サイバー規範についてのディナール宣言

サイバー規範についての主要7カ国(G7)外相会合によるディナール宣言がなされました。

新聞記事ですと、こちら(デジタル防衛へG7主導 外相宣言を採択、中ロ念頭に)でしょうか。

ここでは、サイバー規範(Cyber Norm)という用語が用いられています。

サイバー規範の定義は、マリアさんが司会したセッションの解説が一番いいみたいですね。あと、この「CyCon2017 travel memo 10) Day3」ブログでふれています。今のところ、最大公約数は、「政治的な規範は、国際法でまだ決まっていないことを決めようとするもの」という感じのようです。「法的拘束力あるルール、自発的に遵守されるルール、(国内的な)ルール」のうち、「自発的に遵守されるルール」のことをいうということでしょうか。
なお、国連GGEの失敗については、こちらでふれています。

G7の動向としては、2年前に安定化宣言をだしていました。

今回の宣言の原文は、こちらです

まずは、全部、訳してみましょう。(グーグル翻訳を下訳に使いました)

-外務省が訳すでしょうから、訳がでましたら、そちらを利用ください。

DINARD宣言

サイバー規範イニシアチブ

私たちの社会がますますデジタル化されるにつれて、すべての関係者がその恩恵を十分に享受できるようにするためには、サイバースペースにおける信頼、セキュリティおよび安定性を強化することが重要です。私たちは、国際法と基本的自由の適用が促進され、オンラインで人権が保護されている、オープンでセキュアで安定した、アクセス可能で平和なサイバースペースをすべての人に促進することを約束し続けます。
この文脈において、我々は、総会が国際法、特に国連憲章が適用可能であり、情報通信技術(ICT)環境の平和と安定を維持し、開かれた、セキュアな、安定した、利用可能な平和的な環境を促進することは、想起します。我々はまた、国連事務総長によって送信され、国連総会によって合意されて承認された、国際セキュリティ保障の文脈における情報通信分野の発展に関する政府専門家グループの2010年、2013年および2015年の報告の結論を想起します。ICTの使用において、すべての国家は、これらの報告書を導きとすることを求められています。

これらの報告は、ICTの利用における国家の責任ある行動の規則、原則および自主的かつ拘束力のない規範が、国際的な平和、セキュリティおよび安定へのリスクを軽減し、信頼醸成措置が、国際的平和とセキュリティを強化し、国家間協力、透明性、予測可能性および安定性を増大させることを強調しています。

我々は、既に認められた自主的で拘束力のない責任ある国家行動の実施についてのベストプラクティスと教訓を共有することに専念するサイバー規範イニシアチブ(Cyber Norm Initiative(CNI))を設立する意欲を確認します。私たちは、可能であれば、他の興味を持っているパートナーがこの試みに参加すること、または同様の演習を完了することを奨励します。これは、国連オープンエンド作業部会および政府専門家グループによる活動に貢献することとなり、これらの規範を遵守することの強い模範となることをめざすことになります。

サイバー規範イニシアチブの参加者として、私たちは次のことを約束します。
– サイバースペースにおける責任ある国家の行動の自主的で拘束力のない規範および上記の報告書に含まれる勧告を理解し、効果的に実施するために私たちの各州が講じた措置について、自発的および他者とのより良い自発的な情報交換を奨励する。 ;
– このプロセスの結果として識別されるであろうベストプラクティスと学んだ教訓を、幅広い国家や他の利害関係者と共有する。
– 他の国々と協力して、それらを私たちのピアラーニング、協同組合、透明性、および信頼醸成の取り組みに含める。
– 上記の自主的、拘束力のない規範や勧告を実行するためのパートナーの能力構築を支援するために協力する。
—–
国連としては、GGEがある意味で失敗に終わっていたのですが、まだ、その動きは、続いているということをG7が示した意義というのは、大きいでしょうね。

個人的には、規範を「自主的で拘束力のない責任ある国家行動」と定義している点で、国家実行も法源となるという国際法的な人たちとの用語の違いが気になったりするのですが、まあ、そこら辺は、ご愛嬌なのでしょうね。(国際法的には、ここでいうサイバー規範も、これに違反すると国際的違法行為になるので、法的に拘束力があると整理されるような気がします)

