ジョセフ・ナイ 露のサイバー攻撃 戦闘伴わぬ「新兵器」

読売新聞 2018年8月26日 一面には、ジョセフ・ナイ氏の「露のサイバー攻撃 戦闘伴わぬ「新兵器」」という記事(地球を読む)が掲載されています。

2017年5月1日には、「サイバーと倫理-国際紛争防ぐ規範必要」という記事(地球を読む)が掲載されていたのについては、このブログでも取り上げたのですが、1年4月ほどのインターバルで、再度、「グレーゾーン」での攻防により重点を置いた論考を示しています。

論考は、
(1)「ハイブリッド戦争」という用語とともにサイバー攻撃が行われていたこと。ただし、補助的な攻撃手段であること。
(2)物理的な損害に応じて比例原則にもとづいてなされる米国の軍事ドクトリンについて。
(3)真の危険は「グレーゾーン」での攻防にあるかもしれないこと。
(4)偽情報拡散のスピードと低コストが、「完璧な武器」としてのサイバーによる情報操作を生んでいること
(5)DNCハックは、武力攻撃(軍事攻撃となっていますが、こっちのほうがいい感じ)の閾値を越えるまえで行動をとめていること
(6)オバマ元大統領が、戦術の危険をしっていたにもかかわらず、厳しい対応をとらなかったこと/トランプ政権も措置がとれていないこと
(7)新兵器に立ち向かうためには、広範な国家的対応を組織する戦略が求められる/拒否的抑止も必要
(8)選挙担当職員の訓練/政治宣伝の発信元表示の義務づけ/外国による政治宣伝を違法とする/ファクトチェックのための独立機関
(9)外交の努力の必要性(信頼醸成措置の確保)
(10)悪用には、代償が伴うことを示すこと
などの内容であるといえます。

まさに、2018年におけるサイバースペースをめぐるひとつの問題点とそれに対する米国の代表的な見方を示しているように思えます。

前提として、国家による他の国家に対する情報工作は、伝統的に、なんら問題ではないと考えられてきたことを前提として知っておく必要があります。(読売新聞や、サンケイ新聞の成り立ちあたりを調べれば、よくわかるかと)

まさに、(5)の武力攻撃の閾値を越えない限りは、ホワイトであったわけです(というか、放任行為)。
しかしながら、ネットワークがまさに世界を変えたわけです。生命身体に実際の損害が生じるのでなければ、何をやっても、それは、国際社会が関知するところではない、としてきたところが、人々が、ネットを通じて、自らの政治的な意見を決定するようになってくると、生命身体の損害を生じさせる行為でもって、他の国の独立性を脅かすよりも、ネットでの意見を工作して、政治的な体制を変更させた方が、より、効果的になってくるわけです。

そうすると、その工作の対象国の政治的な独立性を、虚偽の情報やハッキング等で手にいれた情報を基盤として、政治工作を行うことが、従来のような放任行為でいいのか、という問題が生じるわけです。これが、「グレイゾーン」といわれているところです。この用語については、「タリンマニュアル2.0 パネル」でのエントリで、シュミット先生のコメントのところできちんと説明しています。(2017年のCyConでもシュミット先生のテーマは、グレーゾーンです)

法的には、政治過程の操作については、国際法違反(この場合、国際的違法行為として制裁措置が発動できる)とすべきだろうとされているところです。そして、これに対して、国内的にも、種々の措置をとるべきであろうということで、(8)の提案になるわけです。

政治宣伝の発信元表示の義務づけ/外国による政治宣伝を違法とする/ファクトチェックのための独立機関 などは、上述のような伝統的な考え方が、ネットワーク社会の発展によって変貌してきた証拠ということができるでしょう。

その一方で、表現の自由という考え方が、外国による不当な影響力の行使という考え方でもって揺さぶられているという見方もできると思います。非常に興味深い論点です。もっとも、わが国の場合に、いまのところ、どの程度の危険があるのか、というのは、不明確ですし、緊急の対応の必要があるとはいえないのではないか、というのも事実に思えていたりします。

サイバーセキュリティ戦略と「法」

サイバーセキュリティ戦略・サイバーセキュリティ 2018が決定しました。
具体的な案はこちらです(資料1)

報道は、こちら。(たとえば、ZD Net 政府の新たなサイバーセキュリティ戦略が決定–東京五輪後も視野)

資料は、概要と意見募集の結果も含まれているので非常に大部になります。

サイバーセキュリティ戦略の重点施策は(1)経済社会の活力の向上および持続的発展、(2)国民が安全で安心して暮らせる社会の実現、(3)国際社会の平和・安定および我が国の安全保障への寄与、(4)横断的施策――の4項目になるので、それらで興味のあるものをピックアップしてみましょう。

