なんらかのWebサイトなどへの様々な不正アクセスやDoS攻撃などの行為が無くなることというのはおそらく無いと思います。世界中の様々な立場の人が自分とは相反する意見をもった国や地域、団体、そして企業などの活動を妨害したり何らかの情報を不正に得ようとする事を完全に止める事は出来ません。残念ながら。

もちろん色んな対策は為されるわけですが、どこまで行ってもイタチゴッコとなるのは仕方ないわけですが･･･

身近な脅威論

とりあえず自衛手段をどこまで講じる事ができるかというのが勝負ではあるわけです。もちろんそこにはコスト見合いというのがどうしても出るわけで、無尽蔵にリソースをつぎ込む事はできないわけです。しかも日々手口が変わる中でどこまで完全に穴をふさぐ事ができるかと言うのは非常に難しいのはよく知られた話です。

最近日本でもよく言われるようになったスマートフォンのセキュリティ云々の話なんかもそのひとつで、それ自体から情報が漏洩するという可能性のみならず、そこを踏み台にして内部への侵入をどうやって防ぐかとか、まぁ色々あるわけです。歴史的に市場におけるシェアが伸びるとそれに呼応して何らかの不正のための土台として利用される可能性も増えるわけです。開発の容易性っていうのは誰にとっても同じですし、発見された脆弱性は誰かの助けになるわけで、ソコラあたりはキチンと理解していないといろんな事が起きてくるものです。とにかくそんなものと思うしかないわけですから、既にそれはリスクではなくて対処すべき問題。多分本質的なリスクってのは別にあるんだと思うんです。

とまぁ、それはさておき・・・

企業としてできる対策、国家としてできる対応

基本は自衛なのですが、それが国家相手だと少々事情が変わってきたりします。何らかの行動が直接国家の何かしらの機関なり組織のシステムに対する動きであれば勿論ですが、国家の利益に直結する企業なり組織に対する行動であると判断された場合、つまりそれもまた国家への脅威であると判断される事になります。

さて、ここからが問題。

従来からそういう動きはどこにでもあるわけですが、国家としてそれに対するカウンターアクションを取る事が合法化されているところというのは殆ど無かった中で、アメリカ国防総省が注目に値する判断をしたとの話。

UPDATE:米国防総省「サイバー攻撃は戦争行為」―軍事力対応も検討 - WSJ日本版 - jp.WSJ.com via kwout

因みにTHE WALL STREET JOUNALの米国ネタの記事ですので当然ですが原文があって、それはこちら。

Pentagon: Online Cyber Attacks Can Count as Acts of War - WSJ.com via kwout

原文に較べて日本語版の記事量って少なくない？とか言う話は別にして、とりあえずエッセンスは伝わってきます。

ここでしっかり捉えておく必要があるのが、サイバー攻撃は武力行使の要件のひとつとなりえるという判断。もちろんその行為自体がどこから行われ、誰がそれを実施しているのかというコトを特定するのは非常に難しい話です。実際に米国内の何かしらのシステムが土台とされたり、同盟国を経由してくるような場合もあるわけですから単純に切り分けが出来る話ではない。もちろん物理的なテロのように犯行声明が出てくれば少しは楽なのかもしれませんが、通常の対テロ戦のように難しい対応になるのも想定しておく必要があります。

ただ、何れにせよ、サイバー攻撃は武力行使の要件となるという判断は、非常に重いものです。

この動きに同調や協力する国や地域は存在するのか

ココから先は例のエシュロンの話やら愛国者法の適用範囲やら何やらが出てくる世界に入ってくるのでとても楽しいのですが、実際に緊密な関係を持つ同盟国間での情報のやり取りというのは存在してるわけで、だからこそディエゴガルシア島の基地が存在できているとか色々あるわけです。ただいずれにせよ現在の国際情勢の中ではたとえアメリカといえども単独で軍事作戦を単独で行う事は難しいわけで、全体としての何らかの動きを作った上で実際の行動を起こすという流れになるんじゃないかと思います。

もちろん小規模な部隊による何らかの作戦みたいなのはあるのかもしれません。そのうちそれこそどこかしらのデータセンターが特殊部隊によって急襲されるような報道を目にする事になるのかもしれません。そんな時、同じセンターで普通の企業の利用するクラウドサービスが運用されていて、それが本来日本の同盟国であるアメリカなどの軍事攻撃によって稼動不可能になってBCPのプロセスを発動して・・・　と言う話が夢物語であるとは誰も言えなくなってくるような気はします。

さすがにこういった流れをクラウドサービスのリスク論にまで本気で広げる気はありませんが、同じように国家組織や国家の利益を担う企業へのサイバー攻撃を国家の脅威と捉えてゆく動きというのは、今後いろんな国や地域に広がってくるんじゃないかと思います。

でもそんなのは日本には来ないし、日本と敵対するようなところはないし、そんな攻撃も日本に来ないんだったら備える必要は無いし、まぁ普通に対策やってれば大丈夫じゃない？そもそも、そうなる事も想定していないんだから別にそれに対応するような法律も組織も何も別に無くたって構わないでしょ？みんなそれぞれできる範囲で適当に普通にやってればいいんじゃないですか？何も起きないんだから備えるなんて無駄だし・・・

どこかで聞いたことがあるような流れが見える気がします。

Tweet   Follow @bibendum_iwa