「サイバー攻撃の犯人は誰?知る必要はあるのか」を読んで 

「サイバー攻撃の犯人は誰?知る必要はあるのか」という記事が出ています。「セキュリティ業界では、常識だと思われているが実はそうではない「セキュリティの非常識」がたくさんある。」として、有識者が語るという企画です。

有識者の意見としては、かなり限定つきの上で、「アトリビューションが重要でない場合もある」という意見のようです。たとえば、根岸さんは、「一方、一般企業がサイバー攻撃を受けたときは、その攻撃者が国家かそうでないかなどは関係なく、対策をきちんとやることが重要になります。誰が攻撃したかは二の次です。」ということで、アトリビューションがそれほど重要ではない場合もあるというスタンスのようです。

でもって、タイトルが、「攻撃者が誰なのかは重要か」なので、重要ではないという論に思えるけど、場合によるよねという話です。見事に、編集者の作戦に乗ってしまいました。

ただ、このような場合にアトリビューションがどのように意味を持っているのか、というのは、きちんと解説してほしいところです。その説明がないと、読者に有用な知識を授けることができないとおもいます。

有識者会議といっている以上、アトリビューションの意味について正確な知識を有していることをご紹介してもらってから、このような否定のディスカッションをすべきだとおもいます。それをしないと、判例・通説がある場合に、それをきちんと説明もできないのに、批判だけしている答案を読まされているような気がします。(要は、できの悪い答案)

まずは、

(1)攻撃者が、国家責任を発生させるものであるのかどうか

というのが、もし、Yesであれば、対応は、主として、国家間の問題となります。(主として国際法がでてくる)

この場合は、国家組織もしくは、そのエージェントなので、執拗な攻撃、もしくは、重要インフラに対する攻撃であるので、国家安全に関わってくるので、国としての情報共有・分析・対応が重要になってくるわけです。

民間だとしたら、

(2)デューデリジェンスによって国家の責任を問いうるものではないのか

というのが、もし、Yesであれば、対応については、国家間の問題に対する対応も問題となりえます。(国際法と国内法の交錯する部分)

というのが、現在の基本的な世界での考え方ということがいえるでしょう。

(1)でも(2)でも、被害を受ける民間企業の側では、基本同じではないか、というのは、原則としては、そのとおりでしょう。ただし、法的な分析の側面では異なってきており、「アトリビューション」から考えるというのは、ある意味、国際社会の常識となっているということは留意すべきでしょう。

この意味での常識についてのコメントがないので、記事は、悪意があるのではないか、とまで思えてしまいます。

常識であるといっているのには、具体例があります。

もっとも、代表的なものとしては、ソニーピクチャーズエンターテイメントにおける対抗措置をあげることができます。私のブログでもふれています。(オバマ大統領 対抗措置を明言)(Not act of war

また、オバマ・習近平対談の後、サイバー攻撃が如実に減少したという記事もあるでしょう。(「2015 年 11 月 30 日付のワシントンポスト紙は、「政府当局者の話として、司法省が中国軍の 5 人の将校を起訴したのを受けて、中国軍は米国の産業秘密のサイバー窃盗を縮小した。そして、突然の攻撃の縮小は、法的措置が一般に思われているより大きな影響があったことを示している。さらに、起訴を発表した時から、PLA は民間企業に
対するサイバー・エスピオナージに実質的には行わなかった。」という記述をする論考があります 「中国のサイバー能力の現状」DRC 研究委員  横山 恭三)

インターポールでも、国家関与になると、関与しなくなるというのは、非常に興味深いです。(「僕がインターポールで働く理由」~ サイバーセキュリティのプロフェッショナル 福森大喜さんにインタビュー
#インターポールの目的や原則を定めた「ICPO憲章」では「インターポールは政治的な争いや宗教的な争いには一切関知しない」とされています。なので、WannaCryでも何でもいいんですが、マルウェアが出てきてもどこかの国の政府が諜報活動として関与しているとなると、インターポールはいっさいタッチできなくなっちゃうんですね。

これらの実行を紹介しないで、「アトリビューションは、重要ではない」という印象を読者に与えるとしたら、虚構ニュースといわざるをえないとおもいます。

 

 

カテゴリー: サイバー規範, 情報セキュリティ | 「サイバー攻撃の犯人は誰?知る必要はあるのか」を読んで  はコメントを受け付けていません。

ロケット安全基準

人工衛星等の打上げ及び人工衛星の管理に関する法律(宇宙活動法)というのがあるわけですが、その法律に基づいて、技術基準を設けるべく、その概要等についての資料が公表されています。

