サイバー攻撃による重要インフラサービス障害等の 深刻度評価基準(初版)(案)と「法的意味」

「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(初版)(案)」が公表されています。
資料としては、こちらです(資料6)。

これについては、私のブログでも、「政府、サイバー被害の深刻度指標 対抗措置の判断基準に」と「「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について」ですでにふれているところです。

この評価基準については、法的な立場から見たときに(1)内閣法15条1項の組織法的効果(2)事態対処法21条の「国及び国民の安全に重大な影響を及ぼす緊急事態」の効果を発生させるものであるのか、どうか。(3)国際法的に、違法な干渉行為に該当するか、という法的な効果に関連してそうですが、この基準の議論に関しては、一切議論がふれられていません。

ある意味で、(3)については、外向的な配慮のもとで、何を基準にするか、というのを明確にしないことは許容されるかと思います。が、(1)と(2)の効果については、それの該当性を支える判断基準となるのか、というのがわからないとコメントのしようがないかなと思ったりしています。

国際法的な見地からは、その対象が、「主権の絶対性を象徴する物」であるのか、どうか、という観点と、その機能が実際に損なわれたのか、ということが議論になります。

性質上、法的な効果との連携をいいがたいのは、わからないでもないですが、効果が「冷静かつ適切な対応を行えるようになることを目的とする取組」というのでは、その評価基準が、妥当か、どうかというのもなんともいえないような気がします。

法的な解釈では、効果を与えるのにふさわしいかという観点から、要件を決めていくみたいなアプローチが、いまは、一般になってきているような気がします。そういう観点からは、アプローチ的に微妙だと思います。

サイバーセキュリティ戦略本部 第19回会合

サイバーセキュリティ戦略本部 第19回会合が、平成30年7月25日に開催されており、資料が公表されています。

資料はこちらです。

検討すべき点は、非常にたくさんあります。私の興味としては、
(1)サイバーセキュリティ2018
(2)サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(初版)
(3)国立研究開発法人情報通信研究機構の中長期目標の改正案に対するサイバーセキュリティ戦略本部の意見
あたりでしょうか。

サイバーセキュリティ法/政策にかかわるのは、上あたりかなと思います。
まずは、最初に
(3)国立研究開発法人情報通信研究機構の中長期目標の改正案に対するサイバーセキュリティ戦略本部の意見
から見ていくことにしましょう。

CyConX travel report Day -1 Stockholm

Stockholm の2日目です。

近くの教会を朝に訪問。

らでホテルに戻って観光戦略をたてましょうと思っていたら、ちょうど、ホテルへの途中で、赤い車体のHop On Hop Offバス(2階建てバス)が止まっていたので、それで観光することに予定変更。

地図でもわかるとおり、中心街を回ってガムラスタン、バイキングライン停留所を回って、シティを経て、ユールゴールデン島にいきます。

でお目当ては、ヴァーサ号博物館です。

グスタフ2世の命で作られた船が、沈んでしまったのを引き上げて、復元した船がメインです。

この引き上げ作業、復元作業、船尾のきれいな装飾など、満喫しました。3時間くらい、上から、下の階まで全部見ました。

 

午後1時すぎくらいに、見終わって、次は、Skansen移動しようとして、ちょっとだけバスをまたけど、こなかったので、マップで調べたら、数百メートルとのことで、歩いて移動。ヴァーサ号博物館側にも、入り口があるので、入り口までは、本当にすぐでした。

スカンセンは野外博物館で、動物園という感じでいろいろ動物も見てきました。とにかく広いです。

でもって、歩き疲れたところで、観光終了。また、赤いバスに乗って、旧市街に戻りました。

有名な市庁舎の見学でもって、観光終了です。

 

 

 

 

CyConX travel report Day -2 Stockholm

NATOのCCDCoEの主催するCyCon Xというセキュリティの会議に出席してきました。昨年、まとめのブログをあげましたところ、大好評を博しましたので、今年もチャレンジしたいと思います。

今年のCyCon出張は、たまっていたANAのマイレージでいくことにしました。なので、ANAだと、なかなかいいチケットがなかったですが、スターアライアンスでもって、ストックホルムで観光旅行をしてから、エストニアのタリンにはいることにしました。

