デジタル・フォレンジックの基礎と実践

佐々木良一先生より、「デジタル・フォレンジックの基礎と実践」の献本を受けました。ありがとうございます。

情報処理技術者向けに記載された本ということですが、企業の法務関係の方なども、技術的な背景について知りたいという時に、参考になるのではないかと思われます。

内容としては、入門(1章)、ハードディスクの構造とファイルシステム(2章)、OS入門(3章)、データの収集(4章)、データの復元(5章)、データの分析(6章)、スマートフォンなどのフォレンジック(7章)、ネットワークフォレンジック(8章)、応用(9章)、法廷対応(10章)歴史と今後の展開(11章)になります。

私達の関与しました「デジタル証拠の法律実務Q&A」が、法律家からのデジタル・フォレンジックスに対する手引き書であるのに比較して、技術者からの手引き書ということができるかと思います。その意味で、技術者に対する入門書ということができるかと思います。技術に関する面については、分かりやすく、基礎から、現代的な問題までふれています。その意味で、広く推奨することができる本になるかと思います。

技術的には、携帯端末のフォレンジックスについてきちんとふれられているなど、現代社会におけるフォレンジックスの教科書たりうる書籍と考えられます。ネットワーク・フォレンジックスについてもふれられています。

一方、技術的な面からみるとしても、11章の歴史のところは、あまりにも簡潔すぎて、読者の問題意識に答えるとは思えないのは残念です。また、いろいろなガイドラインの動向などについてふれられていないのは、残念です。

法的な見地からみると、現代社会におけるフォレンジックスの解説という観点からみるときに、いわゆる、法曹業界の密教とでもいうべき要件事実論に拘泥しすぎており、その部分は、あまりにも異質であり、書籍としての一体感を損なっているということがいえるかと思います。抗弁・再抗弁などを論じるのであれば、むしろ、SJG事件を解説したほうがはるかに読者のためになるものといえるでしょう。暗号技術と法執行の相剋も重要な課題でしょう。個人的には、要件事実論は、司法試験合格者を一定のレベルに引き上げるための合目的的かつ限られたコミュニティの議論であると感じているので、そのような観点がまっとうなアカデミズムの分野の本にでてくることには、ネガティブな評価しかできないと思っています。厳しい表現ですが、「美は細部に宿る」ので、書籍としての一体感を、大人の事情よりも優先してもらいたいところだったといえます。

そのようなところがあるにせよ、技術者の立場からのデジタル・フォレンジックスに対する手引き書たる、という目的は高いレベルで到達されているものといえるかと思います。この分野での必読の書になるかと思います。

高橋郁夫

 

カテゴリー: 未分類 | デジタル・フォレンジックの基礎と実践 はコメントを受け付けていません。

コンジョイント分析の特許

固定ページにコンジョイント分析の特許のページを追加しました。

電子商取引において、商品の各要素の価値を測定したいと思っている方に、かかる特許のライセンスを受けることを強くおすすめします。

自動車を選ぶときに、メタリック塗装だったら、いくらくらい値段を上げても買ってもらえるか、その色は、黒のメタリックだったら、白のメタリックよりいくらあげてもいいかとか、マーケティングの見地からは、考えるでしょう。それをリアルタイムでとりましょうという提案です。いかがでしょうか。

カテゴリー: 未分類 | コンジョイント分析の特許 はコメントを受け付けていません。

タリンマニュアル2.0 パネル

タリンマニュアル2.0の発表記念のパネルが、2月8日にワシントンアトランティックカウンシルで開催されています。非常に興味の深いパネルで、特に、会場との質疑応答は、最新の問題についての深い質疑応答ですので、サイバーセキュリティの法と政策を語る人については、分析必須の議論かと思います。

まずは、そのパネルですが、International Law and Cyber Operations – Launch of the Tallinn Manual 2.0といい、Youtubeでみることができます
(https://youtu.be/riP4kStBBJs)。

内容は、会場の質疑応答のみを要点のみ書き出すと
(0:55-)武力紛争の線引きの問題
(シュミット)国際連合憲章2条(4)違反を一般に考えます。破壊的なレベル以下は、どうか、という点については、グレイゾーンであることについて同意します。国家実行が明確ではないので、明らかな線を引くことはできません。武力紛争については、適用される法は明確です。紛争は、二つあり、国際紛争と内部紛争です。国際紛争は二つの国家における武力のやりとりです。内部紛争は、非国家組織においての武力のやりとりですが、非常に複雑な問題があります。
タリン1においては、武力紛争を超えたときを記載したので、不安定さが存在したので、むしろ、主権に関するルールを2016年に公表した。平時のときの問題を分析したのが、タリン2.0ということになります。

