国家のセキュリティとサイバーセキュリティをめぐる官民連携：その強みと課題 by ステファーノ・メーレ

サイバーセキュリティのための
国家安全保障と官民連携
その強みと課題その強みと課題
ステファーノ・
メーレCode Blue 2017 - TokyoCode Blue 2017 - Tokyo 09 Nov. 201709 Nov. 2017

@MeleStefano
 イタリア、ミラノのカルネルッティ法律事務所のサイバー弁護士。
 モイレコンサルティンググループの創設者でありパートナー。
 イタリア大西洋委員会の理事会の会員で、サイバーセキュリティ委員会の委員長。
 イタリアのアメリカ商工会議所（ AmCham ）の「サイバーセキュリティワーキング
グループ」の会長。
 博士号を持っており、いくつかの大学のほか、イタリアと NATO の軍事研究機関で
講義を担当。
 イタリア戦略研究所ニッコロ・マキャヴェッリの「情報戦と新興技術監視所」の理
事。
 NATO の「サイバースペースセキュリティの主要な意見リーダー」リストに載って
いる。
 フォーブスの 2014 年の「世界で最も優れたオンラインサイバー政策専門家 20 人」
に選ばれた。
Stefano Mele 209 Nov. 2017National Security and Public-Private Partnership forNational Security and Public-Private Partnership for
CybersecurityCybersecurity

## 導入導入
今日あらゆる分野にわたり、広く普及した技術とインターネットは、今日あらゆる分野にわたり、広く普及した技術とインターネットは、我々の社会の我々の社会の
あらゆる側面あらゆる側面、サービスデリバリと管理、情報へのアクセスは質も量もともに、こ、サービスデリバリと管理、情報へのアクセスは質も量もともに、こ
れらの要素と市民の関係をれらの要素と市民の関係を比較的短い時間で完全にかえてしまった比較的短い時間で完全にかえてしまった。。
いわゆる「情報化社会」における、最重要事項を強調するには不十分であるかのよいわゆる「情報化社会」における、最重要事項を強調するには不十分であるかのよ
うに、技術とインターネットは、うに、技術とインターネットは、国の戦略的かつ重要なセクター国の戦略的かつ重要なセクター、すなわちエネル、すなわちエネル
ギー、通信、交通、財政などが含まれる。それゆえ、各国の経済的、社会的幸福をギー、通信、交通、財政などが含まれる。それゆえ、各国の経済的、社会的幸福を
支える枢軸の支える枢軸の 11 つとして機能つとして機能し、その補助とし、その補助と成長の起点成長の起点となる。となる。

## 導入導入
この部門の安全保障に対する戦略的アプローチをこの部門の安全保障に対する戦略的アプローチを保証し、成長を計画することは、保証し、成長を計画することは、
短期、中期、長期的なリスクを分析し、その進展に関する予測を生成することは、短期、中期、長期的なリスクを分析し、その進展に関する予測を生成することは、
健全な政府の政治課題だ。健全な政府の政治課題だ。
これは今日特に、サイバー空間の効果的な保護のみが、政治的、社会的、経済的、これは今日特に、サイバー空間の効果的な保護のみが、政治的、社会的、経済的、
技術的、産業的、文化的観点から、誰もが正常な生活を送ることを可能とするため技術的、産業的、文化的観点から、誰もが正常な生活を送ることを可能とするため
、、その保護が最優先課題その保護が最優先課題である。である。

## 導入導入
このような観点から、このような観点から、官民の連携は、主に官民の連携は、主に 22 つの要素に起因するサイバーセキュリつの要素に起因するサイバーセキュリ
ティにおける機能的ニーズの高まりのように見えるティにおける機能的ニーズの高まりのように見える。第。第 11 に、重要インフラストラに、重要インフラストラ
クチャの大部分が民間によって管理され、第クチャの大部分が民間によって管理され、第 22 に、そのようなシステムにおける情に、そのようなシステムにおける情
報通信技術（報通信技術（ ICTICT ）の使用が普及し、それらの相互接続の程度が著しく高いためだ）の使用が普及し、それらの相互接続の程度が著しく高いためだ
。。
さらに、さらに、欧州のすべてと国際的なサイバー戦略の正確な比較分析欧州のすべてと国際的なサイバー戦略の正確な比較分析が、共通の戦略ガが、共通の戦略ガ
イドラインのイドラインの 22 つ（つ（ 33 つのうち）が、つのうち）が、国際協力と官民連携国際協力と官民連携 // 情報共有の強化するこ情報共有の強化するこ
ととに関係しているのは偶然ではない。に関係しているのは偶然ではない。

## 欧州連合欧州連合
20132013 年年 22 月、月、 EUEU はは加盟国や他の超国家機関と協力して、加盟国や他の超国家機関と協力して、「オープンで安全な」「オープンで安全な」ササ
イバー空間の確保を支援すると宣言したイバー空間の確保を支援すると宣言した最初のサイバー戦略を採択最初のサイバー戦略を採択した。これは、した。これは、
今日の情報通信技術が、今日の情報通信技術が、欧州の経済成長の根幹欧州の経済成長の根幹でで EUEU 市民のための主要な資源となっ市民のための主要な資源となっ
ていることから、これが必要であることを証明している。ていることから、これが必要であることを証明している。

