サイバーセキュリティ戦略と「法」

サイバーセキュリティ戦略・サイバーセキュリティ 2018が決定しました。
具体的な案はこちらです(資料1)

報道は、こちら。(たとえば、ZD Net 政府の新たなサイバーセキュリティ戦略が決定–東京五輪後も視野)

資料は、概要と意見募集の結果も含まれているので非常に大部になります。

サイバーセキュリティ戦略の重点施策は(1)経済社会の活力の向上および持続的発展、(2)国民が安全で安心して暮らせる社会の実現、(3)国際社会の平和・安定および我が国の安全保障への寄与、(4)横断的施策――の4項目になるので、それらで興味のあるものをピックアップしてみましょう。

(1)経済社会の活力の向上および持続的発展

「経済社会の活力の向上および持続的発展」は、新たな価値創出を支えるサイバーセキュリティの推進、多様なつながりから価値を生み出すサプライチェーンの実現、安全なIoTシステムの構築にわけて論じられています。

「サプライチェーンのつながりの端で起こったサイバーセキュリティの問題が、実空間、さらには、経済社会全体にこれまで以上に広く波及し、甚大な悪影響を及ぼすおそれがある。」(戦略16頁)という表現からわかるようにダウンストリームに注目されていますね。世界的には、サプライチェーンという用語は、むしろ、機器が自分の手元にくるまでにセキュアなのか、ということのほうが一般的ですね。
ただ、17頁ででるように官公庁の調達物資のセキュリティについても今後は、考えていきますというのは、非常にいい傾向なのかと思います。
(事務所のアクセスの足回りは、Nuroなので、偉そうなことはいえない私です)

安全なIOTシステムについては、でました「責任分界点」ですね(戦略18頁)。我がブログの一番人気用語です。ここでは、「責任分界点(既知の脆弱性への対応に関する製造者責任や運用者等の安全管理義務などインシデント発生時における各主体の法的責任を含む)」という形で、liabilityの用語をいれている意味で、物理的な安全管理基準の適用範囲という実定法上(たとえば、電気通信事業法41条ね)に限定すべきという私の立場にケンカを打っているわけですが、とりあえず、「含む」として、実定法上は、ここらへんはいれないのが一般だけど、許してね、という感じがでているので許すことにしましょう。

「範囲や定義、物理安全対策」もふれています。自動車の安全基準といっても、これから、つながるシステムのうちのどこまでが、「自動車システム」なのか、という考え方がでてきますね。その意味で、「範囲や定義、物理安全対策」という意味が書いてあるんでしょうね。深いです。

「脆弱性対策」(戦略18頁)の「機器製造事業者、電気通信事業者、利用者等の各々の主体の相互理解と連携の下で取り組むべきである」という用語も深いですね。脆弱性研究会(脆研)が脆弱性についての一定の調整作業等をおこなっていますが、通信機器については、さて、どうしましょうか、ということもでてくるわけでしょうね。まさに「連携の下で取り組むべきである」というのは、そのとおりなのですが、どうするといいのか、実際に考えていかないといけません。

(2)国民が安全で安心して暮らせる社会の実現

国民が安全で安心して暮らせる社会の実現は、国民・社会を守るための取組、官民一体となった重要インフラの防護、政府機関等におけるセキュリティ強化・充実、大学等における安全・安心な教育・研究環境の確保、2020 年東京大会とその後を見据えた取組、従来の枠を超えた情報共有・連携体制の構築にわけて論じられています。

これらの項目のなかで、法的な観点から、興味深い点としては、以下の点になるかと思います。

「サイバー関連事業者等と連携し、脅威に対して事前に積極的な防御策を講じる「積極的サイバー防御」を推進する。具体的には、国は先行的防御を可能にするための脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用、ボットネット対策等、サイバー犯罪・サイバー攻撃による被害を未然に防止できるような取組を推進する」という記載(戦略21頁)が、気になります。

「アクティブ防衛」という用語との関係については、以前のエントリでふれたことがあります。法的に厳密にみた場合に、これらの取り組みは、サイバー犯罪・攻撃の実行行為がなされる以前と実行行為がなされた以降の対応が、含まれているのは、考えておいたほうがいいように思います。

