アクティブサイバー防衛確実法

アクティブサイバー防衛については、何回か、ブログでふれているのですが、米国では、H.R.4036 – Active Cyber Defense Certainty Act(アクティブサイバー防衛確実法)が、下院に提案されています。

提案しているは、ジョージア州選出のTom Graves議員です。

条文は、こちらからどうぞ

内容的なものですが
1条 タイトル
2条 前提事実
3条 行為者特定技術利用例外
4条 アクティブサイバー防衛手段を採用した特定コンピータ犯罪の起訴の免除
5条 アクティブサイバー防衛手段利用の告知
6条 自主的なアクティブサイバー防衛手段の排他的レビュー
7条 サイバー詐欺・犯罪抑止のための連邦政府進捗の年次報告
8条 司法省サイバー犯罪訴追マニュアルのアップデートの要求
9条 期限条項
となっています。

注目すべき事項としては、なんといっても、4条において、「アクティブサイバー防衛手段(active cyber defense measure)」の定義がなされていることです。

条項によると、「アクティブサイバー防衛手段(active cyber defense measure)」とは、
「(Ⅰ)防御者によって、または防御者の指示で行われ、
かつ
(II)(aa)犯罪行為の行為者を特定して法執行機関/サイバーセキュリティを担当する米国政府機関などと情報を共有し
(bb)防御側のネットワークに対する不正な活動を中断する
または
(cc)攻撃者の行動を監視し、今後の侵入防御やサイバー防衛技術の開発を支援する
目的をもって、
攻撃者のコンピュータに無権限でアクセスして防御側のネットワークにアクセスし、情報を収集する行為
」をいう。
ただし、
(I)意図的に、他の人または組織のコンピュータに記録されている被害者に属していない操作不能な情報を破棄またはレンダリングする。
(II)(c)(4)項に記載されている身体的な傷害または金銭的損失を一顧だにせずに惹起する
(III)公衆衛生への脅威を生み出す
(IV)執拗なサイバー侵入(APT)の行為者特定のために仲介コンピュータ上で偵察を行うために必要な活動レベルを超えている
(V)意図的に仲介者のコンピュータに対する侵入的行為/遠隔アクセスを惹起する
(VI)意図的に、個人または団体のインターネット接続を断続的に中断し、結果として、(c)(4)に記載されている損害を惹起する
(Ⅶ)国家安全保障の情報のアクセスに関し(a)(i)に/政府機関のコンピュータに関して(a)(3)に/司法、国防、または国家安全保障の運営を促進するために政府機関によって、または政府機関のために使用されるコンピュータシステムに関して(c)(4)(a)(ii) V)に
記載されているコンピュータに影響を与える
場合は、ふくまれない」
と定義されています。

このようなアクティブサイバー防衛手段を採用した場合には、それらの行為については、刑事罰を免れるというのが、この法の提案趣旨ということになります。

また、3条においては、特定のための技術の利用(attributional technology)について、無権限アクセスに関する合衆国法典の規定を免れることになっています。
条文案としては、

1030条に、(K)項として
「この条項は、防御者の行為者特定技術を利用するのに適用されない。行為者特定技術とは、防御者が、侵入に際して、行為者を特定するために、プログラム、コード、指令を利用して、ビーコン、場所情報または、特定のためのデータを送り返すものをいう。」
と定義されています

まだ、具体的な設立の見通し等は、明らかになっていないようですが、議論のきっかけとしての意義は大きいものとおもわれます。

攻撃者の技術を用いて防御を行うというのは、大きな流れではありますね。
(セキュリティ業界では、攻撃側がレッドチーム、防御側がブルーチームになるわけですが、ブルーもレッドの力を学ぶとなると、スターワォーズ・エピソード8の世界観になりそうです)