次の次の 55 つの戦略的優先事項つの戦略的優先事項が文書に記載されているが文書に記載されている ::
1.1.サイバーリジリエンシーの実現サイバーリジリエンシーの実現
2.2.すでに実施中のルール、および、特定の重要部門に影響を及ぼす新しいルールの導すでに実施中のルール、および、特定の重要部門に影響を及ぼす新しいルールの導
入による入によるサイバー犯罪の大幅な軽減サイバー犯罪の大幅な軽減により、加盟国の国内運営能力の向上とにより、加盟国の国内運営能力の向上と EUEU 組組
織の調整と支援の向上に積極的に取り組むことを意味する（例：欧州サイバー犯罪織の調整と支援の向上に積極的に取り組むことを意味する（例：欧州サイバー犯罪
センターセンター - EC3- EC3 ））
3.3.共通セキュリティと防衛政策（共通セキュリティと防衛政策（ CSDPCSDP ）に関連する、）に関連する、サイバー防衛政策と能力の開サイバー防衛政策と能力の開
発発
4.4.サイバーセキュリティのための産業と技術のリソースを開発するサイバーセキュリティのための産業と技術のリソースを開発する
5.5.欧州連合のための、一貫した国際的なサイバー空間政策欧州連合のための、一貫した国際的なサイバー空間政策を確立し、を確立し、 EUEU のコアバのコアバ
リューを上げていくリューを上げていく

官民の連携および、情報交換は、官民の連携および、情報交換は、世界中のサイバー戦略では共通した戦略原則世界中のサイバー戦略では共通した戦略原則であであ
るにもかかわらず、るにもかかわらず、欧州連合の五つの戦略的優先事項からすっかり抜けている欧州連合の五つの戦略的優先事項からすっかり抜けている
これは、これは、 ENISAENISA の欧州官民パートナーシップ・フォー・レジリエンスの欧州官民パートナーシップ・フォー・レジリエンス（（ EP3REP3R ））
と、特にリジリエンシーとネットワークと情報セキュリティの面での、と、特にリジリエンシーとネットワークと情報セキュリティの面での、民間セク民間セク
ターの準備と関与の改善を目的とする一部の声明ターの準備と関与の改善を目的とする一部の声明で述べられているで述べられている

20162016 年年 77 月、月、 EUEU ははサイバーセキュリティに関する欧州初の官民連携サイバーセキュリティに関する欧州初の官民連携を開始した。を開始した。
20202020 年までに、年までに、 EUEU はこの連携に対して研究開発プログラムはこの連携に対して研究開発プログラム Horizon2020Horizon2020 にに 1818 億億
ユーロ投資ユーロ投資する。する。
欧州サイバーセキュリティ機関（欧州サイバーセキュリティ機関（ ECSOECSO ））に代表されるサイバーセキュリティマーに代表されるサイバーセキュリティマー
ケットプレイヤーは、この三倍投資する予定。ケットプレイヤーは、この三倍投資する予定。
このパートナーシップには、国、地方、地方の行政、研究センター、学界のメンこのパートナーシップには、国、地方、地方の行政、研究センター、学界のメン
バーも含まれる。パートナーシップの目的は、バーも含まれる。パートナーシップの目的は、研究とイノベーションのプロセスの研究とイノベーションのプロセスの
早期段階での協力を促進し、エネルギー、健康、輸送、金融などのさまざまな分野早期段階での協力を促進し、エネルギー、健康、輸送、金融などのさまざまな分野
のサイバーセキュリティソリューションを構築すること。のサイバーセキュリティソリューションを構築すること。

20182018 年年 55 月までに導入されなければならない、月までに導入されなければならない、 EUEU 全体のネットワークと情報セキュリティ全体のネットワークと情報セキュリティ
の高い共通レベルを確保するための措置の高い共通レベルを確保するための措置に関するに関する「「 20162016 年年 77 月月 66 日欧州議会および理事会指日欧州議会および理事会指
令（令（ EUEU ）） 2016/11482016/1148 」」では、特に以下の事項が要求されている：では、特に以下の事項が要求されている：
すべての加盟国がすべての加盟国がネットワークおよび情報システムのセキュリティに関する国家戦略を採択ネットワークおよび情報システムのセキュリティに関する国家戦略を採択
する義務を課すする義務を課す
戦略的協力と加盟国間の情報交換戦略的協力と加盟国間の情報交換を支援し、促進し、それらの間の信頼と信頼を醸成するたを支援し、促進し、それらの間の信頼と信頼を醸成するた
めにめに協力グループ協力グループを創設する。を創設する。
加盟国間の信頼と信頼の発展加盟国間の信頼と信頼の発展に貢献し、迅速かつ効果的な業務協力を促進するために、コンに貢献し、迅速かつ効果的な業務協力を促進するために、コン
ピュータセキュリティインシデント対応チームネットワーク（ピュータセキュリティインシデント対応チームネットワーク（「「 CSIRTCSIRT ネットワーク」ネットワーク」）を）を
構築する。構築する。
必須サービスのオペレータおよびデジタルサービスプロバイダのセキュリティおよび通知要必須サービスのオペレータおよびデジタルサービスプロバイダのセキュリティおよび通知要
件件を確立するを確立する
加盟国がネットワークおよび情報システムのセキュリティに関連する任務を有する加盟国がネットワークおよび情報システムのセキュリティに関連する任務を有する国の管轄国の管轄
当局当局、単一の窓口、、単一の窓口、 CSIRTCSIRT をを指名する指名する義務を定める。義務を定める。