土曜日に日本を出発して、当日ストックホルムにはいる日程(ウィーン乗り継ぎ-ストックホルム)を組んでいたところ、オーストリア航空の当該の便(OS52便)がディレイで、約2時間遅れで、成田を出国です。ちょうど、ウィーンで乗り継ぎの時間(1835着-2020発)が、105分なので、乗り継ぎに間に合わないだろうなと思いながら、行きの便に乗りました。

お楽しみは、飛行機の中の映画です。「グレーテストショーマン」と「ブラックパンサー」は、共に、最高でした。特にグレーテストショーマンは、名曲揃いで、映像とマッチング、This is Meは、圧巻

(NYでグレーテストショーマンから、Fameに流れるビデオ(Crosswalk the Musical on Broadway (w/ Hugh Jackman, Zendaya & Zac Efron))もいいですね。オリジナルのFameは、私の18番)

結局、ウィーンで、パスホートコントロールをすぎて、サービスカウンターのところで聞いたところ、オーバーナイトキット(XLのTシャツ、歯ブラシ、ひげそりキットと櫛)、ホテルクーポンをもらって、空港の目の前のNHホテルで宿泊。ホテルとしては、空港にあるいてすぐなので、便利で、きれい。よかったです。

翌27日朝、搭乗が0615の飛行機でストックホルムに移動です。(ちなみに、26日夜の予約していたホテルは、結局、泊まれませんでした。保険は、効かないそうです)

ストックホルムのアーナンダ空港に到着したら、アーナンダエキスプレスで、中央駅まで、25分くらい。ホテルも中央駅隣接なのですごい便利でした。アーナンダエキスプレスの写真は、こちら。

荷物をおいて、携帯電話を充電して、街歩きです。ストックホルムは、いろいろな島から成り立っています。

特に観光地としては、ガムラ・スタンという旧市街が見どころだそうです。駅からもあるいて5分くらいです。

ノーベル博物館に

 

王宮の博物館をじっくりみて

 

衛兵交代式をちょっとみて、

 

大広場にて、お昼を食べたら、もう、脚が動きません。おとなしくホテルに。

 

高市早苗「安全保障分野のサイバーセキュリティ」について

高市早苗「安全保障分野のサイバーセキュリティ」というコラムがでています。

コラムの前半は、具体的な国家支援攻撃の具体例および各国のサイバードメインの認識が紹介されています。
これらの認識をもとに、後半では、「政治的には困難で大きな課題ではありますが、私は個人的に、「サイバー反撃を行わざるを得ない場合の法的課題の整理」や「サイバー反撃権の根拠法整備」については、作業を開始するべき時が来ていると考えています。」という意見が述べられています。

前半部分は、業界の人にとっては、当然の前提なので、ここでは、ふれません。
後半について、ちょっと検討していきます。といっても、ちょっとした感想です。

(1)タリン・マニュアルが紹介されていますが、この知識は、タリン・マニュアル1.0の段階のご紹介ですね。タリン・マニュアル2.0は、むしろ、「武力攻撃」の閾値以下の場合についての主権や対抗措置、デューデリジェンスについての詳細な分析がなされています。

(2)日本で「サイバー自衛権行使の可否」を議論することには、相当な困難が予想されます。>となっていて、証拠取得の困難性等からのアトリビューションの困難性があげられています。これは、他の国にとっても、ほとんど同じです。なぜに日本で、となっているのでしょうか。情報機関の貧弱さをいっているのか、証拠取得方策の問題をいっているのか、どうなのでしょうか。むしろ、自衛権にもとづく「有形力」の行使が議論されていないというのをいいたいのかもしれません。そうだとすると、アトリビューションの困難性をいうのはおかしいことになりますね。

そのあと、有識者ヒアリングについての話なので、スルーして、

(3)「『第1次提言』の執筆中で、本部長である私自身も時間を見つけてはパソコンに向かって作業中です。」とのことです。
多分サイバーセキュリティ戦略の改訂の話で、対抗措置の整理を考えているという報道に対応しているのかとおもいます。これは、昔、ブログでふれていますが、「自衛権」として整理するのか、「対抗措置」で整理するのか、ということが論点としてあるということかとおもいます。

法的な観点から、耐えられるような、第一次提言をお待ちしています、ということになりますね。

サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携

10月24日付け日経新聞に「サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携」という記事がでています。

「総務省とNTTコミュニケーションズなど国内のインターネット接続業者は2018年度をめどに、サイバー攻撃を⼀⻫に遮断する仕組みを作る。不正アクセスの発信源となるサーバーを即座にネットから切り離す。」ということです。