カテゴリー: アクティブ防衛, 情報セキュリティ | アクティブサイバー防衛確実法 はコメントを受け付けていません。

宇宙×AIによる4次元サイバーシティの構築・活用

「宇宙×( バイ) ICTに関する懇談会 報告書 ~ ICTが巻き起こす宇宙産業ビッグバン ~」が公表されています。

内容は、

1 宇宙新ビジネス時代の到来

2 世界規模で展開する宇宙分野のICT活用競争

3 新たな価値を創造する宇宙× ICT の重点4分野 とこれらを支える基盤技術 ~重点4分野 のビジネス の実現イメージと課題 ~

ここで、重点4分野というのは、
「宇宙 データ利活用ビジネス 」「ブロードバンド衛星通信ビジネス」、 「ワイヤレス宇宙資源探査ビジネス」 及び 「宇宙 環境情報ビジネス」の4分野
だそうです。
興味深いのは、セキュリティ部門についてのコメントになるかとおもいます。同報告書の45ページ以降で、標的サーバのデータを衛星回線経由で抜き取ったりとか、リモートセンシング衛星の制御を乗っ取ったり、衛星軌道を変更させたりが報告されています。
(ちなみにこの前のパトリックのCODEBLUEの講演だと、原子時計の一斉の故障?というのもありますね)

とかいっていたりすると、次は、光時計なんですね(55ページ)。

あとは、
4 近未来社会
5 綜合推進戦略
6 着実な推進に向けて
となります。

ここで、面白いのが、「4次元サイバーシティ」ですね。
物理的に 3次元空間を把握するものを活用し、AI 解析で時間的変化の自動抽出を行うことにより、空間 の3次元に時間差分を加味した “4次元サイバーシティ ”を構築するというプロジェクトですね。

時間軸が加わるので、4次元というのは、まさにそのとおりです。
もっとも、そこで唱えられている具体的なアプリケーションは、桜開花予測、おいしい空気とかも入ってくるので、わざわざ4次元といわなくてもという感じにはなります。この概念図を張っておきましょう(70ページより)。

本当は、アウタースペースでなくても、空飛ぶ車に時間差分を合体させるとかができるので、そっちのほうが本当にぶっ飛んでいて面白そうという気がします。

なには、ともあれ、Win95から、20数年 すこし倦怠義務だった、現代社会ですが、AIと宇宙技術で、四次元へと進化するのかもしれません。おもしろそうなアプローチです。

カテゴリー: 宇宙法 | 宇宙×AIによる4次元サイバーシティの構築・活用 はコメントを受け付けていません。

サイバーセキュリティ経営ガイドライン v20をどう考えるか

サイバーセキュリティ経営ガイドライン v2.0が出ています。

構成は、3原則(リスク認識・リーダーシップの原則、サプライチェーン原則、開示原則)と10項目について、それぞれ、説明しているというものです。あと、チェックシートがついていて、参考情報付きですね。

原則と個別のブレークダウンというのは、きわめて適切な手法かとおもいます。

あと、付録Cで、インシデント発生時に組織内で整理しておくべき事項も公開されています。このテーマの選択も非常にいいですね。

とGood Newsは、ここまでで、あとは、感想。

原則ってもう少しわかりやすくしないとね

個人的な趣味でいえば、原則については、覚えやすい名称をつけるべきだとおもいます。(っていうか、普通、原則には、名前ついているでしょ)

リスク認識は、原則ではないとおもいますね。むしろ、経営というミッションを有するものにとっての当然の手法だとおもいます。(オポチュニティとリスクを考えて、リスクについては、一定のコントロール・受忍・転嫁というお約束です)

そのような基本を行うために、リーダーシップ原則(個人的には、あと、チームワークなんだけどね)、透明性原則ですかね。私だったら、備えあれば憂いなしの原則をいれるかな。

サプライチェーンは、適用範囲なので、原則というのは、ちょっと微妙ですね。

ここら辺の言葉の感覚は、人それぞれかもしれないけど、私の美学とは違いますね。

IPAの10年前のアウトプットがあります

付録Cなのですが、私としては、講演の際には、インシデント発生の際に参考にするものとしては、

情報処理推進機構「情報漏えいインシデント対応方策に関する調査報告書」( 委託先カーネギーメロン大学日本校)
私が調査委員会 座長をしました(平成19年8月発表)

