クアッド(QUAD:Quadrilateral Security Dialogue)は、オーストラリア、インド、日本、米国の四か国から成る安全保障パートナーシップである。クアッドは最近、サイバーセキュリティに関する計画を進めており、中でも、ソフトウェアセキュリティの統一基準の策定や加盟国間での情報共有といった施策が注目を集めている。本稿では、このような施策の内容とそれにより見込まれる成果について考察する。さらに、この地域におけるもう1つの主要な安全保障対話であるASEAN地域フォーラムと比べながら、クアッドを活用してサイバーセキュリティに取り組むメリットを検討するとともに、日本が今後進むべき方向についても簡単に取り上げる。
クアッドの概要
クアッドは2007年に正式に結成された後、2008年に中断された。この背景には、加盟国間でクアッドの重要性に関する認識が分かれたことや[1]、オーストラリアが、中国を除外した戦略的パートナーシップへの参加により両国間の経済関係が悪化することを懸念し、クアッドから脱退したことがあった[2]。その後、特に中国が地域内で高圧的な行動を強めているとの認識を踏まえ、航行の自由などの点で加盟国間の利害が再び一致したことを受け、2017年に日米の主導でクアッドが再編成された[3]。2021年には、クアッドは、国際保健、地域内のインフラ強化、気候変動、人材交流と教育、重要技術や新技術、サイバーセキュリティ、宇宙などの主要分野における協力目標を採択した[4]。制度上の声明は抽象的なものにとどまることが多いが、サイバーセキュリティに関するクアッドの協力における最近の動向を見ると、こうした野心的目標を具体的な取り組みにつなげようという意向が高まっていることがわかる。
サイバーセキュリティに関するクアッドの協力
2021年のクアッド首脳会合共同声明では、様々な施策の中で特に、サイバーセキュリティ分野のリーダーレベルの専門家で構成されるクアッド・シニア・サイバー・グループ(QSCG)の立ち上げが計画され、「定期的に会合を実施し、政府と産業界との連携を進める」ことが示された。その中で、サイバーセキュリティ分野における統一基準の採用と実施、安全なソフトウェアの開発、サイバーセキュリティに関わる労働力と人材の育成、デジタルインフラの成長と安全性の促進という4つの目標が掲げられた[5]。それ以降、QSCGは毎年会合を開き、クアッド・サイバーセキュリティ・パートナーシップのもとで様々なイニシアチブを進めている。その一例が「クアッド・サイバー・チャレンジ」キャンペーンである。同キャンペーンは、2023年4月にインド太平洋全域のサイバーセキュリティ意識の向上を目的として初めて実施され[6]、2024 年秋にサイバーセキュリティ教育を重点として再度実施された[7]。
以下では、サイバーセキュリティ分野でクアッドが最近取り組んでいる2つのイニシアチブについて重点的に取り上げる。1つ目は、2023年の「安全なソフトウェアのための共同原則(Joint Principles for Secure Software)」である。この原則の目的は、サイバー攻撃の実行に利用される可能性のある「ソフトウェアの脆弱性の数と潜在的な影響を減らす」ことである。この目的を達成するために、クアッドは現在、ソフトウェアの開発、調達、使用において各国政府が従うべきガイドラインの草案を作成している。このようなガイドラインは、ソフトウェアの作成段階からその安全性が継続的に監視されるように徹底するものである[8]。
この合意は、反中国的なスタンスを示す可能性があるとして注目を集めてきた。実際、クアッドの加盟国間では、中国製ソフトウェアは(ロシア製ソフトウェアと同様)安全でないと見なされることが多い。これは、ユーザーの機密データの悪用や[9]、悪意のあるソフトウェアインジェクション攻撃[10]の可能性が高いことと関係している。特に医療や警察業務[11]、太陽光発電システム[12]をはじめとする重要な分野では、モノのインターネット(IoT)デバイス(つまり、インターネットに接続される有形の物)に使用される中国製品の安全性を巡り、議論が起こっている。このように、共同原則でソフトウェアのセキュリティに重点が置かれているのは、サイバー分野で中国の影響力が強まっているという認識への対応策[13]、さらには中国のソフトウェアがクアッド各国の市場に入り込むのを防ぐための方法だと解釈することができる。しかし、ソフトウェアセキュリティに関するクアッドのイニシアチブは、各加盟国の個々の取り組みと並行して進められていることに留意する必要がある。