まず、世界的に「アクティブ(サイバー)防衛」というのは、「実行行為がなれた以降」に、その実行行為がなされたことを契機にして、実行行為者に対して、強制力を行使することによって、証拠の収集・将来の実行行為の抑止をなしうるのか、というのを議論するのに、使われるのが「主たる」場合(このように法的に整理して論じる論者も多くはないです)です。

エントリの「アクティブサイバー防衛手段(active cyber defense measure)確実化法」でも、攻撃者に対するアクセスを論じていることからも、わかるかと思います。

ここで、日本でいう「積極的サイバー防御」の推進、というのをそのまま「日本でもアクティブ防衛方針になりました」というと、例によって、ロスト・イン・トランスレーションになります( communicatonを当然に遠隔通信と訳するがごとし)。

「脅威情報の共有・活用の促進、攻撃者の情報を集めるための攻撃誘引技術の活用」は、むしろ、サイバーインテリジェンスのうちの、事前のインテリジェンスと捉えるほうが言いように思います。「ボットネット対策等」については、情報共有と、実際のテイクダウン、場合によっては、ホワイトワーム投入作戦があります。特に、テイクダウン作戦、ホワイトワーム投入作戦については、法的な整理が必要なので、夏の間に論文をまとめることにしましょう。(関係省庁さんからの委託調査でもいいです)

あと、仮想通貨、自動運転車についても言及されているのは、興味深いです(戦略21頁)。

サイバー犯罪への対策について、「新たな捜査手法の検討」がはいっています(戦略21頁)。この点は、注目ですが、GPS捜査最高裁判決みたいに、オレオレ合法論で突っ走ったりしないようにということでしょうか。

個人的には、サイバー攻撃より、熱波攻撃対応で、夕方から夜中に競技をするようなスケジュール変更を早急に考えることのほうが、優先順位が高そうな気がしますけども、それは、さておきましょう(警備の問題があるのかもしれませんが)。

(3) 国際社会の平和・安定及び我が国の安全保障への寄与
国際社会の平和・安定および我が国の安全保障への寄与としては、自由、公正かつ安全なサイバー空間の堅持、我が国の防御力・抑止力・状況把握力の強化、国際協力・連携について論じています。

ここでは、特に、「国際社会の平和と安定及び我が国の安全保障のため、サイバー空間における法の支配を推進することが重要である。」(戦略32頁)は、注目されます。これは、基本的には、わが国としては、このような観点を打ち出していたわけですが、これだけ明確に記載してあるとインパクトがあるなあと改めて思います。「これまでに明らかにされた責任ある国家の行動規範について、着実な履行・実践を通じ普遍化を進める。そうした規範を国際社会に広げ、国家実行を積み重ねていくことで、規範に反する行動を抑止する。」ということで、まさに、サイバー規範の重視ということで、なかなか、責任ある宣言だなあと思います。

また、「サイバー攻撃に対する国家の強靱性を確保し、国家を防御する力(防御力)、サイバー攻撃を抑止する力(抑止力)、サイバー空間の状況を把握する力(状況把握力)のそれぞれを高めることが重要である。」(戦略33頁)も重要です。

「防衛産業が取り扱う技術情報等は、それが漏洩・流出した場合の我が国の安全保障上の影響が大きいため、安全な情報共有を確保する仕組みの導入、契約企業向けの新たな情報セキュリティ基準の策定、契約条項の改正等の取組を行う。これらについて、官民連携の下、下請け企業等を含めた防衛産業のサプライチェーン全体に適用することを前提とした検討を行う。」というのは、防衛産業サイバー基盤という感じになるのでしょうか。興味深いです。

「伊勢志摩サミットにおいて G7 首脳が確認したとおり、一定の場合には、サイバー攻撃が国際法上の武力の行使又は武力攻撃となり得る」(戦略33頁)
まさに、わが社のここの記載(サイバー攻撃と武力行使)みてね、ということで、一般的な国際法コミュニティの見解そのものになります。