(1)経済社会の活力の向上および持続的発展

「経済社会の活力の向上および持続的発展」は、新たな価値創出を支えるサイバーセキュリティの推進、多様なつながりから価値を生み出すサプライチェーンの実現、安全なIoTシステムの構築にわけて論じられています。

「サプライチェーンのつながりの端で起こったサイバーセキュリティの問題が、実空間、さらには、経済社会全体にこれまで以上に広く波及し、甚大な悪影響を及ぼすおそれがある。」(戦略16頁)という表現からわかるようにダウンストリームに注目されていますね。世界的には、サプライチェーンという用語は、むしろ、機器が自分の手元にくるまでにセキュアなのか、ということのほうが一般的ですね。
ただ、17頁ででるように官公庁の調達物資のセキュリティについても今後は、考えていきますというのは、非常にいい傾向なのかと思います。
(事務所のアクセスの足回りは、Nuroなので、偉そうなことはいえない私です)

安全なIOTシステムについては、でました「責任分界点」ですね(戦略18頁)。我がブログの一番人気用語です。ここでは、「責任分界点(既知の脆弱性への対応に関する製造者責任や運用者等の安全管理義務などインシデント発生時における各主体の法的責任を含む)」という形で、liabilityの用語をいれている意味で、物理的な安全管理基準の適用範囲という実定法上(たとえば、電気通信事業法41条ね)に限定すべきという私の立場にケンカを打っているわけですが、とりあえず、「含む」として、実定法上は、ここらへんはいれないのが一般だけど、許してね、という感じがでているので許すことにしましょう。

「範囲や定義、物理安全対策」もふれています。自動車の安全基準といっても、これから、つながるシステムのうちのどこまでが、「自動車システム」なのか、という考え方がでてきますね。その意味で、「範囲や定義、物理安全対策」という意味が書いてあるんでしょうね。深いです。

「脆弱性対策」(戦略18頁)の「機器製造事業者、電気通信事業者、利用者等の各々の主体の相互理解と連携の下で取り組むべきである」という用語も深いですね。脆弱性研究会(脆研)が脆弱性についての一定の調整作業等をおこなっていますが、通信機器については、さて、どうしましょうか、ということもでてくるわけでしょうね。まさに「連携の下で取り組むべきである」というのは、そのとおりなのですが、どうするといいのか、実際に考えていかないといけません。

(2)国民が安全で安心して暮らせる社会の実現

国民が安全で安心して暮らせる社会の実現は、国民・社会を守るための取組、官民一体となった重要インフラの防護、政府機関等におけるセキュリティ強化・充実、大学等における安全・安心な教育・研究環境の確保、2020 年東京大会とその後を見据えた取組、従来の枠を超えた情報共有・連携体制の構築にわけて論じられています。

これらの項目のなかで、法的な観点から、興味深い点としては、以下の点になるかと思います。

「サイバー関連事業者等と連携し、脅威に対して事前に積極的な防御策を講じる「積極的サイバー防御」を推進する。具体的には、国は先行的防御を可能にするための脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用、ボットネット対策等、サイバー犯罪・サイバー攻撃による被害を未然に防止できるような取組を推進する」という記載(戦略21頁)が、気になります。

「アクティブ防衛」という用語との関係については、以前のエントリでふれたことがあります。法的に厳密にみた場合に、これらの取り組みは、サイバー犯罪・攻撃の実行行為がなされる以前と実行行為がなされた以降の対応が、含まれているのは、考えておいたほうがいいように思います。

まず、世界的に「アクティブ(サイバー)防衛」というのは、「実行行為がなれた以降」に、その実行行為がなされたことを契機にして、実行行為者に対して、強制力を行使することによって、証拠の収集・将来の実行行為の抑止をなしうるのか、というのを議論するのに、使われるのが「主たる」場合(このように法的に整理して論じる論者も多くはないです)です。

エントリの「アクティブサイバー防衛手段(active cyber defense measure)確実化法」でも、攻撃者に対するアクセスを論じていることからも、わかるかと思います。

ここで、日本でいう「積極的サイバー防御」の推進、というのをそのまま「日本でもアクティブ防衛方針になりました」というと、例によって、ロスト・イン・トランスレーションになります( communicatonを当然に遠隔通信と訳するがごとし)。

「脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用」は、むしろ、サイバーインテリジェンスのうちの、事前のインテリジェンスと捉えるほうが言いように思います。「ボットネット対策等」については、情報共有と、実際のテイクダウン、場合によっては、ホワイトワーム投入作戦があります。特に、テイクダウン作戦、ホワイトワーム投入作戦については、法的な整理が必要なので、夏の間に論文をまとめることにしましょう。(関係省庁さんからの委託調査でもいいです)