新しく採択された新しく採択された EUEU のサイバー戦略（のサイバー戦略（ 20172017 年年 99 月月 1313 日）は、日）は、「レジリエンス、「レジリエンス、
抑止、防衛：抑止、防衛： EUEU の強力なサイバーセキュリティを構築する」の強力なサイバーセキュリティを構築する」と題し：と題し：
加盟国と官民連携の成果を踏まえ、加盟国と官民連携の成果を踏まえ、欧州サイバーセキュリティ研究およびコンピテ欧州サイバーセキュリティ研究およびコンピテ
ンスセンターを中心としたサイバーセキュリティコンピテンスセンターのネットンスセンターを中心としたサイバーセキュリティコンピテンスセンターのネット
ワークワークを通じて、を通じて、 EUEU サイバーセキュリティ能力を強化することが、さらなる次のサイバーセキュリティ能力を強化することが、さらなる次の
一歩となる。このネットワークとそのセンターは、サイバーセキュリティにおける一歩となる。このネットワークとそのセンターは、サイバーセキュリティにおける
技術の開発と展開を促進し、この分野におけるキャパシティ・ビルディングの努力技術の開発と展開を促進し、この分野におけるキャパシティ・ビルディングの努力
をを EUEU と国レベルで補完する。と国レベルで補完する。
EUEU は、は、この目的のためにこの目的のために 5,0005,000 万ユーロの資金を短期的に投入する万ユーロの資金を短期的に投入することを提案することを提案する
予定である。この活動は、サイバーセキュリティに関する官民パートナーシップの予定である。この活動は、サイバーセキュリティに関する官民パートナーシップの
継続的な実施を補完する。継続的な実施を補完する。

新たに採択された新たに採択された EUEU のサイバー戦略（のサイバー戦略（ 20172017 年年 99 月月 1313 日）は、日）は、「レジリエンス、抑止、「レジリエンス、抑止、
防衛：防衛： EUEU の強力なサイバーセキュリティを構築する」の強力なサイバーセキュリティを構築する」と題し：と題し：
世界中の人々が、国家安全保障に対する主要な脅威の世界中の人々が、国家安全保障に対する主要な脅威の 11 つとして、他の国からのサイつとして、他の国からのサイ
バー攻撃を特定していることを示す証拠がある。脅威の世界的な性質を考慮すると、バー攻撃を特定していることを示す証拠がある。脅威の世界的な性質を考慮すると、第第
三国との強力な提携やパートナーシップの構築と維持三国との強力な提携やパートナーシップの構築と維持は、国際的な安定と安全にとっては、国際的な安定と安全にとって
ますますますます重要なサイバー攻撃の防止と抑止の基本重要なサイバー攻撃の防止と抑止の基本となる。となる。 EUEU は、は、二国間、地域間、多二国間、地域間、多
ステークホルダーおよび多国間の取り決めにおける紛争予防とサイバー空間における安ステークホルダーおよび多国間の取り決めにおける紛争予防とサイバー空間における安
定のための戦略的枠組み定のための戦略的枠組みの確立を優先する。の確立を優先する。
EUEU は、国際法、特に国連憲章がサイバー空間で適用される立場を強く推進しているは、国際法、特に国連憲章がサイバー空間で適用される立場を強く推進している

## イタリアイタリア
20132013 年以降、イタリア政府は、年以降、イタリア政府は、 20132013 年年 11 月月 2424 日の首相令で日の首相令で「国家間のサイバー「国家間のサイバー
保護と保護と ICTICT セキュリティのための戦略的ガイドライン」セキュリティのための戦略的ガイドライン」を定め、官民パートナーを定め、官民パートナー
シップの必要性を明確に指摘した。シップの必要性を明確に指摘した。 20172017 年年 22 月月 1717 日の新首相令日の新首相令でも必要性が再確でも必要性が再確
認された。認された。
20132013 年と年と 20172017 年のイタリア政府は、サイバーセキュリティの分野ですでに存在年のイタリア政府は、サイバーセキュリティの分野ですでに存在
する構造と知識を統合するための、不可欠な一歩を踏み出す努力の一環として、する構造と知識を統合するための、不可欠な一歩を踏み出す努力の一環として、国国
家家 ICTICT セキュリティを確保するための民間部門の重要性を強調セキュリティを確保するための民間部門の重要性を強調したした