「また、G7 ルッカ外相会合において確認したとおり、悪意のあるサイバー攻撃等武力攻撃に至らない違法行為に対しても、国際違法行為の被害者である国家は、一定の場合には、当該責任を有する国家に対して均衡性のある対抗措置及びその他の合法的な対応をとることが可能である」(同)ということで、これも、ちゃんと対抗措置についてコメントがなされており、さらに合法的な対応(外交その他)についてもコメントがなされています。きわめて法的な記述であり、興味深いです。

「同盟国・有志国とも連携し、脅威に応じて、政治・経済・技術・法律・外交その他の取り得る全ての有効な手段と能力を活用し、断固たる対応をとる。」まさに、SONYピクチャーズ事件、ワナクライ事件、NotPetya事件などでの各国の国家実行 (CyCon Xでも何回か話にでました)をベースにした記述です。

これらは、まるで、シュミット先生のまとめを聞いているみたいな記述です。

興味深いというか、むしろ、戦略文書にこれだけ法的に、しかも正確な記述がはいってきたということで感慨深いものがあります。

(4)横断的施策

横断的施策は、人材育成、研究開発の推進、研究開発の推進、全員参加による協働が述べられています。興味深い点は、以下のところでしょうか。

「政府機関や企業等の組織を模擬したネットワークに攻撃者を誘い込み、攻撃活動を把握すること」(戦略40頁)がふれられています。攻撃がなされている間に、受信者(?)が、真の受信者の代わりに、デコイに通信してあげるという、個人的には「通信の秘密」との整理は、どうなっているの?作戦のひとつになります(解釈論としては、「取扱中とはいえない」とか、「受信者の承諾がある」とかいうのかと思いますが、通信は、一方の承諾でいいというのは、例外だったよね、とかあります)。

また、「政府機関や重要インフラ事業者等のシステムに組み込まれている機器やソフトウェアについて、必要に応じて、不正なプログラムや回路が仕込まれていないことを検証できる手段を確保することが重要である」(戦略40頁)。イギリスのGCHQにいったときに、技術の担当の方は、このような業務をになっていましたね。お約束ですが、GCHQの組織は、「ロンドンのとある映画会社の地下深く」 (オジサマお待ちかね-オープニング)にありました(?-UFOっていうテレビみたいだね、というのが私の感想)。
日本だとクールジャパンのセットかなんかをつくって、そこの地下に調査会社つくるとか、いかがでしょうかね。

「中長期を視野に入れて、サイバーセキュリティと、法律や国際関係、安全保障、経営学等の社会科学的視点、さらには、哲学、心理学といった人文社会学的視点も含めた様々な領域の研究との連携、融合領域の研究を促進する。」(戦略41頁)です。まあ、戦略のここらへんというのは、どうも、帳尻あわせみたいな感じがするわけですが、このような視点は、本当に大事なので、ぜひとも実現してほしいと思います。
CyConに自費でいって、詳細な報告書あげているわけですが、これが自腹感満載というのは、来年は、なんとかしていただきたいと思います。出張報告に私のブログ使った人は、ぜひとも、私の来年の旅行に、貢献してほしいなあと考えていたりします。

ということで、非常に興味深いサイバーセキュリティ戦略でした。

急増するIoT機器への攻撃、対策に不可欠な法的整備とは?

前のエントリの関係で、WirelessWire News「急増するIoT機器への攻撃、対策に不可欠な法的整備とは?」という記事についてもみていきましょう。

IoTセキュリティ総合対策では、「脆弱性対策に係る体制の整備」「民間企業等におけるサイバーセキュリティ対策の促進」、セキュリティ関連技術の「研究開発の推進」、セキュリティ関連の「人材育成の強化」、「国際連携の推進」がでています。

ここで、「脆弱性」という用語について、もう一回考え直してみました。

私(高橋)が委員を務めているIPAの脆弱性研究委員会では、2002年から、脆弱性についての対応についての枠組みを検討してきています。

そこでは、脆弱性については、「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)をいう。」と定義されています(経済産業省告示第十九号・第1・1・3(3))。