(1:06-)データを「対象」から排除することについて
(シュミット)データを対象から排除するという結論の意味は、武力紛争においては、民心対象に対しては攻撃ができないので、データの改竄は、禁止されないということになる。議論の末に、医療データ等の特別に保護されるべきデータは、別として、すべての民間データが保護されるべきということは言い過ぎであると判断した。ただし、ルール自体が変更されており、むしろ、主権原則の解釈に移行するという意見である。サイバー作戦に関しては、主権の原則となり、主権のレベルをあげると作戦をブロックすることになり、そのバランスの問題ということになる。

(1:13-)アクティブ正当防衛/非国家行為について
(シュミット)アクティブ正当防衛については、マニュアルは、ふれていない。武力紛争にたいしては、防衛行為ができることになる。それが一番高いレベルになる。自衛行為の法になる。
その次のレベルになると対抗措置の問題となる。これは、違法になるかもしれないが、他の国家を国際法に従わせるために用いられる場合には適法とされる行為をいう。ハックバックは、比例に従っているかぎり、国際的な違法行為/禁止されている干渉に該当しているとしても許容される。一番低いレベルは、報復(retorsion)の問題になる。外交的な非友好的な行為をとって制裁をかする行為をいう。アクティブ防衛の行為の許容性は、被害にむけられた行為の性格によるということができる。

(1:24-)DNCについては、
(シュミット)国際法のグレイゾーンとして興味深いエリアだといえます。というのは、シュミット先生の見解によると、「国際法における禁止されている干渉」の問題と考えられるからです。これは、国際法は、主権国家は、他の主権国家の「Domaine Reserve」といわれる部分に強制的な方法(coercive manner)で、干渉することは禁止されています。これに対して、エスピオナージは、国際法の違反には該当しないとされます。マニュアルでは、この点を描こうとしています。ここで、「強制的」(coercion)とは何かという問題になります。これについては二つの見解があります。一つはLiis先生の見解で、今一つは、シュミット先生の見解です。他国の民主国家に対する情報提供はすべて適法であるという考え方も存在し得ますが、シュミット先生の見解としては、この点は、ラインを超える場合のみが、この場合に該当するという見解です。超える場合としては、「過程を操作してしまう場合」については、国際法の違反と考えることができるという立場です。意図的にファジーな状態にしているので、法的には、「優秀な」法律家といえるでしょう。

(1:32-)新しい技術に対する対応をどう考えるのでしょうかという質問。
(シュミット)国際法は、すこし曖昧ですが、将来にわけて生き残るように設計されています。ロボットやAIにたいしても大丈夫です。国際法のコミュニティは、対応しています。結構、新しいことを予測することが、よくできているということです。結局、「スタッフ」の問題だと思うのです。主権の問題は、スタッフにたいして適用されるのです。武力の行使についても苦労しましたが、適用しました。

(1:39-)ソニーハック等の場合について
(シュミット)これは、合衆国の主権の侵害だと認識しています。対抗措置をとることができます。1つは、堅固なサイバーインフラに対して、これに侵入することも可能でしょう。また、政府の機能を破壊することもできるでしょう。3つめは、北朝鮮の船に対して、ブロックすることも可能です。

(1:42-)ある国の指令がなされて、他の国から有害な作戦がなされた場合について
(シュミット)デューデリジェンスの義務に違反する場合には、その国に対して、国際法に従わせる対抗措置をとることができることになります。

(146-)国家が、結論に対して納得しない場合についてどう考えるのか
(シュミット)デューデリジェンスの考え方が適用されます。この場合、アクションをとることができます。今一つは、対抗措置をあげることができます。対抗措置は、国家に対してなされます。主権の問題が発生しています。行為者特定の問題については、証拠の問題がでます。証拠をしめすこともできますししめさないこともできます。国際法では、審判については、その審判廷における独自のルールが決定しますし、審判以外では、一般の国家が同様の行為をとるのかというのが一つの判断です。対抗措置で、事実に反する行為者特定を行った場合においては、それ自体が、国際的違法行為としての判断を受けることになります。その違法性が排除されるということはないです。

カテゴリー: 未分類 | タリンマニュアル2.0 パネル はコメントを受け付けていません。

デジタル証拠実務のための技術と法

ビジネス法務(中央経済社)の「デジタル証拠実務のための技術と法」の抜き刷りです(2016年8月から11月号)。デジタル証拠とビジネス法務の関係について、簡潔かつ実務的な観点からまとめたつもりです。