前述の法令前述の法令 1111 条によれば、条によれば、 ITCITC システムに依存して、公的に通信または電子通信サービシステムに依存して、公的に通信または電子通信サービ
スの公衆ネットワークを提供し、国内および欧州の重要なインフラストラクチャを運営スの公衆ネットワークを提供し、国内および欧州の重要なインフラストラクチャを運営
するする民間のステークホルダー民間のステークホルダーはは ::
この種の通信を取得することを許可された者を経由し、自身のこの種の通信を取得することを許可された者を経由し、自身のコンピュータシステムにコンピュータシステムに
対する重要なセキュリティおよび完全性の違反対する重要なセキュリティおよび完全性の違反をサイバーセキュリティユニットに報告をサイバーセキュリティユニットに報告
するする
経済開発省と共和国安全保障委員会（いわゆる「技術経済開発省と共和国安全保障委員会（いわゆる「技術 CISRCISR 」）が提供する」）が提供するサイバーセサイバーセ
キュリティを追求するために必要なベストプラクティスと措置をすべて採用するキュリティを追求するために必要なベストプラクティスと措置をすべて採用する
セキュリティに関する情報を各機関と共有し、サイバーセキュリティに関連するセキュセキュリティに関する情報を各機関と共有し、サイバーセキュリティに関連するセキュ
リティオペラーションズセンターとデータベースへのアクセスを許可するリティオペラーションズセンターとデータベースへのアクセスを許可する
動作しているシステムとネットワークの機能を復元することによって動作しているシステムとネットワークの機能を復元することによってサイバー危機の管サイバー危機の管
理に協力理に協力するする

66 つのガイドラインのつのガイドラインの
うち少なくともうち少なくとも 33 つつがが
、、民間セクターの関与民間セクターの関与
を多かれ少なかれ直接を多かれ少なかれ直接
想定していることを容想定していることを容
易に気付くことができ易に気付くことができ
る（項番る（項番 2,3,42,3,4 ））

1111 の運用ガイドライの運用ガイドライ
ンのうちンのうち 88 つは、一般つは、一般
的に民間部門の直接関的に民間部門の直接関
与の概要を示している与の概要を示している
かもしれないが、かもしれないが、 22 つつ
だけが官民連携を明示だけが官民連携を明示
的かつ具体的に扱って的かつ具体的に扱って
いるいる（（ 22 およびおよび 33 ））

## イギリスイギリス
イギリスも独自のサイバーセキュリティに関する戦略的アプローチを開発した。イギリスも独自のサイバーセキュリティに関する戦略的アプローチを開発した。
この方向性の第一歩は、英国のこの方向性の第一歩は、英国の ITIT システムの弾力性を強化するための政府機関のシステムの弾力性を強化するための政府機関の
設立と政府間プログラムの構築を目指して、設立と政府間プログラムの構築を目指して、「「 Cyber Security Strategy of the UnitedCyber Security Strategy of the United
KingdomKingdom 」」が策定されたが策定された 20092009 年にさかのぼる。上記の文書は、年にさかのぼる。上記の文書は、 20112011 年に年に「「 UKUK
Cyber Security StrategyCyber Security Strategy 」」によってほぼ完全に書き換えられた。によってほぼ完全に書き換えられた。

さらに、さらに、 20112011 年のサイバー戦略は、年のサイバー戦略は、「英国のサイバーセキュリティ戦略（「英国のサイバーセキュリティ戦略（ 2016-20212016-2021 ）」）」にに
よって最近更新され、よって最近更新され、 20212021 年に達するべき年に達するべき 33 つの主な戦略目標が設定されたつの主な戦略目標が設定された ::
防衛防衛 -- 我々は、英国を進化するサイバー脅威から守り、我々は、英国を進化するサイバー脅威から守り、インシデントに効果的に対応し、英インシデントに効果的に対応し、英
国のネットワーク、データおよびシステムが保護され、強靭性を持つようにする手段を持っ国のネットワーク、データおよびシステムが保護され、強靭性を持つようにする手段を持っ
ています。市民、企業、官庁には、自分自身を守るための知識と能力がある。ています。市民、企業、官庁には、自分自身を守るための知識と能力がある。
抑止抑止 -- 英国は、サイバースペースにおけるすべての形態の侵略の難しいターゲットとなる。英国は、サイバースペースにおけるすべての形態の侵略の難しいターゲットとなる。
私たちは、敵対的行為を検出し、理解し、調査し、破壊し、犯行者を追及し、起訴する。私たちは、敵対的行為を検出し、理解し、調査し、破壊し、犯行者を追及し、起訴する。私私
たちはサイバースペースで攻撃的な行動をとる手段を持っており、たちはサイバースペースで攻撃的な行動をとる手段を持っており、その手段を選択するべきその手段を選択するべき
である。である。
開発開発 -- 私たちは、世界をリードする科学研究開発によって支えられている、革新的で成長し私たちは、世界をリードする科学研究開発によって支えられている、革新的で成長し
続けるサイバーセキュリティ産業を有している。続けるサイバーセキュリティ産業を有している。私たちは、公共および民間部門の国のニー私たちは、公共および民間部門の国のニー
ズを満たすスキルを提供する自立的な才能のパイプラインを持っている。私たちの最先端のズを満たすスキルを提供する自立的な才能のパイプラインを持っている。私たちの最先端の
分析と専門知識は、英国が将来の脅威と課題に対峙して克服することを可能にする。分析と専門知識は、英国が将来の脅威と課題に対峙して克服することを可能にする。

