Beyond Attribution: Seeking National Responsibility for Cyber Attacks, Jason Healey, January 2012

2012年1月のAtlantic CouncilのJason Healeyの報告である。

帰属問題

帰属問題(Attribution Problem)とはつまるところ、あるサイバー攻撃にあたり誰がEnterキーを押したのかを特定することが難しいというインターネットの技術的な特質に起因する問題である。
この点については様々な議論がなされているところ、本レポートはサイバーセキュリティの政策決定者が帰属問題にとらわれ過ぎていると批判する。

For national security policymakers, knowing “who is to blame?” can be more important than “who did it?”   

(政策決定者にとっては｢誰が行ったか｣よりも｢誰を非難すべきか｣を知ることがより重要である)

United States embassy in Beijing (among other embassies and consulates), smashing windows with stones and tearing up nearby roads to use as more projectiles. Yet the US intelligence community and National Security Council staff did not spend much time watching video to backtrack trajectories in order to identify the individual stone throwers. There was no need to indulge in litho-ballistic forensics because exact attribution was not an important input for decision-makers. 

(在北京米大使館への投石が発生した際に米政府はすぐさま中国を避難した。実際に石をなげたのは誰であるかはここでは重要ではない。)

従って、攻撃についてある国からの発信がある程度確認されていれば、その国には対処の責任が発生するという。

国家が負う責任

本稿で筆者は自国から他国へのサイバー攻撃に対してそれぞれの国家が負う責任をレベル分けすることを提案している。
政府がある攻撃を｢禁じて止めた｣｢禁じたが止められなかった｣｢無視した｣｢奨励した｣｢指示した｣｢なんらかのサポートをした｣｢実際に攻撃した｣など10のレベルのどこで国家の責任が発生するかは議論の余地がある。

結論
サイバーセキュリティの専門家は帰属問題についての考慮に時間を無駄に費やしている。国家はそれぞれに自国から発せられるサイバー攻撃の責任を負うべきであり、その責任を繰り返し果たせない場合には外交措置や国連制裁、国際裁判所への起訴、そして物理的軍事力などを実施するべきである。



--
帰属問題にとらわれ過ぎであるという本稿の主張は明快であり、現在の議論の中では過激な部類であるとはいえ、一考に値する。

サイバー攻撃を大使館への投石と同列に論じることが可能か?という疑問が残る。
また帰属問題を筆者の言うレベルまで単純化して考えた場合、米国にはStuxnetに対処する責任が発生する。例えばイランから責任を問われた場合に米国はそれにどう対処するのか?