技術的な面からは、コンシリオさんにご協力いただいています。
不正調査、独禁法調査対応、情報漏えい対応、訴訟対応などの観点から、ドキュメントレビューは、必須ですので、それに関する知識の総まとめにおすすめします。

あと、レビュー関係のお仕事に携わっている方には、あった機会にお配りします。レビューチームもあります。専門家の証拠の見方から、サンプリングの技術を利用するとか、レビュープロトコルとかを作るとかもしますので、お仕事お待ちしています。

カテゴリー: eディスカバリ | デジタル証拠実務のための技術と法 はコメントを受け付けていません。

企業のためのサイバーセキュリティの法律実務

大井哲也先生から「企業のためのサイバーセキュリティの法律実務」の献呈を受けました。年末には、受けていたのですが、レビューが遅れてすみません。やっと読めます。

TMI総合法律事務所とPwCコンサルティング合同会社との編による書物です。

1章は、「ITと法律の融合」という観点から、日本における政策と戦略の概観をしています。また、国際的な情報セキュリティ戦略についての記述をもなされています。

2章は、「情報流出とインシデント対応」の章です。もっとも、前半は、種々のセキュリティ侵害事例が網羅されています。その後、後半で、情報流出事件の危機対応の記載がなされています。コンピュータ・フォレンジックスに関しての記述にも重点がおかれています。

3章は、「情報漏えい関与者の法的責任」です。攻撃者への責任追及、内部流出の責任追及、SNS上の不適切書込者への責任追及にわけて検討されています。

4章は、「再発防止策」です。情報セキュリティ体制構築の重要性、内部統制、運用面のセキュリティ対策、クラウドの利用と情報セキュリティ、認証において分析がなされています。この章では、技術や体制のコンサルティングという観点からの記述がなされています。

5章は、「インターネット上の表現行為・コンテンツに対する規制と実務対応」です。不適切表現への法的対応として名誉棄損対応、SEO逆SEOに対する対応、口コミサイト上の表現行為に対する法的対応など、これらの論点に対する法的な問題点が記載されています。

6章は、「ビッグデータ」を活用した新サービスの展開と実務対応です。ビッグデータ化の進展、個人データの種類、企業における個人データ活用の目的、物と物との通信、物と人との通信によって生成されるデータ、オープンガバメントなどの論点が、技術的・コンサルティングの観点から分析されています。その後、法的留意点として、個人情報保護法の改正についての詳細な検討がなされています。また、その後、IoTの考察については、技術的・コンサルティングの観点への分析となります。

7章は、「ビジネスのグローバルかに伴うITの諸問題と実務対応」です。日本企業の実態、国外または域外移転規制、具体的な法的な問題についての検討がなされています。最後の部分は、法的な分析が強いところです。

「企業のためのサイバーセキュリティの法律実務」というと、私としては、いろいろと研究を進めているところもあって、通常の読者の観点からはどう評価されるのだろうという点については、なかなかわからないところがあります。

この本については、法と政策・具体的な問題、技術的なトレンド、法解釈の問題などについて、非常に広い観点から、また、最新の情報が満遍なくふれられているということがいえるかと思います。その意味で、「サイバーセキュリティの法律実務」について、この分野に興味のある企業の人が、まず最初に読むべき本として、おすすめできるのではないかと思います。

自分としては、このような書籍の企画とかも考えるので、作るほうの身になってしまうのですが、「企業のためのサイバーセキュリティの法律実務」というタイトルで、企業の担当者にどのように情報を届けたらいいのだろうか、というのは、本当に難問なのだろうなと思います。

情報流出対応、コンピュータ・フォレンジックス、名誉棄損対応、EUとのデータ・トランスファ問題、匿名加工情報の問題などは、企業の担当者のための必須知識でしょう。それを、このような形でまとめたというのは、重要なことかと思います。

PwCのコンサルティングの人々と共同で本を作成するというのは、一つのチャレンジということだったかと思います。その一方で、焦点が、分散してしまうというのもリスクだったかと思います。そのリスクをおさえつつ、形にしたといえると思います。

自分だったら、そのようなチャレンジをうまくこなせるのか、その場合に、どのように記述をコントロールするかと考えたりしました。一つのアイディアとして、情報ガバナンスという観点から、論点を位置づけるという方法もあるかと思いますし、自分だと、セキュリティという観点よりも、そっちのアプローチでいったでしょう。ただし、言葉的には、セキュリティのほうが受けるのかもしれませんが。