広範な行動計画の一環として、官民連携の分野では、広範な行動計画の一環として、官民連携の分野では、 20162016 年年 1010 月に月に英国政府が英国政府が
NCSCNCSC （（ National Cyber Security CenterNational Cyber Security Center ）を作成）を作成したことは興味深いしたことは興味深い
NCSCNCSC は、は、政府、業界、一般の間で効果的なサイバーセキュリティパートナーシッ政府、業界、一般の間で効果的なサイバーセキュリティパートナーシッ
ププを構築するユニークな機会を提供する。を構築するユニークな機会を提供する。 GCHQGCHQ の情報セキュリティ部門であるの情報セキュリティ部門である
CESGCESG 、、 CPNICPNI 、、 CERT-UKCERT-UK （コンピュータ緊急対応チーム）、（コンピュータ緊急対応チーム）、 Cyber AssessmentCyber Assessment
CenterCenter （（ CCACCA ）がすでに培った機能を統合した。）がすでに培った機能を統合した。

NISCNISC ははサイバーインシデント対応を提供し、サイバーセキュリティに関する英国のサイバーインシデント対応を提供し、サイバーセキュリティに関する英国の
権威ある声となる。実際に権威ある声となる。実際に以下を提供する以下を提供する ::
脅威情報と情報保証に関する、脅威情報と情報保証に関する、政府のサイバーセキュリティへの統一されたアドバ政府のサイバーセキュリティへの統一されたアドバ
イス源イス源
サイバー脅威に対する政府の行動のサイバー脅威に対する政府の行動の強力で強力で公的な側面公的な側面 -- 英国をサイバー攻撃から英国をサイバー攻撃から
保護するために、産官学や国際機関と協力保護するために、産官学や国際機関と協力
重要な秘密のインテリジェンスと世界レベルの技術的専門知識を重要な秘密のインテリジェンスと世界レベルの技術的専門知識を GCHQGCHQ から引き出から引き出
すことのできる一般向けの組織すことのできる一般向けの組織

## アメリカ合衆国アメリカ合衆国
現在、米国ではサイバーセキュリティの分野でのみ実施されている戦略が現在、米国ではサイバーセキュリティの分野でのみ実施されている戦略が 1010 件あ件あ
り、り、 99 件以上が件以上が官民連携の主導的役割を積極的に強調官民連携の主導的役割を積極的に強調している。この観点から、政している。この観点から、政
府は、民間部門がサイバー攻撃を先取りし、検出し、対処し、国内外で関連情報を府は、民間部門がサイバー攻撃を先取りし、検出し、対処し、国内外で関連情報を
共有するのを支援するためのプロセスを開発する必要がある。共有するのを支援するためのプロセスを開発する必要がある。
米国は、この分野における協力に常に注目してきた。米国は、この分野における協力に常に注目してきた。 20032003 年には、年には、「サイバー空「サイバー空
間を確保するための国家戦略」間を確保するための国家戦略」の「行動と提言」は、機能的な国家サイバー空間のの「行動と提言」は、機能的な国家サイバー空間の
確立のためにも、確立のためにも、これらの問題の真のパートナーシップの必要性これらの問題の真のパートナーシップの必要性を何度も強調してを何度も強調して
いる。つまり、民間のステークホルダーの役割を強調していたいる。つまり、民間のステークホルダーの役割を強調していた国のサイバー空間セ国のサイバー空間セ
キュリティレスポンスシステムキュリティレスポンスシステムと、と、サイバー空間の脆弱性や脅威を軽減サイバー空間の脆弱性や脅威を軽減するためのするための
プログラムの実施、ならびに効果的な（そして不可欠な）国際協力のレベルへの到プログラムの実施、ならびに効果的な（そして不可欠な）国際協力のレベルへの到
達だ。達だ。

オバマ大統領がオバマ大統領が 20132013 年年 22 月に公開した月に公開した「大統領政策指針「大統領政策指針 –– 重要インフラストラク重要インフラストラク
チャー・セキュリティーとレジリアンス（チャー・セキュリティーとレジリアンス（ PPD-21PPD-21 ）」）」とと「大統領令「大統領令 13636 -13636 - クリクリ
ティカル・インフラストラクチャーのサイバーセキュリティーの改善」ティカル・インフラストラクチャーのサイバーセキュリティーの改善」として文書として文書
化され、強調されるまでこのような種の要求は何年も続いていた化され、強調されるまでこのような種の要求は何年も続いていた