米国の「セキュア・バイ・デザイン」誓約[14]および「セキュア・ソフトウェア開発フレームワーク[15]」、オーストラリア参謀本部国防信号局(Australian Signals Directorate)による「セキュアで検証可能なテクノロジーの選択(Choosing Secure and Verifiable Technologies)[16]」といった勧告を受け、国内販売に向けてそのガイドラインに準拠する必要性が高まっており、すでに各国のメーカーに影響が生じている。このように、クアッド以外でもソフトウェアのセキュリティ強化はすでに進められており、中国製品だけでなくすべての製品に影響を及ぼしている。さらに、世界のソフトウェアの多くがインドで作られているため、インドがクアッドに加わっていることは、ソフトウェアセキュリティの施策を成功させる上で非常に重要だと考えられる[17]。
注目を集めている2つ目のクアッドのイニシアチブは、クアッドの各国政府のサイバー部門間でサイバー攻撃や重大なインフラ被害に関する情報を交換するシステムを開発するという2023年の計画である[18]。この計画のもとになっているのは、2022年のクアッド・サイバーセキュリティ・パートナーシップの原則である[19]。情報共有はサイバーセキュリティに不可欠であるため、この施策は重要である。一方では、サイバーインシデントに関する情報を得ることで、他者の経験から学ぶことができ、正確なリスク評価が可能になるため、サイバーセキュリティへの心構えが強化される[20]。しかし他方で、プライバシーへの懸念や法的な障害、サイバー脅威に対する保護が不十分だと見られることから生じる風評被害の恐れといった要因が、情報共有の妨げとなることが多い[21]。こうした中で、このクアッドの施策により、情報共有に対する障壁が和らぎ、情報共有にプラスとなる環境が育まれる可能性がある。
机上の空論に終わるか否か
まだ具体的な実施には至っていないため、こうしたイニシアチブが実際にどの程度進展するかは未知数である。とはいえ、今後、クアッドがどのような成果をあげるか、どのような障壁に直面するかを推測する上で、他国における同様の施策が参考になるかもしれない。
米国で開催された直近のクアッド会合では、「安全なソフトウェアのための原則」に関して、各加盟国がさまざまな利害関係者と連携してコミットメントを追求していることが再確認されるにとどまり[22]、具体的な進展については説明されなかった。しかし、この原則と同じようなアプローチは、米国の全体的なサイバーセキュリティの取り組み強化を目指す2021年の「国家のサイバーセキュリティの改善に関する大統領令(Executive Order on Improving the Nation's Cybersecurity)」でも実施された。その条項の1つでは、明確な期限を定めた一連のステップを通じて、ソフトウェアのサプライチェーンの安全性を強化することに重点が置かれた。このステップには、「クリティカルな」(つまり必須の)ソフトウェアを特定すること、そのためのセキュリティのガイドラインを定めること、準拠するソフトウェアのリストを作成すること、政府機関に対して安全なソフトウェアの導入期限を設けることが含まれた[23]。非準拠のソフトウェアベンダーは契約から除外される可能性が高く、最終的には、政府機関は安全でないソフトウェアを購入できなくなる。この大統領令に含まれた施策は大半が実行されたが、「クリティカルな」ソフトウェアの包括的なリストの作成には課題が残り[24]、政府機関向けの期限は延期を余儀なくされた[25]。この例は、先進国であっても、ソフトウェアセキュリティ対策の実際的な導入が難航する可能性があることを浮き彫りにしている。これを踏まえると、クアッドにとっては、政治、行政、法制度が異なる国家間でソフトウェアセキュリティ規則を統一することはさらに実現が難しい可能性があり、迅速かつ具体的に原則に取り組むことが極めて重要となる。
クアッドの加盟国間の情報共有に関しても明確な進展は乏しい。2024年7月に東京で開催されたクアッドでは、加盟国は、サイバー分野における人材開発イニシアチブの検討と、責任ある国家行動の促進を目指す「クアッド・サイバー大使(Quad Cyber Ambassador)」会合を設置することに合意したが[26]、この会合の詳細は明らかではなく、このイニシアチブが2023年に想定された情報共有の取り組みの一環であるかどうかも不明である。ここでもう一度、他国における同様の取り組みに目を向けると、考察すべき点がいくつか明らかになる。