JNSA「セキュリティしんだん」

 

« 「(17)米国におけるサイバーセキュリティ人材育成の現状からの考察」へ 「(19)Wassenaar Arrangement - Statement of Opinion」へ »



(18)ワッセナー・アレンジメントってサイバーセキュリティに影響あるんですか?(2015年12月1日)

アルプスシステムインテグレーション株式会社/JNSA社会活動部会 菅野 泰彦
株式会社ラック/JNSA社会活動部会長 丸山 司郎


  •   1.世間の話題  
  • 2.ワッセナー・アレンジメント?
  •     3.経緯    
  •   4.騒動の問題点  
  • 5.セキュリティビジネスの海外進出

1.世間の話題

皆さん、ワッセナー・アレンジメントってご存知でしょうか。

私は最初にこの単語を聞いたときには、まさかサイバーセキュリティに関係があるとは想像もしませんでした。

ところが、今年にはいってから、あちこちで話題になっております。

○6月9日:ワッセナー・アレンジメントにおける定義の厄介さ
 http://blog.f-secure.jp/archives/50749668.html
 概要:信頼のおける間柄でも、国をまたがったマルウエア・サンプルのやり取りが規制されるのではないか?

○7月20日:Google, the Wassenaar Arrangement, and vulnerability research
 https://googleonlinesecurity.blogspot.jp/2015/07/google-wassenaar-arrangement-and.html
 概要:あいまいで使い物にならないので、今年12月のワッセナー総会で、定義と運用を誰でもわかるように明確にしてくれ。

○9月3日:Pwn2Own loses HP as its sponsor amid new cyberweapon restrictions
 http://arstechnica.com/tech-policy/2015/09/pwn2own-loses-hp-as-its-sponsor-amid-new-cyberweapon-restrictions/
 概要:日本で開催されるPwn2Ownコンテストで何か見つかっても、米国に持ち帰る手続きが不透明なので、スポンサーを降りる企業が出てきた。

○9月17日:サイバー情報 米が輸出規制案(読売新聞)
 http://www.yomiuri.co.jp/science/feature/CO017291/20150917-OYT8T50082.html


詳しくは、上記、読売新聞の記事によくまとまっているのでそちらを参照いただきたいのですが、米国がこの協約に批准するための動きをとったことから、サイバーセキュリティのビジネスにマイナスの影響がでてくるのではないか?ということが懸念され騒動になっております。

2.ワッセナー・アレンジメントってなに?

ワッセナー・アレンジメントとは、戦争に使われる兵器や関連技術が拡散したり、テロ組織に渡ることを防ぐための国際協定です。

協定自体に法的拘束力はありませんが、各加盟国が合意された輸出管理対象品目リストの輸出制限を設けることで、その効力を発揮しています。

日本では、外国為替及び外国貿易法によって輸出管理を行っており、リストに掲載された物や技術は、経済産業大臣の許可を得ることなく輸出することが禁止されています。

これに違反すると仮に過失であっても、1000万円以下の罰金や3年以内の輸出入禁止などの厳しい罰則が課せられます。

ちなみに、「ワッセナー」という名称はオランダ・ハーグ近郊のワッセナーで設立交渉が行われたことに由来しており、そのルーツが、米ソの冷戦時代に共産圏への輸出規制を目的にした対共産圏輸出統制委員会(ココム)から始まっていることから通称「新ココム」とも呼ばれています。

「ココム違反事件」というと、記憶にある方もいらっしゃると思いますが、かつて日本企業に対して厳しい制裁が加えられた事件がありました。

冷戦の最中、対共産圏輸出統制委員会(Coordinating Committee for Multilateral Export Controls:略称COCOMココム)の協定に参加していた日本で、船のスクリューを作る工作機械を1982年から2年以上に亘って旧ソビエト連邦に売却していたことが1987年新聞報道で明らかとなりました。この工作機械を使ってスクリュー音が静かになったソ連の原潜を発見するために米国は300億ドルを投じ30隻の新型原潜を建造しなければならなくなったとして、日本製品をバッシング、当事者企業に制裁を課しました。また制裁を回避すべく米国政府高官や議員への行き過ぎたロビー活動をしたとして親会社にも問題が波及しました。

日本国内では外為法(外国為替及び外国貿易法)違反で、会社は罰金200万円、社員は懲役10年執行猶予3年、親会社は会長・社長が辞任。この事件以外にも複数の日本の大手企業が「ココム違反」で検挙され、日本の貿易黒字すなわち米国の対日貿易赤字の大きな調整期を迎えることとなりました。これを契機に、輸出ビジネスを行う企業は、「内部統制」の機能として「ココム室」「輸出管理部」「貿易管理本部」などの名称でコンプライアンスチーム(遵法監督組織)をトップ直轄で次々と立ち上げました。

同時に通商産業省(現、経済産業省)は外為法下に輸出管理を徹底するための機能を整備、貿易経済協力局 貿易管理部を設置。輸出令、貨物等省令を定めることとなりました。

3.経緯

 事の発端は、2013年12月のワッセナー・アレンジメント総会で「侵入プログラム(Intrusion Software)」等のサイバーセキュリティ関連品目が規制対象リストに追加されたことに始まります。

 THE WASSENAAR ARRANGEMENT
 http://www.wassenaar.org/controllists/2013/WA-LIST%20%2813%29%201/WA-LIST%20%2813%29%201.pdf
 P.209 "Intrusion software"

これを受け、日本では、2014年8月にサイバーセキュリティに関しては2項目の規定が追加されています。ただし、日本においては、「マーケティング活動、ネットワークのサービス品質管理又は利用者の体感品質管理のために設計された装置を除く。」という但し書きが加えられ産業分野への一定の配慮がされております。

