴うサイバー攻撃をサイバー・トゥー・キネティック行動とは呼ばないのだろうか。該当部分を抜粋すると以下の通りである。

 

 

『タリン・マニュアル』では厳密な意味でのサイバー・トゥー・サイバー行動に重点を置く。その例としてあげられるものには国家の重要インフラへのサイバー行動の実施や、敵指揮統制システムを目標としたサイバー攻撃が含まれる。当マニュアルはサイバー管理センターに対する爆弾を使用した空撃のようなキネティック・トゥー・サイバー行動にまつわる法的問題に便宜を供することを意図していない。 [Schmitt, 2013, ページ: 5]

 

 

ここでは重要インフラへの攻撃をサイバー・トゥー・サイバー行動の例としてあげている。昨今の重要インフラはサイバーフィジカルシステムである場合が多いことを考えると、図1でいうところの「物理的影響を目的としたサイバー攻撃」も、ここの表現におけるサイバー・トゥー・サイバー行動に含まれていると考えることができる。

 

サイバーフィジカルシステムもサイバー空間に存在することには変わりないので、目標の破壊が物理的か非物理的かに関わらず、サイバー・トゥー・サイバー行動という呼び方を使用しているのであろう。ここで今度は『タリン・マニュアル』で使用されている言葉を図に示してみると、図2の通りとなる。見た通り、やはり右下の領域、非キネティックな手段を用いた非フィジカルを対象とする攻撃を限定的に呼ぶ表現がない。

 

 

図2 手段と対象に基づくサイバー攻撃他の分類(『タリン・マニュアル』での表現)

ozawa02

 

 

サイバー・トゥー・フィジカル攻撃と呼んでみる

 

ハッカーの間にはサイバー・トゥー・フィジカル効果(cyber-to-physical effect)という言葉があるらしい [Owen M. , 2015]。これに似た表現がサイバーセキュリティ業界にも見られるが、現時点では、それほど普及しているようには見えない。しかし今までの分類や考察を踏まえた時に、この表現がまさにサイバーフィジカルシステムへの攻撃を表現するのに最適に見える。

 

そこで、サイバーフィジカルシステム等、物理的対象へのサイバー攻撃をサイバー・トゥー・フィジカル攻撃(cyber-to-physical attack ; C2P attack)と呼んで、それ以外の非フィジカルな効果を目的としたサイバー攻撃(DDoS攻撃や、データ改竄・窃取などを含む)をサイバー・トゥー・ノンフィジカル攻撃(cyber-to-non-physical attack ; C2NP attack)と呼んで図にしてみよう。すると、図3のようになる。

 

 

図3 手段と対象に基づくサイバー攻撃他の分類(本稿での表現)

oazwa03

 

 

一通り呼び名が定まって、落ち着いた図になった。サイバー攻撃は全て、非キネティックな手法に属するが、攻撃対象はフィジカルと非フィジカルの二つに分けられる。そして、それぞれに対する攻撃を各々、図示した通り呼ぶことができる。そして、この二種類の攻撃がすなわちサイバー攻撃であって、それ以上でもそれ以下でもないといい切ってしまうことができる。

 

 

サイバーセキュリティのスコープはこう表現できる

 

実際のところ、サイバーセキュリティといったときにみなくてはいけない範囲(スコープ)はこのサイバー攻撃に限られない。キネティック・トゥー・サイバー行動、つまりサイバーインフラ(つまりサーバー類など)への空爆などといった種類の通常攻撃からも守られなくてはならない。

 

いや、これは軍事に限られたことではない。慶応義塾大学湘南藤沢キャンパス土屋大洋教授や初代陸自サイバー防衛隊伊東寛隊長(現通産省サイバーセキュリティ・情報化審議官)によって繰り返し警告されてきているように、海底ケーブルの切断によって日本のインターネット網は世界から孤立し得る [土屋大洋, サイバー・テロ 日米vs.中国, 2012, ページ: 131-139] [土屋大洋, サイバーセキュリティと国際政治, 2015, ページ: 136-139]。このような懸念を外して議論してしまうとサイバーセキュリティ全体としては重大な抜けが生じてしまう。