あと、仮想通貨、自動運転車についても言及されているのは、興味深いです(戦略21頁)。

サイバー犯罪への対策について、「新たな捜査手法の検討」がはいっています(戦略21頁)。この点は、注目ですが、GPS捜査最高裁判決みたいに、オレオレ合法論で突っ走ったりしないようにということでしょうか。

個人的には、サイバー攻撃より、熱波攻撃対応で、夕方から夜中に競技をするようなスケジュール変更を早急に考えることのほうが、優先順位が高そうな気がしますけども、それは、さておきましょう(警備の問題があるのかもしれませんが)。

(3) 国際社会の平和・安定及び我が国の安全保障への寄与
国際社会の平和・安定および我が国の安全保障への寄与としては、自由、公正かつ安全なサイバー空間の堅持、我が国の防御力・抑止力・状況把握力の強化、国際協力・連携について論じています。

ここでは、特に、「国際社会の平和と安定及び我が国の安全保障のため、サイバー空間における法の支配を推進することが重要である。」(戦略32頁)は、注目されます。これは、基本的には、わが国としては、このような観点を打ち出していたわけですが、これだけ明確に記載してあるとインパクトがあるなあと改めて思います。「これまでに明らかにされた責任ある国家の行動規範について、着実な履行・実践を通じ普遍化を進める。そうした規範を国際社会に広げ、国家実行を積み重ねていくことで、規範に反する行動を抑止する。」ということで、まさに、サイバー規範の重視ということで、なかなか、責任ある宣言だなあと思います。

また、「サイバー攻撃に対する国家の強靱性を確保し、国家を防御する力(防御力)、サイバー攻撃を抑止する力(抑止力)、サイバー空間の状況を把握する力(状況把握力)のそれぞれを高めることが重要である。」(戦略33頁)も重要です。

「防衛産業が取り扱う技術情報等は、それが漏洩・流出した場合の我が国の安全保障上の影響が大きいため、安全な情報共有を確保する仕組みの導入、契約企業向けの新たな情報セキュリティ基準の策定、契約条項の改正等の取組を行う。これらについて、官民連携の下、下請け企業等を含めた防衛産業のサプライチェーン全体に適用することを前提とした検討を行う。」というのは、防衛産業サイバー基盤という感じになるのでしょうか。興味深いです。

「伊勢志摩サミットにおいて G7 首脳が確認したとおり、一定の場合には、サイバー攻撃が国際法上の武力の行使又は武力攻撃となり得る」(戦略33頁)
まさに、わが社のここの記載(サイバー攻撃と武力行使)みてね、ということで、一般的な国際法コミュニティの見解そのものになります。

「また、G7 ルッカ外相会合において確認したとおり、悪意のあるサイバー攻撃等武力攻撃に至らない違法行為に対しても、国際違法行為の被害者である国家は、一定の場合には、当該責任を有する国家に対して均衡性のある対抗措置及びその他の合法的な対応をとることが可能である」(同)ということで、これも、ちゃんと対抗措置についてコメントがなされており、さらに合法的な対応(外交その他)についてもコメントがなされています。きわめて法的な記述であり、興味深いです。

「同盟国・有志国とも連携し、脅威に応じて、政治・経済・技術・法律・外交その他の取り得る全ての有効な手段と能力を活用し、断固たる対応をとる。」まさに、SONYピクチャーズ事件、ワナクライ事件、NotPetya事件などでの各国の国家実行 (CyCon Xでも何回か話にでました)をベースにした記述です。

これらは、まるで、シュミット先生のまとめを聞いているみたいな記述です。

興味深いというか、むしろ、戦略文書にこれだけ法的に、しかも正確な記述がはいってきたということで感慨深いものがあります。

(4)横断的施策

横断的施策は、人材育成、研究開発の推進、研究開発の推進、全員参加による協働が述べられています。興味深い点は、以下のところでしょうか。

「政府機関や企業等の組織を模擬したネットワークに攻撃者を誘い込み、攻撃活動を把握すること」(戦略40頁)がふれられています。攻撃がなされている間に、受信者(?)が、真の受信者の代わりに、デコイに通信してあげるという、個人的には「通信の秘密」との整理は、どうなっているの?作戦のひとつになります(解釈論としては、「取扱中とはいえない」とか、「受信者の承諾がある」とかいうのかと思いますが、通信は、一方の承諾でいいというのは、例外だったよね、とかあります)。