内容としては、
①人工衛星の打上げについて、その都度許可
②許可処理申請の簡略化のため、ロケットの型式認定を創設
③許可処理申請の簡略化のため、ロケットの型式ごとに打上げ施設の適合認定を創設
④人工衛星の管理について、人工衛星ごとに許可
⑤我が国の人工衛星等の打上げ及び人工衛星の管理に関係する産業の技術力及び国際競争力の強化を図るよう適切な配慮の実施。

いわば、人工衛星って究極のIoTとして考えられるかとおもいます。

条文としては、「第十三条 内閣総理大臣は、申請により、人工衛星の打上げ用ロケットの設計について型式認定を行う。」というのが興味深いところです。

法55条は、(宇宙政策委員会の意見の聴取)になるわけですが、「 内閣総理大臣は、第四条第二項第二号、第六条第一号若しくは第二号又は第二十二条第二号若しくは第三号の内閣 府令を制定し、又は改廃しようとするときは、あらかじめ、宇宙政策委員会の意見を聴かなければならない。 」としています。

IoTの安全とセキュリティの交錯からいくと、宇宙ロケットのハッキングというのを考えたいところです。

着火装置等の安全要求、飛行安全管制の機能、飛行中断機能、ロケット投入段に係る軌道上デブリ発生の抑制等を含め、全7項目を規定するとのことです。

でもって、GPSを狂わせて、誘導をできなくするとかというのは、この技術基準で、どのように対応されていくのでしょうか。

CODEBLUEの基調講演で、Patrickさんが、宇宙でのサイバーセキュリティの問題を講演しました。

特に近頃の問題事例として

IRNSS 1A(原子時計の故障の記事は、こちら)

Galileo(原子時計の故障の記事は、こちら)

IRNSS 1H(記事は、こちら)

をあげていました。原子時計の重要性の動画もありますね。

そのような観点からも、この技術基準の議論をみてみたいなあと思っていたりします。

 

 

 

 

カテゴリー: 宇宙法 | ロケット安全基準 はコメントを受け付けていません。

お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について という会社のコメントについて

前のエントリでふれた事件について、逮捕された従業員の雇用主が、

「お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について」というコメントを出しています(平成29年11月日付け)。

会社において、会社の不正行為が疑われる場合、もしくは、従業員の不正行為が疑われる場合の対応については、いろいろな鉄則があります。

それこそ、Tycssのイベント(サイバー犯罪の傾向と対策・対応 )でも話してきましたし、詳しくは、情報漏えい発生時の対応ポイント集」や私が、調査委員長を務めました報告書「情報漏えいインシデント対応方策に関する調査」で詳しくふれているところです。

要は、「正確な事実」に基づいて「透明性原則をもとに、真摯に対応する」ということかとおもいます。事実に基づかない憶測は述べないということがここから導かれるわけです。

思い起こすと、大学の研究員の不正アクセス禁止法違反のケースで、大学の報道担当の人(記憶が正しければ、正式の人は都合がつかなくて代理で担当したはず)が、「不正アクセスには該当しないと考えています」とか答えて、その大学の刑法の先生は、誰だっけ?という事件がありました。事件の経緯は、こちらにまとめられています

京都大学のコメントとしては、「京大は『倫理上の問題はあるものの、目的は情報化社会の安全性に警鐘を鳴らすことだった』と記者会見で述べ警視庁は『「ネット犯罪の芽を摘み取る」狙いから逮捕に踏み切ったと報じられ・・』という」というのは、ここで確認できます。

あと、また違った角度からの記事として「セキュリティ啓 者が「テロリスト」と呼ばれた顛末」という記事(佐々木俊尚 インターネットマガジン)があります。これも、これで興味深いです。

この事件のこの会社のコメントについていうと、
このコメントを出した段階で、会社は、事実関係を確認しているのかどうか、社内サーバにおける保管とShareでの保管とではまったく話が別なのではないか、この会社は、レスポンスについてもアドバイスするのではないか、そうだとすると、情報の一元的管理等の観点から、力量が推し量られるのではないか
などの疑問がでてきてしまいます。