この仕組みのために、「DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定。その情報を業者間で共有し、犯⼈のサーバーからの攻撃指令を⼀⻫に遮断する。国内の有⼒な接続業者が連携して実効性を⾼める。」というのが、その手法ということになります。

この記事にも書いてありますが、「電気通信事業法では通信の秘密の保護がうたわれており、攻撃を起こすサーバーの情報の業者間での共有は進んでいなかった。」のですが、ガイドラインを年明けにまとめて、電気通信事業法などの法改正も検討する、ということだそうです。

電気通信事業法の通信の秘密を犯す行為については、同法4条において(秘密の保護)のタイトルのもと

(秘密の保護)

第4条  電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2  電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

となっています。

DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定した場合に、このサーバーの情報は、上の「他人の秘密」ということになるわけですが、現在の解釈では、「電気通信事業に従事する者に関する第1項の適用関係を明らかにするとともに、電気通信事業に対する利用者の信頼保持の観点から、電気通信事業に従事する者に対し、第1項よりも広い範囲の守秘義務を職務上の義務として課したもの」という趣旨になります。どちらにしても、このサーバーの情報は、具体的な通信を識別しうる情報なので、通信の秘密とてし保護されるデータとして、この4条の保護のもとにあるということになります。(よく、通信の構成要素をなすデータといわれますが、多分、そういうことだとおもいます)

ところで、このような保護されるデータについては、「「積極的な取得の禁止・窃用の禁止・漏えいの禁止」を意味するものと考えられています。そして、実務的には、「窃用」が、単に「用いること」と同義であると解釈されています。これは、法的な解釈本では、「窃用」とは、自己または他人の利益のために用いることをいう、とされており、公共の利益のために利用することは含まれないと解釈される余地があるのですが、実務(というか、担当課的には)そのような余地を認めない、むしろ、そのような行為は正当業務行為の解釈で対応する、というようにされていました。

でもって、ちょっと時代を遡ってみる(このごろ、こればっかり)、2004年3月にコンピュータソフトウェア著作権協会(ACCS)にDos攻撃が仕掛けられたわけですが、これがわかるのに、プロバイダーは、通信を届けて、攻撃に加担しなければならないのですか、という問題が出てくるわけです。

正当業務行為でもって、問題が起きるごとに、プロバイダーで法的許容性について議論したり、場合によっては、担当課に相談したりするということでは、とてもじゃないけど、実務的には回らなくなります。そこで、事前に許容される行為が検討されるといいねという感じに思えます。ただ、そのときには、「そうはいっても、結局、憲法の「通信の秘密」が同じ内容だとして、鎮座しているからねえ」ということで、実務規範的なものを事前に鼎立するというのは、不可能な感じでした。

私としては、ちょうど、「通信の秘密」が世界でも特別の規定とかいう話をきいて、なんか変だよねということで、ちょっと調査をして「ネットワーク管理・調査等の活動と『通信の秘密』」(JAIPAのHP内に掲載)・「通信の秘密の数奇な運命(憲法)」 (情報ネットワーク法学会誌第5巻(2006 年 5 月))という論考にまとめさせていただきました。

まさにそのような議論を背景に、ISP同士で、攻撃者の情報を共有することはどうなのか、というのは、2005年のInternet weekで議論されています。

このような動きのもと、プロバイダのホワイトリストを作りましょうという動きになり、「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン」(初版 2007 年 5 月 30 日(非公開)とつながったと理解しています。

そのような議論の提起から、既に10年以上が経過しています。いまでは、いわゆる大量通信等ガイドラインも「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」と名前を変えており、「通信の秘密」の解釈についても、かなりの程度、柔軟に対応されるようになってきました。

DDos攻撃に際して、プロバイダーがどのように対処をなすことができるかについては、サイバー攻撃等への対処ガイドラインに記載がなされています。

(1) サイバー攻撃等に係る通信の遮断については、被害者から申告があった場合、事業者設備に支障が生じる場合、送信元設備の所有者の意思と関係なく送信されるサイバー攻撃等の場合に遮断が認められています。

(2) 送信元詐称通信の遮断、(2) 送信元詐称通信の遮断、(4) マルウェア等トラヒックの増大の原因となる通信の遮断が、正当視業務行為として認められるとされており、また、(7) サイバー攻撃等への共同対処においても「情報提供を受けた電気通信事業者において当該特性に合致する通信を遮断してよいとされています。