本方針によれば、本方針によれば、 33 つの不可欠な戦略原則がこの改革プロセスの根幹つの不可欠な戦略原則がこの改革プロセスの根幹である、具体である、具体
的には的には ::
連邦政府全体の機能的関係（役割と責任）を明確にすることによって、連邦政府全体の機能的関係（役割と責任）を明確にすることによって、米国の重要米国の重要
インフラストラクチャーのセキュリティレベルとそのサイバー攻撃に対する強靭性インフラストラクチャーのセキュリティレベルとそのサイバー攻撃に対する強靭性
を強化を強化する。する。
効果的かつ賢明なサイバー脅威情報の共有を可能にすること効果的かつ賢明なサイバー脅威情報の共有を可能にすることにより、特に情報機関により、特に情報機関
と民間部門を積極的に関与させることで、後者は米国と欧州の重要なシステムの大と民間部門を積極的に関与させることで、後者は米国と欧州の重要なシステムの大
部分を担当する。部分を担当する。
既に発生した脅威と新興のリスクに対応した、既に発生した脅威と新興のリスクに対応した、サイバーインシデント発生に対するサイバーインシデント発生に対する
戦略的および運用の両面の視点からの最適な戦略的および運用の両面の視点からの最適な集約機能とデータ分析集約機能とデータ分析の実施の実施

大統領令大統領令 1363613636 の第の第 44 節：節：「サイバーセキュリティ情報共有」「サイバーセキュリティ情報共有」は、サイバー脅威は、サイバー脅威
に関する情報を効果的かつ迅速に民間企業と交換する必要性にも焦点を当てている。に関する情報を効果的かつ迅速に民間企業と交換する必要性にも焦点を当てている。
第第 44 節によれば、米国政府は、節によれば、米国政府は、米国の民間企業と共有するサイバー脅威情報の量、米国の民間企業と共有するサイバー脅威情報の量、
適時性、質を向上適時性、質を向上させ、サイバー脅威からより良く保護し防衛することをポリシーさせ、サイバー脅威からより良く保護し防衛することをポリシー
としている。としている。
したがって、したがって、米国政府がサイバーセキュリティの分野で官民連携に課した重大な役米国政府がサイバーセキュリティの分野で官民連携に課した重大な役
割割、ひいては情報共有の役割は明らかであるように思われる。、ひいては情報共有の役割は明らかであるように思われる。

これは、政府、民間部門、市民、法執行機関、諜報および防衛機関の間でのこれは、政府、民間部門、市民、法執行機関、諜報および防衛機関の間での情報交情報交
換のためのつながり換のためのつながりを提供することを目的とした、国家安全保障省（を提供することを目的とした、国家安全保障省（ DHSDHS ）内の）内の国国
家サイバーセキュリティおよびコミュニケーション統合センター（家サイバーセキュリティおよびコミュニケーション統合センター（ NCCICNCCIC ））防衛オ防衛オ
ペレーターの設立以降、特に明確であるペレーターの設立以降、特に明確である

結論として、米国政府は疑いなく、結論として、米国政府は疑いなく、サイバーセキュリティに関する官民連携を可能サイバーセキュリティに関する官民連携を可能
な限り効率的に改善な限り効率的に改善し、それを可能にするために、多くの努力を行ったし、それを可能にするために、多くの努力を行った
米国の組織体系の正確な分析は、米国の組織体系の正確な分析は、 EUEU 加盟国のアプローチと比較して大きな違いを加盟国のアプローチと比較して大きな違いを
示している。示している。米国政府は、協力を促進し、サイバー脅威に関する必要な情報のほと米国政府は、協力を促進し、サイバー脅威に関する必要な情報のほと
んどを民間部門に提供する主要なプレーヤーんどを民間部門に提供する主要なプレーヤーだが、欧州諸国、少なくともこれまでだが、欧州諸国、少なくともこれまで
取り上げた国々とは正反対である取り上げた国々とは正反対である

考えられる課題としては、組織構造の複雑さが高いため、考えられる課題としては、組織構造の複雑さが高いため、いくつかの連携プロジェいくつかの連携プロジェ
クトに関与するアクター間で真の信頼関係を構築することは非常に困難クトに関与するアクター間で真の信頼関係を構築することは非常に困難である。こである。こ
れは、特にれは、特に NCCICNCCIC の場合のように、の場合のように、共有された情報にアクセスするためのセキュリ共有された情報にアクセスするためのセキュリ
ティクリアランスを提供するティクリアランスを提供するという観点から、あまりにも多様な対象の参加を含むという観点から、あまりにも多様な対象の参加を含む
、プロジェクト自体の特に幅広い性質によるものだ。、プロジェクト自体の特に幅広い性質によるものだ。