情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書 改訂版

「情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書改訂版」が公開されました。
リンクは、こちらです。(https://www.ipa.go.jp/files/000072543.pdf)

平成30年度は、大きな調査二つにかかわることができました。ともに、非常に我が国で重要な意味をもつものです。そのひとつである「情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書 改訂版」が公開されました。

「改訂版」とありますとおり、前のものは、2003年に作成されたものです。自分でいうのもなんですが、きっちりとしたもので、15年の長きにわたって、脆弱性の流通システムの実務のお手伝いができたかと思っています。

今年度は、経済産業省の告示(取扱規定)との関係をみながら、逐条解説部分が充実しているかと思います。また、脆弱性の調査をめぐるいろいろな論点についても、すこしふれています。

「脆弱性の調査に対して社会が無理解で」とかいう前に、まず、脆弱性の取扱について、私たちが、一定のルールを提案しているという事実に正面から向あってもらえるといいかと思います。

「通信の秘密」にコメントする前に気をつけたいこと

昨年来、なにかあると「通信の秘密」という言葉に関連して、報道されることが多くなってきました。

例えば、

(1)ISPによるブロッキングが、憲法の「通信の秘密」の規定に違反するおそれ

(2)NHKによる「総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も 」報道 (どうも、NHKの報道は消えていますね)

(3)捜査当局が、スマホからのデータ抽出は、「電話やメールの内容は憲法が定める「通信の秘密」に当たる。」

とかです。

個人的には、これらが、法的にきちんとした分析に基づいて「通信の秘密」という用語を用いてるのかなという疑念をもっています。

この点で、注意すべきことは、憲法における「通信の秘密」と電気通信事業法における「通信の秘密」が法律の概念としては、あって、それぞれの関係が不明であること、しかしながら、憲法の教科書では、ほとんど、同一であるとされる記述が一般であることです。

この点については、明確な検討がなされていないどいうことがいえるわけです。ただし、憲法の教科書の一般的なアプローチからは、憲法の通信の秘密も、(電気通信事業法と同じで)国内の遠隔通信に関して、電気通信事業者の取扱中にかかる通信に関する秘密を念頭において議論されているということになります。
(有線通信や無線通信はちょっとおきます)

ここで、電気通信事業者の取扱中というのは、「発信者が通信の発した時点から受信者がその通信を受けるまでの間をいい、電気通信事業者の管理支配下にある状態のものをさします」( 電気通信振興会 逐条解説 35ページ)。

例えば、スマホでいえば、そのスマホ内に物理的に保存されているデータは、利用者の管理支配下にあることになります。(利用者の宅内にある自営端末(略)は、「電気通信事業者の取扱中」とはなりえない)ちなみに、この物理的にどこで支配が変わるのか、というのが、責任分界点ですね。

なので、少なくても一般的な電気通信事業法の概念からいくと、例えば、改正NICT法での調査が、「通信の秘密」に違反するおそれとかいわれると?とおもうわけです。
(そもそも、根拠規定で、違法性が阻却されているだろうというのは、さておいてですが)

さらに、この話は、いま一つ、突っ込みがあるわけです。実は、逐条解説をみると、「蓄積機能を有する自営端末において、すでに蓄積された情報を事後に検閲する場合(略)などは、(電気通信事業法3条、4条-高橋の補充です 原文は3条)禁止している行為ではないものの、憲法21条2項および有線電気通信法9条違反に該当する行為となりうる」(35ページ)と記載されています。

なので、そのレベルで、解釈論をなしているのであれば、(2)および(3)は、嘘とはいえないということになります。もっとも、(2)および(3)ともに法的な根拠があってなしている行為なので、そもそも違法とは考えられないという根本的な問題をなぜに無視するのか、という当たり前の問題が残ることになります。