「サイバーセキュリティの法律」という観点からみるときには、国際法的な視点や、攻撃者の属性(アトリビューション)による国家との関係がはいってくるのですが、企業担当者の人のための本という性格から、省略されています。私が書く場合には、これがないと、現代社会においてのサイバーセキュリティは語れないとは思うのですが、それは、編集の過程での判断なのかもしれません。

いい加減に、単著で、「ネットワークセキュリティの法律」あたりを書かないとはいけないとは思っているのですが、なかなかできません。決断しなきゃとは思っているんですけどね。

 

 

カテゴリー: リスク, 情報セキュリティ | 企業のためのサイバーセキュリティの法律実務 はコメントを受け付けていません。

情報法のリーガルマインド

林紘一郎教授より「情報法のリーガル・マインド」の献呈を受けました。ありがとうございます。

すべての論述を精査したわけではありませんが、興味深い論点、記述をたくさん見つけることができるかと思います。

フェア・ユース論(P65-)

Confidentiality論(p93-)

個人データ保護とプライバシ保護の峻別(p107-)

表示と、その責任(p147-)

電磁的証拠(p279-)

などは、私の観点からも興味深いテーマだと思います。

Confidentiality論(p93-)については、はるか25年前に、私も「英国における民事訴訟法上のコンフィデンス保護手続 」とかを書いていたりします。

個人データ保護とプライバシ保護の峻別については、私と吉田先生の論文を引用されていたりします。

ただ、これらの論点が、「リーガル・マインド」という観点から、分析されているのかというのは、今、一つよく分かりませんでした。また、「法と経済学」の分析という観点を唱えている林先生の観点からは、むしろ、高崎さんの論文のところでふれたように「プライバシ」の認知のアプローチについて深めた方がはるかに現代社会においては、有意義なように思えます。

ただし、これらは今後の研究者等の方々への宿題となっているのかもしれません。現代社会との関連から、ネットワーク化の進む社会と法律のギャップを埋める作業に柔軟に取り込むべきである、それには、従来の各制定法ごとの枠組みを飛び出てみようというのであれば、それが現代社会でのリーガルマインドそのものなのかもしれません。

 

カテゴリー: 未分類 | 情報法のリーガルマインド はコメントを受け付けていません。

パーソナライズド・サービスに対する消費者選好に関する研究

プライバシーの実証分析に関して、わが国で、きわめて先端的な分析をされている高崎さんから、新しい論文のご紹介を受けました。
パーソナライズド・サービスに対する消費者選好に関する研究-プライバシー懸念の多様性に着目した実証分析」です。

米国における調査と比較したときにて、わが国では、全くといっていいほど注目されていない(無視されているといっていいほどの)「プライバシの実証的分析」という分野ですが、この分野に関するきわめて注目すべき論考です。

特徴としては、

(1)手法として、アンケート設問方式を採用していること、具体的なサービスの利用に関するおすすめにどのような要因が関連しているかを調査していること、いわゆるSEM(Structural Equation Modeling 構造方程式モデリング-共分散構造分析)によること

(2)結論として、

ア)過去の経験やリテラシー、利用者の個人属性が、プ ライバシー懸念3要因(潜在的不安、情報開示抵抗感、二次利用侵害懸念)に影響を及ぼしている。

イ)利用者のプライバシー懸念が利用者のサービス利 用意向に影響を与えている。その際、サービス利用 意向への影響度合いは利用するサービスの種別ご とに異なる。

という仮説が検証されています。

「プライバシーポ リシーの認知度は懸念の強さに影響を与えないこと」という興味深い説が、検証されているのも注目です。では、今の法規制はなんなの(ファンタジーだよね-「本研究はプライバシ ーポリシーが逆作用的に機能する場合」もあることを明らかにしています。EUは、プライバシ保護が、EC利用を推進させるとかいっているけど、証拠は反対だよね)というつっこみもできたりします。

(3)感想として

非常に興味深い論文です。これだけ刺激を与えてくれる論文はなかなかないのではないでしょうか。わが国でも、プライバシーの実証研究が盛んになるといいと思います。

ただし、自分としては、いわゆる質問紙法は、プライバシの研究に関して、限界が露呈するという立場です。高崎論文でも「プライバシ ーを巡る消費者選好は、サービス提供されているコン テキスト(場所、時間、利用シーン、制度環境等々) に大きく依存」といってますが、この利用された質問自体が、プライバシー懸念のサービスの受容に与える結論を先取りして、実際の行動/心理と離れる可能性があるのではないかと批判される可能性があるかと思います。