欧州連合(EU)では、コンピュータ緊急対応チーム(CERT)が国を越えて情報を共有することが多いが、法的な境界線に関する不確実性の問題が残っている上に、地域間で欧州法の実施が一様でないためにさらに問題が悪化している[27]。米国では、サイバーセキュリティ法に基づく国内の情報共有の取り組みについて2020年に見直しが行われたが、共有情報の質に関する進展が乏しいことが明らかになった。その原因として、プログラム参加者の少なさ、情報基準の受け入れの遅れ、人員不足が指摘された[28]、機密データにアクセスするためのセキュリティ・クリアランスを国家間で同等にすること[30]など、追加的な要因への対応も必要となる。こうしたことから、クアッドでは、加盟国間で法制度、政策、予算が異なるため、情報共有のような有用と思われる施策であっても実行上の問題に直面する可能性がある。繰り返しになるが、クアッドが成功を収めるためには、そのような問題に迅速に対処することが不可欠である。
クアッドとASEAN地域フォーラムの比較
こうした限界はあるものの、安全保障を焦点とする東南アジア諸国連合(ASEAN)主導のASEAN地域フォーラム(ARF)などの他の域内対話の枠組みと比べると、サイバーセキュリティに関するクアッドの協力は、今後の進展に期待が持てそうである。ARFは、災害管理などの他の分野では具体的な目標を達成しているが[31]、サイバーセキュリティに関しては、まだ実績が乏しいのが現状である。これは驚くにはあたらない。災害救援に関する協力は当事者全員に恩恵があり、論争を招くことはほとんどない。反面、ARFの加盟国27か国には、中国、ロシア、北朝鮮など、他国からサイバーセキュリティの脅威の主因と見なされることが多い国が含まれているため、サイバーセキュリティに関する協力における基本的な考え方に関してさえ合意に至ることが難しい状況にある[32]。
従って、ARFでは、取り組みを進めるにあたり、信頼醸成措置(CBM:Confidence Building Measures)を優先しなければならない。CBMとは、当事者間の疑念や不信感を軽減するための措置であり、その多くはワークショップや話し合いとして実施される[33]。CBMは重要だが、特にサイバーセキュリティのような不信感に満ちた分野では[34]、具体的な成果につながるまでに時間がかかることになる。さらに、ARFでは、コンセンサスに基づく意思決定体系がとられているため、全体的な合意のもとで進める必要がある。加盟国間で違いが大きいことと、コンセンサスに基づいて決定が下されることが相まって、具体的な決定に至りにくく、当事者全員を納得させるために進展はスローペースにならざるを得ない。それに比べ、クアッドは、多様ではあるものの、遥かに少数の民主主義国で構成されているため、合意や調整が容易である。さらに、クアッド外部の様々な脅威の発生元からのサイバー攻撃を減らすための対策として、ソフトウェアの安全性と情報共有が不可欠だということが、加盟国4か国の共通の認識となっている。最後に、4か国間の技術開発と実行のレベルにはまだ差があるが、中国や米国などの大国とミャンマーのような小国が混在するARFと比べれば、加盟国間の格差は遥かに小さい。
要約すると、ARFは、クアッドとは異なり、反中国的スタンスのリスクを回避しているものの、基本的なCBM以上の進展はすぐには望めそうにない。反面、クアッドを通じてサイバーセキュリティに関する協力を推進することは、中国の反発を招くかもしれない。しかし、クアッドは、利害の一致と強い信頼関係に基づく少数の国から成る非公式のグループという性質上、現実的な成果を達成しやすく、その結果として今後の進展も見込まれる。
日本が進むべき方向
日本はARFとクアッドの両方に加盟している。これは驚くにはあたらない。というのも日本は、様々な協力的枠組みの効果を積み上げるべく、複数の枠組みに対して「多層的」なアプローチをとることがよくあるからである[35]。従って、日本にとっては、両方の枠組みで同時にサイバー政策を推進し続けることが最善の策であるが、それぞれの特性を踏まえると、目に見える形で短期的な成果をあげるには、クアッドの方が適しているように思われる。クアッドの今後の動きは、新たに選出されたトランプ政権と石破政権の政策に大きく左右されるが、日本の積極的な役割が期待される。例えば、G7でサイバー関連の広島AIプロセスを日本が主導した経験[36]は、クアッドがソフトウェアセキュリティの規制に取り組む際の土台となる可能性がある。また、様々な軍や多国間の機関と共同で日本が実施したサイバー演習での専門知識[37]は、クアッド・サイバーセキュリティ・パートナーシップを単なる教育的取り組み以上に高めることにも役立つものである。ただし同時に、中国が示すかもしれない敏感な反応には慎重な対応が必要となる。最後に、情報共有における多国間の協力は、日本が現在取り組んでいるセキュリティ・クリアランス制度の強化とも合致し、国際的な情報交換の円滑化につながる[38]。しかし、クアッドの崇高な目標を実現しようとするならば、明確な施策と具体的な期限を定めることが急務である。