また、「政府機関や重要インフラ事業者等のシステムに組み込まれている機器やソフトウェアについて、必要に応じて、不正なプログラムや回路が仕込まれていないことを検証できる手段を確保することが重要である」(戦略40頁)。イギリスのGCHQにいったときに、技術の担当の方は、このような業務をになっていましたね。お約束ですが、GCHQの組織は、「ロンドンのとある映画会社の地下深く」 (オジサマお待ちかね-オープニング)にありました(?-UFOっていうテレビみたいだね、というのが私の感想)。
日本だとクールジャパンのセットかなんかをつくって、そこの地下に調査会社つくるとか、いかがでしょうかね。

「中長期を視野に入れて、サイバーセキュリティと、法律や国際関係、安全保障、経営学等の社会科学的視点、さらには、哲学、心理学といった人文社会学的視点も含めた様々な領域の研究との連携、融合領域の研究を促進する。」(戦略41頁)です。まあ、戦略のここらへんというのは、どうも、帳尻あわせみたいな感じがするわけですが、このような視点は、本当に大事なので、ぜひとも実現してほしいと思います。
CyConに自費でいって、詳細な報告書あげているわけですが、これが自腹感満載というのは、来年は、なんとかしていただきたいと思います。出張報告に私のブログ使った人は、ぜひとも、私の来年の旅行に、貢献してほしいなあと考えていたりします。

ということで、非常に興味深いサイバーセキュリティ戦略でした。

サイバー攻撃による重要インフラサービス障害等の 深刻度評価基準(初版)(案)と「法的意味」

「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(初版)(案)」が公表されています。
資料としては、こちらです(資料6)。

これについては、私のブログでも、「政府、サイバー被害の深刻度指標 対抗措置の判断基準に」と「「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について」ですでにふれているところです。

この評価基準については、法的な立場から見たときに(1)内閣法15条1項の組織法的効果(2)事態対処法21条の「国及び国民の安全に重大な影響を及ぼす緊急事態」の効果を発生させるものであるのか、どうか。(3)国際法的に、違法な干渉行為に該当するか、という法的な効果に関連してそうですが、この基準の議論に関しては、一切議論がふれられていません。

ある意味で、(3)については、外向的な配慮のもとで、何を基準にするか、というのを明確にしないことは許容されるかと思います。が、(1)と(2)の効果については、それの該当性を支える判断基準となるのか、というのがわからないとコメントのしようがないかなと思ったりしています。

国際法的な見地からは、その対象が、「主権の絶対性を象徴する物」であるのか、どうか、という観点と、その機能が実際に損なわれたのか、ということが議論になります。

性質上、法的な効果との連携をいいがたいのは、わからないでもないですが、効果が「冷静かつ適切な対応を行えるようになることを目的とする取組」というのでは、その評価基準が、妥当か、どうかというのもなんともいえないような気がします。

法的な解釈では、効果を与えるのにふさわしいかという観点から、要件を決めていくみたいなアプローチが、いまは、一般になってきているような気がします。そういう観点からは、アプローチ的に微妙だと思います。

国立研究開発法人情報通信研究機構の中長期目標の改正案に対する サイバーセキュリティ戦略本部の意見

サイバーセキュリティ戦略本部 第19回会合のなかで、
「国立研究開発法人情報通信研究機構の中長期目標の改正案に対するサイバーセキュリティ戦略本部の意見」が公表されています。

資料は、こちら(報道発表) と、こちら(資料7)

まずは、いわゆるNICT法改正をめぐるいろいろな問題について、ちょっと前のエントリで検討しておきました。

サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 25 条第1項第1号に基づいて、とありますが、同号は、

第二十五条 本部は、次に掲げる事務をつかさどる。
一 サイバーセキュリティ戦略の案の作成及び実施の推進に関すること。
となっています。
なので、この条文は、サイバーセキュリティ戦略案の枕言葉となります。

同法第 12 条第5項において準用する同条第3項の規定は

5 前二項の規定は、サイバーセキュリティ戦略の変更について準用する。

となって、準用される3項は

3 内閣総理大臣は、サイバーセキュリティ戦略の案につき閣議の決定を求めなければならない。

ですね。なので、サイバーセキュリティ戦略の変更については、戦略本部がOKといっているという流れになります。
で、「サイバーセキュリティ戦略本部としては示された中長期目標の改正案については妥当な内容であると判断」というしコメントがでています。