## 官民パートナーシップ：強み
上記を踏まえ、様々な国際的アプローチのさらなる分析から、各政府がサイバーセキュリ上記を踏まえ、様々な国際的アプローチのさらなる分析から、各政府がサイバーセキュリ
ティの分野で良好な官民パートナーシップ・プロセスを創造するための構造を備えているこティの分野で良好な官民パートナーシップ・プロセスを創造するための構造を備えているこ
との否定できない必要性を明確に反映して、との否定できない必要性を明確に反映して、 33 つの強みを発揮することができる。つの強みを発揮することができる。したがっしたがっ
て、それが起こる可能性のある要因は次のように詳述されるて、それが起こる可能性のある要因は次のように詳述される ::
「ネットワーク構築」の必要性は、民間の民間の協力と官民の協力の両方によって達成され「ネットワーク構築」の必要性は、民間の民間の協力と官民の協力の両方によって達成され
ることが明らかにされている。ることが明らかにされている。関与する者達の誰もが、全体的な外観も、自らの問題を解決関与する者達の誰もが、全体的な外観も、自らの問題を解決
するための必要な情報も持ち合わせていない。するための必要な情報も持ち合わせていない。
彼らのネットワークを構築することによって、彼らのネットワークを構築することによって、民間企業は公共部門との関係に実際に影響を民間企業は公共部門との関係に実際に影響を
及ぼす及ぼす可能性があり、個別に動いていたのでは得られなかったような関連する目標や効果的可能性があり、個別に動いていたのでは得られなかったような関連する目標や効果的
な交渉レベルに到達することができる。な交渉レベルに到達することができる。
公的部門は、公的部門は、技術的運用、ツール、技術、さらにはサイバーアクターの戦略に関する情報で技術的運用、ツール、技術、さらにはサイバーアクターの戦略に関する情報で
あっても自主的に関連情報を得ることができないあっても自主的に関連情報を得ることができないため、民間のステークホルダーと緊密な関ため、民間のステークホルダーと緊密な関
係を構築する必要がある。係を構築する必要がある。

## 官民パートナーシップ：課題（ 1 ）
何れにしても、強みとともに、現実的で効果的かつ良好な協力体制をはじめるために、何れにしても、強みとともに、現実的で効果的かつ良好な協力体制をはじめるために、困難困難
な課題を処理な課題を処理し、理解し、できるだけ早く克服しなければならない。この点で、直面する主し、理解し、できるだけ早く克服しなければならない。この点で、直面する主
要な重大な問題は次の通り要な重大な問題は次の通り ::
何度も協力や情報共有活動に間接的に関わっている何度も協力や情報共有活動に間接的に関わっている市民のプライバシーと市民権市民のプライバシーと市民権を気づかれを気づかれ
ることなくこれまで以上に特に保護するることなくこれまで以上に特に保護する
認可された法的枠組みの中でそのようなパートナーシップを正確に設定し、定期的な管理の認可された法的枠組みの中でそのようなパートナーシップを正確に設定し、定期的な管理の
ための適切な権限を特定することにより、ための適切な権限を特定することにより、官民パートナーシップが官民パートナーシップが（民間企業の競争力と政（民間企業の競争力と政
府の利益の両方を保護するための）府の利益の両方を保護するための）自由市場を歪曲するリスク自由市場を歪曲するリスクを可能な限り低減するを可能な限り低減する
特に特に EUEU においては中小企業は全体の約においては中小企業は全体の約 99.899.8 ％％と占めるので、意識向上とパートナーシップと占めるので、意識向上とパートナーシップ
確立する枠組みを重要インフラストラクチャとして分類できるシステムを所有する企業を対確立する枠組みを重要インフラストラクチャとして分類できるシステムを所有する企業を対
象とする以上のものにしていかなくてはならない象とする以上のものにしていかなくてはならない

## 官民パートナーシップ：課題（ 2 ）
公共公共 // 政府部門と主な民間のステークホルダーとの間の政府部門と主な民間のステークホルダーとの間の情報交換のための中央参照システム情報交換のための中央参照システム
を作成することにより、サイバー攻撃を効果的に検出、対抗、軽減する。を作成することにより、サイバー攻撃を効果的に検出、対抗、軽減する。
民間企業のために役立つかもしれない民間企業のために役立つかもしれない ”“公的な情報の監査と管理のための内部手続き”“公的な情報の監査と管理のための内部手続きを可能を可能
な限り簡素化し、情報の伝達の迅速性を高める。な限り簡素化し、情報の伝達の迅速性を高める。
協力プロセスに関与する協力プロセスに関与するアクター間の信頼関係を強固にするために、構造的複雑さを低くアクター間の信頼関係を強固にするために、構造的複雑さを低く抑抑
える。える。
多種多様な被験者がプロジェクトに参加したときの（特にセキュリティクリアランスに関し多種多様な被験者がプロジェクトに参加したときの（特にセキュリティクリアランスに関し
て）、遅延やデッドロックを避けるために、て）、遅延やデッドロックを避けるために、異なる分類レベルでの相互情報交換異なる分類レベルでの相互情報交換を確実にすを確実にす
るための手順を策定する。るための手順を策定する。
民間企業のフィードバック民間企業のフィードバックと、官民連携・プロジェクトの実施でと、官民連携・プロジェクトの実施で達成された短期的、中期的達成された短期的、中期的
および長期的結果を評価するおよび長期的結果を評価するためのプロセスを開発する。ためのプロセスを開発する。