を常に推薦させてもらっています。

項目Cが、この業績を超えることを目指してもらえればよかったと思いますね。

そもそもの話

バージョン1のときから思っていたのですが根本的なものとして

情報セキュリティ経営

という言葉は成り立ちうるのか、というのが常に念頭にあります。

会社自体が季節労働者

であるITリサーチ・アート(無事、祝10周年)の経営者として考えるときも、まずは、社会と技術のギャップというのをうまくつかんで、そこに分析のメスをいれることで社会に貢献し、しかるべき対価をいただく

という大原則があって、そこにおいて、この分野に投資すれば、とか、タリンの会議にいってネタを仕入れて、ということをしているので、その中で、適切なセキュリティリスクを認識し、評価するということはあったとしても、

セキュリティ自体を目標として認識するというのは、ありえないはずです

リスクの適切な評価とコントロールの設定・受忍等の対応策の決定が経営なのでしょう。

結局、原則と乖離した

掛け声

としての意味はあるとしても、経営者にとっては、

経営がわかっていないんじゃないの

とみられそうです。

では、適切な情報セキュリティに対する評価を行ってもらうためにどうするか、となってくると、

インセンティブ設計

のほうがはるかに重要になるよね、ということかもしれません。

 

 

 

カテゴリー: リスク, 情報セキュリティ | サイバーセキュリティ経営ガイドライン v20をどう考えるか はコメントを受け付けていません。

10th Anniversary of IT Research Art

当社 ITリサーチ・アートは、平成19年11月の設立以来、10年をすぎることができました。

脆弱性調査のためのリバースエンジニアリングの合法性の議論から始まり、プライバシーのコンジョイント調査、セキュリティインシデントと法の調査、通信の秘密、営業秘密、忘れられる権利、IoTのセキュリティと安全などについての国際調査など、本当にたくさんの調査に従事できたことを本当にうれしく、また、そのいずれのテーマも、わが国にとって先進的でチャレンジであったことを、我ながら、誇りにおもいます。

(ということで、調査実績をアップデートしました)

本年も

GDPR

といった最先端の国際調査を手がけることができます。

設立のときは、こんなに続けて、先進的な調査、それも、入札をへての調査(実感こもっているでしょ)ができるとは思ってもみませんでした。

今後は、さらに、先端的な分野(宇宙までいくか)や、実際のテクノロジーそのものへの挑戦をしたいとおもいます。

みなさま、今後ともご指導、ご鞭撻よろしくお願いします(あと、若い先生方は、一緒に遊んでね)。

平成29年11月 高橋郁夫

 

カテゴリー: AI, コンジョイント分析, ソフトウエア, 情報セキュリティ, 武力紛争法, 電子商取引 | 10th Anniversary of IT Research Art はコメントを受け付けていません。

「サイバー攻撃の犯人は誰?知る必要はあるのか」を読んで 

「サイバー攻撃の犯人は誰?知る必要はあるのか」という記事が出ています。「セキュリティ業界では、常識だと思われているが実はそうではない「セキュリティの非常識」がたくさんある。」として、有識者が語るという企画です。

有識者の意見としては、かなり限定つきの上で、「アトリビューションが重要でない場合もある」という意見のようです。たとえば、根岸さんは、「一方、一般企業がサイバー攻撃を受けたときは、その攻撃者が国家かそうでないかなどは関係なく、対策をきちんとやることが重要になります。誰が攻撃したかは二の次です。」ということで、アトリビューションがそれほど重要ではない場合もあるというスタンスのようです。

でもって、タイトルが、「攻撃者が誰なのかは重要か」なので、重要ではないという論に思えるけど、場合によるよねという話です。見事に、編集者の作戦に乗ってしまいました。

ただ、このような場合にアトリビューションがどのように意味を持っているのか、というのは、きちんと解説してほしいところです。その説明がないと、読者に有用な知識を授けることができないとおもいます。