なので、さらに、コンジョイント法などで新たな枠組みを明らかにする余地が大きく残されているといえるかと思います。私も頑張りたいです。

実験手法に関していうと、むしろ、質問紙法としては、各サービスのおすすめ度を個人的には、被説明変数として、TAM的なモデルを作って、それにプライバシー懸念の与える影響を見ていくほうがしっくり来たりします。IPAでやった 「eID に対するセキュリティとプライバシ に関するリスク認知と受容の調査報告」の 方法になりますが。

(4)ちなみに

ちっと検索したら、 「パーソナルデータ利活用の個人の諾否に影響を与える要因に関する分析」は、プライバシーの分析にコンジョイントを利用する意向を表明していますし、私と岡田先生の論文とかを引用してくれたりします。興味深いです。実際の実験には、いたっていないようですが、成り行きが大注目です(ただし、このような実験の重要性は、なかなか理解されないのが悲しいですが)。

カテゴリー: プライバシー, 電子商取引 | パーソナライズド・サービスに対する消費者選好に関する研究 はコメントを受け付けていません。

タリンマニュアル2.0

タリンマニュアル 2.0が、発売になりました。

CCDCoEのプレスリリースは、こちらです。

このリリースでもわかるように、「国家が日常に直面する武力行使・武力紛争の閾値に値しないより一般のサイバーインシデントに対する法的分析を追加している(Tallinn Manual 2.0 adds a legal analysis of the more common cyber incidents that states encounter on a day-to-day basis and that fall below the thresholds of the use of force or armed conflict)」ということになります。

法的には、「武力行使・武力紛争の閾値」は、シュミットアナリシスによって一定のレベルを超えない場合に、主権とデューデリジェンスの問題が起きてくるので、その点についての解釈が追加されていると思われます。この点については、情報ネットワーク法学会にだいぶまえに原稿を送っているのですが、いつ出版されるのか、よくわかりません。

また、シュミット先生ほかのパネルが、2月8日 1530からライブウエブキャストもなされるみたいです。(日本時間 9日 午前5時30分)
早起きしてみましょう。

アマゾンジャパンだとペーパーバック版は、品切れです。キンドルにするか、どうしようかな。

でもって、上のwebの予告編をみると、イルベス大統領は、明日は、ワシントンでライブ講演に出るのかもです!!(The Seventh Annual Christopher J. Makins Lecture featuring Toomas Hendrik Ilves) 日本から直行か。

高橋郁夫

カテゴリー: 未分類 | タリンマニュアル2.0 はコメントを受け付けていません。

なぜ、経営者にとってサイバーセキュリティのマネジメントは難しいのか

まるちゃんこと丸山(DT-ARLCS)社長の「なぜ、経営者にとってサイバーセキュリティのマネジメントは難しいのか」というレベルの高い、かつ、わかりやすい解説がでています。

(1)リスク(狭義)とオポチュニティとのバランスから解きあかしている点
(2)リスクマネジメントの全体像をあきらかにしている点
(3)プロセスの構築を説いている点
(4)セキュリティマネジメントの困難性を説いている点
で、きわめてポイントをついており、非常によい論考です。

私だと(4)で、心理的な認知の困難さをさらに追加するかと思いますが、それは、個性というところかと思います。

私のこの点についての考察は、ビジネス法務(2016年8月号)で考察しています。抜き刷りできてますので、いろいろいなところで配る予定です。

カテゴリー: リスク, 情報セキュリティ | なぜ、経営者にとってサイバーセキュリティのマネジメントは難しいのか はコメントを受け付けていません。

リーガルマルウエアの法律問題(続)

「リーガルマルウエアの法律問題」という論考を公にしたことがありました

通常、英国の議論を参照にして、日本への示唆を求めるというのが、私の検討のスタイルなのですが、この論考ですと、アメリカに議論を求めました。ただし、よく考えてみると、このようなスパイな手法は、英国に議論を求めるとよかったなあと思っています。

インテリジェンス機関によるハッキング、フィッシング等を含むequipment interference (機器からの情報取得)については、英国において、実務規範が公表されています。

適用に関しては、英国域内に関する機器か、それ以外かで、適用規範も異なるみたいです。あと、RIPA2000については、2016年末にIPA2016となり、ちょっと、というか、かなり変更があったようですし、細かく適用関係をフォローするのもつらいところです。

時間があったら、(というか、予算があったらに近いですが)きちんと、全体像を調査して、「リーガルマルウエアの法律問題」(続)を執筆したいところです。(CSIサイバーからの調査手法ネタを仕込みたいですし)

 

カテゴリー: 情報セキュリティ | リーガルマルウエアの法律問題(続) はコメントを受け付けていません。