今回の記事は、仕組みとしては、このガイドラインで許容されている枠組みをむしろ、公認し、積極的に推進しようという位置づけであるように思えます。そうだとすると、このようなセキュリティのための活動にも、予算とかがきちんと付くのでしょうか。非常に賢明な判断ということになるかもしれません。

あと、「電気通信事業法などの法改正も検討する」ということですと、どのような改正になるのでしょうか。興味しんしんというところでしょうか。私が「いいだしっぺ」であることは、みなさん、認めてくれるでしょうから、フォースの力で論文を書いたということを認めてもらえるかもしれません。

IPA「脆弱性届出制度に関する説明会」について

IPA「脆弱性届出制度に関する説明会」が開催されました。

そこで、この制度の利用者(?)の方から、いろいろな感想が「つぶやかれています」。この点については、「脆弱性届け出制度に関する説明会のつぶやきまとめ」でまとめられています。

私(高橋郁夫)個人としては、いわゆる「中の人」になりますので、具体的なこの制度の変更にいたった議論の経緯その他についてコメントすることは避けます。

ただし、この制度について、常にウワォッチし、あるべき制度を考えていた一法律家としてのコメントをさせていただければ、以下のとおりになるかと思います。

まずは、この制度が構築されたのが、2002-2003年の時期であったということは、さけて通ることができないと思います。その当時までに、時計を巻き戻してみましょう。

研究者・実務家の方が、脆弱性を見つけた、それを企業に対して、これ、脆弱性になるから直したらいいんじゃないの?と届けたときにどうなっていたでしょうか。

多分、何か、脅迫・恐喝つもりなのですか?という態度で開発者がまともにとなりあわないということになっていたのではないでしょうか。

(その端境期において、「脆弱性に警鐘?」という報道がされた事件もありました)

理屈から考えると、脆弱性が少ないこと、もし、見つかった場合には、真剣に、その届出に対応してもらって、できるかぎり、脆弱性のないソフトウエアを提供しましょう、というのが望ましいというのは、誰もが、合意してもらえるかと思います。しかしながら、現実は、「絶望的なぐらいに」そのありうべき姿と乖離していたのです。

その姿に対して、METIのTY氏などを中心に、ちょっと調査しませんかねえ、ということになったのが、

『セキュリティホールに関する法律の諸外国調査』 報告書になります。

もう、この段階において「責任ある開示」という概念を中心にして、どのようにして脆弱性の報告をとりあつかうべきかということが議論されていたのがわかるかと思います。

そして、実際に、IPA/JPCERT/CCにおいて早期警戒パートナーシップの構築にいたっていくわけです(2003年10月頃から2004年3月まで)。

この部分の仕組みについての報告書としては、「情報システム等の脆弱性情報の取扱いに おける法律面の調査 報告書 」になります。

「脆弱性」に対する基本的なスタンスということになりますが、この報告書をよんでいただけると、脆弱性の報告書については、まさに「責任ある開示」のスタンスを積極的に採用し、その意味で、そのスタンスがどこまで、実際のセキュリティのコミュニティで支持されるのか、まずは、やってみましょう、というものであったのがわかるかと思います。

望外なことに、この脆弱性の早期警戒パートナーシップは、わが国において、非常に、共感をもって受け入れられました。報告数は、着実に増えていきましたし、また、特に、実際の研究者・実務家の方々が、脆弱性を発見したら、まずは、この早期警戒パートナーシップの枠組みで報告しましょうと考えるにいたったように感じられたのは、非常に、ありがたく思えます。

また、この制度の考えていたことは、世界的にも、早期的なチャレンジに成功したものであったということは、特筆すべきものであったように思えます。

脆弱性情報の取り扱いについては、

ベンダ内部における脆弱性取扱手順については、「ISO/IEC 30111:2013 Information technology — Security techniques — Vulnerability handling processes」

第三者によって発見された場合の脆弱性開示については、「ISO/IEC 29147:2014 Information technology — Security techniques — Vulnerability disclosure」

が制定、公表されているのに至ったというのは、私たちのチャレンジが、世界的にみて、先進的な試みであって、また、そのチャレンジを成功させた日本のセキュリティコミュニティに対する極めて高い評価であったということもできるのではないかとおもいます。私たちは、この試みとこの結果を誇りに思っていいとおもいます。

ただし、この仕組みは、如何せん、

きわめて広範な「脆弱性」の定義に該当するものについて、その重要性についてなんら評価をせずにすべて「脆弱性」の有無を調査化した上で、あると判断したものについて調整を図ろうとした点