有識者会議といっている以上、アトリビューションの意味について正確な知識を有していることをご紹介してもらってから、このような否定のディスカッションをすべきだとおもいます。それをしないと、判例・通説がある場合に、それをきちんと説明もできないのに、批判だけしている答案を読まされているような気がします。(要は、できの悪い答案)

まずは、

(1)攻撃者が、国家責任を発生させるものであるのかどうか

というのが、もし、Yesであれば、対応は、主として、国家間の問題となります。(主として国際法がでてくる)

この場合は、国家組織もしくは、そのエージェントなので、執拗な攻撃、もしくは、重要インフラに対する攻撃であるので、国家安全に関わってくるので、国としての情報共有・分析・対応が重要になってくるわけです。

民間だとしたら、

(2)デューデリジェンスによって国家の責任を問いうるものではないのか

というのが、もし、Yesであれば、対応については、国家間の問題に対する対応も問題となりえます。(国際法と国内法の交錯する部分)

というのが、現在の基本的な世界での考え方ということがいえるでしょう。

(1)でも(2)でも、被害を受ける民間企業の側では、基本同じではないか、というのは、原則としては、そのとおりでしょう。ただし、法的な分析の側面では異なってきており、「アトリビューション」から考えるというのは、ある意味、国際社会の常識となっているということは留意すべきでしょう。

この意味での常識についてのコメントがないので、記事は、悪意があるのではないか、とまで思えてしまいます。

常識であるといっているのには、具体例があります。

もっとも、代表的なものとしては、ソニーピクチャーズエンターテイメントにおける対抗措置をあげることができます。私のブログでもふれています。(オバマ大統領 対抗措置を明言)(Not act of war

また、オバマ・習近平対談の後、サイバー攻撃が如実に減少したという記事もあるでしょう。(「2015 年 11 月 30 日付のワシントンポスト紙は、「政府当局者の話として、司法省が中国軍の 5 人の将校を起訴したのを受けて、中国軍は米国の産業秘密のサイバー窃盗を縮小した。そして、突然の攻撃の縮小は、法的措置が一般に思われているより大きな影響があったことを示している。さらに、起訴を発表した時から、PLA は民間企業に
対するサイバー・エスピオナージに実質的には行わなかった。」という記述をする論考があります 「中国のサイバー能力の現状」DRC 研究委員  横山 恭三)

インターポールでも、国家関与になると、関与しなくなるというのは、非常に興味深いです。(「僕がインターポールで働く理由」~ サイバーセキュリティのプロフェッショナル 福森大喜さんにインタビュー
#インターポールの目的や原則を定めた「ICPO憲章」では「インターポールは政治的な争いや宗教的な争いには一切関知しない」とされています。なので、WannaCryでも何でもいいんですが、マルウェアが出てきてもどこかの国の政府が諜報活動として関与しているとなると、インターポールはいっさいタッチできなくなっちゃうんですね。

これらの実行を紹介しないで、「アトリビューションは、重要ではない」という印象を読者に与えるとしたら、虚構ニュースといわざるをえないとおもいます。

 

 

カテゴリー: サイバー規範, 情報セキュリティ | 「サイバー攻撃の犯人は誰?知る必要はあるのか」を読んで  はコメントを受け付けていません。

ロケット安全基準

人工衛星等の打上げ及び人工衛星の管理に関する法律(宇宙活動法)というのがあるわけですが、その法律に基づいて、技術基準を設けるべく、その概要等についての資料が公表されています。

内容としては、
①人工衛星の打上げについて、その都度許可
②許可処理申請の簡略化のため、ロケットの型式認定を創設
③許可処理申請の簡略化のため、ロケットの型式ごとに打上げ施設の適合認定を創設
④人工衛星の管理について、人工衛星ごとに許可
⑤我が国の人工衛星等の打上げ及び人工衛星の管理に関係する産業の技術力及び国際競争力の強化を図るよう適切な配慮の実施。

