英国政府が同国の主要なサイバー犯罪法を改正する計画は、ほとんどのセキュリティ研究者を現状と同じ立場に置くほど限定的な法的保護しか提供しないだろうと、複数の情報筋が**Recorded Future News**に語った。 **Computer Misuse Act 1990**を改正する計画は、先週のKing's Speechで発表された。これは、業界が長年、通常のサイバーセキュリティ活動を禁止していると批判してきた同法を近代化するよう求めてきたキャンペーンを受けてのものである。 昨年12月、セキュリティ担当大臣の**Dan Jarvis**は、政府が「特定の安全対策を満たす限り」研究者を訴追から保護する法定弁護（statutory defense）を導入すると約束した。しかし、これまで報道されていない計画に詳しい情報筋によると、これらの安全対策は極めて限定的だという。 ### 限定的な保護範囲 政府は、法定弁護を、研究者がインターネットに接続されたシステムのスキャンで訴追されている場合にのみ限定する計画だ。スキャンはサイバー防御活動の一部であり、**Shodan**や**Censys**のような商用プラットフォームによって、すでに継続的に、そして英国の管轄外から実行されているものが多い。 提案では、研究者は脆弱性が特定された瞬間に活動を停止する必要があり、それが現実のものであるか、その深刻度、悪用可能性を評価できないことを意味する。業界専門家は、システム所有者が脆弱性が本物であることを証明してから対応することが一般的であるため、これにより開示はほぼ無価値になると述べている。 ### 認定要件 認定された研究者は、テストを個人的に行う必要があり、自分の代わりに活動を行うよう他者に指示することはできない。これは、シニアプロフェッショナルがジュニアスタッフや自動化ツールを監督する標準的な商業モデルに反する規定だ。 提案では、法定弁護の対象となる者を、**UK Cyber Security Council**の認定を持つ英国籍保持者に限定する。同評議会は、公認会計士やエンジニアと同様の資格をサイバーセキュリティ専門家に付与できる唯一の機関である。 政府関係者はRecorded Future Newsの情報筋に対し、現在そのような認定を受けているのは約300人だけであり、公式の政府統計によると、この分野で雇用されている「約7万人の高度なスキルを持つ人々」の約0.4%にすぎないと述べた。 認定要件は、Recorded Future Newsが相談した専門家から広く批判されており、彼らはこれを「プレイ・トゥ・ペイ（pay to play）」モデルと呼び、バグバウンティハンター、学術研究者、ホビイスト、中小企業の専門家など、世界中の脆弱性開示の相当な割合を占める人々を排除する可能性があると指摘した。 ### 政府の動機への懸念 情報筋によると、改革は、支援対象の業界のニーズではなく、主に政府自身の法的責任に対処するために設計されたように見える。彼らは、政府自身がComputer Misuse Actが法執行機関と**National Cyber Security Centre (NCSC)**の両方の活動を制約していることを認めた会議を引用した。 NCSCの広報担当者は、「ご想像のとおり、NCSCの活動は法律を遵守しており、英国をオンラインで生活し働く上で最も安全な場所にするという我々の使命を遂行する堅牢な監督フレームワークによって管理されています」と述べた。同庁は、自社のスタッフの何人が公認資格を保持しているかについては言及を控えた。 サイバーポリシーコンサルタントで英国政府の独立アドバイザーである**Jen Ellis**氏は、当局がセキュリティコミュニティと協力していることを称賛したが、「期待と現実の間に不一致がある」と警告した。 彼女は、研究者たちはComputer Misuse Actの提案された改革が、善意のセキュリティ研究に対して「法定弁護または法的セーフハーバー」を提供するだろうと期待していたが、現在の提案は「はるかに狭く」、既知の脆弱性のスキャンにのみ焦点を当てていると主張した。 Ellis氏はまた、専門的な役割や認定に関連する除外規定を批判し、セキュリティ研究はしばしば独立して、大組織の外で行われると述べた。彼女は、そのような要件は研究とスキル開発を「妨げ」、大企業を優遇し、最終的には「行為ではなく個人を犯罪化する」だろうと主張した。 ### 業界慣行への影響 進行中のキャンペーンを理解するために攻撃者のインフラストラクチャにアクセスすることを含む、グローバルなサイバーセキュリティ業界全体の標準的な慣行は、英国では依然として犯罪とみなされている。政府は、これらの活動をカバーする広範な法定弁護が、悪意のある攻撃者に法的保護を与えることを懸念していると理解されている。 業界は、現在の状況が英国企業をドイツ、フランス、オランダ、ベルギー、米国などの競合他社に対して競争上の不利な立場に置いていると述べている。これらの国々はすべて、より制限の少ない法的枠組みの下で運営されており、その結果、サイバー犯罪者を訴追するのに困難を報告した国はない。 業界団体によると、一部の英国企業はすでに、より明確な法的枠組みを持つ管轄区域を通じて機密性の高い研究作業をルーティングしている。内務省は、この問題に対するアプローチを理解するために国際的なカウンターパートと協議していると述べた。 Computer Misuse Actの欠点は、英国の法執行機関の専門家の間では広く知られている。警察と協力している会社の研究者は、捜査中に犯罪者のネットワークにアクセスした後、上級将校に懸念を表明したとRecorded Future Newsに語った。その将校の反応は、法定弁護がなくても、王室検察庁（Crown Prosecution Service）が公益を考慮するだろうから心配しないでほしい、というものだったという。研究者や業界団体は、そのような非公式な保証は、ビジネスを構築したり、専門的な保険を取得したり、同僚に指示したりするための基盤にはならないと述べている。 ### AIと将来性に関する懸念 研究者たちはまた、提案が、業界全体で脆弱性発見とセキュリティテストを自律的に実行するためにますます使用されているエージェンティックAIツールを考慮していないことを指摘した。 人間の研究者ではなくAIシステムによって実行された活動が、認定された個人がテストを個人的に実施することを要求する弁護の範囲に含まれるかどうかは、まだ対処されておらず、法律になる前にすでに時代遅れになる法的枠組みの可能性を示唆している。 内務省の広報担当者は、「この政府は、英国の安全保障を強化し保護する上で、サイバーセキュリティ専門家が果たす重要な役割を認識しています。彼らを支援することは不可欠です。我々の国家安全保障法案は、正当な研究を支援することと国家安全保障を保護することのバランスを取ります。私たちはサイバーセキュリティ業界の意見を高く評価しており、提案を洗練させるために彼らと協力し続けます」と述べた。