でもって、良く考えると、サイバーセキュリティ戦略本部が、NICTの中長期計画案にコメントをつけることができる根拠条文は何?ということになります。

「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」の2条(国立研究開発法人情報通信研究機構法の一部改正)が、NICT法を改正しています。
それによって、前のエントリで触れた特定アクセス行為が新機構法8条2項によって認められています。そして、この特定アクセス行為に関する部分については、総務大臣は、サイバーセキュリティ本部の意見を聞くことができることになっています。

これは、上の「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」の附則2条(準備行為)2項において

総務大臣は、独立行政法人通則法(平成十一年法律第百三号)第三十五条の四第一項の規定により中長期目標(第二条の規定による改正後の国立研究開発法人情報通信研究機構法(以下この条及び附則第六条において「新機構法」という。)附則第八条第二項に規定する業務に係る部分に限る。)を変更しようとするとき、又は独立行政法人通則法第三十五条の五第一項の規定による中長期計画(新機構法附則第八条第二項に規定する業務に係る部分に限る。)の認可をしようとするときは、この法律の施行の日(以下この条において「施行日」という。)前においても、サイバーセキュリティ戦略本部の意見を聴くことができる。

となっています。厳密に考えると、以下のふれるように、この意見書は、新機構法附則第八条第二項に規定する業務に係る部分に限る中長期計画の認可に対する意見書のように思えます。
とすると、根拠条文として、上の附則2条(準備行為)2項をひいておくべきだったような気がします。
どうなのでしょうか。

それは、さておき、
サイバーセキュリティ戦略本部は、「総務大臣に対し、以下の事項を要請する。」として、特定アクセス行為に関する計画に関してと思われますが、

(1)調査の内容
実効性の高いものとなるように努めるとともに、適時に見直しが行われること

(2)調査の実施
十分な周知を行うとともに、機器の利用者への影響等を十分考慮すること。また、適切なパスワード設定の必要性について周知活動を行うこと

(3)調査の結果
調査手法の高度化/必要応じた情報共有

(4)関係省庁との連携
既に流通している IoT 機器等については、利用者、製造事業者、電気通信事業者等の様々な主体が関係することから、これらの有機的連携が確保された取組につながるよう、NISC をはじめとする関
係省庁との連携に努めること
の4項目が留意点として明らかにされています。

「NICT法改正と不正アクセス禁止法」のエントリで検討したことですが、NICTからするアクセス行為(適法なもの)による脅威があるか、どうか、というのは、被害システムとしては、わからないので、セキュリティからすると、それはそれで、問題が生じうるわけです。それでも、それを上回るメリットが、あるというのが法の態度なので、それについては、そういうものとして認識することになります。

しかしながら、単にアクセスするのみではなく、その後の調査行為も、不正アクセス禁止法違反とされないということになると考えられる(前のエントリ参照)とすれば、「十分な周知/機器の利用者への影響等を十分考慮」が必要になるのは、いうまでもありません。
また、それをふまえて、実際の調査手法についても「適時に見直しが行われる」ことが必要になるわけです。

サイバーセキュリティ戦略本部 第19回会合

サイバーセキュリティ戦略本部 第19回会合が、平成30年7月25日に開催されており、資料が公表されています。

資料はこちらです。

検討すべき点は、非常にたくさんあります。私の興味としては、
(1)サイバーセキュリティ2018
(2)サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(初版)
(3)国立研究開発法人情報通信研究機構の中長期目標の改正案に対するサイバーセキュリティ戦略本部の意見
あたりでしょうか。

サイバーセキュリティ法/政策にかかわるのは、上あたりかなと思います。
まずは、最初に
(3)国立研究開発法人情報通信研究機構の中長期目標の改正案に対するサイバーセキュリティ戦略本部の意見
から見ていくことにしましょう。

総務省より「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負」報告書が公開されました。

ブロッキングと通信の秘密に関する考察を含んでいる「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負」報告書が公開されました。
リンクは、http://www.soumu.go.jp/main_content/000565925.pdfです。

同報告書につきましては、研究体制等についての「はしがき」部分がありませんでしたので、以下のご挨拶でもって「はしがき」にかえさせていただきます。

公開についてのごあいさつ

株式会社ITリサーチ・アート代表取締役 高橋郁夫

 本報告書は、2016年3月時点におけるいわゆる「権利侵害情報」に対しての種々の法域における対応をまとめたものです。「権利侵害情報」とは、「流通により他人の権利を侵害する情報」をいいます。具体的には、 名誉毀損情報、プライバシ侵害情報、著作権侵害情報等があります。

わが国においては、電気通信事業法において、通信の秘密を侵してはならないとされており(同法4条)、上記権利侵害情報に対して、ISPがどのような役割を果たすべきか/また、何らかの活動をなす場合にどのような根拠から許容されるのかという観点からも、具体的な議論がなされています。