いわば、人工衛星って究極のIoTとして考えられるかとおもいます。

条文としては、「第十三条 内閣総理大臣は、申請により、人工衛星の打上げ用ロケットの設計について型式認定を行う。」というのが興味深いところです。

法55条は、(宇宙政策委員会の意見の聴取)になるわけですが、「 内閣総理大臣は、第四条第二項第二号、第六条第一号若しくは第二号又は第二十二条第二号若しくは第三号の内閣 府令を制定し、又は改廃しようとするときは、あらかじめ、宇宙政策委員会の意見を聴かなければならない。 」としています。

IoTの安全とセキュリティの交錯からいくと、宇宙ロケットのハッキングというのを考えたいところです。

着火装置等の安全要求、飛行安全管制の機能、飛行中断機能、ロケット投入段に係る軌道上デブリ発生の抑制等を含め、全7項目を規定するとのことです。

でもって、GPSを狂わせて、誘導をできなくするとかというのは、この技術基準で、どのように対応されていくのでしょうか。

CODEBLUEの基調講演で、Patrickさんが、宇宙でのサイバーセキュリティの問題を講演しました。

特に近頃の問題事例として

IRNSS 1A(原子時計の故障の記事は、こちら)

Galileo(原子時計の故障の記事は、こちら)

IRNSS 1H(記事は、こちら)

をあげていました。原子時計の重要性の動画もありますね。

そのような観点からも、この技術基準の議論をみてみたいなあと思っていたりします。

 

 

 

 

カテゴリー: 宇宙法 | ロケット安全基準 はコメントを受け付けていません。

お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について という会社のコメントについて

前のエントリでふれた事件について、逮捕された従業員の雇用主が、

「お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について」というコメントを出しています(平成29年11月日付け)。

会社において、会社の不正行為が疑われる場合、もしくは、従業員の不正行為が疑われる場合の対応については、いろいろな鉄則があります。

それこそ、Tycssのイベント(サイバー犯罪の傾向と対策・対応 )でも話してきましたし、詳しくは、情報漏えい発生時の対応ポイント集」や私が、調査委員長を務めました報告書「情報漏えいインシデント対応方策に関する調査」で詳しくふれているところです。

要は、「正確な事実」に基づいて「透明性原則をもとに、真摯に対応する」ということかとおもいます。事実に基づかない憶測は述べないということがここから導かれるわけです。

思い起こすと、大学の研究員の不正アクセス禁止法違反のケースで、大学の報道担当の人(記憶が正しければ、正式の人は都合がつかなくて代理で担当したはず)が、「不正アクセスには該当しないと考えています」とか答えて、その大学の刑法の先生は、誰だっけ?という事件がありました。事件の経緯は、こちらにまとめられています

京都大学のコメントとしては、「京大は『倫理上の問題はあるものの、目的は情報化社会の安全性に警鐘を鳴らすことだった』と記者会見で述べ警視庁は『「ネット犯罪の芽を摘み取る」狙いから逮捕に踏み切ったと報じられ・・』という」というのは、ここで確認できます。

あと、また違った角度からの記事として「セキュリティ啓 者が「テロリスト」と呼ばれた顛末」という記事(佐々木俊尚 インターネットマガジン)があります。これも、これで興味深いです。

この事件のこの会社のコメントについていうと、
このコメントを出した段階で、会社は、事実関係を確認しているのかどうか、社内サーバにおける保管とShareでの保管とではまったく話が別なのではないか、この会社は、レスポンスについてもアドバイスするのではないか、そうだとすると、情報の一元的管理等の観点から、力量が推し量られるのではないか
などの疑問がでてきてしまいます。

(なお、表現を正確にすると、「社内サーバにおける保管であって外部との共有が予定されていない保管とShareでの共有を前提とした保管とではまったく話が別なのではないか」という表現のほうがいいですね。ここは、修正します。会社のプレスは、前者の意味に読めたところです。11月4日 1551加筆 /さらに、このエントリは、プレスリリースの出し方の問題についてふれたもので、実体法的な問題は、前のエントリで論じているわけなので、そちらも読んでもらえるといいです。では、ファイル共有ソフト内のネットワークにおいてクライアント会社の秘密のファイルが流れていないか、というのをみていて、そこで、マルウエアも保管していたらどうか、という問題についても、そちらの問題ですね。11月5日 0904加筆)

