SolarWindsハッキングの教訓について（２）（英国国際戦略研究所（IISS））

2021年6月10日 22:08

写真出展：Leonhard NiederwimmerによるPixabayからの画像https://pixabay.com/ja/users/lnlnln-1131094/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=4728199

↓リンク先（Lessons of the SolarWinds hack）
https://www.iiss.org/blogs/survival-blog/2021/04/lessons-of-the-solarwinds-hack

　前回は本レポートの内容の紹介のみだったため、今回は読後の感想について記事にする。前回の記事は、以下のリンク先を参照。

↓リンク先（SolarWindsハッキングの教訓について（１）（英国国際戦略研究所（IISS）））

https://note.com/karzy_kemaru/n/n160478d1947c

２．本記事読後の感想
　今まで読んだサイバー関係の記事で、一番参考になったと言えるだろうか。事件の概要から、対策、今後の展望まで広い視点で論じている。特に重要な点は以下の通り。
　・サイバー空間での諜報活動は、通常の諜報活動同様、国際社会では一般的な慣習として受け入れられている。そのため、諜報活動それ自体に対する報復は外交的なものにとどまっており、経済的、軍事的な措置は取られない。
　・民主主義国は、独裁国家よりもサイバー能力が高度であり、各国との協調で犯人特定作業を進めるなど、実際にはかなり有効に対処している。敵国は民主主義国のイノベーションを盗む、コピーするなどして能力にテコ入れしているが、実際の能力はイメージほど高くはなく、ヒューマンエラーなどを標的にしていることが多い。また、攻撃には強いが防御は弱い。
・インフラについては、相手国のものを活用するケースが多くなっている。SolarWindsのハッキングでは、アメリカの企業から提供されたソフトや装置が悪用されていたのであり、敵国のインフラ機器をサプライチェーンから外すだけでは不十分。
　・国際的な取り決めは、安全保障上の例外規定などが多く、現実的ではない。また、攻撃的サイバーを定義する、正当化する枠組みも不十分であり、新たな規範が求められている。
　・社会全体での対処が必要であり、緊密な官民協調、教育事業、普及啓発などが有効となる。特に民間部門の意識改革が必要であり、サイバーセキュリティ企業自身が標的となっていることを自覚する、取締役にサイバー担当を入れるなど、増大する脅威に適切に対処可能となるようにしなくてはならない。
　・アメリカの攻撃的サイバーは、威嚇にはなっておらず、サイバー上の諜報活動を防止することはできない。
イギリス側の結論も、サイバー空間ソラリウム委員会とほとんど変わらないようだ。現在のアメリカの方向性を維持しつつ、適宜修正を施すことを支持している。拙速に戦略を修正したり、政策を統制主義や攻撃的な方向に持って行く必要もないとしている。（応援するために若干ひいき目に評価しているとも思えるが。）
　ただ当のイギリス政府の方は、SolarWindsのハッキング事件で被害を受けたにも関わらず、あまり強い対応を取っていない。世論が盛り上がらなかったということが主要因であるが、別に何もしていないというわけではなく、サイバー部隊を創設したり、戦略的な観点から攻撃的なサイバーについて懐疑的であり、慎重かつイギリスの実情に応じたサイバー戦略を考案しようと努めているのである。
　日本も多々見習うべき点があり、アメリカほど包括的かつ重厚な対応は難しいものの、問題点の整理を中心としたイギリスのアプローチはわかりやすく、日本人にとっても馴染みやすいのではないか。この動きを主導するのがどこになるのかは未知数であるが、デジタル庁に期待するのはやや困難だろう。総合的な戦略の中の一つとして位置づけると言う意味で、NSCに期待したいところである。

　英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。（リンク先及び提供者のサイト名）
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為（情報を編集・加工等した情報を利用することを含む。）について何ら責任を負わない。

この記事が気に入ったらサポートをしてみませんか？