ここで、弱いパスワードというのは、この脆弱性に含まれるのか、という問題があるだろうと思います。不正アクセスとの関係でいえば、識別符号に関する不正アクセスと、脆弱性悪用の不正アクセスがあることはふれましたが、普段の会話としては、用語的には、後者の場合のみを脆弱性と呼んでいるように感じます。(ただし、上の定義でも、ウエブアプリケーションの場合は、これに限られません)

そうだとするとこの記事も「パスワード設定が脆弱であるIoT機器を広域スキャンを実施して調査し、脆弱性がある機器に関する情報をICT-ISAC経由で通信事業者に提供する」を「パスワード設定が脆弱であるIoT機器を広域スキャンを実施して調査し、アクセスに対して脆弱である機器に関する情報をICT-ISAC経由で通信事業者に提供する」と表現しておいてもらえるといいのかな、と思ったりします。

この場合は、「NICTが行う脆弱性調査は、NICTが作成した実施計画について総務省が関係行政機関と協議の上で認可する」という表現も、「NICTが行う脆弱な識別符号に関する調査は、NICTが作成した実施計画について総務省が関係行政機関と協議の上で認可する」という表現になりますね。

一定のプログラムに伴うものを脆弱性と呼び、それ以外を脆弱な設定とでも定義したら、すっきりするのかなとか、ふと思ってみました。

NICT法改正と不正アクセス禁止法

電気通信事業法およびNICT法が改正されました。「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」ということになります。条文は、こちらです。
基礎的な資料は、こちら

このうちのNICT法改正の部分についてみていきます。オムニバス法というのかと思いますが、そのうちのNICTの調査権限のほうについてまとめてみましょう。

趣旨としては、「国立研究開発法人情報通信研究機構(以下「機構」という。)は、平成三十六年三月三十一日までの 間、特定アクセス行為を行い通信履歴等の電磁的記録を作成すること、特定アクセス行為による電気通信の送信先の電気通信設備に係る電気通信事業者に対し、送信型対電気通信設備サイバー攻撃のおそれ への対処を求める通知を行うこと等の業務を行うこととすること。 」ということになります

条文も、ちょっと分析してみましょう。

1 組織法上の根拠

一定の行為をなすにあたっては、まずは、組織法上の根拠が必要です。その点については
(国立研究開発法人情報通信研究機構法の一部改正)
第二条
(略)
2 機構は、第十四条及び前項に規定する業務のほか、平成三十六年三月三十一日までの間、次に掲げる業務を行う。
一 特定アクセス行為を行い、通信履歴等の電磁的記録を作成すること。

このように「特定アクセス行為」というのが、キーとなる概念になります。これは、
2条4
「特定アクセス行為 」

 機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信元とする電気通信の送信をおこなう行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能にかかる他人の識別符号(当該識別符号について電気通信事業法第52条第1項または第70条第1項第1号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。)を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。

と定義されています。

この特定アクセス行為について、どう考えるのか、というと、
不正アクセス禁止法2条・4項・1号における不正アクセス禁止行為の定義から、

「及び国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき同法附則第八条第二項第一号に掲げる業務に従事する者がする同条第四項第一号に規定する特定アクセス行為を除く」

とされていて、不正アクセス禁止法の定める構成要件から、除かれるという定めになっています。

この除外規定は、不正アクセス禁止法のいわば、NICTが行う場合の特別法ということになるので、NICTが行う場合には、構成要件に該当すると解されることはないことになります。

一般論としては、以上になるわけですが、気になるのは、この規定は、従来の不正アクセス禁止法との関係からいくとどう位置づけられるのか、ということになります。
識別符号は、アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされているなどの性格を有するものである(不正アクセス禁止法2条2項)。
「通常、この番号、記号等として用いられているのが相手方ごとに付けられるIDとその相手方以外のものが知らないようにされているパスワードである」とされています。

上記の定義から、①特定利用を認める相手方ごとに違うものであること、②その相手方以外に用いることができないようなものであることの2つの要件を備える必要がある と考えられています。これは、特定利用を認める相手方ごとに違うものであることを求めるので、「複数の利用権者等に同一の符号が付されないようにするとともに、どの利用権者等に付されたものであるかが分かるように付されていることが必要」と解されています。

