米露会談以降のサイバー政策－金融に注力せよ－（CSCの記事）

写真出展：Gerd AltmannによるPixabayからの画像https://pixabay.com/ja/users/geralt-9301/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=592515

　2021年7月12日にサイバー空間ソラリウム委員会は、米露会談以降のサイバー政策に関する記事を紹介した。内容は、両国間のサイバー政策に関する取り組みについて、金融部門から開始し、徐々にその活範囲を拡大していくことを提言するものである。最近新たなランサムウェア事件が発生しており、両国の動向が注目を集めている。今後の流れを占ううえでも重要になってくると考えられることから、本記事の概要を紹介させていただく。

↓リンク先（After the Biden-Putin Summit, U.S.-Russia Expert Consultations Should Focus on the Financial Sector）
https://www.lawfareblog.com/after-biden-putin-summit-us-russia-expert-consultations-should-focus-financial-sector

１．記事の内容について
　　・米露会談において、バイデン大統領は16の重要インフラについてサイバー攻撃の対象外とするようロシアに求め、サイバーセキュリティで両国の専門家が協調して取り組むよう合意した。
ただ、16の重要インフラは、2013年のオバマ政権時の大統領令において定義されることになったが、具体的な対象は公表されていなかった。このため、重要インフラは状況に応じてないしは場当たり的に定められてきた。このような状況でプーチン大統領へ警告しても、アメリカの立場を明確化したことにはならず、サイバー空間における適切な行動について何も明らかにはなっていないのである。
・更にアメリカはサイバー空間における敵対行為についても一貫した定義付けをしておらず、何がサイバー攻撃に該当するのかが不明確である。SolarWindsのハッキング事件がその典型例であるが、サイバー諜報は遺憾であるものの国家活動に必要不可欠なものでもあり、どのレベルの活動が許容されないのか、平時と有事で異なる基準が適用されるのか、といった問いが本件に関して議論されている。最も、戦略的曖昧さは問題ではないとする見解もあるが、曖昧さは軍事行動未満のサイバー攻撃の抑止にはなりえず、重要インフラを明確に定義し、それ以外のインフラに対する攻撃はある程度許容するべきである。
　　・また、米露両国間の専門家による取り組みは、両国の共通の国益が見出せる部門に特化した取り組みが有効になるだろう。その有意義な出発点は、金融部門に影響を与えるサイバー活動についての許容範囲について合意することだろう。通常のインフラとは異なり金融部門は世界中で展開しており、国内外の様々な組織の規制を受け、国際システムにおける行動に影響を受ける。
・金融部門は相互に報復可能なインフラであり、かつ相互依存していることから、不利益な結果を招かないよう努めるインセンティブがある。ロシアがランサムウェアでアメリカを攻撃すれば、アメリカは報復として金融制裁でロシアの資金を止めることが可能であり、このことが安定した世界金融という共通利益を追求することにつながるのである。このことを反映してか、カーネギー国際平和財団の2020年の報告書によると、国家は金融データへのサイバー攻撃を回避しており、積極的な作戦を展開しているのは北朝鮮のみである。
　　・米露両国は、顕在化しつつある国家間の慣習をうまく利用し、金融部門の規範の策定に取り組むべきだろう。まずは、両国がお互いの金融システムに影響を与えるサイバー攻撃を抑制するよう、明確に合意することである。アメリカが明確にすべきは、ロシアのランサムウェア攻撃に関連して、金融制裁を行わないことである。お互いが歩み寄りの姿勢を見せることで信頼感を醸成し、狭い政策課題から取り組むことにより、徐々に困難な問題にも取り組んでいけるようになるだろう。例えば、国内の犯罪組織が関与したランサムウェア事件が発生した場合、当該国が情報を共有し、犯人を起訴する義務を負うことを明確化にするといったことが、重要な進展の一歩となるだろう。

２．本記事についての感想
　　金融部門はどこか最先端でもあり、アナログでもあり、サイバーセキュリティの中心的な対象としてはなかなかみなされない所がある。ただ、金融サービスがデジタル化していることも事実であり、電子マネーの利用、スマートフォンでの決済、暗号通貨や電子通貨などの一層の拡大により、金融部門におけるサイバー政策が重要になってくる。
安定的な金融サービスは今やインフラと化しており、短時間の停止であっても人の生死にも関わる大問題となることから、国際社会全体で取り組むべき課題であろう。
ただ当の日本はどうかというと、頻繁にシステム障害を起こしている大銀行があるなど、懸念が絶えない。ドコモ口座の件もそうであるが、利便性を追求しすぎてかえって危険になるなど、日本人のセキュリティ意識の低さも相まって、かなり暗澹たる状況である。
ここでデジタル庁に期待したいところであるが、金融部門はさすがに所掌範囲外であり、財務省や金融庁の出番になるのだろうが、アナログの代表的なこれら官庁には何も期待できず、むしろ状況を悪化させるのみだろう。一度大きな事件でも起こってしまえば・・・、と考えるのはあまりに危険だろうか。

英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。（リンク先及び提供者のサイト名）
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為（情報を編集・加工等した情報を利用することを含む。）について何ら責任を負わない。