 

先述の分類(図3)では、この種の攻撃を含むキネティック・トゥー・サイバー行動による攻撃をキネティック・トゥー・サイバー攻撃といい直して『タリン・マニュアル』から継承することにした。この分類によって、サイバーセキュリティの検討範囲は図3の右側に見えるサイバー攻撃(=サイバー・トゥー・フィジカル攻撃+サイバー・トゥー・ノンフィジカル攻撃)と、左下に見えるキネティック・トゥー・サイバー攻撃であると、過不足なく明示的に表現することができる。

 

 

『タリン・マニュアル2.0』がついに発行される

 

さて、関連して話題に出た『タリン・マニュアル』であるが、出版から3年の歳月を経た今、その第二版となる『タリン・マニュアル2.0』が世に出ようとしている。同書は「戦場外で毎日発生する、国家の直面する、最も一般的で頻繁なサイバー事件」を扱うとされている [NATO Cooperative Cyber Defence Centre of Excellence, 2016]。本稿の分類でいうならば主としてサイバー・トゥー・フィジカル攻撃をスコープとしていた『タリン・マニュアル』と異なり、同2.0ではサイバー・トゥー・ノンフィジカル攻撃をも扱うということである。

 

同書は2016年末~2017年初の出版が予定されているが、ついに年の瀬も迫ってきた [ASSER Institute, 2016]。実際のところ、出版の見通しはどうなのだろうか。事情を知る専門家に伺った限りでは、作業は着実に進行しているとのことであった。遅かれ早かれ、50カ国以上から集まった国際法専門家たちの知の集積が、サイバーの世界、日本式にいえば連接融合情報社会に投じられる。国際法の世界での努力が、サイバー空間の秩序に貢献するときが迫っているのかもしれない。期待を込めて見守りたい。

 

 

参照文献

・21世紀政策研究所 研究プロジェクト. (2013年5月). サイバー攻撃の実態と防衛. 参照日: 2015年5月14日, 参照先: http://www.21ppi.org/pdf/thesis/130611.pdf

・Applegate, Scott. (2013). The Dawn of Kinetic Cyber. 2013 5th International Conference on Cyber Conflict. 参照日: 2014年11月27日, 参照先: https://ccdcoe.org/cycon/2013/proceedings/d2r1s4_applegate.pdf

・ASSER Institute. (2016). The Tallinn Manual 2.0 and The Hague Process: From Cyber Warfare to Peacetime Regime. ASSER Institute. 参照日: 2016年12月16日, 参照先: http://www.asser.nl/media/2878/report-on-the-tallinn-manual-20-and-the-hague-process-3-feb-2016.pdf

・Checkoway, Stephen, McCoy, Damon, Kantor, Brian, Anderson, Danny, Shacham, Hovav, Savage, Stefan, . . . Kohno, Tadayoshi. (2011). Comprehensive Experimental Analyses of Automotive Attack Surfaces. in USENIX Security. 参照日: 2016年12月15日, 参照先: http://www.autosec.org/pubs/cars-usenixsec2011.pdf

・Crawford, Michael. (2006年2月16日). Utility hack led to security overhaul. Computerworld. 参照日: 2016年12月9日, 参照先: http://www.computerworld.com/article/2561484/security0/utility-hack-led-to-security-overhaul.html

・Grubb, Ben. (2012年11月6日). Fatal risk at heart of lax security. The Sydney Morning Herald. 参照日: 2016年12月15日, 参照先: http://www.smh.com.au/digital-life/consumer-security/fatal-risk-at-heart-of-lax-security-20121102-28ore.html

・Healey, Jason. (2013). A Fierce Domain: Conflict n Cyberspace, 1986 to 2012. A CCSA Publication, in Partnership with the Atlantic Council.