(なお、表現を正確にすると、「社内サーバにおける保管であって外部との共有が予定されていない保管とShareでの共有を前提とした保管とではまったく話が別なのではないか」という表現のほうがいいですね。ここは、修正します。会社のプレスは、前者の意味に読めたところです。11月4日 1551加筆 /さらに、このエントリは、プレスリリースの出し方の問題についてふれたもので、実体法的な問題は、前のエントリで論じているわけなので、そちらも読んでもらえるといいです。では、ファイル共有ソフト内のネットワークにおいてクライアント会社の秘密のファイルが流れていないか、というのをみていて、そこで、マルウエアも保管していたらどうか、という問題についても、そちらの問題ですね。11月5日 0904加筆)

上の京都大学の研究員の事件では、現実に有罪判決がなされているわけです(東京地裁 平成17年3月25日)。セキュリティの会社がレスポンスの原則からみて?のコメントをしたねということにならなければいいなあとおもいます。

カテゴリー: 情報セキュリティ | お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について という会社のコメントについて はコメントを受け付けていません。

セキュリティー会社員がファイル共有ソフト内にウイルス保管

「 セキュリティー会社員がファイル共有ソフト内にウイルス保管」 という記事がでています。

京都府警サイバー犯罪対策課は31日、不正指令電磁的記録保管容疑で、インターネットセキュリティー企業社員の男(43)を逮捕したということです。

具体的には、同社のパソコン内のファイル共有ソフト「Share(シェア)」に、ウイルスが含まれたファイルを、第三者がダウンロードできる状態で保管したというのが容疑ということになります。

まずは、不正指令電磁的記録保管容疑については、構成要件としては、刑法168条の3「正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。」ということになります。前条1項の目的というのは、「人の電子計算機における実行の用に供する目的」ということになります。

この不正指令電磁的記録の行使などについては、法務省において、濫用されることがあるのてはないかという議論に対して、「いわゆるコンピュータ・ウイルスに関する罪について」いうメモが公開されているのは、「北條先生の「サイバー対策 法見直し必要」の続き」でもふれたところです。バグを作ることは「認識」しているのだから、犯罪が成立するのではないかという(法律家からすると)誤解も生じうるので、それに対して、犯罪は成立しませんよということか明らかにされたものになります。

まずは、この目的ですが、自分が将来「人の電子計算機における実行の用に供する」という行為をなす、という認識を有することをいうことになります。ここで、この「認識」というのが、どの程度なのか、という解釈論が生じることは生じるのですが、普通には、そのような事実(他人の電子計算機で実行されるという事実)を認識しているかどうか(それでもかまわないという認容という人もいるでしょう)ということがメルクマールてす。

その意味では、上のような認識を有していれば、構成要件に該当することになります。(目的も主観的な構成要件となるかとおもいます。)

では、自分の業務に必要なので、他人が感染したとしても、Shareで実際にどのような情報が共有されているのかをみるためにネットワークに接続しているのであって、そのなかに、悪意あるマルウエアが含まれていて、そのネットワークに接続している人が、当然にそのまま感染してもいいと思って放っていたというのは、どうでしょうか。上の目的との関係でいえば、実行されるという認識は有しているので、その目的を否定することにはなりません。

Shareの実際に流通しているファイルをみるという「研究目的」があって、そのために実際に感染させたというのは、許容されるのか、という問題が発生します。

(前には、感染力的な表現をしていましたが、こっちのほうが現実的なので、そう直しました 11月5日 0911 )

実際には、そのような行為が、「正当行為」もくしは、(業務として行われて)「正当業務行為」として認められる(法的には、違法性阻却がなされる)ということは、私個人の意見としては、ありえないとおもいます。が、理論的にはありえないことはないです。

もっとも、実際の事件としては、そのような「業務であったのか」(要は、反復・継続 場合によって会社の業務の一環としてなされていたのか)などいう事実確認が必要になってくるかとおもいます。

でもって、もう一つは、そのような研究のために「許されると思っていた」というのは、どのような影響を与えるのでしょうか。このような認識は、感染すると問題が生じるマルウエアだとはおもわなかったという場合であれば、別ですが、単に、通常の場合には、違法かどうかの法的評価を誤ったにすぎないことになります。なので、この場合は、犯罪の成否に影響を与えるものではないです。

ということで、事実関係がわからない現時点においては、容易に判断がなされるものではないということだけがいえる問題になります。

ただ、そうであるにも関わらず、コメントを発してしまうというのは、それ自体で問題になるということですね。それは、次のエントリで。

カテゴリー: 情報セキュリティ | セキュリティー会社員がファイル共有ソフト内にウイルス保管 はコメントを受け付けていません。

サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携

10月24日付け日経新聞に「サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携」という記事がでています。

