当ブログは YAMDAS Project の更新履歴ページです。2019年よりはてなブログに移転しました。

Twitter はてなアンテナに追加 Feedlyに登録 RSS

デジタル世界における信頼構築のために今考えるべき「新たなサイバー社会契約」

www.foreignaffairs.com

Schneier on Security で知った文章だが、共著者のクリス・イングリス(John C. Inglis)はかつてアメリカ国家安全保障局NSA)の副長官、今は米国の国家サイバー局長と、国家安全、サイバーセキュリティの要職を務めてきた人である。

ブルース・シュナイアー先生も書いているようにこれは読む価値のある文章なので、ざっと要約をしてみたい。

まず著者たちが引き合いに出すのは、2021年春のロシアを拠点とするサイバー犯罪集団による米国最大の燃料パイプラインに対するランサムウェア攻撃で、これは米国のデジタルエコシステムがいかに脆弱かを物語っているという。

サイバーエコシステムのリスクの高まりは認識されているが、システムの危険性を軽減するための責任は十分には分散されておらず、リスク軽減のためのコストは、それに対処するリソースや専門知識がない利用者に押し付けられる傾向がずっと続いている。多要素認証やパスワード管理ツールは不可欠だが、それだけでは十分ではない。抜本的な解決策として、上記のリスクを弱いところに負わせるのでなく、政府や大企業が今より大きな負担を背負わなければならないし、それを前提とする集団的で協調的な防御が必要だ。

つまり著者たちは、公共部門と民間部門の関係を有意義な形に変化させ、それぞれに新たな義務を提示するデジタル時代の「新たな社会契約」を米国は必要としていると訴える。経済やテクノロジーの重要な変化を受け、官民で重要な調整を行ってきた過去の例として、1963年に制定された大気浄化法などが挙げられる。

サイバー領域で同じように革新的な転換を行うため、民間部門はデジタルエコシステムに長期的な投資を行いサイバー防衛の負担を負い、一方で政府は脅威情報をよりタイムリーかつ包括的に提供し、産業界を重要なパートナーとして扱わなければならない。また官民両セクターが真に協力してサイバーインシデントの防止、対策、回復のための組織に(人的)資源を提供する必要がある。そうすれば、この「新たな社会契約」から得られるメリットは非常に大きい。

繰り延べされた夢

インターネットは民主主義と人権を支えるだけでなく、進歩と平等主義の本質的な力として機能するという黎明期の楽観主義を思うと、現在のサイバー脅威はその悲劇的な裏切りと言える。

中国はインターネットを手なずけ、サイバースペースを利用してデジタル革命をデジタルのディストピアに変えてしまい、今や北京は権威主義を、それを求める世界中の人に輸出せんとしているし、ロシアは偽情報、デジタル操作、サイバーによる地政学的恐喝の名手だ。

市場の利益は少数の大企業に偏っており、個人や中小企業は平等なデジタル経済を享受できない一方で、デジタル犯罪のアンダーグラウンドは、ハッキングツールが用意に入手でき、サイバー犯罪者が重要インフラを人質にとれるという意味で、皮肉にもずっと民主的だったりする。

このためサイバー政策の多くが犯罪者に主導権を与えてしまうし、セキュリティ事故ひとつの範囲や規模がとても大きく、不正なリンクをクリックしたり、ソフトウェアのパッチ適用を怠るのが、地政学的な問題に発展しかねないのがサイバースペースにおけるセキュリティ課題となっている。しかし、セキュリティは物理的な世界でそうなように、サイバースペースでも繁栄の必須条件なのだ。

新たな社会契約

政府が民間部門を協力すれば、現在の市場の偏ったインセンティブもサイバー脅威も変えられるし、これは米国の価値観に完全に合致している。まずは米国政府内の協力体制を強化し、官民を横断した協力に向けた明確な枠組みを作る。前者は進んでいるが、後者の共通理解はまだほとんどない。サイバー攻撃に対する防御側で官民が協力するには、すべてのステークホルダーが、自分たちの役割の位置づけや、どんな状況下で支援を行う必要があるか理解していないといけない。

サイバースペースがすべての利害関係者に公平にサービスを提供するには、市場の力だけでは不十分だ。サイバースペースは、圧倒的に私的な要素で構成されるが、計り知れない公共的な価値があるので、民間企業は(投資家の求めに反しても)ハードウェア製造とソフトウェア開発の両方で、セキュリティやレジリエンスを今より優先させる必要がある。政府もそれを後押しすべく、基準の設定や情報提供などで積極的な役割を果たさないといけない。

官民が今までにない協力のヴィジョンを持つことで、サイバーインシデントに対するレジリエンスを構築し、各組織が単体で活動するよりもはるかに効果的に脅威を特定して対処できる。ジョー・バイデン大統領が2021年5月に発表した、米国のサイバーセキュリティの向上に関する大統領令は、この新しいパラダイムの重要な要素である。この大統領令は、情報技術の標準を強化し、既知の脆弱性からネットワークを防御することで、弾力的なソフトウェアのサプライチェーンの育成を目的としている。

連邦政府は、自身のデジタルシステム構築でその模範を示す必要がある。2022年1月に発表された、政府全体でゼロトラスト・アーキテクチャーを導入する戦略を発表したのもそのひとつだが、このレベルの変革を民間企業に体系的に求めるのは困難なので、だからこそ政府と産業界が前例のないレベルで協力することが必要。バイデン政権が、国家運輸安全委員会をモデルとし、重大なサイバーセキュリティ事故を分析し、将来の危機を回避するための具体的な提言を行うサイバー安全審査委員会を新設したのはその手始め。民間企業が脅威情報を当局と共有することの妨げとなる契約上の障壁を緩和し、データ侵害を連邦政府機関に通知するよう義務付けることも検討されている。