上の京都大学の研究員の事件では、現実に有罪判決がなされているわけです(東京地裁 平成17年3月25日)。セキュリティの会社がレスポンスの原則からみて?のコメントをしたねということにならなければいいなあとおもいます。

カテゴリー: 情報セキュリティ | お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について という会社のコメントについて はコメントを受け付けていません。

セキュリティー会社員がファイル共有ソフト内にウイルス保管

「 セキュリティー会社員がファイル共有ソフト内にウイルス保管」 という記事がでています。

京都府警サイバー犯罪対策課は31日、不正指令電磁的記録保管容疑で、インターネットセキュリティー企業社員の男(43)を逮捕したということです。

具体的には、同社のパソコン内のファイル共有ソフト「Share(シェア)」に、ウイルスが含まれたファイルを、第三者がダウンロードできる状態で保管したというのが容疑ということになります。

まずは、不正指令電磁的記録保管容疑については、構成要件としては、刑法168条の3「正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。」ということになります。前条1項の目的というのは、「人の電子計算機における実行の用に供する目的」ということになります。

この不正指令電磁的記録の行使などについては、法務省において、濫用されることがあるのてはないかという議論に対して、「いわゆるコンピュータ・ウイルスに関する罪について」いうメモが公開されているのは、「北條先生の「サイバー対策 法見直し必要」の続き」でもふれたところです。バグを作ることは「認識」しているのだから、犯罪が成立するのではないかという(法律家からすると)誤解も生じうるので、それに対して、犯罪は成立しませんよということか明らかにされたものになります。

まずは、この目的ですが、自分が将来「人の電子計算機における実行の用に供する」という行為をなす、という認識を有することをいうことになります。ここで、この「認識」というのが、どの程度なのか、という解釈論が生じることは生じるのですが、普通には、そのような事実(他人の電子計算機で実行されるという事実)を認識しているかどうか(それでもかまわないという認容という人もいるでしょう)ということがメルクマールてす。

その意味では、上のような認識を有していれば、構成要件に該当することになります。(目的も主観的な構成要件となるかとおもいます。)

では、自分の業務に必要なので、他人が感染したとしても、Shareで実際にどのような情報が共有されているのかをみるためにネットワークに接続しているのであって、そのなかに、悪意あるマルウエアが含まれていて、そのネットワークに接続している人が、当然にそのまま感染してもいいと思って放っていたというのは、どうでしょうか。上の目的との関係でいえば、実行されるという認識は有しているので、その目的を否定することにはなりません。

Shareの実際に流通しているファイルをみるという「研究目的」があって、そのために実際に感染させたというのは、許容されるのか、という問題が発生します。

(前には、感染力的な表現をしていましたが、こっちのほうが現実的なので、そう直しました 11月5日 0911 )

実際には、そのような行為が、「正当行為」もくしは、(業務として行われて)「正当業務行為」として認められる(法的には、違法性阻却がなされる)ということは、私個人の意見としては、ありえないとおもいます。が、理論的にはありえないことはないです。

もっとも、実際の事件としては、そのような「業務であったのか」(要は、反復・継続 場合によって会社の業務の一環としてなされていたのか)などいう事実確認が必要になってくるかとおもいます。

でもって、もう一つは、そのような研究のために「許されると思っていた」というのは、どのような影響を与えるのでしょうか。このような認識は、感染すると問題が生じるマルウエアだとはおもわなかったという場合であれば、別ですが、単に、通常の場合には、違法かどうかの法的評価を誤ったにすぎないことになります。なので、この場合は、犯罪の成否に影響を与えるものではないです。

ということで、事実関係がわからない現時点においては、容易に判断がなされるものではないということだけがいえる問題になります。

ただ、そうであるにも関わらず、コメントを発してしまうというのは、それ自体で問題になるということですね。それは、次のエントリで。

カテゴリー: 情報セキュリティ | セキュリティー会社員がファイル共有ソフト内にウイルス保管 はコメントを受け付けていません。

サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携

10月24日付け日経新聞に「サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携」という記事がでています。