(2025/01/09)
*こちらの論考は英語版でもお読みいただけます。
Cyber Security through the QUAD
脚注
- 1 Kevin Rudd, "The Convenient Rewriting of the History of the 'Quad'," Nikkei Asia, March 26, 2019.
- 2 Grant Wyeth, "Why Has Australia Shifted Back to the QUAD?," The Diplomat, November 16, 2017.
- 3 Patrick Gerard Buchan and Benjamin Rimland, "Defining the Diamond: The Past, Present, and Future of the Quadrilateral Security Dialogue," CSIS Briefs, March 16, 2020.
- 4 The United States White House, "Fact Sheet: Quad Leaders' Summit," September 24, 2021.
- 5 同上
- 6 The United States White House, "Quad Joint Statement on Cooperation to Promote Responsible Cyber Habits," February 7, 2023.
- 7 The United States White House, "Fact Sheet: 2024 Quad Leaders' Summit," September 21, 2024.
- 8 Ministry of Foreign Affairs of Japan, "Quad Cybersecurity Partnership: Joint Principles for Secure Software," December 2023.
- 9 Sapna Maheshwari and Amanda Holpuch, "Why the U.S. Voted to Force TikTok to Be Sold or Banned," The New York Times, April 20, 2024; Office of the Senator Mike Gallagher, "Gallagher Introduces Bipartisan Legislation to Protect American Networks," November 6, 2023 (archived).
- 10 James Andrew Lewis, "TikTok and National Security," Center for Strategic and International Studies, March 13, 2024.
- 11 Dave Altavilla, "Securing The IoT From The Threat China Poses To US Infrastructure," Forbes, September 3, 2023; Charles Parton, "Dealing with the threat of Chinese cellular (IoT) modules," Britain's World, May 10, 2023.
- 12 大澤 淳「有事を念頭に置いた電力インフラのサイバー・リスク対策――オーストラリアの太陽光発電のサイバーセキュリティを巡る事例から」国際情報ネットワーク分析 IINA、2023年12月1日。
- 13 Tobias Scholz, "Quad Vadis? A Risk Assessment of the Quad's Emerging Cybersecurity Partnership," Observer Research Foundation, August 17, 2023.
- 14 Cybersecurity and Infrastructure Security Agency, "Secure by Design Pledge."
