せいうちセキュリティ

研究論文からサイバー犯罪とセキュリティを考えてみる

【論文考察】米国のサイバー防衛戦略はどう進化してきたか

今回の論文はこちら。民間組織の情報セキュリティ部門には馴染みのない「国防系」のサイバーです。

Erica D Lonergan, Jacquelyn Schneider
 
Journal of Cybersecurity, Volume 9, Issue 1, 2023, tyad006

 

もくじ

 

どんな人におすすめ?

国や軍の立場を踏まえてサイバーの話をする必要がある人向けの論文です。する必要がなくても、各国の動向を把握しておかなければサイバー空間の動きも把握できない昨今の情勢を鑑みると、重要インフラとかのセキュリティに関わっている人も一読するとサイバー空間の理解に奥行きが出て、とてもいいと思います。

国家と民間組織ではそれぞれの組織目標が異なるので、サイバーパワーおよびサイバーセキュリティの捉え方も大きく異なります。とはいえ、国も民間も協力しあってサイバーセキュリティに取り組んでいかなくては負け確になってしまう今の時代、こういう論文にもアンテナを張っておくと後々役に立つのではないか。ブリコラージュ万歳。

 

どんな内容?

超大国アメリカでさえも2011年から今までで3回もサイバー戦略を変えているから、俺たちも歴史から学ぼうぜ!っていう話です。ドイツの初代宰相であるオットー・フォン・ビスマルクは「愚者は経験から学び、賢者は歴史から学ぶ」というエモい名言を残しました。賢者のやり方でサイバー戦略を考えていこうのがこの論文です。

具体的には、アメリカ国防総省DoD)が2011年・2015年・2018年に公表したサイバー戦略を分析しながら、過去十数年で軍事的なサイバーパワーの考え方がどう変化してきたのかまとめています。Journal of Cybersecurityでも二番目によく読まれている論文だけあって、軍事的な観点からのサイバーパワーとはなんぞやの本質をついている内容です。

DoDがが最初のサイバー戦略を発表したのは2011年7月。オバマ政権の国際サイバースペース戦略の後に発表されたもので、サイバースペースとインターネットが人権、民主主義の促進、経済的機会に与える影響について楽観的な見解を示していました。ちょうど「アラブの春」があって、世間がSNSをはじめとしたデジタル技術/サービスの「ポジティブな側面」に胸を躍らせていた時期です。なので、当時の戦略には、サイバースペースにおける、またはサイバースペースを通じての軍事力の行使に関する有意義な議論が全くありませんでした。カリフォルニア・ベイエリアのテック企業の急成長もあり、サイバー空間の発展が人間を幸せにするという暗黙の前提があったうえで色々な議論が進んでいた時期だと思います。

ところが2015年にはポジティブさが薄れてきます。米国2011年以降、国家安全保障や防衛上の利益に影響を与えるサイバーインシデントの規模、重大性、対象が大幅に増加したんですね。APT10による複数のキャンペーン、Cloud Hopper、ニューヨーク州のダムへの侵入など。2011年の戦略とは異なり、2015年の戦略では優先すべき敵対者を明確に特定しています(ロシア、中国、イラン、北朝鮮、非国家主体)

そしてトランプ新政権が誕生した翌年の2018年、サイバー戦略はよりアグレッシブに方向転換します。トップが変わると方針も変わるいい例です。この年に展開された戦略以降、重要な概念となっているのが「Defend forward」と「Persistent engagement」です。いま話題のアクティブ・ディフェンスにも通じる考え方ですね。

 

注目ポイント

軍事的な観点からサイバーパワーを理解するために重要な概念が以下の通り三つあります:

  1. 国際規範の確立…国際通念を作り上げて、自国の行動に正当性を持たせること。
  2. サイバー空間での抑止力の有用性サイバー攻撃を行う主体を実行に移させないこと。
  3. エスカレーション・リスクサイバー攻撃が上位レベルの軍事行為に発展しないようにすること。

この三つの切り口で、過去3回のDoDのサイバー戦略を比較したのがこちら↓

 
2011年
2015年
2018年
規範
民主主義と人権を中心とした国際規範を強く重視し、DoDは安定規範に対するリスクとして大きく捉えられる。
国際的な規範に合致した活動をするために、DoDの抑制を宣言することにさらなる重点を置いた。
DoDは、軍事サイバー作戦を通じて確立された規範を持つ、それ自体が規範の立役者であると見なされている。
抑止力
抑止力は明確に定義されておらず、中核的な概念ではない。
抑止力はアンカリング・コンセプト、拒否と回復力に焦点を当てる。懲罰による抑止力については曖昧。
抑止力は、新しい戦略コンセプト、ディフェンド・フォワード/パーシステント・エンゲージメントと並行して存在する。
エスカレーション
エスカレーションは重大な懸念事項であり、軍のサイバー作戦はリスクの源泉と見なされている。
エスカレーション信念は、2011年の戦略と一致する。
エスカレーションについては言及されていない。軍事的なサイバー作戦は、紛争の閾値以下に抑えることができる。

<上表:サイバー戦略比較表。筆者訳。>

 

感想

大変読みにくい論文でした。日常的に触れているサイバーセキュリティとは、出てくる用語も観点も違うからです。でもわからないところを調べながら三回くらい読むとなんとなく筋が読めてきます。どうかあきらめずにトライしてみてください。

論文の最後に「レジリエンス・アプローチ」の説明があったんですが、それがすごいよかったです。レジリエンスは最近の流行りみたいですが、マーケティング要素が強すぎて中身が薄いものが多いです。なぜ薄さを感じるかというと、レジリエンスを単に「回復力」と訳して、それ以上理解しようと思っていないから。レジリエンス・アプローチの本質は、①サイバー防衛が時として失敗する可能性を想定していること、②したがってレジリエンス・アプローチにおける戦略的成功とは破壊的な出来事を予期し、準備し、耐え、回復し、そこから学習することができることです。一度やられた後に、強くなって、立ち上がる力。組織にも個人にも、求めれているものは同じですね。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

 

※ 論文からの引用は発行元の規則に則っています。

ランキング参加中
セキュリティ