この規程を検討する過程で、JNSAからもセキュリティの業界団体として意見具申を行い、規制対象リストを具体的に運用しやすくしていただけるようお願いしております。

輸出貿易管理令別表第一及び外国為替令別表の規定に基づき貨物又は技術を定める省令
http://law.e-gov.go.jp/htmldata/H03/H03F03801000049.html

第7条(五) 侵入プログラムの作成、操作若しくは配信又は当該プログラムとの通信を行うように設計若しくは改造されたもの
第8条(五の五)
インターネットを利用する方法による通信の内容を監視するための装置又はその部分品であって、次のイ及びロに該当するもの(マーケティング活動、ネットワークのサービス品質管理又は利用者の体感品質管理のために設計された装置を除く。)
イ キャリアクラスのIPネットワーク上で次の(一)から(三)までの全ての機能を実現するもの
(一) アプリケーション層の分析
(二) 選択されたメタデータ及びアプリケーションの内容の抽出
(三) 抽出したデータの指標付け
ロ 次の(一)及び(二)を実行するために設計したもの
(一) ハードセレクターに基づく検索
(二) 特定の個人又は集団の関係の解析

そして2015年5月に、今回の騒動の元となっている、米国におけるワッセナー・アレンジメントへの批准のためのパブコメが行われ、その結果以下の32個のFAQが定義されております。
http://www.bis.doc.gov/index.php/policy-guidance/faqs?view=category&id=114#subcat200

4.今回の騒動はなにが問題なのでしょうか

「侵入プログラム(Intrusion Software)」等のサイバーセキュリティ関連品目がワッセナー・アレンジメントの規制対象リストに追加された背景には、国家による盗聴活動に対する牽制という意味合いがあると噂されております。

スノーデン事件で暴露された米国NSAの盗聴活動に対し、監視活動をすり抜けたり、防護活動を無効化させるようなソフトウェアや、未公開のぜい弱性情報(ゼロディ)を規制対象にしたいというヨーロッパ諸国の思惑が伺えます。

国家間をまたがるマルウエアやぜい弱性情報の流通が制限されると、グローバルに展開している企業にとっては、自社内であっても海外で発生したセキュリティインシデントへの対応のためのマルウエアの提出や、ぜい弱性情報の共有が制限される可能性がでてきます。

さらに、いままでJPCERT等各国間の有志の連携によって行われてきた迅速なセキュリティ対策の足かせになる可能性が懸念されており、日本全体のサイバーセキュリティレベル向上の足かせになるという可能性もあります。

一方の米国では、UKUSA協定を結んでいる5カ国(いわゆるFive Eyes)については、「別枠として好意的に扱う。」と明言しています。

UKUSA協定とは、加盟各国の諜報機関が傍受した盗聴内容や盗聴設備などを共有・相互利用するための協定であり、イギリス、アメリカ、カナダ、オーストラリア、ニュージーランドの間で締結されています。

The governments of Australia, Canada, New Zealand or the United Kingdom have partnered with the United States on cybersecurity policy and issues, which affords these countries with favorable treatment for license applications.

この動きは、諸外国が自国や利益のために国際協約を積極的に活用しようという活動の一部だと想像できますが、日本では決められたものを素直に受け入れているだけで、自国の利益のために、積極的に活用していこうという動きにはなっておりません。

つまり、諸外国の思惑でルール決めがされているが、日本では国としての明確な意図をもった意思表明ができていないこともあり、国際協定に対する影響力が低い、と考えられます。これは、日本のサイバーセキュリティ・ビジネスが海外に市場を求めるにあたって、日本の影響力の低下という問題として将来に禍根を残すことになります。

また、米国のFAQにおいては、産業界への配慮がなされておりますが明確なルールとしての規程ではなく、FAQという位置づけであることから、心理的な障壁になるのではという指摘もあります。

5.日本企業のセキュリティビジネスの海外進出に向けて

JNSAでは今年度から海外市場開拓WGが発足しました。

「日本独自のサイバーセキュリティ製品やサービスにスポットライトを当て、メードインジャパンのサイバー防御ソリューションを広くグローバル市場に提案・販売していこう」という大志を掲げ、多くの会員が参加して活動が始まっています。

日本のITセキュリティ商品・サービスは、海外に輸出されているでしょうか?

セキュリティ関連ソフトやサービスは、サーバ装置ルーターやハブ、アプライアンス機器など国外で製造された装置類やOS・アプリに実装されて出荷されることが多く、これまで情報セキュリティだけを切り出した日本からの輸出取引はあまり無かったと思います。

しかし、昨今のクラウド環境や通信環境の充実に伴い、流通や決済が円滑化されビジネスリスクが低減して来た事、国をまたがったサイバー犯罪や情報漏えいにおいて世界の標的になっている日本が実際のところは海外から見て治安が良く品位が高いといういわゆるジャパンブランドが後押しする状況が生まれて来た事、などから、これまでとは違うビジネス環境・形態で、日本製のサイバーセキュリティ商品・サービスが世界のマーケットに受け入れられる好機が到来している予感がします。そして2020年東京オリンピックをマイルストーンとして、若い世代に受け継がれ花開くのではないかと大いに期待しています。

そのような動きの中、サイバーセキュリティに関わる製品、技術がワッセナー・アレンジメントの対象リストにあがることは避けられない状況であることから、今後もその動向を注視していく必要性があります。





« 「(17)米国におけるサイバーセキュリティ人材育成の現状からの考察」へ 「(19)Wassenaar Arrangement - Statement of Opinion」へ »