## 効率的な官民パートナーシップに向けて
実に効果的で効率的な官民のパートナーシップを構築すための主要な要因実に効果的で効率的な官民のパートナーシップを構築すための主要な要因を要約すを要約す
るために役に立った。これに関して、以下の要素が考慮されなければならない：るために役に立った。これに関して、以下の要素が考慮されなければならない：
公共部門は、公共部門は、民間の利害関係者との関係を管理するために、民間の利害関係者との関係を管理するために、参照機関を参照機関を 11 つだけ装つだけ装
備しなければならない。備しなければならない。
公的参照機関は、公的参照機関は、トップレベルの政治的・戦略的意思決定機関に密接に関連していトップレベルの政治的・戦略的意思決定機関に密接に関連してい
なければならない。　なければならない。　
政治的・戦略的な拠点が政治的・戦略的な拠点ができるだけ短時間でできるだけ短時間で民間の「支部」と情報を交換すること民間の「支部」と情報を交換すること
が最も重要。が最も重要。
産業は、公共部門との接触を維持するために産業は、公共部門との接触を維持するために社内の代表者を社内の代表者を 11 人だけ人だけ特定する特定する

## 効率的な官民パートナーシップに向けて
[…][…]
一般的な情報共有は役には立たないため、その代わりに、公的情報はできるだけ私一般的な情報共有は役には立たないため、その代わりに、公的情報はできるだけ私
的情報とともに、できるだけ交換されるべきである。少なくとも、的情報とともに、できるだけ交換されるべきである。少なくとも、リスクにさらさリスクにさらさ
れている民間企業と産業部門で使用される技術に関する詳細な情報は配布されるべれている民間企業と産業部門で使用される技術に関する詳細な情報は配布されるべ
きである。きである。
定期的で、定期的で、場当たり的でない関係場当たり的でない関係は、あらかじめ計画されなければならない。は、あらかじめ計画されなければならない。
官民の関係性が、関係者のイニシアチブに従うだけ（悪くすると恣意的な決定）リ官民の関係性が、関係者のイニシアチブに従うだけ（悪くすると恣意的な決定）リ
スクを軽減するために、スクを軽減するために、協定を規制する厳密な取り決めが必要。協定を規制する厳密な取り決めが必要。
内外の内外の広範な統制広範な統制が整備されなければならない。が整備されなければならない。
公的機関や民間企業に適切にファンディングされた公的機関や民間企業に適切にファンディングされた教育や研究プロジェクトを開発教育や研究プロジェクトを開発
することが重要。することが重要。

## 結論結論
複雑な目的を達成するために、必然的に重要な課題を克服する必要があるのは、疑複雑な目的を達成するために、必然的に重要な課題を克服する必要があるのは、疑
いの余地はない。さらに、いの余地はない。さらに、サイバースペースの特殊性は、広範囲におけるパートサイバースペースの特殊性は、広範囲におけるパート
ナーシップが絶対的に必要であり、不可欠であることナーシップが絶対的に必要であり、不可欠であることを強調しなければらない。特を強調しなければらない。特
” ”にこれは、そのようなドメインで活動するステークホルダーが、その脅威に効率的” ”にこれは、そのようなドメインで活動するステークホルダーが、その脅威に効率的
に対応するためにに対応するために必要な情報を取得し、管理する立場に必ずしもない必要な情報を取得し、管理する立場に必ずしもないためだ。ためだ。
ただし、これまで以上にサイバーセキュリティが、安全保障そのもの、ただし、これまで以上にサイバーセキュリティが、安全保障そのもの、各国の経済各国の経済
成長と競争力、そしてその結果、国内および国際的な経済戦略成長と競争力、そしてその結果、国内および国際的な経済戦略の不可欠な部分とみの不可欠な部分とみ
なされなければならないという事実はかわらない。そのため、これらのパートナーなされなければならないという事実はかわらない。そのため、これらのパートナー
シップの成立においては、従来のように技術的や工学的側面のみに専念するのではシップの成立においては、従来のように技術的や工学的側面のみに専念するのでは
なく、なく、実際のそして極度に高い経済的・軍事的価値が考慮されなくてはならない。実際のそして極度に高い経済的・軍事的価値が考慮されなくてはならない。

QQ&&AA
09 Nov. 201709 Nov. 2017@MeleStefano info@stefanomele.it

国家のセキュリティとサイバーセキュリティをめぐる官民連携：その強みと課題 by ステファーノ・メーレ

Recomendados

Recomendados

Mais conteúdo relacionado

Mais de CODE BLUE

Mais de CODE BLUE (20)

国家のセキュリティとサイバーセキュリティをめぐる官民連携：その強みと課題 by ステファーノ・メーレ