「総務省とNTTコミュニケーションズなど国内のインターネット接続業者は2018年度をめどに、サイバー攻撃を⼀⻫に遮断する仕組みを作る。不正アクセスの発信源となるサーバーを即座にネットから切り離す。」ということです。

この仕組みのために、「DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定。その情報を業者間で共有し、犯⼈のサーバーからの攻撃指令を⼀⻫に遮断する。国内の有⼒な接続業者が連携して実効性を⾼める。」というのが、その手法ということになります。

この記事にも書いてありますが、「電気通信事業法では通信の秘密の保護がうたわれており、攻撃を起こすサーバーの情報の業者間での共有は進んでいなかった。」のですが、ガイドラインを年明けにまとめて、電気通信事業法などの法改正も検討する、ということだそうです。

電気通信事業法の通信の秘密を犯す行為については、同法4条において(秘密の保護)のタイトルのもと

(秘密の保護)

第4条  電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2  電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

となっています。

DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定した場合に、このサーバーの情報は、上の「他人の秘密」ということになるわけですが、現在の解釈では、「電気通信事業に従事する者に関する第1項の適用関係を明らかにするとともに、電気通信事業に対する利用者の信頼保持の観点から、電気通信事業に従事する者に対し、第1項よりも広い範囲の守秘義務を職務上の義務として課したもの」という趣旨になります。どちらにしても、このサーバーの情報は、具体的な通信を識別しうる情報なので、通信の秘密とてし保護されるデータとして、この4条の保護のもとにあるということになります。(よく、通信の構成要素をなすデータといわれますが、多分、そういうことだとおもいます)

ところで、このような保護されるデータについては、「「積極的な取得の禁止・窃用の禁止・漏えいの禁止」を意味するものと考えられています。そして、実務的には、「窃用」が、単に「用いること」と同義であると解釈されています。これは、法的な解釈本では、「窃用」とは、自己または他人の利益のために用いることをいう、とされており、公共の利益のために利用することは含まれないと解釈される余地があるのですが、実務(というか、担当課的には)そのような余地を認めない、むしろ、そのような行為は正当業務行為の解釈で対応する、というようにされていました。

でもって、ちょっと時代を遡ってみる(このごろ、こればっかり)、2004年3月にコンピュータソフトウェア著作権協会(ACCS)にDos攻撃が仕掛けられたわけですが、これがわかるのに、プロバイダーは、通信を届けて、攻撃に加担しなければならないのですか、という問題が出てくるわけです。

正当業務行為でもって、問題が起きるごとに、プロバイダーで法的許容性について議論したり、場合によっては、担当課に相談したりするということでは、とてもじゃないけど、実務的には回らなくなります。そこで、事前に許容される行為が検討されるといいねという感じに思えます。ただ、そのときには、「そうはいっても、結局、憲法の「通信の秘密」が同じ内容だとして、鎮座しているからねえ」ということで、実務規範的なものを事前に鼎立するというのは、不可能な感じでした。

私としては、ちょうど、「通信の秘密」が世界でも特別の規定とかいう話をきいて、なんか変だよねということで、ちょっと調査をして「ネットワーク管理・調査等の活動と『通信の秘密』」(JAIPAのHP内に掲載)・「通信の秘密の数奇な運命(憲法)」 (情報ネットワーク法学会誌第5巻(2006 年 5 月))という論考にまとめさせていただきました。

まさにそのような議論を背景に、ISP同士で、攻撃者の情報を共有することはどうなのか、というのは、2005年のInternet weekで議論されています。

このような動きのもと、プロバイダのホワイトリストを作りましょうという動きになり、「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン」(初版 2007 年 5 月 30 日(非公開)とつながったと理解しています。

そのような議論の提起から、既に10年以上が経過しています。いまでは、いわゆる大量通信等ガイドラインも「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」と名前を変えており、「通信の秘密」の解釈についても、かなりの程度、柔軟に対応されるようになってきました。