「総務省とNTTコミュニケーションズなど国内のインターネット接続業者は2018年度をめどに、サイバー攻撃を⼀⻫に遮断する仕組みを作る。不正アクセスの発信源となるサーバーを即座にネットから切り離す。」ということです。

この仕組みのために、「DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定。その情報を業者間で共有し、犯⼈のサーバーからの攻撃指令を⼀⻫に遮断する。国内の有⼒な接続業者が連携して実効性を⾼める。」というのが、その手法ということになります。

この記事にも書いてありますが、「電気通信事業法では通信の秘密の保護がうたわれており、攻撃を起こすサーバーの情報の業者間での共有は進んでいなかった。」のですが、ガイドラインを年明けにまとめて、電気通信事業法などの法改正も検討する、ということだそうです。

電気通信事業法の通信の秘密を犯す行為については、同法4条において(秘密の保護)のタイトルのもと

(秘密の保護)

第4条  電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2  電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

となっています。

DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定した場合に、このサーバーの情報は、上の「他人の秘密」ということになるわけですが、現在の解釈では、「電気通信事業に従事する者に関する第1項の適用関係を明らかにするとともに、電気通信事業に対する利用者の信頼保持の観点から、電気通信事業に従事する者に対し、第1項よりも広い範囲の守秘義務を職務上の義務として課したもの」という趣旨になります。どちらにしても、このサーバーの情報は、具体的な通信を識別しうる情報なので、通信の秘密とてし保護されるデータとして、この4条の保護のもとにあるということになります。(よく、通信の構成要素をなすデータといわれますが、多分、そういうことだとおもいます)

ところで、このような保護されるデータについては、「「積極的な取得の禁止・窃用の禁止・漏えいの禁止」を意味するものと考えられています。そして、実務的には、「窃用」が、単に「用いること」と同義であると解釈されています。これは、法的な解釈本では、「窃用」とは、自己または他人の利益のために用いることをいう、とされており、公共の利益のために利用することは含まれないと解釈される余地があるのですが、実務(というか、担当課的には)そのような余地を認めない、むしろ、そのような行為は正当業務行為の解釈で対応する、というようにされていました。

でもって、ちょっと時代を遡ってみる(このごろ、こればっかり)、2004年3月にコンピュータソフトウェア著作権協会(ACCS)にDos攻撃が仕掛けられたわけですが、これがわかるのに、プロバイダーは、通信を届けて、攻撃に加担しなければならないのですか、という問題が出てくるわけです。

正当業務行為でもって、問題が起きるごとに、プロバイダーで法的許容性について議論したり、場合によっては、担当課に相談したりするということでは、とてもじゃないけど、実務的には回らなくなります。そこで、事前に許容される行為が検討されるといいねという感じに思えます。ただ、そのときには、「そうはいっても、結局、憲法の「通信の秘密」が同じ内容だとして、鎮座しているからねえ」ということで、実務規範的なものを事前に鼎立するというのは、不可能な感じでした。

私としては、ちょうど、「通信の秘密」が世界でも特別の規定とかいう話をきいて、なんか変だよねということで、ちょっと調査をして「ネットワーク管理・調査等の活動と『通信の秘密』」(JAIPAのHP内に掲載)・「通信の秘密の数奇な運命(憲法)」 (情報ネットワーク法学会誌第5巻(2006 年 5 月))という論考にまとめさせていただきました。

まさにそのような議論を背景に、ISP同士で、攻撃者の情報を共有することはどうなのか、というのは、2005年のInternet weekで議論されています。

このような動きのもと、プロバイダのホワイトリストを作りましょうという動きになり、「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン」(初版 2007 年 5 月 30 日(非公開)とつながったと理解しています。

そのような議論の提起から、既に10年以上が経過しています。いまでは、いわゆる大量通信等ガイドラインも「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」と名前を変えており、「通信の秘密」の解釈についても、かなりの程度、柔軟に対応されるようになってきました。

DDos攻撃に際して、プロバイダーがどのように対処をなすことができるかについては、サイバー攻撃等への対処ガイドラインに記載がなされています。

(1) サイバー攻撃等に係る通信の遮断については、被害者から申告があった場合、事業者設備に支障が生じる場合、送信元設備の所有者の意思と関係なく送信されるサイバー攻撃等の場合に遮断が認められています。

(2) 送信元詐称通信の遮断、(2) 送信元詐称通信の遮断、(4) マルウェア等トラヒックの増大の原因となる通信の遮断が、正当視業務行為として認められるとされており、また、(7) サイバー攻撃等への共同対処においても「情報提供を受けた電気通信事業者において当該特性に合致する通信を遮断してよいとされています。

