木曜日、34社のテクノロジー企業が集結し、「サイバーセキュリティ・テック協定」なる、中身のない誓約を発表しました。これは2つの重要な要素から成る誓約です。1つ目は、これらの企業が顧客を保護すること、2つ目は、政府が「罪のない顧客や企業」に対してサイバー攻撃を仕掛けるのを手助けしないことです。

主要署名企業には、Microsoft、Facebook、Oracle、SAP、Cisco、HP、Cloudflare、Githubなどが含まれます。全リストはAccordのウェブサイトでご覧いただけます。署名していない注目企業としては、Apple、Google、Amazonなどが挙げられます。

この協定は好意的な報道もいくつかありましたが、発表内容が論理的な検証に耐え得るとは思えません。まず第一に、どちらの主張も文言に曖昧な言い逃れの余地が含まれています。また、たとえこれらの誓約に何らかの効力があったとしても、署名者のほとんどはそもそも誰かをハッキングするよう求められているわけではありません。時折、令状に基づいて顧客データを提出するよう求められることはあるかもしれませんが、それに対する防御を誓約しているわけではありません。

私にとって最悪なのは、二番目の誓約を額面通りに受け止めれば、その約束が不合理になるシナリオを思いつくのは難しくないということです。

約束します…

最初の主要な誓約、最も意味を成すが、本質的には何も言っていない誓約を見てみましょう。

より強力な防御

両社はサイバー攻撃に対する防御体制を強化します。その一環として、誰もが保護を受ける権利があると認識し、オンライン攻撃の動機に関わらず、世界中のすべての顧客を保護することを誓約しました。

この原則は素晴らしいと思います。企業は顧客を守ると言っています。素晴らしいですね！でも…いや、実際にはそう言っていないですよね？企業は「より強固な防御体制を構築する」と誓っているんです。

[サイバーセキュリティ技術協定、サイバー戦争の今、ソーシャルネットワークの慣性 – ACM 458 ]

それは一体どういう意味だ？何より強いって？スーおばさんより強い？貪欲な番犬の群れより強い？まだ全力を出していないとでも言っているのか？これまでは手加減していたけど、これからはいよいよ頑張るぞ、とでも言っているのか？そういう意味ではないだろうが、客観的な尺度がなければ「より強固な防衛」を約束しても意味がない。

動機に関係なく?

ちょっと待ってください。最後にある「オンライン攻撃の動機に関わらず」とはどういう意味ですか？ 企業自国によるサイバー攻撃から、殺人的な独裁者、敵対的な外国勢力、テロ組織を守るために「より強力に」取り組むとでも言っているのでしょうか？

本当に？

だって、それは良い結果にはならないし、君たちが善人になるわけでもないことを君に言わなくちゃいけないんだから。

フェードイン：無名の西側政府の戦争室

通信士官
殿、盗まれた核ミサイルが作動しました。
[B級映画ですから、ご自由にどうぞ]

民主的に選ばれたリーダー
なんてことだ。彼らを止めなければ！

将軍：
ご心配なく。こちらにはあのミサイルを停止させるハッキング能力があります。必ず阻止します。

マイクロソフト本社へ

MICROSERF シフトマネージャー
OK、チーム。Foreignistan の Windows システムへのサイバー侵入を検知しました。やるべき仕事があります。お客様を守りましょう！

誤解しないでください。彼らの狙いは理解しています。国家の利益に関わらず、顧客を第一に考えると彼らは主張しているのです。しかし、そのような誓約が直面する可能性のある法的問題に加え、動機に関わらず顧客を守ることが愚かであるシナリオは多岐に渡ります。

また、iMessageなどのサービスにおけるエンドツーエンドの暗号化や、iPhoneにおけるデバイスレベルの暗号化といったAppleのアプローチとの大きな違いにも注目してください。Appleは鍵を保有していないため、鍵を提供できません。

Appleのアプローチは、悪意のある人物も含め、すべての人のプライバシーを保護します。なぜなら、それが誰に対しても適切な保護を提供する唯一の方法だからです。Appleが鍵を保有している場合（例えばiCloudに保存されているデータなど）、Appleは当然のことながら、法的な令状に従います。

無実の顧客

次に、2 番目の誓約を見てみましょう。

悪気はないけど

両社は、政府による罪のない国民や企業に対するサイバー攻撃を助長せず、技術開発、設計、流通のあらゆる段階を通じて自社の製品やサービスの改ざんや不正利用を防止します。

冷めた目を持つ私の評論家は、まずこれらの企業のうち、誰かに対してサイバー攻撃を仕掛けるよう依頼されている企業はほとんど、あるいは全くないという現実から議論を始めます。これは空約束、あるいはもっと悪いことに、皮肉な約束です。国家によるサイバー攻撃は国家が対処すべきものであり、これらのベンダーが対処すべきではありません。国家向けにハッキングや関連サービスを提供する企業は数多くありますが、彼らはこの協定に署名していません。

しかし、さらに「罪のない市民や企業にサイバー攻撃を仕掛ける」という、お世辞まがいのナンセンスが続く。では、有罪の市民や企業は格好の標的になるのか？もしそうだとしたら、ここで無罪か有罪かを決めるのは誰なのか？もし裁判所が判断し、企業が法に従うのであれば、この約束にはほとんど意味がない。なぜなら、いつでもサイバー攻撃への協力を義務付ける法律が制定される可能性があるからだ。もし企業が無罪を決めるなら、まさにサイバーパンク・ディストピアだ、バットマン！

言葉の意味について深く考えすぎる傾向があるのは承知していますが、たとえ最良の状態であったとしても、この協定は、これらの企業が政府よりも上位にあり、政府から独立している場合にのみ意味を持ちます。しかし、彼らは国家よりも上位ではありません。彼らのサービスが必要とされる日が来れば、彼らは強制されれば自国の政府に従うでしょう。こうして、私たちは再びこの協定が無意味なものになってしまうのです。

実際には、この誓約にはまったく意味がなく、多くの主流メディアがほとんど検討せずにこれを通過させているのは残念だと思います。