Koscher, Karl, Czeskis, Alexei, Roesner, Franziska, Patel, Shwetak, Kohno, Tadayoshi, Checkoway, Stephen, . . . Savage, Stefan. (2010). Experimental Security Analysis of a Modern Automobile. in 2010 IEEE Symposium on Security and Privacy. 参照日: 2016年12月15日, 参照先: http://www.autosec.org/pubs/cars-oakland2010.pdf

・Lee, Robert M., Assante, Michael J., Conway, Tim. (2014). German Steel Mill Cyber Attack. SANS Industrial Control Systems. 参照日: 2016年12月10日, 参照先: https://ics.sans.org/media/ICS-CPPE-case-Study-2-German-Steelworks_Facility.pdf

・Leyden, John. (2008年1月11日). Polish teen derails tram after hacking train network. The Register. 参照日: 2016年12月9日, 参照先: http://www.theregister.co.uk/2008/01/11/tram_hack/

・NATO Cooperative Cyber Defence Centre of Excellence. (2016年2月2日). Over 50 States Consult Tallinn Manual 2.0. 参照日: 2016年12月1日, 参照先: https://ccdcoe.org/over-50-states-consult-tallinn-manual-20.html

・Owen, Matthews. (2015年5月7日). Russia’s Greatest Weapon May Be Its Hackers. Newsweek. 参照日: 2016年12月9日, 参照先: http://europe.newsweek.com/russias-greatest-weapon-may-be-its-hackers-326974

・Owen, Tess. (2016年2月10日). US Spy Chief Warns of Space Wars, North Korean Nukes, and Cyber Threats. VICE News. 参照日: 2016年12月9日, 参照先: https://news.vice.com/article/us-spy-chief-warns-of-space-wars-north-korean-nukes-and-cyber-armageddon

Schmitt, Michael N. (2013). Tallinn Manual on The International Law Applicable to Cyber Warfare. New York: Cambridge University Press.

・U.S. Air Force. (2007). Air Force Doctrine Document 2: Operations and Organization. 参照日: 2014年11月26日, 参照先: fas.org/irp/doddir/usaf/afdd2.pdf

・伊東寛. (2016). サイバー戦争論 ナショナルセキュリティの現在. 東京都: 原書房.

・中谷和弘. (2013年5月). サイバー攻撃と国際法の対応. ジュリスト(1454), 58-63.

・土屋大洋. (2012). サイバー・テロ 日米vs.中国. 文春新書.

・土屋大洋. (2014). 仮想戦争の終わり サイバー戦争とセキュリティ. 角川学芸出版.

・土屋大洋. (2015). サイバーセキュリティと国際政治. 千倉書房.

・藤野克. (2013). インターネットとアメリカ政治 第2号「インターネットフリーダム:国際規範の追求」. 東京都: 東京財団. 参照日: 2016年12月16日, 参照先: http://www.tkfd.or.jp/research/america/a00232

・内閣サイバーセキュリティセンター. (2015年9月4日). サイバーセキュリティ戦略(閣議決定). 参照日: 2016年12月15日, 参照先: http://www.nisc.go.jp/materials/index.html

 

知のネットワーク – S Y N O D O S –

 

 

シノドスの楽しみ方、あるいはご活用法のご案内

 

lounge

 

α-synodos03-2

1 2

vol.212 特集:生命

・『生殖医療の衝撃』著者、石原理氏インタビュー「時間と空間を超える生殖が日常となる現代――日本で求められる法整備」

・粥川準二「『新しい優生思想』とは――相模原事件、出生前診断、受精卵ゲノム編集」

・打越綾子「生命の観点から人と動物の関係を考える」

・杉田俊介「優生と男性のはざまでとり乱す――優生思想についてのメモ」

・岩崎秀雄「生命美学とバイオ(メディア)アート――芸術と科学の界面から考える生命」

・齋藤直子(絵)×岸政彦(文)「Yeah! めっちゃ平日」第1回:加齢と向き合う