今回の記事は、仕組みとしては、このガイドラインで許容されている枠組みをむしろ、公認し、積極的に推進しようという位置づけであるように思えます。そうだとすると、このようなセキュリティのための活動にも、予算とかがきちんと付くのでしょうか。非常に賢明な判断ということになるかもしれません。

あと、「電気通信事業法などの法改正も検討する」ということですと、どのような改正になるのでしょうか。興味しんしんというところでしょうか。私が「いいだしっぺ」であることは、みなさん、認めてくれるでしょうから、フォースの力で論文を書いたということを認めてもらえるかもしれません。

カテゴリー: 未分類 | サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携 はコメントを受け付けていません。

「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキュリティサイト

「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキュリティサイトにおいて、「脆弱性」を「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います」と定義がなされています。

IPA「脆弱性届出制度に関する説明会」について というエントリで、脆弱性をめぐるこの15年間の変遷について触れました。

ある意味で、このキャンペーンは、、「脆弱性」という言葉をめぐって、正確に理解してもらうための動きだったような気がします。

最初は、
「きじゃくせい」じゃなくて、「ぜいじゃくせい」とよびます、
から始まって
脆弱性と欠陥は、区別しましょう
あたりは、すごく長期のキャンペーンをしました。

このキャンペーンにあたって、「脆弱性と瑕疵の間に」という論考も記しました。

瑕疵といえば、法的な文脈では、「一般的には備わっているにもかかわらず本来あるべき機能・品質・性能・状態が備わっていないこと」をいうとされており、法的なセンスのある人は、瑕疵修補請求権を思い浮かべるので、それ自体、何らかの行為を求めることができるのではないか、ということになります。

また、「欠陥」といえば、法的には、「当該製造物の特性、その通常予見される使用形態、その製造業者等が当該製造物を引き渡した時期その他の当該製造物に係る事情を考慮して、当該製造物が通常有すべき安全性を欠いていること」(製造物責任法 2条2項)となります。

ともに、「あるべき」安全性(もしくは機能・品質等)を欠いている状態を指し示す用語になります。

そうだとすると、研究者等が、脆弱性を発見して、開発者に伝えても、何か、製品に「あるべきものが欠けている」、いわば、クレームをつけているのですか、という対応になってしまうことになりやすいわけです。なので、脆弱性という用語と欠陥・瑕疵という用語は、きちんと峻別して、「脆弱性」という用語を用いるばあいには、これは、別に開発者が「悪いわけではない」のですよ、というメッセージを伝えるべきであろうと考えます。そして、そのような考えに基づいて用語を選んできました。

経済産業省の「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(経済産業省告示第十九号)をみていただければ、
「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者 がアクセスできる状態を含む。)をいう。」
とされており(これは、当初の平成16年告示も同様)、早期警戒パートナーシップの取り組みにおいて、「脆弱性」の定義から、この点について留意がなされていることをわかっていただけるかとおもいます。

ある意味で、現代社会において、脆弱性をいかに取り扱うのか、というのは、もっとも繊細な配慮が必要になる分野であるような気がします。そのために国民に呼びかけるサイトにおいて、このような基本的概念について、配慮にかける表現があるのは、きわめて残念なことといわざるをえないとおもいます。

カテゴリー: 情報セキュリティ, 脆弱性対応 | 「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキュリティサイト はコメントを受け付けていません。

IPA「脆弱性届出制度に関する説明会」について

IPA「脆弱性届出制度に関する説明会」が開催されました。

そこで、この制度の利用者(?)の方から、いろいろな感想が「つぶやかれています」。この点については、「脆弱性届け出制度に関する説明会のつぶやきまとめ」でまとめられています。

私(高橋郁夫)個人としては、いわゆる「中の人」になりますので、具体的なこの制度の変更にいたった議論の経緯その他についてコメントすることは避けます。

ただし、この制度について、常にウワォッチし、あるべき制度を考えていた一法律家としてのコメントをさせていただければ、以下のとおりになるかと思います。

まずは、この制度が構築されたのが、2002-2003年の時期であったということは、さけて通ることができないと思います。その当時までに、時計を巻き戻してみましょう。

研究者・実務家の方が、脆弱性を見つけた、それを企業に対して、これ、脆弱性になるから直したらいいんじゃないの?と届けたときにどうなっていたでしょうか。

多分、何か、脅迫・恐喝つもりなのですか?という態度で開発者がまともにとなりあわないということになっていたのではないでしょうか。

(その端境期において、「脆弱性に警鐘?」という報道がされた事件もありました)

