Ed Skoudisが、昨日クアラルンプールで開催された「Hack in the Box」カンファレンスで、興味深い基調講演(PDFはこちら)を行った。この講演にはいくつかの点で、前年、Marcus Ranumが行った「サイバー戦争はナンセンス」というタイトルのスピーチ(PDFによるスライドはこちら)の対極にある、サイバー戦争に関する話題が含まれていた。多くの興味深いポイントが取り上げられた。以下に少し、ほんの少しだけ取り上げられた要点を挙げておこう:
サイバー攻撃を、従来のキネティック攻撃(すなわち核兵器、銃など)と同等のものとみなし、場合によっては適切な軍事的対応が必要であると考える傾向を示す国が存在するという話があった。
しかし、どのレベルが重大な攻撃と考えるべきなのかに関してのコンセンサスは無い。たとえば電力網制御施設が一カ所、運転停止になった場合を言うのか? 一つの街のインターネットアクセスがシャットダウンした場合か? 我々のアナリストの一人が言うように、「デジタル9/11を”本当に”構成するのが何なのだろうか?」
Skoudisの論点の一つは、基本的に、一つの国全体のインターネットアクセスを停止させる攻撃は、歴史的に見て戦争行為とみなされる封鎖に近いというものだ。エストニアへの2007年の攻撃が思いおこされる。しかし、これは本当に正しい、法律的に許容できる前提なのだろうか? オンライン攻撃は本当に、一国の商業/経済/社会構造に、甚大な障害を引き起こすことができるのだろうか?
より高いレベルで、この問題が単に大して重要ではないことで大騒ぎしているのではないならば、UNやEUのような超国家的な組織は、サイバー戦争に対処する法律を通過させるべきなのだろうか? たとえば交戦規則を定めるような何らかの取り決めや、「サイバー・ジュネープ協定」のような?
アメリカ合衆国とロシアは、サイバー戦争の「脅威」に立ち向かうために提案された協定に同意することはできないだろう(New York Timesの記事)。様々なインターネット・コネクティビティやサイバー攻撃の可能性を持つ複数の国が、共同で実用的な協定を取り決めることを可能にする見込みはあるのだろうか?
そして情報セキュリティのプロフェッショナルはどうだろうか? エストニアやグルジアのサイバー攻撃のような事件では、軍事的なサイトよりもむしろ、商用サイトが標的とされたが、攻撃の影響に対処しなければならないのは、平均的なシステム管理者やセキュリティ・プロフェッショナルなのだ。これらの人々に、サイバー戦争の脅威を軽減するための役割はあるのだろうか? 何らかの役割を担う余地は、業界の手を離れているのではないだろうか? それは単に「私の問題ではない」ということなのだろうか?
考えるべきことは多く、コンセンサスはまだ無い。このトピックに関する昨年のRanumの講演により、賛成、反対の双方で、多くのブログの投稿、記事、コメントが登場したが、今年の講演はより多くの反応を引き起こすのではないだろうか。
おそらく、このトピックに関してEd SkoudisとMarcus Ranumが討論するのを聞くのは興味深いことだろう。