で、制度としての致命的な問題点を有していたと考えるべきではないかとおもいます。

というのは、脆弱性についていえば、まさに

「ISO/IEC 30111:2013 Information technology — Security techniques — Vulnerability handling processes」

が、そのプロセスで明らかにするように、

ベンダは、CSIRT/PSIRTのような仕組みを設けて、その製品について、脆弱性が見つかった場合には、そのような仕組みが、脆弱性に対して対応するのが、まさに標準である

という思考を前提に構築されているものです。

現代社会においてあるべき姿を考えるときに、ベンダ(開発者)がみずからの責任であって、セキュリティ的にも問題がないソフトウエアを開発して、その態度等が、ソフトウエアの性能と評価されて、市場において、もし、そのような態度にかけるソフトウエアがあれば、そのようにソフトウエアは、市場から、退出を迫られるという姿

を前提としているように思えますし、また、そうであるべきかとおもいます。

そもそも、IPAないしJPCERT/CCのリソースといえども、有限なわけで、そのリソースを、「広範な脆弱性」の定義に該当する場合に、「脆弱性というのは、攻撃者が悪用するものであって、その攻撃によって発生する問題点の重要性を事前に評価することはできない」という理屈でもって、ふんだんに使っていいということにはならないと考えます。

翻って、2017年の状況について考えてみるときに、

  • 現在においては、脆弱性のもたらすセキュリティ上の脅威が社会においても許容しうるものではないという認識が一般化しつつあるかとおもいます。
  • 開発者が、積極的に、脆弱性の届出受け付けの窓口をもうけるようになってきている。
  • 特に、バグバウンティ制度を導入する企業も増加している

などの事情を考えたときに

制度が構築された時期と比較して、セキュリティの重要性の認識/脆弱性解消の努力の正当な評価という観点からするとき、非常に良い方向に進展していると評価することができるのではないか、と個人的に考えます。

そうだとすると、もはや、脆弱性に関する認知が社会的に全く足りないので、それを、かなり「父権的な(パターナリスティックな)」制度でもって、脆弱性を消滅させる、そのために、IPAやJPCERT がなんでも/かんでも、脆弱性について、関与するというのをやめて、

社会的に、IPAやJPCERT が、関与するのが、許容されるような重要度の高いものに限って関与する

という制度にすべき

なのではないか、と考えます。そして、私としては、そのような考え方に基づいているのが、今回の制度改変なのではないか

と考えます。

確かに、いままでの、「脆弱性」について、これを発見したのであれば、IPAに届出て、これを前提として脆弱性の認定がなされて、調整がなされるという制度が当然であるという考えを前提とするのであれは、どういう改正なのか

という思いが生じるのは、わからないでもないです。ただし、そもそも、開発者が対応すべき「脆弱性」に対して、IPA/JPCERT/CCがリソースを避くことが当然であるという考え方のほうが、今となっては、あるべき姿からは遠ざかっているというように考えます。

むしろ、一定のスタンスを押し出して、脆弱性の対応については、「開発者」がなすべき重要な責務であるという大原則を前提とした制度にしたほうが、結果としては、更に日本におけるセキュリティ・コミュニティの成熟をみれるような気がします。

どうでしょうか。私としては、このチャレンジの結果は、むしろ、開発者さんにおいて、どれだけ私たちのメッセージをきちんと受け止めるかにかかっているかとおもいます。このチャレンジも成功することを期待しています。

Japanese view for remote search and seizure of extraterritorial data

I read Dr.Maria Osula san’s article” Notification requirement in transborder remote search and seizure;domestic and international law perspective” and found  very interesting.So I wrote the Japanese law aspects.

1  remote search and seizure in Japanese law.

Code of Criminal Procedure(Part I and Part II-CCP ) was amended in 2011.Amended code prepard the remote search and seizure  of remote stored data.

Article 99

(1) The court may, when it believes it to be necessary, seize articles of evidence or articles which are considered to require confiscation; provided, however, that this shall not apply when otherwise so provided. (2)Where the article to be seized is a computer, and with regard to a recording medium connected via telecommunication lines to such computer, it may be reasonably supposed that such recording medium was used to retain electromagnetic records, which have been made or altered using such computer or electromagnetic records which may be altered or erased using such computer, the computer or other recording medium may be seized after such electromagnetic records have been copied onto such computer or other recording medium.