その意味で、権利侵害情報に関して「通信の秘密/ISPの活動/社会における安全との調和に関する具体的な制度の適切な運用」がもっとも重要な課題の一つであるということができます。そのために、国際的な観点から、制度に関する基礎情報を独立した専門的な立場から収集することを調査の目的とした調査の結果の報告書になります。

上記の目的のために、当社は、
調査委員長
曽我部真裕(京都大学 法学研究科 教授)
のもと、
高橋郁夫(弁護士(駒澤綜合法律事務所)/宇都宮大学工学部講師/株式会社ITリサーチ・アート代表取締役)
がプロジェクトマネージャーとして
宮下紘 (中央大学 准教授)
笠原毅彦(桐蔭横浜大学 教授)
有本真由(弁護士/小川綜合法律事務所)
原田學植(弁護士/東京神谷町綜合法律事務所)
佐藤寧(弁護士/株式会社ITリサーチ・アート/駒澤綜合法律事務所)
からなる調査委員会を構成しました。

また、現地調査員として
Richard Abott(弁護士/ITコンサルタント)
Jonathan Armstrong(弁護士/ロンドン Cordery Compliance Limited)
Frédéric Sardain(弁護士/フランス・パリ Avocat a la Cour de Parisパリ控訴院付き弁護士)
Prof. Dr. Borges(ドイツ・ザールラント大学法情報研究所所長)
Stefan Mele(弁護士/イタリア ミラノCarnelutti Law Firm, Ce.Mi.S.S. (Italian Military Centre for Strategic Studies)
Dr.Grace Li教授(シドニーテクノロジー大学)
Taeeon Koo弁護士(ソウル TEK法律事務所)
台湾 情報工業策進會科技法律研究所
からの助力をえました。

折しも、わが国において、著作権に基づくブロッキングが許容されるべきかという議論がなされており、特に、比較法的な知見に基づいて具体的な立法論的な提案がなされるべき時期がきたものと考えられ、その時期に間に合うように、本報告書が公開されたのは、非常に幸いです。

この報告書が、著作権をめぐるブロッキングの議論に役立つことを祈っています。

急増するIoT機器への攻撃、対策に不可欠な法的整備とは?

前のエントリの関係で、WirelessWire News「急増するIoT機器への攻撃、対策に不可欠な法的整備とは?」という記事についてもみていきましょう。

IoTセキュリティ総合対策では、「脆弱性対策に係る体制の整備」「民間企業等におけるサイバーセキュリティ対策の促進」、セキュリティ関連技術の「研究開発の推進」、セキュリティ関連の「人材育成の強化」、「国際連携の推進」がでています。

ここで、「脆弱性」という用語について、もう一回考え直してみました。

私(高橋)が委員を務めているIPAの脆弱性研究委員会では、2002年から、脆弱性についての対応についての枠組みを検討してきています。

そこでは、脆弱性については、「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)をいう。」と定義されています(経済産業省告示第十九号・第1・1・3(3))。

ここで、弱いパスワードというのは、この脆弱性に含まれるのか、という問題があるだろうと思います。不正アクセスとの関係でいえば、識別符号に関する不正アクセスと、脆弱性悪用の不正アクセスがあることはふれましたが、普段の会話としては、用語的には、後者の場合のみを脆弱性と呼んでいるように感じます。(ただし、上の定義でも、ウエブアプリケーションの場合は、これに限られません)

そうだとするとこの記事も「パスワード設定が脆弱であるIoT機器を広域スキャンを実施して調査し、脆弱性がある機器に関する情報をICT-ISAC経由で通信事業者に提供する」を「パスワード設定が脆弱であるIoT機器を広域スキャンを実施して調査し、アクセスに対して脆弱である機器に関する情報をICT-ISAC経由で通信事業者に提供する」と表現しておいてもらえるといいのかな、と思ったりします。

この場合は、「NICTが行う脆弱性調査は、NICTが作成した実施計画について総務省が関係行政機関と協議の上で認可する」という表現も、「NICTが行う脆弱な識別符号に関する調査は、NICTが作成した実施計画について総務省が関係行政機関と協議の上で認可する」という表現になりますね。

一定のプログラムに伴うものを脆弱性と呼び、それ以外を脆弱な設定とでも定義したら、すっきりするのかなとか、ふと思ってみました。

NICT法改正と不正アクセス禁止法

電気通信事業法およびNICT法が改正されました。「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」ということになります。条文は、こちらです。
基礎的な資料は、こちら