理屈から考えると、脆弱性が少ないこと、もし、見つかった場合には、真剣に、その届出に対応してもらって、できるかぎり、脆弱性のないソフトウエアを提供しましょう、というのが望ましいというのは、誰もが、合意してもらえるかと思います。しかしながら、現実は、「絶望的なぐらいに」そのありうべき姿と乖離していたのです。

その姿に対して、METIのTY氏などを中心に、ちょっと調査しませんかねえ、ということになったのが、

『セキュリティホールに関する法律の諸外国調査』 報告書になります。

もう、この段階において「責任ある開示」という概念を中心にして、どのようにして脆弱性の報告をとりあつかうべきかということが議論されていたのがわかるかと思います。

そして、実際に、IPA/JPCERT/CCにおいて早期警戒パートナーシップの構築にいたっていくわけです(2003年10月頃から2004年3月まで)。

この部分の仕組みについての報告書としては、「情報システム等の脆弱性情報の取扱いに おける法律面の調査 報告書 」になります。

「脆弱性」に対する基本的なスタンスということになりますが、この報告書をよんでいただけると、脆弱性の報告書については、まさに「責任ある開示」のスタンスを積極的に採用し、その意味で、そのスタンスがどこまで、実際のセキュリティのコミュニティで支持されるのか、まずは、やってみましょう、というものであったのがわかるかと思います。

望外なことに、この脆弱性の早期警戒パートナーシップは、わが国において、非常に、共感をもって受け入れられました。報告数は、着実に増えていきましたし、また、特に、実際の研究者・実務家の方々が、脆弱性を発見したら、まずは、この早期警戒パートナーシップの枠組みで報告しましょうと考えるにいたったように感じられたのは、非常に、ありがたく思えます。

また、この制度の考えていたことは、世界的にも、早期的なチャレンジに成功したものであったということは、特筆すべきものであったように思えます。

脆弱性情報の取り扱いについては、

ベンダ内部における脆弱性取扱手順については、「ISO/IEC 30111:2013 Information technology — Security techniques — Vulnerability handling processes」

第三者によって発見された場合の脆弱性開示については、「ISO/IEC 29147:2014 Information technology — Security techniques — Vulnerability disclosure」

が制定、公表されているのに至ったというのは、私たちのチャレンジが、世界的にみて、先進的な試みであって、また、そのチャレンジを成功させた日本のセキュリティコミュニティに対する極めて高い評価であったということもできるのではないかとおもいます。私たちは、この試みとこの結果を誇りに思っていいとおもいます。

ただし、この仕組みは、如何せん、

きわめて広範な「脆弱性」の定義に該当するものについて、その重要性についてなんら評価をせずにすべて「脆弱性」の有無を調査化した上で、あると判断したものについて調整を図ろうとした点

で、制度としての致命的な問題点を有していたと考えるべきではないかとおもいます。

というのは、脆弱性についていえば、まさに

「ISO/IEC 30111:2013 Information technology — Security techniques — Vulnerability handling processes」

が、そのプロセスで明らかにするように、

ベンダは、CSIRT/PSIRTのような仕組みを設けて、その製品について、脆弱性が見つかった場合には、そのような仕組みが、脆弱性に対して対応するのが、まさに標準である

という思考を前提に構築されているものです。

現代社会においてあるべき姿を考えるときに、ベンダ(開発者)がみずからの責任であって、セキュリティ的にも問題がないソフトウエアを開発して、その態度等が、ソフトウエアの性能と評価されて、市場において、もし、そのような態度にかけるソフトウエアがあれば、そのようにソフトウエアは、市場から、退出を迫られるという姿

を前提としているように思えますし、また、そうであるべきかとおもいます。

そもそも、IPAないしJPCERT/CCのリソースといえども、有限なわけで、そのリソースを、「広範な脆弱性」の定義に該当する場合に、「脆弱性というのは、攻撃者が悪用するものであって、その攻撃によって発生する問題点の重要性を事前に評価することはできない」という理屈でもって、ふんだんに使っていいということにはならないと考えます。

翻って、2017年の状況について考えてみるときに、

  • 現在においては、脆弱性のもたらすセキュリティ上の脅威が社会においても許容しうるものではないという認識が一般化しつつあるかとおもいます。
  • 開発者が、積極的に、脆弱性の届出受け付けの窓口をもうけるようになってきている。
  • 特に、バグバウンティ制度を導入する企業も増加している