NICT法によるアクセスの総務省令による基準

ここ数日の報道の関係で、去年の7月に書いた「NICT法改正と不正アクセス禁止法」という記事が、ある程度、アクセスいただいているようです。

その段階では、はっきりしてしないかったことがらに具体的なアクセスの基準があるわけです。この点については、昨年に、省令がでていてはっきりしますので、その点をメモしておきたいと思います。(というか、省令がなかなかひっかからないので、その所在のメモです)

省令の名称は、「国立研究開発法人情報通信研究機構法(平成十一年法律第百六十二号)附則第八条第四項第一号及びび第九条の規定に基づき、国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令」(総務省令61号)(平成30年11月1日)です。

概要は、こちら

省令本体は、こちらです。

1条は、(識別符号の基準)
一 字数八以上であること。
二 これまで送信型対電気通信設備サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外のものであること。

2条は実施計画
2項は、「機構が作成する実施計画には、次に掲げる事項を記載しなければならない。」として、業務従事者の氏名・所属部署・連絡先(1号)、IPアドレスその他設備に関する事項(2号)、識別符号の方針及び当該方針に基づき入力する識別符号(3号)、対象のIPアドレス等(4号)、ログ等のセキュリティ管理措置その他(5号)、その他
です。

とりあえず解説のメモもでているようです。

ちなみに、通信の端末に保存されているデータから、通信先がわかったとしても、それは、「電気通信事業者の取扱中にかかる通信」とはいえない(例によって宅内ね)ので、通信の秘密というのは、ミスリーディングのような気がするんですけどね。

 

トラストサービスフォーラムinベルリン Day2 その1 後半

次は、「PKIは、どのくらい使われるか(How much PKI is in:PSD2; eIDAS; GDPR)」というArno Fiedler( Nimbus)さんの話です。欧州の規範を利用してeIDASを実装するという趣旨での話です。スライドは、こちらです。

欧州は、現在、デジタル単一市場を目指しており、決済については、SEPA(単一決済エリア)が目指されていることになります。
ここで、特に、決済サービス指令2(PSD2)のための技術的標準をみることになります。
ちなみに、決済サービス指令2の 本文はこちら)で、についての簡単な説明についてはこちらです。

関連する規定としては、

第29条トレーサビリティ

決済サービス提供者は、決済サービスユーザー、他の決済サービスプロバイダー、および商人を含む他の企業の間で確立された通信セッションが、タイムスタンプなどに依拠するように、確かにしなければならない

第34条 証明書

識別のために、(略) 支払いサービス提供者は、規則(EU)No 910/2014の第3条(30)に記載されているような電子シールのための、または第3条(39)第35条に記載されているようなウェブサイトの認証のための認定証明書に依拠しなければならない。

通信セッションのセキュリティ

1 ./ インターネットによるデータ交換に際して、データの機密性および完全性を保護するために、強力で広く認識されている暗号化技術を使用して、各通信セッションを通して通信相手間で安全な暗号化が適用される

とされています。
また、GDPRにおいては、32条の仮名化、32条の取扱の安全措置が、関連してることになります。
eIDAS要件では、5条(データ取扱および保護)、13条(責任および証明の責任)、15条(ユニバーサルアクセス)、16条(罰則)、19条(セキュリティ要件)がかかわってきます。
最後に、欧州のeIDとがブルーワンダーになるようにということで、プレゼンは、終了です。

次は、Andrea Röck(Universign, ETSI STF 524 expert)さんの「ETSIの電子署名と署名検証サービス」(ETSI ESI and Signature Validation Services)というプレゼンです。スライドは、こちら
基本的な内容は、(1)eIDASにおける標準のアップデート(2)署名検証サービスです。
(1)eIDASにおける標準のアップデート
最初にフレームワークは、こちらです。

アップデートされたものとしては、CA Policy Requirements: EN 319 411-1/2、決済サービス指令2のもとでの適格証明書のアップデート、リモート署名に関して、信頼しうるシステムのためのCEN(欧州標準化委員会)標準(EN規格については、こちらhttps://rnavi.ndl.go.jp/research_guide/entry/theme-honbun-400383.php )、生成のプロトコルとコンポーネント要件、内容配達証明、長期保存、トラストリスト、監査要件の補充、機械による取扱の様式があります。具体的なものは、スライドにあげられています。また、最後に、欧州のトラストサービスについての国際的承認の話がでています。