もっとも、具体的な事例となると明らかではありません。

「guest」、「anonymous」等の誰もが特定電子計算機を利用できるように広く公開されているID.パスワードについては、識別符号に該当しないと解される一方で、特定電子計算機の特定利用の一部(例えばウエブサイトの閲覧)についてはすべてのネットワーク利用者に許諾し、その他の特定利用全体はアクセス管理者のみがID・パスワードを入力して行うような場合には、利用権者等は複数存在し、符号によりアクセス管理者を他の利用権者と区別して識別することができるから、当該ID.パスワードは識別符号に該当すると解されています 。

いわゆるデフォルトで不特定多数が認知しうるものは、どうか、ということですが、上の解釈でいえば、もはや識別符号とはいえないということになりそうですが、明確ではありません。

そこで、特に、NICTが業務として、「弱いパスワードとして考えられたもの(不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないもの)」をいれて、アクセスする行為については、不正アクセスとして構成要件に該当しないとした、ということになります。

このような行為を構成要件該当性から除外するのは、適切か、という問題は、調査をされる側から考える場合に、明らかになってきます。このブログでもふれましたが、アクセスされる側からすると、NICTがアクセスしたのか、どうか、というのは、よくわからないわけです。不正にアクセスされたとなれば、それに対して、対策をとらなければならないわけです。それに対して、「通信履歴等の電磁的記録を作成すること」を義務づけて、透明性を確保するのであるから、例外として認めましょう、ということで、セキュリティの機密性に対する侵害の例外を認めたわけです。

それだけ、IoT機器に対するセキュリティの維持の要請が高いと認識されたということになります。

この改正に関して、では、たとえば、「ログイン後に、システム情報を取得するというコマンドを入力することはどうなるの?」という話がでています。「電気通信設備の特定利用をし得る状態にさせる行為をいう。」のは、構成要件該当性から除外されるわけですが、では、特定利用をしうる状態のもとで、さらに特定利用を現実的にする行為は、どうか、ということです。

これは、はっきりしないということになるかと思います。私(高橋)個人の解釈としては、コマンド入力も、基本は、システムの反応をなしうる状態を惹起しているので、解釈として「特定利用をし得る状態にさせる行為」であり、構成要件から除外されると解釈しています。ただし、その場合は、「国立研究開発法人情報通信研究機構法附則第九条の認可を受けた同条の計画に基づき」という規定で、そのような行為がどのくらい限定されるのか、ということになるかと思います。

いま、一つ、留意しておくのは、「侵入テスト」という用語との関係ということになります。「侵入」という用語については、一般に、他人などのID/パスワードの利用によるアクセスと脆弱性を悪用してのアクセスの双方の場合に用いられます。

しかしながら、今回、この改正で認められているのは、「特定アクセス行為」なので、「他人などのID/パスワードの利用によるアクセス」ということになります。一方、「脆弱性を悪用してのアクセス」を許容しているわけではないので、NICTが、「侵入テスト」業者に変身したというわけではありません。

本来は、このような解説は、立法担当官が、コメントすべきなのかなあとも思いますし、まあ、このくらいは、条文を読めばわかるでしょ、ともいえそうな気もします。(ただ、不正アクセス禁止法との関係は、コメントはできないのかなあとも勘繰ったりしています)

なには、ともあれ、大きな「アクティブ・サイバー防御」という流れのなかにもはいる手法ですし、興味深いものということができます。

いま一ついうと、日本のドメインの中だけに限らないと、他の国のインフラのIoT機器にアクセスしたりすると、問題が起きたりしますね。これは、おもしろい国際法の問題ということで、そのうちに。

「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について

内閣官房内閣サイバーセキュリティセンター(NISC)から「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集がでています。

これは、「サイバー攻撃によりシステムの不具合が発生し、それが「重要インフラサービス障害」(以下、「サービス障害」といいます。)にまで至ってしまった場合に、そのサービス障害が国民社会に与えた影響の深刻さを表す」ものになります。

「重要インフラサービス障害」とは、「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」と定義されています。