LEA has the same authority if get warrant.

Article 218

(1) A public prosecutor,a public prosecutor‘s assistant officer or a judicial police official may, if necessary for the investigation of an offense, conduct a search, seizure, seizure ordering records or inspection upon a warrant issued by a judge. In such cases, the inspection and examination of a person shall be conducted upon a warrant for physical examination. (2) Where the article to be seized is a computer, and with regard to a recording medium connected via telecommunication lines to such computer, it may be reasonably supposed that such recording medium was used to retain electromagnetic records, which have been made or altered using such computer or electromagnetic records which may be altered or erased using such computer, the computer or other recording medium may be seized after such electromagnetic records have been copied onto such computer or other recording medium.

In the remote access case,warrant require the prescribe the scope of the data.

Article 219

(2) In cases of paragraph (2) of the preceding Article, in addition to the matters prescribed in the preceding paragraph, the warrant set forth in the preceding Article shall contain the scope to be copied out of the electromagnetic records with regard to the recording medium connected via telecommunication lines to the computer which is to be seized.

2 Notice of warrant/seizure

Warrants shall be shown to the person.

Article 110

The search warrant, seizure warrant or seizure warrant ordering records shall be shown to the person who is to undergo the measure.

But we have to consider the protection of the remote stored data which is controlled by the third parties.

But there is no legal measures to make a notice to third partise.

At the forfeiture,notice system was prepaed at the amendment of CCP.

First-aid Measures Law on Procedures to Confine Third-Party Ownership in Criminal Cases set out the protection of the third party when LEA goes to forfeiture.

Article 2 (1)
 In the case that the prosecutor raises the prosecution, it is not clear whether it belongs to the owner of a person other than the accused(hereinafter referred to as "third party" (belonging to the accused or belonging to a third party) Hereinafter the same shall apply), the prosecutor shall promptly notify  the third party in writing  of  the  following  matters  when  forfeiture  is deemed necessary.

Article 1 bis set out
With regard to the application of this Act, electromagnetic records attributable to persons other than the accused shall be deemed to belong to that person.

3 Exterritorial stored data

Therefore, there is a problem of how to understand when data exists abroad, this point has already been discussed at the first session of the legislation council.  We can understand it from the discussion of  the council member and office  member.

Let’s see the discussion.

Office “The problem of domestic and overseas in relation to the seizure set out at the item No5 is the procedure law issue, especially to do seizure or search for foreign recording media causes both issues under the criminal procedure law and sovereignty. It is generally a matter of sovereignty to apply enforced disposition on the recording mediums existing in other countries.Cyber Convention premise that the international cooperation procedure should be carried out.So in the cases that it was discovered or being confirmed/confirmed in the course of the investigation that it is a recording medium with such a problem, in the case of the Cyber Convention, it will be said that we will request a cooperation in accordance with the Convention, that is the case it is. ”

Member: “Do you understand it after you (access and ) open it?”

Office “Although there may be times when you try to open it, or if you know earlier that it is somewhere else in the country that such a remote storage location is not in Japan, I think that ,when you are aware of,we will take the procedure of international cooperation”

(Skip)

Member “Do you mean that LEA will inquire the data location of the current IP, that is, if LEA can not find out what country the network is connected from the screen, so LEA shall take a procedure to confirm which country server is with chasing the IP?

Office “Regarding the location of the computer, perhaps because there are various kinds of information in the process of investigation, it will be decided based on it.But once it is revealed that the medium is located in other countries,that is to take such a procedure of mutual assistance. I think that it is probably a case-by-case and that there are many in what kind of evidence will show the location.”

In other words,Japan’s stand point is that when LEA find the probability(possibility ?) of exterritorial search and seizure,LEA shall use the  mutual assistance procedure.

In case of “loss of place”, I think that there may be no discussion in Japan.