DDos攻撃に際して、プロバイダーがどのように対処をなすことができるかについては、サイバー攻撃等への対処ガイドラインに記載がなされています。

(1) サイバー攻撃等に係る通信の遮断については、被害者から申告があった場合、事業者設備に支障が生じる場合、送信元設備の所有者の意思と関係なく送信されるサイバー攻撃等の場合に遮断が認められています。

(2) 送信元詐称通信の遮断、(2) 送信元詐称通信の遮断、(4) マルウェア等トラヒックの増大の原因となる通信の遮断が、正当視業務行為として認められるとされており、また、(7) サイバー攻撃等への共同対処においても「情報提供を受けた電気通信事業者において当該特性に合致する通信を遮断してよいとされています。

今回の記事は、仕組みとしては、このガイドラインで許容されている枠組みをむしろ、公認し、積極的に推進しようという位置づけであるように思えます。そうだとすると、このようなセキュリティのための活動にも、予算とかがきちんと付くのでしょうか。非常に賢明な判断ということになるかもしれません。

あと、「電気通信事業法などの法改正も検討する」ということですと、どのような改正になるのでしょうか。興味しんしんというところでしょうか。私が「いいだしっぺ」であることは、みなさん、認めてくれるでしょうから、フォースの力で論文を書いたということを認めてもらえるかもしれません。

カテゴリー: 未分類 | サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携 はコメントを受け付けていません。

「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキュリティサイト

「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキュリティサイトにおいて、「脆弱性」を「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います」と定義がなされています。

IPA「脆弱性届出制度に関する説明会」について というエントリで、脆弱性をめぐるこの15年間の変遷について触れました。

ある意味で、このキャンペーンは、、「脆弱性」という言葉をめぐって、正確に理解してもらうための動きだったような気がします。

最初は、
「きじゃくせい」じゃなくて、「ぜいじゃくせい」とよびます、
から始まって
脆弱性と欠陥は、区別しましょう
あたりは、すごく長期のキャンペーンをしました。

このキャンペーンにあたって、「脆弱性と瑕疵の間に」という論考も記しました。

瑕疵といえば、法的な文脈では、「一般的には備わっているにもかかわらず本来あるべき機能・品質・性能・状態が備わっていないこと」をいうとされており、法的なセンスのある人は、瑕疵修補請求権を思い浮かべるので、それ自体、何らかの行為を求めることができるのではないか、ということになります。

また、「欠陥」といえば、法的には、「当該製造物の特性、その通常予見される使用形態、その製造業者等が当該製造物を引き渡した時期その他の当該製造物に係る事情を考慮して、当該製造物が通常有すべき安全性を欠いていること」(製造物責任法 2条2項)となります。

ともに、「あるべき」安全性(もしくは機能・品質等)を欠いている状態を指し示す用語になります。

そうだとすると、研究者等が、脆弱性を発見して、開発者に伝えても、何か、製品に「あるべきものが欠けている」、いわば、クレームをつけているのですか、という対応になってしまうことになりやすいわけです。なので、脆弱性という用語と欠陥・瑕疵という用語は、きちんと峻別して、「脆弱性」という用語を用いるばあいには、これは、別に開発者が「悪いわけではない」のですよ、というメッセージを伝えるべきであろうと考えます。そして、そのような考えに基づいて用語を選んできました。

経済産業省の「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(経済産業省告示第十九号)をみていただければ、
「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者 がアクセスできる状態を含む。)をいう。」
とされており(これは、当初の平成16年告示も同様)、早期警戒パートナーシップの取り組みにおいて、「脆弱性」の定義から、この点について留意がなされていることをわかっていただけるかとおもいます。

ある意味で、現代社会において、脆弱性をいかに取り扱うのか、というのは、もっとも繊細な配慮が必要になる分野であるような気がします。そのために国民に呼びかけるサイトにおいて、このような基本的概念について、配慮にかける表現があるのは、きわめて残念なことといわざるをえないとおもいます。

カテゴリー: 情報セキュリティ, 脆弱性対応 | 「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキュリティサイト はコメントを受け付けていません。