SolarWindsのハッキング被害を受けた英国政府の取り組みについて（英国王立防衛安全保障研究所(RUSI)の記事）

写真出展：falcoによるPixabayからの画像

https://pixabay.com/ja/users/falco-81448/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=534968

　英国王立防衛安全保障研究所（RUSI）が2021年5月21日に、SolarWindsのハッキング被害を受けた英国政府の取り組みについて分析した記事を発表した。アメリカとは異なった視点での分析になっており、どちらかと言うと日本が参考にしやすい内容となっている。

↓リンク先（The UK’s Approach to Russian Cyber Operations Shows No Signs of Changing）
https://rusi.org/commentary/uk-approach-russian-cyber-operations-shows-no-signs-changing

１．RUSIの記事について
　・4月15日、イギリスの外務・英連邦開発省及び英国国家サイバーセキュリティセンター（NCSC）は、正式にSolarWindsのハッキングをロシアのSVRのものと認定し、アメリカに同調する姿勢を見せた。これは英政府の「名指し非難」の取り組みを踏襲したものである。しかしながら、被害受けたにもかかわらず、金融制裁や外交官追放などには実施しなかった。イギリスでは、今回の事件があまり世論を掻き立てるものにならなかったことがその原因である。
　・イギリスの被害としては、Mimecastという電子メールセキュリティプロバイダーのOffice365のメールサービス向けの製品の証明書を侵害し、顧客の情報を取得していた。これはSolarWindsのソフトウェアOrionを利用していない顧客への被害である。
　・アメリカの政治家及びインテリジェンス業界における議論の中心は、SolarWindsのハッキング事件は、損害があったものの、許容可能なインテリジェンス収集作戦であるのか、それとも報復が必要なのかということだった。4月に入って、バイデン政権はSolarWindsのハッキングはロシアのSVRの犯行と公式に発表し、外交官追放及び金融制裁を実施した。
　・バイデン政権は、SolarWindsのハッキングは通常の諜報活動であると認めた（歴史的に、アメリカは行動の諜報活動の自由を確保するため、あえて諜報活動を容認している）が、「レッドライン」を越えたと判定し、従来とは異なる厳しい対応を取った。財務省の声明及びホワイトハウスのファクトシートにおいて、規模、作戦の範囲、ロシア政府の関与の記録、民間企業への負担、攻撃の性質などを総合的に勘案してレッドラインを越えたとしているが、明確に定義はしていない。
　・標的となった同盟国が、アメリカの措置に追随する気配はない。イギリスではSolarWindsのハッキングで大きな被害がなかったものの、防衛省及び内務省がソフトウェアOrionを利用していたとされていることから、アメリカと同様の被害が発生した可能性もある。
　ただ、イギリス政府もSolarWindsのハッキングをロシアのSVRの諜報活動と認定したものの、外交的、金融的報復を行っていない。つまり、レッドラインを超えたとは認定していない。これは、国内から政治的なプレッシャーがかかっていないためである。SolarWindsの事件はイギリスメディアを賑わせ、他のニュースよりも大きく取り扱われたものの、被害が少なかったことから世論が盛り上がらなかったことが要因と考えられる。しかし、コロニアルパイプラインの事件を受け、今後近い未来にサイバーセキュリティ政策の重要性が顕在化する可能性がある。イギリス政府はロシアからサイバー攻撃の被害を受けた際の対処について、考えておく必要がある。

２．本記事についての感想
　英国国際戦略研究所（IISS）の3月31日の記事と似た見解を示したものである。今回のまとめでは省略したが、SolarWinds事件の経過についてはアメリカの記事にはない事項についても掲載されており、この事件についてはかなり詳細に分析していることがうかがえる内容だった。
　ただ、イギリス政府の対応が不十分であると指摘しており、世論の盛り上がりがないことがその主要因としている。（この点は、日本と似ているように思われる。）過去にはロシアに対して厳しく対処してきたのだが、EU離脱によりヨーロッパ各国と協調した外交が展開できなくなっていること、ヨーロッパからアジアにシフトしていることなどから、ロシアへの対応がやや甘くなっているのではないだろうか。
　日本も人のことは言っていられない。サイバーセキュリティはしばしば技術的な問題と捉えられるが、実際には安全保障上の重要問題であり、日本人が非常に苦手とする分野である。従ってできるところから手を付けていくということで、クアッドをテコとしてはどうだろうか。クアッドプラスでイギリスや他国を取り込んでいくことで、総合的にセキュリティ能力の向上が望めると思われる。

　英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。（リンク先及び提供者のサイト名）
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為（情報を編集・加工等した情報を利用することを含む。）について何ら責任を負わない。