2021 年 10 月 22 日 Josh Stuifbergen 著

米国商務省が、監視に使われるハッキングツールの輸出規制を発表しました。人権侵害や虐待が指摘されている強権主義国家の政府へのアクセスを抑制するのが目的です。海外に製品を販売しようとする企業は、「License Exception Authorized Cybersecurity Exports（ACE）」という特殊なライセンスを取得する必要があります。また、国家安全保障上の懸念がある国や、米国の武器禁輸措置を受けている国との取引を希望する企業は、追加のライセンスが必要です。

同省はこの変更に先立つこと数年前、同様の規則を導入しようとしていました。当初は、企業やその他の関係者から、条文の表現が広すぎて安全保障分野に悪影響を及ぼすのではないか、との懸念が寄せられました。そのような意見を経て今回の改定では、脆弱性の開示やサイバーインシデント対応などの活動について、一定の例外を設けるなどの変更が加えられました。このルールは、2021 年 10 月 20 日の発表から 90 日後に発効します。

今回のルール制定は正しい動きであると言えます。米国外でサービスの販売や研究の共有を行おうとする組織や企業に、より明確な境界線を提供するものとなるためです。セキュリティ業界は急速に進化しています。企業や個人は、国内と国外でセキュリティに関する法律が異なる領域で活動することが多くなっています。研究者が陥るこのグレーゾーンの一例として、外国の民間攻撃型セキュリティ企業で働くことが挙げられます。Kim Zetter 氏のブログ Zero Day に、アラブ首長国連邦（UAE）の民間企業「DarkMatter」に就職した元 NSA 職員へのインタビューが掲載されています。この会社の業務は、UAE の治安機関に代わって外国の国家に対して攻撃的な監視活動を行うことでした。これらの行為から、最終的に米国司法省は、元米国情報機関スタッフ数名を複数の法律違反で有罪としました。一方、ポッドキャスト Risky Biz に出演した Mark Dowd 氏のインタビューでは、合法的なゼロデイ業界と、機密情報ネットワーク「ファイブ・アイズ」諸国への販売との関係について語っています。