このうちのNICT法改正の部分についてみていきます。オムニバス法というのかと思いますが、そのうちのNICTの調査権限のほうについてまとめてみましょう。

趣旨としては、「国立研究開発法人情報通信研究機構(以下「機構」という。)は、平成三十六年三月三十一日までの 間、特定アクセス行為を行い通信履歴等の電磁的記録を作成すること、特定アクセス行為による電気通信の送信先の電気通信設備に係る電気通信事業者に対し、送信型対電気通信設備サイバー攻撃のおそれ への対処を求める通知を行うこと等の業務を行うこととすること。 」ということになります

条文も、ちょっと分析してみましょう。

1 組織法上の根拠

一定の行為をなすにあたっては、まずは、組織法上の根拠が必要です。その点については
(国立研究開発法人情報通信研究機構法の一部改正)
第二条
(略)
2 機構は、第十四条及び前項に規定する業務のほか、平成三十六年三月三十一日までの間、次に掲げる業務を行う。
一 特定アクセス行為を行い、通信履歴等の電磁的記録を作成すること。

このように「特定アクセス行為」というのが、キーとなる概念になります。これは、
2条4
「特定アクセス行為 」

 機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信元とする電気通信の送信をおこなう行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能にかかる他人の識別符号(当該識別符号について電気通信事業法第52条第1項または第70条第1項第1号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。)を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。

と定義されています。

この特定アクセス行為について、どう考えるのか、というと、
不正アクセス禁止法2条・4項・1号における不正アクセス禁止行為の定義から、

「及び国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき同法附則第八条第二項第一号に掲げる業務に従事する者がする同条第四項第一号に規定する特定アクセス行為を除く」

とされていて、不正アクセス禁止法の定める構成要件から、除かれるという定めになっています。

この除外規定は、不正アクセス禁止法のいわば、NICTが行う場合の特別法ということになるので、NICTが行う場合には、構成要件に該当すると解されることはないことになります。

一般論としては、以上になるわけですが、気になるのは、この規定は、従来の不正アクセス禁止法との関係からいくとどう位置づけられるのか、ということになります。
識別符号は、アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされているなどの性格を有するものである(不正アクセス禁止法2条2項)。
「通常、この番号、記号等として用いられているのが相手方ごとに付けられるIDとその相手方以外のものが知らないようにされているパスワードである」とされています。

上記の定義から、①特定利用を認める相手方ごとに違うものであること、②その相手方以外に用いることができないようなものであることの2つの要件を備える必要がある と考えられています。これは、特定利用を認める相手方ごとに違うものであることを求めるので、「複数の利用権者等に同一の符号が付されないようにするとともに、どの利用権者等に付されたものであるかが分かるように付されていることが必要」と解されています。

もっとも、具体的な事例となると明らかではありません。

「guest」、「anonymous」等の誰もが特定電子計算機を利用できるように広く公開されているID.パスワードについては、識別符号に該当しないと解される一方で、特定電子計算機の特定利用の一部(例えばウエブサイトの閲覧)についてはすべてのネットワーク利用者に許諾し、その他の特定利用全体はアクセス管理者のみがID・パスワードを入力して行うような場合には、利用権者等は複数存在し、符号によりアクセス管理者を他の利用権者と区別して識別することができるから、当該ID.パスワードは識別符号に該当すると解されています 。

いわゆるデフォルトで不特定多数が認知しうるものは、どうか、ということですが、上の解釈でいえば、もはや識別符号とはいえないということになりそうですが、明確ではありません。

そこで、特に、NICTが業務として、「弱いパスワードとして考えられたもの(不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないもの)」をいれて、アクセスする行為については、不正アクセスとして構成要件に該当しないとした、ということになります。

このような行為を構成要件該当性から除外するのは、適切か、という問題は、調査をされる側から考える場合に、明らかになってきます。このブログでもふれましたが、アクセスされる側からすると、NICTがアクセスしたのか、どうか、というのは、よくわからないわけです。不正にアクセスされたとなれば、それに対して、対策をとらなければならないわけです。それに対して、「通信履歴等の電磁的記録を作成すること」を義務づけて、透明性を確保するのであるから、例外として認めましょう、ということで、セキュリティの機密性に対する侵害の例外を認めたわけです。

それだけ、IoT機器に対するセキュリティの維持の要請が高いと認識されたということになります。

この改正に関して、では、たとえば、「ログイン後に、システム情報を取得するというコマンドを入力することはどうなるの?」という話がでています。「電気通信設備の特定利用をし得る状態にさせる行為をいう。」のは、構成要件該当性から除外されるわけですが、では、特定利用をしうる状態のもとで、さらに特定利用を現実的にする行為は、どうか、ということです。