「重要インフラサービスの安全かつ持続的な提供に支障」という要件に該当した場合に、どのような効果が発生するのか、というのが、気になります。

もともととしては、「重要インフラの情報セキュリティ対策に係る第4次行動計画」に基づいており、この計画は、「サイバーセキュリティ基本法」(平成26年法律第104号)の基本理念にのっとっているので、この要件に該当する場合は、「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合」(サイバーセキュリティ基本法附則2条)ということになるかと思います。

この場合の法的な効果としては、「国民の生命、身体又は財産に重大な被害が生じ、又は生じるおそれがある緊急の事態への対処及び当該事態の発生の防止」(内閣法15条1項の内閣危機管理監の職務)に該当することになる、というのか組織法上の効果になるかと思います。

具体的な政府の対応手法を発動させるのか、という点についていえば、「我が国の平和と独立並びに国及び国民の安全の確保に関する法律(以下、事態対処法という)」についていえば、同法21条の「国及び国民の安全に重大な影響を及ぼす緊急事態」と上の「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」が、同一であるのか、という解釈上の論点が発生します。

もし、この重要インフラ支障事態(?)が、上の「国及び国民の安全に重大な影響を及ぼす緊急事態」と同一であるならば、法的には、同法21条2項の
「一 情勢の集約並びに事態の分析及び評価を行うための態勢の充実
二 各種の事態に応じた対処方針の策定の準備
三 警察、海上保安庁等と自衛隊の連携の強化」
の措置をとることができることになります。

国際法的には、このサイバー攻撃が、主権の侵害をおよぼす(干渉)ものであれば、国際的違法行為として対抗措置を許容するということになりそうです。主権の絶対性の対象となる物に関する干渉(interference)は、国際法の侵害になるとされているわけです。ここで、干渉とは、そのものに損傷(damage)を与えるか、もしくは、その機能を重大に損なわせることをいいます。

でもって、この深刻度評価基準ですが、何の効果をもたらすのか、というのが、私のレベルでは分析できないので、基準として、妥当なのか、どうかというのもコメントできないですね。

(ちなみに、脆弱性に関しては、脆弱性自体の深刻度と、社会に対する影響度というのを分けています。用語も統一されていないというのも微妙な感じがしますね)

情報処理 2017年11号「IoT時代のセーフティとセキュリティ」

タイトル通りですが、情報処理 2017年11号は、特集が「IoT時代のセーフティとセキュリティ」になります。

この問題については、私は、「IoT の脆弱性と安全基準との法的な関係」という論文を記していた(InfoCOM Review 第69号(2017年7月31日発行) )こともあり、興味深く読ませていただきました。

それらしき記述はありますが、「セーフティとは○○である」これに対して「セキュリティは、××である」という定義に該当する記載がないので、締まりが悪く感じてしまいます。また、保安基準、安全基準とセキュリティの関係についての議論もありません。

情報処理学会だからといって、社会的なアプローチが軽視されているのではないでしょうか、というちょっとした感想をもってしまいました。

EU報告書のIoTの定義

EUでは、「Definition of a Research and Innovation Policy Leveraging Cloud Computing and IoT Combination」という報告書が、2015年5月に公表されています。

この報告書におけるIoTの定義は、「インターネット・オブ・シングスは、適切な方法で自律的に対応できるようにネットワークにおけるほかの対象/構成員と情報を共有し、事象/変化を認識することを可能にする。したがって、IoTは、行動および価値創造を導くモノ(機械、建物、自動車、動物、その他)におけるコミュニケーションを構成する(“The Internet of Things enables objects sharing information with other objects/members in the network, recognizing events and changes so to react autonomously in an appropriate manner. The IoT therefore builds on communication between things (machines, buildings, cars, animals, etc.) that leads to action and value creation)」というものになります。

この定義も、では、情報システム同士のコミュニケーションは、含まれるのか?とか、物が主体なのか、ネットワークが主体なのか、それともコミュニケーションが主体なのか、という点についての回答を与えてくれないので、あまり出来のいい定義とはいえないかもしれません。どうも、社会のエコシステムとしてのIoTを考えているところがポイントのようです。これは、これで面白い考え方ですね。