などの事情を考えたときに

制度が構築された時期と比較して、セキュリティの重要性の認識/脆弱性解消の努力の正当な評価という観点からするとき、非常に良い方向に進展していると評価することができるのではないか、と個人的に考えます。

そうだとすると、もはや、脆弱性に関する認知が社会的に全く足りないので、それを、かなり「父権的な(パターナリスティックな)」制度でもって、脆弱性を消滅させる、そのために、IPAやJPCERT がなんでも/かんでも、脆弱性について、関与するというのをやめて、

社会的に、IPAやJPCERT が、関与するのが、許容されるような重要度の高いものに限って関与する

という制度にすべき

なのではないか、と考えます。そして、私としては、そのような考え方に基づいているのが、今回の制度改変なのではないか

と考えます。

確かに、いままでの、「脆弱性」について、これを発見したのであれば、IPAに届出て、これを前提として脆弱性の認定がなされて、調整がなされるという制度が当然であるという考えを前提とするのであれは、どういう改正なのか

という思いが生じるのは、わからないでもないです。ただし、そもそも、開発者が対応すべき「脆弱性」に対して、IPA/JPCERT/CCがリソースを避くことが当然であるという考え方のほうが、今となっては、あるべき姿からは遠ざかっているというように考えます。

むしろ、一定のスタンスを押し出して、脆弱性の対応については、「開発者」がなすべき重要な責務であるという大原則を前提とした制度にしたほうが、結果としては、更に日本におけるセキュリティ・コミュニティの成熟をみれるような気がします。

どうでしょうか。私としては、このチャレンジの結果は、むしろ、開発者さんにおいて、どれだけ私たちのメッセージをきちんと受け止めるかにかかっているかとおもいます。このチャレンジも成功することを期待しています。

カテゴリー: 未分類 | IPA「脆弱性届出制度に関する説明会」について はコメントを受け付けていません。

情報処理 2017年11号「IoT時代のセーフティとセキュリティ」

タイトル通りですが、情報処理 2017年11号は、特集が「IoT時代のセーフティとセキュリティ」になります。

この問題については、私は、「IoT の脆弱性と安全基準との法的な関係」という論文を記していた(InfoCOM Review 第69号(2017年7月31日発行) )こともあり、興味深く読ませていただきました。

それらしき記述はありますが、「セーフティとは○○である」これに対して「セキュリティは、××である」という定義に該当する記載がないので、締まりが悪く感じてしまいます。また、保安基準、安全基準とセキュリティの関係についての議論もありません。

情報処理学会だからといって、社会的なアプローチが軽視されているのではないでしょうか、というちょっとした感想をもってしまいました。

カテゴリー: Cyber Physical System, IoT, 情報セキュリティ | 情報処理 2017年11号「IoT時代のセーフティとセキュリティ」 はコメントを受け付けていません。

「人工知能の発展と企業法務の未来(1)」NBL角田論文を読んで

NBL 1107号 24頁に 角田篤泰「人工知能の発展と企業法務の未来」(1)が掲載されています。

まず、この論文は、人工知能技術とは何か、ということをきちんと理解していることを前提に、具体的な企業法務への展開にふれてようとしている点で、他にない論考かとおもいます。高橋が、今年の11月29日に「人工知能は法務を変える?」としてシンポジウムで問いかけようとしている論点とまさにシンクロするものといえるでしょう。

(なお、同様のテーマに自由と正義(2017年9月号) 「AI時代における知的職業-弁護士業務の行方-」がありますが、技術的な背景との分析に勝る点で、角田論文のほうが分析する価値は高いというのが私の意見です)

1107号の内容は

はじめに

(1)AIの今昔

「「昔のAI」については、論理式などによる関連知識の情報を与えることで解いていた」としています。これは、前にふれた私のチャットボットって人工知能なの、という話ででてくる、昔ながらのエキスパートシステムということになるかとおもいます。

これに対して、「今のAIでは、ルール不要である。つもり、専門知識を参照しない。大量のデータを統計的に観測することで、問題に対する解のパターンを導く(モデルを学習する)のである」としています。

この違いについて、角田は「ルールを考案する速度に比べて、驚異的な速度でデータ量は増えてしまうので、人間がルールを作成して解を得るより、コンピュータがデータから直接に解を導いたり、自動でルールを作成した
りするほうが得策という時代に入ったのである」と述べています。