個人的には、「決済サービス指令2(PSD2) のもとでの適格証明書のアップデート」と「欧州のトラストサービスについての国際的承認」が気になるところです。

PSD2については、委任規則が本人確認等についての細かい点を定めています。

具体的には、「2015/2366(EU)指令における強力な利用者識別および通信の一般かつ安全なオープンな標準に関する委員会委任規則(Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication )」になります。この委任規則の本文は、こちらでみれます。

また、欧州のトラストサービスについての国際的承認」においては、「Study report on Global Acceptance of EU Trust Services」(‘DTR/ESI-000123)があげられています。スケジュールをみることができますが、まだ、早期案の作成中のようです。また、ワークショップがふれられていて、ターゲットとして日本が最初にあがっているのは、興味深いところです。

(2)署名検証
「ETSI STF 524」(特別タスクフォース 524)ですが、これは、2016年に始まり、三つのドキュメントがでています。
TS 119 102-2: Validation Report(https://www.etsi.org/standards-search#search=TS119102-2
TS 119 441: Policy Requirements for TSPs Providing Signature Validation Services(https://www.etsi.org/deliver/etsi_ts/119400_119499/119441/01.01.01_60/ts_119441v010101p.pdf
TS 119 442: Protocol for Signature Validation Services (https://portal.etsi.org/webapp/WorkProgram/Report_WorkItem.asp?WKI_ID=47246
あと、関連のドキュメントもあります。

Matthias Wiedenhorst (TÜVIT)は、「監査報告の苦闘(The struggleofauditreporting)」です。スライドは、こちら

eIDAS3条(18)による適合性評価機構が、国家評価機構としてなす組織は、実質的に唯一であるということになる。

評価の一般的なマトリックスは、TR 119 000, V1.2.1により、 ETSI EN 319シリーズが、トラストサービスプロバイダの監査についてのひとつの欧州の標準ということになる。
しかしながら、監査報告の枠組みについては、いろいろな枠組みが存在することになります。

まずは、ENISAのトラストサービスの適合性評価ガイドライン(Conformity assessment of Trust Service Providers – Technical guidelines on trust services)。(https://www.enisa.europa.eu/publications/tsp-conformity-assessment

ETSI TS 119 403-2 V1.1.1 (2018-07)(https://www.etsi.org/deliver/etsi_ts/119400_119499/11940302/01.01.01_60/ts_11940302v010101p.pdf
ETSI TS 119 403-3(https://docbox.etsi.org/esi/Open/Latest_Drafts/ESI-0019403-3v007-for-public.pdf

結局、ひとつの様式にするのは、現実的ではないとして、誰が、問題点を解決するのであろうかという問いがなされます。

適合性評価機関委員会(ACAB-c)か、FESA(トラストサービス提供者への監督機関フォーラム)か、または、EUか、ということになります。

トラストサービスフォーラムinベルリン Day2 その1前半

CA Day – Wednesday, 24 October 2018

Kim Nguyenさんの簡単なWelcomeのあと、Sławomir Górniak (ENISA)さんの「サイバーセキュリティパッケージと新しいENISAの役割」(The Cybersecurity Package and the new role of ENISA)の講演です。スライドはこちらです。

ENISAは、サイバーセキュリティ法のもとで、サイバーセキュリティ庁として改組されることになり、その説明になります。
個人的には、2010年に調査の関係でクレタ島を訪問したのが記憶にのこっています。

ENISAは、欧州共同体の能力向上、政策立案、専門的分析等をその行動としています。
2017年のユンカー大統領が、サイバーセキュリティ庁としてサイバー攻撃に対抗するということをいったのが、その最初になります。映像は、こちらです。その際のプレスリリースは、こちら