このレベルの協力には、CISA(サイバーセキュリティ・インフラセキュリティ庁)が各危機の対応の責任を持つ機関を特定し、アメリカ国家安全保障会議がサイバーセキュリティが地政学的な問題となった際には調整機関になる必要がある。(2021年1月に設置された)国家サイバー長官室(ONCD)は、米国のサイバー政策全体に一貫性を持たせて推進し、民間セクターの協議して政府の翻訳者の役割を果たし、(サイバースペースは国内問題に収まらないので)国務省国家安全保障会議と協力して米国のパートナーと学びを共有するといういろいろ果たす仕事が多い。

その立ち上げに立ち会う

レジリエンスへの投資、新しい形の情報共有、官民協働を軸とするサイバースペースに関する「新たな社会契約」によって、米国はデジタル時代の幕開けにあった希望を取り戻せる。サイバースペースが究極的に誰のため、何のためにあるのかの理解を改めることで、米国は計り知れない社会的、経済的、地政学的利益を得る態勢を整えることができる。ハイテク産業は、既にイノベーションと成長の重要なエンジンとなっており、米国の経済生産の10%近くを占めている。米国で最も収益性の高い企業10社のうち7社が、テクノロジーテレコミュニケーション、ソフトウェアの企業なのだ。

デジタル接続テクノロジーは、政府、科学者、企業が COVID-19 のパンデミックを管理し、最終的に終息させるのにも欠かせないが、COVID-19 後に他の分野で同じように高性能、高信頼性の枠組みで達成できることを米国はほとんど理解してない。生物医学の研究と同様に、安定した安全なインターネットに必要な政策や技術は、スピードの足を引っ張るのでなく、イノベーターがより迅速かつ自信を持って構想を展開するのを可能にする。米国は差し迫った脅威だけにとらわれるのでなく、その先にある可能性まで見据え、デジタル技術を駆使した世界をより明確に打ち出して、それを現実にしていこうじゃないか。

明るい未来

デジタルとコラボレーションの理想的な未来は予測不可能だが、その幅広いメリットは明らか。科学者、イノベーター、政府、そして個人が自信を持ってサイバースペースで今より素早く行動できる世界なら、未来が明るい。

ここで著者たちは、最も有望かつ緊急な可能性として再生可能エネルギーへの移行、宇宙経済、自動走行車あたりを挙げている。が、その話はワタシの関心であるサイバーセキュリティと少し離れるので、そのあたりの話は端折らせてもらう。まぁ、そこでも安全で弾力性のあるデジタル基盤は重要と言ってます。

最後に著者たちは、上記の「明るい未来」が地政学にも及んでいる、と再度セキュリティに話を戻す。つまりは、米国と同盟国のネットワークが、中国やロシアといった国家が支援するハッキングに対して回復力を持つことの重要性である。そして、中国がスパイ行為や知的財産の盗難を行い、米国人の膨大な個人データを吸い上げ、デジタル経済の活力源たる個人情報を武器にする能力を高めていることを強調した上で、耐久性があり安全なデジタルエコシステムはその回避策になると示唆している。

そして最後に、データがより安全になる世界では、データプライバシーがより強制力を持つことを著者たちは指摘する。米国のデータセキュリティとプライバシー環境の方向性が定まれば、日本や EU など21世紀のデータ法の基礎をすでに築き始めている国との相互運用性や商業交流を深められる、つまりはそれが同盟国との関係を強化する外交政策ツールになり、そしてそれは北京やモスクワの監視技術やデジタル権威主義の蔓延を抑制できると訴えている。

さてさて、以上がワタシなりのざっとした要約だが、この文章で強調される官民の密接な協力を前提とする「新たなサイバー社会契約」の必要性、その背景となる中国とロシアにサイバー分野でやられっぱなしで、このままではデジタル権威主義をゴリ押しされるぞという危機意識を肌で感じるに、この文章が公開されたのは2月21日だが、ご存知の通りその3日後に始まったロシアのウクライナ侵攻を米国の国家サイバー局長であるクリス・イングリスはどこまで把握していたのか少し勘繰りたくもなる(笑)。

ここまで政府にもできることがあると強調するのに、ワタシなどマリアナ・マッツカートの『企業家としての国家』論(asin:4840813159)、国×企業で「新しい資本主義」をつくる『ミッション・エコノミー』論(asin:4910063196)を連想したが、注意すべきは官民の協力を何度も唱えながら、民間に協力や情報提供を強いるのを微妙に織り込んでいるところが匠の技で、ブルース・シュナイアー先生が真っ先に「The devil is in the details, of course」と評し、そしてこの文章で「規制(regulation)」という言葉が注意深く、つまりは意図的に避けられていることを指摘しているのは、そのあたりを指しているのだと思うね。

[YAMDAS Projectトップページ]


クリエイティブ・コモンズ・ライセンス
YAMDAS現更新履歴のテキストは、クリエイティブ・コモンズ 表示 - 非営利 - 継承 4.0 国際 ライセンスの下に提供されています。

Copyright (c) 2003-2022 yomoyomo (E-mail: ymgrtq at yamdas dot org)