- 15 NIST Computer Security Resource Center, "Secure Software Development Framework," July 30, 2024.
- 16 Australian Signals Directorate, "Choosing Secure and Verifiable Technologies," May 9, 2024.
- 17 Nick Bonyhady, "Australia to lean on Quad to fix ‘wantonly unsafe' software," The Australian Financial Review, September 19, 2023.
- 18 Rieko Miki, "Quad countries to bolster cyber defense with information-sharing," Nikkei Asia, April 25, 2023.
- 19 Ministry of Foreign Affairs of Japan, "Quad Cybersecurity Partnership: Joint Principles," March 24, 2022.
- 20 Konstantinos Rantos, Arnolnt Spyros, Alexandros Papanikolaou, Antonios Kritsas, Christos Ilioudis and Vasilios Katos, "Interoperability Challenges in the Cybersecurity Information Sharing Ecosystem," Computers 2020, 9(1), 18; March 2020.
- 21 Ibidem; United States House Of Representatives, Committee On Homeland Security, Subcommittee On Cybersecurity And Infrastructure Protection, "Maximizing The Value Of Cyber Threat Information Sharing," Committee Hearing, One Hundred Fifteenth Congress, First Session, November 15, 2017.
- 22 The White House, "Fact Sheet: 2024 Quad Leaders' Summit," September 21, 2024.
- 23 The United States White House, "Executive Order on Improving the Nation's Cybersecurity," May 12, 2021.
- 24 United States Government Accountability Office, "Implementation of Executive Order Requirements Is Essential to Address Key Actions," April 2024.
- 25 Executive Office of The President, "Memorandum For The Heads Of Executive Departments And Agencies," June 9, 2023.
- 26 U.S. Department of State, "Joint Statement from the Quad Foreign Ministers' Meeting in Tokyo," July 29, 2024.
- 27 Neil Robinson, "Information Sharing for Cyber-Security: Evidence from Europe," The Asan Institute for Policy Studies Issue Brief, No. 72, October 8, 2013.
- 28 Office of Inspector General, "DHS Made Limited Progress to Improve Information Sharing under the Cybersecurity Act in Calendar Years 2017 and 2018," September 25, 2020.
- 29 Konstantinos Rantos et al., Interoperability Challenges.
- 30 この点については、最近、日米間の情報共有に関連して議論されている。James L. Schoff, Douglas E. Rake, and Joshua Levy, "A High-Tech Alliance: Challenges and Opportunities for U.S.-Japan Science and Technology Collaboration," Carnegie Endowment for International Peace, July 29, 2021; "Japan plans to create 'security clearance' system in 2024," The Japan Times, September 17, 2023.
- 31 例えば、ARFは大規模災害訓練としてASEAN地域フォーラム災害救援実働演習(ARF DiREx)を定期的に開催している。Resilience Library, "ASEAN Regional Forum Disaster Relief Exercise (ARF DiREx)."
- 32 Tim Maurer, "Cybersecurity And Asia," New America, September 24, 2015.
- 33 Global Forum for Cyber Expertise, "Overview Of Existing Confidence Building Measures As Applied To Cyberspace," June 3, 2020.
- 34 James Andrew Lewis, "U.S.-Japan Cooperation in Cybersecurity," CSIS Strategic Technologies Program, November 5, 2015.
- 35 Tsuyoshi Kawasaki, "Layering Institutions: The Logic of Japan's Institutional Strategy for Regional Security," in "The Uses of Institutions: The U.S., Japan, and Governance in East Asia," edited by John G. Ikenberry and Takashi Inoguchi, Springer Link, 2007, 77-102.
- 36 Inge Odendaal, "The Hiroshima AI Process: Japan's Role in Shaping Global AI Governance," Stellenbosch University Japan Centre, November 7, 2023.
- 37 Ministry of Defense of Japan, "Defense of Japan 2023- Part III Chapter 1: Responses in the Cyber Domain," March 5, 2023.
- 38 The Japan Times, "New security clearance system to bring Japan in line with other G7 nations," July 9, 2024.