(2)法律AIの問題点

昔のAIに基づいた研究・活動を「レガシー法律AI」と読んで、問題点を列挙しています。具体的には

データ不足

構成主義的傾向

司法偏重の応用領域

高度な対象法令

オープンテクスチャア

例外・関連性

高階表現

説明がないと困る

法律学はそもそも統計的・定量的ではない。

データ自体に解釈を含む

大量データの修習

言語・記号との連動

分野ごとのパラメータの調整が必須

ホスピタリティや責任は人の担当

AI法務自体の法的問題

となっていて、そのあとの続編となっています。

ちなみに、脚注も充実しています。

個人的には、チャットボットの経験から、離婚・相続・債務・交通事故(あと不動産)あたりに限って、例外を無視して、とりあえず、人間の補助として「昔のAI」を使う仕組みを発展させていくのが合理的ではないか、と考えています。

(アカデミアでなければ、将来の根本的革新より、今日の効率化のほうが価値があるという判断かもしれません)

角田教授のあげる問題のうち、データ不足、構成主義的傾向、司法偏重の応用領域(だって、裁判所に行く前を「法務」というので)、高度な対象法令(離婚だと条文は、「破綻」くらいしかないでしょ)、例外・関連性(例外は、弁護士が説明すればいいです)、 高階表現(これも他の条文を引っ張ってくるような面倒なのは、弁護士が説明すればいいです)、 説明がないと困る(伝統的な解法は、人間が考えるので問題なし)などの問題は、無視できるようになります。

法律学はそもそも統計的・定量的ではない、データ自体に解釈を含む、オープンテクスチャア、言語・記号との連動 とかは、「言葉」をつかったコミュニケーションから切り離せないので、宿命ですけど、人間の生活のなかで、言葉のかかわるものってそんなものなので、そんなもののレベルでもいいかとおもいます。

なので、どうせ、AIの基礎となっている統計学だって、20年に1回は、収穫の予測がはずれるので、そんな年は、許してね、という話で始まっているはずなので、それに比べれば、分野を絞って、古典的なAIをリファインするというのは、おもしろいのではないかと考えています。(たとえば、破綻という言葉の解釈に、いろいろな事例をぶち込んで、データを分析すると、その判断に影響を与えている特徴量がわかるよねなんてのもおもしろいような気がします。)

 

 

 

 

 

カテゴリー: AI | 「人工知能の発展と企業法務の未来(1)」NBL角田論文を読んで はコメントを受け付けていません。

チャットボットを作るときに気を付けるべき唯一つのこと

マイクロソフト  みんなのAIブログで「チャットボットを作るときに気を付けるべき唯一つのこと」という記事がでています。

非常に勉強になる記事です。

「あなたがアプリ、ウェブサイト、電話、その他の特定のニーズに対処する他の方法よりもユーザーにボットを選んでほしいと願っている」すなわち、ボットが望ましいと思っているのは、なぜですか、ということになるかと思います。ボットというのは、ユーザが、システム提供者よりも、情報をあまり有していないときに、ユーザみずからが、情報を検索するのが困難なときに、システム側で、決定木に基づいて選択を与えて、一定の結論を提供するのに適したシステムだと考えます。

法律相談支援ボットというのは、まさに、このような目的にフィットしています。たとえば、交通事故の過失割合がいくらになるか、これは、弁護士であれば、赤本という本を見ていけば、過失割合が出てくるのは、だれでも知っているのです。

ところが、ユーザは、どこに、どう書いてあるかは、わからないということになります。その間をつなぐのにもっとも適した手段ということがいえるかと思います。

htmlで、イエス か、ノーかで、クリックさせていってもかまわないわけですが、自分の答えをいれていくと回答にたどり着くのは、自然だし、ユーザにとっては、容易であると考えることになると思います。

また、スマート度合い・自然言語の量・ボイスが成功を保証するものではないというのもそのとおりです。これは、人工知能対人工無能(脳)?でふれました。自然言語対ボタン式でもいいです。上の目的に達するのに、何が合理的なものなのか、という判断になります。

ユーザエクスピリエンスが重要であるというのは、そのとおりですね。詳しくは、「人工知能が法務を変える?」の会議で報告しますが、人間は、ボットが相手になると、我慢できなくなりそうです。その意味で、短い受け答えが必要になります。しかし、法律相談だと少ない情報で、法律相談の示唆までたどり着くことはできないので、このバランスというのは、一つの課題になりそうです。

カテゴリー: AI | チャットボットを作るときに気を付けるべき唯一つのこと はコメントを受け付けていません。