サイバー傭兵問題を概観できる記事

小宮山功一朗の「サイバー傭兵を規制できるか―サイバーセキュリティにおける企業の役割―」（ https://www.cfiec.jp/2024/komiyama_0507/ ）を読んだ。サイバー傭兵、サイバー軍需企業などと呼ばれる民間企業の現状がコンパクトにまとめられ、わかりやすくいものだった。

●概要

民間企業は、サイバー攻撃の被害者であり、中立の立場であり、サイバー傭兵でもある。被害者というのはわかりやすい。中立というのはサイバー空間を構成する要素を提供している立場である。最後のサイバー傭兵がサイバー作戦を政府に代わって実施する場合と、商用スパイウェアを販売する場合がある。
この論考のテーマは後者のスパイウェアである。10年前から注目されるようになり、近年欧米を中心に各国で規制が進んでいる。
2024年2月に、イギリスとフランスが共同で、政府と民間企業が商用スパイウェアに関する議論を行うための場ポール・モール・プロセス(Pall Mall Process)を作り、そこに日本を含めた27の国や連合、Metaやグーグルなど14の企業や団体、12の市民団体がこの動きに賛同している。ここに実際にスパイウェアを開発、提供している企業も含まれており、この議論の向かう先が気になる。

最後に日本は本流＝スパイウェアの規制を目指すべきという提言を行っているが、その一方で各国が規制に乗り出しているのはすでに商用スパイウェアがなくても困らない体制ができているからという指摘もしている。

●感想

コンパクトかつ必要なことが盛り込まれていて参考になる論考だった。
いくつか気になる点というか、こういうことも知りたいということがあった。

・サイバー傭兵の範疇

論考で民間企業の役割として被害者、中立、傭兵の3つをあげている。対国家という役割だとそうかもしれないが、社会全体の中と考えると、中立と傭兵の間にかなりグレーゾーンが広がっているような気がした。ホワイトなバグ報奨金プラットフォームがある一方でダークwebなどで脆弱性を売るブローカー、イニシャルアクセスブローカーがいる。また、人権に対する脅威という点ではSNSリスニングツール、監視システムなども入ってくる。グーグルは中国に検閲＆個人情報特定機能つきサーチエンジン売ろうとしたり、イスラエルに感情把握までの監視機能つきサーチエンジンを売ろうとしていた。NECはインドに監視システムを納品している。初期のブラックライブズマター運動の際、アメリカのSNSリスニングツール企業は過度な監視を行っていた。スパイウェア同様、こうしたものも取り締まりの対象になるべきだと思うが、あまりそうはなっていないのは論考で指摘されているように、民間企業に政府が追いついていないからかもしれない。

・日本に裏のサイバーセキュリティサプライチェーンを構成する業者がない問題

日本国内のサイバーエコシステムには裏のサプライチェーンを構成する業者がほとんどいない問題も触れてほしかった。裏のサイバーセキュリティサプライチェーンとは、脆弱性の発見からマルウェアの配布や攻撃までの一連の過程のサプライヤーのことで、日本国内にはサプライヤーの数が少ない。さらに少ない中でも海外のマーケットで商売していることが少なくない。
サイバー犯罪者が国内に少ないのはよいことだが、国内に多数のサプライヤーがいて、表のビジネスとの人材交流もさかんな国（中国、ロシア、アメリカなど）と比較すると大きく劣るのは明らかだ。この課題を解決しないと能動的サイバー防御は絵に描いた皿でしかない。これまで発表された能動的サイバー防御の資料は見る限りでは、EU各国、イギリス、アメリカいずれと比較しても日本もサイバー能動防御はもっとも攻撃的となっている。表と裏のエコシステムとその交流はなんらかの形で必要になりそうな気がする。

好評発売中！
ネット世論操作とデジタル影響工作：「見えざる手」を可視化する
『ウクライナ侵攻と情報戦』（扶桑社新書）
『フェイクニュース　戦略的戦争兵器』（角川新書）
『犯罪「事前」捜査』（角川新書）＜政府機関が利用する民間企業製のスパイウェアについて解説。