Cyber Security Package 2018は、Day1でも簡単にでてきました。サイバーセキュリティ法関係のドキュメント関係は、こちらです。
サイバーセキュリティ法提案、サイバーセキュリティ戦略、プループリント、「NISの最大利用」コミュニケを考えることができます。

サイバーセキュリティ法(「ENISA(サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」案)は、こちらです。)

2018年12月11日に、議会と理事会、委員会は、政治的に合意にいたっています(https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_en)。

同法は、6つの目的をもっています。具体的には、
1 EUおよび加盟国レベルでの能力と備えの向上
2 利害関係者の協力と調整を改善する
3 加盟国の行動を補完するためのEUレベルの能力の向上
4 EUにおけるサイバーセキュリティ意識の促進
5 サイバーセキュリティ保証の透明性の向上
6 認証スキームの細分化を避ける
になります。

この提案は、二つのパートからなりたっています。タイトル2は、ENISA-「EUサイバーセキュリティ庁」(3条から42条)で、一方、タイトル3は、サイバーセキュリティ認証枠組み(43条以下)です。より、強制的な政策が必要であることから、適切な資源があって、永続的な立場を与えるということで、ENISAの役割を強化する必要があったわけです。
より強靱なENISAは、法律と政策の任務、能力構築、運営協力、市場と認証、意識向上、研究とイノベーション、国際協力を課題とするわけです。

前者は、ENISAを強化し、補強するもので、特に、政策策定と実施の役割、 業務協力の役割 – ブループリント、 研究資金プログラムへの参加の点について変更が加えられています。

後者は、「EUレベルのサイバーセキュリティ認証の枠組み」であって、 候補スキームの作成におけるENISAの役割、 「欧州サイバーセキュリティ認証グループ」のためにENISAが提供する事務局的支援が述べられています。

後者についてみていきましょう。認証については、

「「特定の要件を満たしていることの証明と公正な第三者認証の提供」もしくは、「「定義された一連の基準規格に対する独立した認定機関による製品、サービス、およびプロセスの正式な評価、および適合性を示す証明書の発行」という定義がなされています。もともとは、コモンクライテリアによってさだめられていたところです。各国における相互承認は、SOG-IS(情報システムセキュリティ上級グループ-)による相互承認協定によっています(https://www.sogis.org/)。

EU戦略の全体像との関係については、Day1のとおりです。

この枠組みの特徴は、国家ICTセキュリティ認証イニシアチブによる断片化を回避、相互承認を促進する、保証レベル(基本、実質、高)を定義する、手順を簡素化し、IT製品とサービスの展開にかかる時間とコストを削減する、ヨーロッパの製品とサービスの競争力と品質を向上させる、購入するICT製品やサービスに対するユーザーの自信を高めるの特徴を有しています。

提案された枠組みにおける重要な要素は、範囲(過程、製品、サービス)、参照される標準、適合性評価機関のためのサイバーセキュリティ要件、申し込み者によって適合性評価機関に提供される情報、マーク・ラベル利用/証明書の条件、適合性に関するモニタリングルール、脆弱性報告のルール、証明書の内容(機関、開示、相互承認)です。

外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明

「外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明」という記事がでています。

外務談話は、こちらです。

NISC注意喚起は、こちらです。

まず、APT10が、国際法的に、どのように位置づけられるのか、ということになります。

まず、このような攻撃が、国家に帰属する行為であることがポイントになります。国家の帰属については、タリンマニュアル2.0の規則17「非国家主体によってなされたサイバー作戦は、次の場合に国家に帰属する(以下、略)」という原則が適用されることになります。「中国・天津にある公安当局と連動して」というのが、そこになります。

でもって、同規則32の解説によると「データ入手を目的として他国のサイバー・インフラにハッキングした所、そのインフラの機能が停止した場合」主権侵害になります。この案件では、そのレベルだったと認定されれば、主権侵害となり、これら一連の行為は、中国の国際的違法行為ということになります。この場合、同規則20によって、国家は「対抗措置(性質上サイバーであるか否かを問わないをとる権限を有する」とされます。