個人的には、物がつながるとして見ていたし、それによるリスクを注目していたのですが、むしろ、仮想的な処理プロセスまでもがつながるIoTというエコシステムという考え方のほうが現代的で、生産的かもしれません。ちょっとしたインスピレーションです。

IoTの法的定義

そういえば、「総務省 「IoTセキュリティ総合対策」の公表」でふれたときに、IoTって、どこで、どう定義されているんでしたっけ?という話が出てきたので、すこしメモしておきましょう。

ITU(国際電気通信連合)の勧告(ITU-T Y.2060(Y.4000))「Internet of Thingsの概観」による定義においては、「情報社会のために、既存もしくは開発中の相互運用可能な情報通信技術により、物理的もしくは仮想的なモノを接続し、高度なサービスを実現するグローバルインフラ」をいうものと定義しています。( A global infrastructure for the information society, enabling advanced services by interconnecting (physical and virtual) things based on existing and evolving interoperable information and communication technologies)

また、IPAの「IoT開発におけるセキュリティ設計の手引き」においては、9頁においては、「本書におけるIoTの定義」といっています。もっとも、何が入って、何が入らないかについての必要十分な記述という意味での定義らしいものは、ないのですが、サービス提供サーバ・クラウド、中継機器、システム、デバイス、直接相互通信するデバイスを構成要素とする全体像を検討対象とするべきであるとしています。

法的な定義としては、官民データ活用推進基本法における、「インターネット・オブ・シングズ活用関連技術」の定義(同法2条3項)が参考になります。同項は、「この法律において「インターネット・オブ・シングス活用関連技術」とは、インターネットに多様かつ多数の物が接続されて、それらの物から送信され、又はそれらの物に送信される大量の情報の活用に関する技術であって、当該情報の活用による付加価値の創出によって、事業者の経営の能率及び生産性の向上、新たな事業の創出並びに就業の機会の増大をもたらし、もって国民生活の向上及び国民経済の健全な発展に寄与するものをいう。」としています。ですから、 その定義によるとき、「インターネットに多様かつ多数の物が接続されて、それらの物から送信され、又はそれらの物に送信される」状態をいうと定義することができるでしょう。

IoTに関しては、モノがつながる「インターネット」の問題ととらえるよりも、接続されている有体物のほうが問題なのではないの?というのは、このブログでも何回かふれたところです。
具体的には、
「安全なIoTシステムのためのセキュリティに関する一般的枠組」とか
「Cyber Physical System」とかですね。

そして、物なので、当然に、有体物となり(民法85条)、(とあるところで、モノには、著作物という使い方もあるでしょ、といわれたのですが、この点については、もうすこし考えます)、人の生命・身体・精神、有体物、金銭に対するハザードとなりうる、ことが考察の主たるポイントだろうとおもうわけです。

(もっとも、ITUは、意図的に仮想的なモノの接続を考えていますね。この仮想的なモノというのは、なんなのでしょうか。3.2.3は、thingについて「物理的な世界における対象物(有体物)もしくは、情報世界における目的(仮想ブツ)であって、通信ネットワークにおいて識別され、統合されうるものをいう」(With regard to the Internet of things, this is an object of the physical world (physical things) or the information world (virtual things), which is capable of being identified and integrated into communication networks. )と定義しています。仮想ブツについては、また、何かの機会に考えてみましょう。ネットワーク化されたAGI(汎用人工知能)自体だったりして?)

物については、いまのところ、様々な法的規制や安全基準、ガイドライン等が整備されて、一定の安全確保のための既存の枠組みが構築されているわけですが、その安全基準は、ネットワーク接続から生じるハザードに十分に対応できているわけではないと考えられます。そこでの対応が、IoT(というよりも接続された有体物-Connected Physical Thingsでしょうか- Cyber Physical Systemと呼ぶべきでしょうね)の大きな問題なのでしょう。

システムのどこかに、いわゆる脆弱性があった場合に、どのような問題が生じて、そのハザードに対して、どのような対応をとっていくべきか、という点については、「IoT の脆弱性と安全基準との法的な関係(高橋郁夫) 」という論考で考えてみました(Infocom review 第69号(2017年7月31日発行))。