ケイト オサリバン (Kate O’Sullivan) デジタル外交担当ゼネラルマネージャー
※本ブログは、米国時間 3 月 29 日に公開された “UN makes critical progress on cybersecurity” の抄訳を基に掲載しています。
3 月はじめ、国連の全加盟国に開かれたワーキンググループが、歴史的かつ切実に求められていた第一歩を踏み出しました。オンライン上で期待される責任ある国家の行動について合意したのです。この合意は重要な時期に行われました。というのも、Nobelium および Hafnium という 2 つの大規模な国家的攻撃や、COVID-19 のパンデミックの中で医療機関をターゲットとした攻撃が相次いでいることが背景にあるためです。まだ多くのやるべきことがありますが、こうした国連の取り組みや、広範囲に被害を及ぼす国家的な無差別攻撃に反対する結束力が高まっていることは励みになります。
今回は、国連のサイバーセキュリティに関するオープンエンドワーキンググループ (OEWG) にてこの新たな合意に至りました。OEWG では約 2 年間の審議を重ね、最終報告書を発行しました。193 の国連加盟国すべてに開かれたワーキンググループでこのような文書に関する協議が行われ、合意に至ったのは初めてのことです。これまでに国連でサイバー上での規定に関し合意に至ったものは、比較的小規模な環境で協議されたもので、こうした経緯を経てオンライン上での責任ある行動への期待について合意するまでには 5 年以上もかかりました。その間にも、巧妙な攻撃や国家レベルでの紛争は増加し続けていたのです。
OEWG の動きは、マイクロソフトなどの企業を含む政府以外の組織から、よりオープンに意見や参加を受け入れたという観点からも、国連にとって新たな事例となりました。サイバー空間は主に民間企業によって開発、維持されていることに加え、オンライン上の戦場は物理的な国境の制約を受けていないことから、サイバー空間を保護するには民間企業の関与が重要となります。今後の発展に向け、複数の関係者が参加するという遺産を築いていかなくてはならないのです。
今回の報告書は全体的に大きな進歩となりますが、特に注目すべき点が 3 つあります。
1 点目は、この報告書により、サイバー空間における国際法と、2015 年に自主的な基準として採択されていた責任ある行動規範の権威が高まり支持されるようになることです。2015 年の規範では、重要インフラやコンピュータ緊急事態対策チーム (CERT) などを、政府によるサイバー攻撃の管轄外として区別しています。そこで今回の報告書では、国家がこうした規則の適用をどう理解し、その実施にあたって何をしているか、透明性を持って具体的に示すよう促しています。
2 点目は、この報告書で医療サービスや医療施設などのヘルスケアをサイバー攻撃から守る必要性を説いていることです。世界的なパンデミックが続く中、サイバー攻撃によって米国や世界中の病院および医療機関が攻撃されているためです。攻撃対象となった機関には、チェコ共和国のブルノ大学病院やパリの病院システム、スペインの病院のコンピュータシステム、タイの病院、さらには世界保健機関 (WHO) をはじめとする国際機関などが含まれています。
3 点目は、情報通信技術 (ICT) のサプライチェーンを保護するよう各国に呼びかけていることです。SolarWinds への Nobelium 攻撃は、サプライチェーン攻撃の最新事例で、広範囲に影響が及んだ許されない攻撃でした。Nobelium は、ソフトウェア更新プロセスを破壊し、何千人もの個人や組織を不当な危険にさらしました。このような攻撃により、一般ユーザーは、全ベンダーがデジタルエコシステムのセキュリティを維持するために利用している更新プロセスへの信頼と信用を失う恐れがあります。これまでにも国連から同様の声明が出たことはありましたが、今後はこの誓約の実現に向け、さらなる取り組みが進められるでしょう。
ワーキンググループでは、このような特定分野だけでなく、こうした取り組みの柱となるサイバーセキュリティの能力開発の重要性についても認識しています。世界各国の能力は千差万別で、サイバー空間で国際的な期待値を制定するには、特に新興経済国における新たな投資が必要です。各国で自らの取り組みや提言に従うことができなければ、このような外交活動も無駄になってしまいます。サイバーセキュリティはゼロサムではなく、ひとつの国がより安全になれば、その恩恵は全体に及んでいくのです。
OEWG の報告書は励みになりますが、国連加盟国にはさらなる行動を起こしてもらいたいと思う分野があります。それは人権についてです。この報告書では、残念ながら人権に関する記述は概要のみで、国際人道法については全く触れられていません。この件については、物理的な世界と同様、サイバー空間でも支持されるべきものです。
今回の報告書に関する合意を得たこと自体は、包括的な多国間主義や外交、そしてサイバーセキュリティにとって重要な勝利となりますが、すぐにでもさらなる取り組みが必要です。そこでマイクロソフトでは、各国にてこの前向きな結果をもとに、強固で包括的な対話を継続し、オンライン上で激化する戦いの波を変えていくよう求めていきたいと思います。フランス政府が提唱する行動プログラム (PoA: Programme of Action) は、今後の前進に向けた可能性を高めるでしょう。同プログラムにより、国連のサイバー関連の審議をひとつの確立したプロセスへと統合し、必要な複数の関係者の参加を推進し効率化できるためです。マイクロソフトでは、このような課題に何年間も取り組んできた各国政府に感謝するとともに、マイクロソフトでも共有サイバー空間を保護するにあたって必要となる次のステップをサポートしていきたいと考えています。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。