本件は、上記国際的違法行為を認定しているかは、微妙に思えますが、外交としての責任決定(アトリビューション)を行っているとなると思います。

ところで、これが異例か、ということになります。アメリカでは、前から行っています(ソニーピクチャー事件のオバマコメント やWannaCry、NotPetya事件でのコメント)。

外務省も「中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても,サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており,サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。」となっており、上の外交としての、帰属表明・非難となっているように思えます。

その意味で、国際的な規範が、国家の実行によって明らかになってきている、というような気がします。

—12月22日 追記—

でもって、「上記国際的違法行為を認定しているかは、微妙に思えます」としました。これは、中谷ほか「サイバー攻撃の国際法-タリンマニュアルの解説」に依拠して、エントリを書いたわけです。そこでは、機能の停止が主権侵害の要件とされています。でもって、情報の取得のみで主権侵害ではないのか、ということになります。タリンマニュアル2.0オリジナルを読んだところ、規則32のコメント6以下のところでは、種々の場合について、多数説において主権侵害と解される場合などが論じられています。この件についていえば、多数説レベルだと機能喪失(コメント6)、人権侵害(コメント6)、被侵害国内での活動を伴う場合(コメント9)、計画全体が、武力の行使の予備行為の場合(コメント10)などで主権侵害を認めている。また、少数説は、重大性(コメント8-合意に達しない)があれば、主権侵害と考えます。

 

“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声

トラストサービスの報告の途中で、ちょっとコメントを挟んでしまいます。

“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声というNHKのニュースがあります。

司法が判断するのは、当然だとしても、その段階で技術的な正確な評価がシステム的にはいってこないというのは、問題かもしれません。検察庁も、やっと人をITまわりのところに出向させるようになってきているのですが、それをうまくシステム的にいくところまでもっていってほしいです。

ということで、米国の2001年段階(17年前)の状況をみてみましょう。

司法省の捜索・差押マニュアルからです)

(1)連邦の区の段階では、どの連邦検察官事務所にも、コンピュータ電気通信コーディネーター(以下「CTC」)として任命された連邦検察官補が、少なくとも一人は、配置されていた。

CTC は、コンピュータ関連の犯罪の広範囲にわたるトレーニングを受けて、自己の地区の内で捜索・差押マニュアルでカバーされる話題に関連する専門的技術を提供することを主たる責務としています。

(2)ワシントンDC の米国司法省の刑事課の中のいくつかのセクションがコンピュータ関連の分野に専門的技術を持っている。
ここらへんは、我が国も結構、専門的な技術のレベルでは、準備が整っているようにみえるのですが、どうでしょうか。

(3)コンピュータ犯罪と知的財産セクション(以下「CCIPS」)が常設されている。
一般の執務時間中は、少なくとも2 人のCCIPS 法務官が、捜査官と検察官に対してコンピュータ犯罪の事案で起こる他の事柄と同様に捜索・差押等の話題について質問に答え、支援を提供すべく勤務している。
捜索・差押マニュアルには、「CCIPS の代表番号は(202)514-1026 である。執務時間後は、ジャスティス・コマンドセンター(202)514-5000を通じてCCIPS に連絡をとることができる。」という記載があります。

ということなので、必要なのは、システム的に完備することのような気がします。
個人的には、技術者と司法が協力すべきだ、といってみても仕方がないような気がします。

2018年米国サイバー戦略をどう見るのか

結局、メディアのような「サイバー兵器を使いやすくなる」とか、「攻撃的対処も可能に」「先制攻撃の権限拡大」とか、威勢のいい表現は、見つけることができませんでした。

むしろ、文言を見ていくと、同盟国とのインテリジェンスをも活用した攻撃の責任帰属の確定とその公的アナウンスによって、外向的手法で、安全なネットワークを構築していこうという実務的な手法の強調が重要視されていると私は、読んでみました。

ソニーピクチャーズでのオバマ大統領のTVインタビュー、NotPetyaでのアナウンスメントと、サイバー戦略としての継続性をみるわけです。

メディアの論調としては、異なりますが、Law & Policyの専門の分析がどのように分析をしているのか、ちょっと聞いてみたいところです。