White Motion Bon Voyage

蔵本さんが社長を務めるWhite Motion社の設立記念パーティ(@フランス大使館)にご招待されましたので、出席してきました。

まずは、大使館のお庭です。すごく広くてきれいです。

 

蔵本社長のご挨拶

伊東隊長は、@METIのお偉い人でした。

社長と2ショット

 

お食事もおいしかったです。

お土産ありがとうございます。

 

 

サイバーセキュリティ2017

サイバーセキュリティ2017が公表されています

脆弱性まわり、あと、法律関係まわりをメモしていきましょう。

脆弱性まわりだと1.経済社会の活力の向上及び持続的発展の1.1. 安全なIoTシステムの創出の(3) IoTシステムのセキュリティに係る制度整備において、

(ウ)経済産業省において、JPCERT/CCを通じて、インターネット上の公開情報を分析し、国内の 制御システム等で外部から悪用されてしまう危険性のあるシステムの脆弱性や設定の状況に ついて、その保有組織に対して情報を提供する。

とか

(エ)経済産業省において、IPA(受付機関)とJPCERT/CC(調整機関)により運用されている脆弱 性情報公表に係る制度により、ソフトウェアに係る脆弱性について、「JVN」をはじめ、「JVNiPedia」(脆弱性対策情報データベース)や「MyJVN」などを通じて利用者に提供する。さらに、能動的な脆弱性の検出とその調整に関わる取組を行う。また、海外の調整機関 や研究者とも連携し、国外で発見された脆弱性について、国内開発者との調整、啓発活動を JPCERT/CCにおいて実施する。

1.3. セキュリティに係るビジネス環境の整備 (3) 我が国企業の国際展開のための環境整備
(ウ)経済産業省において、情報システム等がグローバルに利用される実態に鑑み、IPA等を通 じ、脆弱性対策に関するSCAP、CVSS等の国際的な標準化活動等に参画し、情報システム等の 国際的な安全性確保に寄与する。

とかがあります。

2.国民が安全で安心して暮らせる社会の実現 2.1. 国民・社会を守るための取組 (1) 安全・安心なサイバー空間の利用環境の構築
では、

(オ)経済産業省において、経済産業省告示に基づき、IPA(受付機関)とJPCERT/CC(調整機関)により運用されている脆弱性情報公表に係る制度を着実に実施するとともに、関係者との連携を図りつつ、「JVNiPedia」(脆弱性対策情報データベース)や「MyJVN」の運用などにより、脆弱性関連情報をより確実に利用者に提供する。
(カ)経済産業省において、JPCERT/CCを通じて、ソフトウェア等の脆弱性に関する情報を、マネジメントツールが自動的に取り込める形式で配信する等、ユーザー組織における、ソフトウェア等の脆弱性マネジメントの重要性の啓発活動及び脆弱性マネジメント支援を実施する。
(キ)経済産業省において、IPAを通じ、情報システムの脆弱性に対して、プロアクティブに脆弱性を検出する技術の普及・啓発活動を行う。
あと、
(ソ)内閣官房及び関係省庁において、サイバー空間を安全に利用でき、また安全に発展させるよう、サイバーインシデント情報やその脅威情報を分析し、民間等の関係主体と共有することで着実にそのインシデント等への対応に繋げるため、情報共有・連携ネットワーク(仮称)の構築・運用に向けた検討を進める。

も面白そうです。

法律関係まわりでは

1.3. セキュリティに係るビジネス環境の整備
(エ)文部科学省において、著作権法におけるセキュリティ目的のリバースエンジニアリングに関 する適法性の明確化に関する措置を速やかに講ずる。
は、ぜひともお願いします。私が報告書作ってから、10年になりますね。

(2)公正なビジネス環境の整備
(エ)経済産業省及び外務省において、情報セキュリティなどを理由にしたローカルコンテント要 求、国際標準から逸脱した過度な国内製品安全基準、データローカライゼーション規則等、 我が国企業が経済活動を行うに当たって貿易障壁となるおそれのある国内規制(「Forced Localization Measures」)を行う諸外国に対し、対話や意見交換を通じ、当該規制が自由貿 易との間でバランスがとれたものとなるよう、民間団体とも連携しつつ働きかけを行う。

は、興味深いです。

2. 国民が安全で安心して暮らせる社会の実現 2.1. 国民・社会を守るための取組 の(3) サイバー犯罪への対策の全体

3. 国際社会の平和・安定及び我が国の安全保障 3.2. 国際社会の平和・安定の
(1) サイバー空間における国際的な法の支配の確立

(2) 国際的な信頼醸成措置
とは、すべてが興味深いところです

あと、4.横断的施策 4.1. 研究開発の推進では、「内閣官房において、各府省庁と連携し、信頼性工学、心理学等の様々な社会科学的視点も含めた「サイバーセキュリティ研究開発戦略」を策定する。」となっています。社会科学のなかに法律がはいっているのかは?ですが、横断的な分析が入ってくるのは、興味深いところです。