これは、はっきりしないということになるかと思います。私(高橋)個人の解釈としては、コマンド入力も、基本は、システムの反応をなしうる状態を惹起しているので、解釈として「特定利用をし得る状態にさせる行為」であり、構成要件から除外されると解釈しています。ただし、その場合は、「国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき」という規定で、そのような行為がどのくらい限定されるのか、ということになるかと思います。

いま、一つ、留意しておくのは、「侵入テスト」という用語との関係ということになります。「侵入」という用語については、一般に、他人などのID/パスワードの利用によるアクセスと脆弱性を悪用してのアクセスの双方の場合に用いられます。

しかしながら、今回、この改正で認められているのは、「特定アクセス行為」なので、「他人などのID/パスワードの利用によるアクセス」ということになります。一方、「脆弱性を悪用してのアクセス」を許容しているわけではないので、NICTが、「侵入テスト」業者に変身したというわけではありません。

本来は、このような解説は、立法担当官が、コメントすべきなのかなあとも思いますし、まあ、このくらいは、条文を読めばわかるでしょ、ともいえそうな気もします。(ただ、不正アクセス禁止法との関係は、コメントはできないのかなあとも勘繰ったりしています)

なには、ともあれ、大きな「アクティブ・サイバー防御」という流れのなかにもはいる手法ですし、興味深いものということができます。

いま一ついうと、日本のドメインの中だけに限らないと、他の国のインフラのIoT機器にアクセスしたりすると、問題が起きたりしますね。これは、おもしろい国際法の問題ということで、そのうちに。

専門家風の用語の落とし穴「アトリビューション」

セキュリティコミュニティ的には、「インチキ・サイバー用語」が、いま流行しています。

私のブログでも、人気エントリの「責任分界点」は、まさにインチキ・サイバー用語を正確に理解しましょうという趣旨かと思います。それが他に説明してくれる人も分析もないので、根強い人気をもっているのでしょうね。

いま、一つ、「アトリビューション」も、この分類に入る可能性があります。犯人Aがサイバー攻撃を行った場合に、種々の状況から、その被害結果を惹起したのは、犯人Aであるというのを「アトリビューション」という用語を用いるのが用法として正解なのか、ということがひっかかるのです。

アトリビューションが、どのような側面で使われているか、というのをみていくと、

(1 )代位責任などの場合(wikipedia)

  これだと、現実に刑罰行為を起こしていない被告人に対して責任が拡大する法的原則をいう、とされています。代位責任、共謀、予備などを例にあげています。

なお、手元のcriminal lawの教科書は、英国のも米国のも、attributionという用語を用いていません。(Card,Cross and Jones とPodger,Hening,Taslitz &Garciaでは、触れられていません)

(2)会社代表者の行為を会社の行為と見なす場合

 Corporate attributionになるわけですが、会社法の場合でも代表者の行為が会社の行為とみなされるので、まさに責任の主体に対する帰属の問題が発生しますね。

(3)過失犯の場合

“Rethinking Criminal Law”は、この場合を取り扱っています。

(4)国際法の国家責任の場合

これは、たとえば、国家Aと親しいサイバー攻撃グループが、国家Bの重要インフラをマヒさせましたというような事案が代表的な場合です。(国家の機関でない場合に、そのような行為の結果は、国家に帰属するか、という意味でいいます)

その一方で、犯人Aの意図的な行為によって結果が発生した場合には、その行為は、犯人Aに帰属するとは、あまりいわないので、その場合に、アトリビューションというのは、どうも語感から、ピンとこないわけです。

(1)から(3)までは、国内法におけるアトリビューションの問題で(4)は、国際法のアトリビューションになります。

特に国際法においては、証拠としては、インテリジェンス報告が用いられること、国としての意思決定がなされること、証拠の優越で足りること、などで、国内法の刑事裁判とは、異なった原理で、アトリビューションがなされます。

また、行為者が決定された場合、その行為者が国家の機関でない場合には、国家責任の法理で、国家が、効果的なコントロールを有していない場合には、その行為は、国家に帰属しないということがいわれます。

これらの例をみるときに、wikipediaの説明のようにみずからの実行行為者の識別に際して、アトリビューションというのは、含まれないように思われます。

ただ、問題なのは、セキュリティの会議かなんかで、実行行為者の識別をアトリビューションとか呼ぶと、なにか専門的なこと知っているように見えてしまうということのような気がします。

世界的にも、国内法と国際法をきちんとわけて、議論するセキュリティ専門家は、国際法コミュニティ以外では、ほとんどみないので、どうしようもないのですが、アカデミズムに耐えられる用語法は、常に心がけておきたいなと思います。