サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携

10月24日付け日経新聞に「サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携」という記事がでています。

「総務省とNTTコミュニケーションズなど国内のインターネット接続業者は2018年度をめどに、サイバー攻撃を⼀⻫に遮断する仕組みを作る。不正アクセスの発信源となるサーバーを即座にネットから切り離す。」ということです。

この仕組みのために、「DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定。その情報を業者間で共有し、犯⼈のサーバーからの攻撃指令を⼀⻫に遮断する。国内の有⼒な接続業者が連携して実効性を⾼める。」というのが、その手法ということになります。

この記事にも書いてありますが、「電気通信事業法では通信の秘密の保護がうたわれており、攻撃を起こすサーバーの情報の業者間での共有は進んでいなかった。」のですが、ガイドラインを年明けにまとめて、電気通信事業法などの法改正も検討する、ということだそうです。

電気通信事業法の通信の秘密を犯す行為については、同法4条において(秘密の保護)のタイトルのもと

(秘密の保護)

第4条  電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2  電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

となっています。

DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定した場合に、このサーバーの情報は、上の「他人の秘密」ということになるわけですが、現在の解釈では、「電気通信事業に従事する者に関する第1項の適用関係を明らかにするとともに、電気通信事業に対する利用者の信頼保持の観点から、電気通信事業に従事する者に対し、第1項よりも広い範囲の守秘義務を職務上の義務として課したもの」という趣旨になります。どちらにしても、このサーバーの情報は、具体的な通信を識別しうる情報なので、通信の秘密とてし保護されるデータとして、この4条の保護のもとにあるということになります。(よく、通信の構成要素をなすデータといわれますが、多分、そういうことだとおもいます)

ところで、このような保護されるデータについては、「「積極的な取得の禁止・窃用の禁止・漏えいの禁止」を意味するものと考えられています。そして、実務的には、「窃用」が、単に「用いること」と同義であると解釈されています。これは、法的な解釈本では、「窃用」とは、自己または他人の利益のために用いることをいう、とされており、公共の利益のために利用することは含まれないと解釈される余地があるのですが、実務(というか、担当課的には)そのような余地を認めない、むしろ、そのような行為は正当業務行為の解釈で対応する、というようにされていました。

でもって、ちょっと時代を遡ってみる(このごろ、こればっかり)、2004年3月にコンピュータソフトウェア著作権協会(ACCS)にDos攻撃が仕掛けられたわけですが、これがわかるのに、プロバイダーは、通信を届けて、攻撃に加担しなければならないのですか、という問題が出てくるわけです。

正当業務行為でもって、問題が起きるごとに、プロバイダーで法的許容性について議論したり、場合によっては、担当課に相談したりするということでは、とてもじゃないけど、実務的には回らなくなります。そこで、事前に許容される行為が検討されるといいねという感じに思えます。ただ、そのときには、「そうはいっても、結局、憲法の「通信の秘密」が同じ内容だとして、鎮座しているからねえ」ということで、実務規範的なものを事前に鼎立するというのは、不可能な感じでした。

私としては、ちょうど、「通信の秘密」が世界でも特別の規定とかいう話をきいて、なんか変だよねということで、ちょっと調査をして「ネットワーク管理・調査等の活動と『通信の秘密』」(JAIPAのHP内に掲載)・「通信の秘密の数奇な運命(憲法)」 (情報ネットワーク法学会誌第5巻(2006 年 5 月))という論考にまとめさせていただきました。

まさにそのような議論を背景に、ISP同士で、攻撃者の情報を共有することはどうなのか、というのは、2005年のInternet weekで議論されています。

このような動きのもと、プロバイダのホワイトリストを作りましょうという動きになり、「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン」(初版 2007 年 5 月 30 日(非公開)とつながったと理解しています。

そのような議論の提起から、既に10年以上が経過しています。いまでは、いわゆる大量通信等ガイドラインも「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」と名前を変えており、「通信の秘密」の解釈についても、かなりの程度、柔軟に対応されるようになってきました。

DDos攻撃に際して、プロバイダーがどのように対処をなすことができるかについては、サイバー攻撃等への対処ガイドラインに記載がなされています。

(1) サイバー攻撃等に係る通信の遮断については、被害者から申告があった場合、事業者設備に支障が生じる場合、送信元設備の所有者の意思と関係なく送信されるサイバー攻撃等の場合に遮断が認められています。

(2) 送信元詐称通信の遮断、(2) 送信元詐称通信の遮断、(4) マルウェア等トラヒックの増大の原因となる通信の遮断が、正当視業務行為として認められるとされており、また、(7) サイバー攻撃等への共同対処においても「情報提供を受けた電気通信事業者において当該特性に合致する通信を遮断してよいとされています。

今回の記事は、仕組みとしては、このガイドラインで許容されている枠組みをむしろ、公認し、積極的に推進しようという位置づけであるように思えます。そうだとすると、このようなセキュリティのための活動にも、予算とかがきちんと付くのでしょうか。非常に賢明な判断ということになるかもしれません。

あと、「電気通信事業法などの法改正も検討する」ということですと、どのような改正になるのでしょうか。興味しんしんというところでしょうか。私が「いいだしっぺ」であることは、みなさん、認めてくれるでしょうから、フォースの力で論文を書いたということを認めてもらえるかもしれません。

「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキュリティサイト

「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキュリティサイトにおいて、「脆弱性」を「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います」と定義がなされています。

IPA「脆弱性届出制度に関する説明会」について というエントリで、脆弱性をめぐるこの15年間の変遷について触れました。

ある意味で、このキャンペーンは、、「脆弱性」という言葉をめぐって、正確に理解してもらうための動きだったような気がします。

最初は、
「きじゃくせい」じゃなくて、「ぜいじゃくせい」とよびます、
から始まって
脆弱性と欠陥は、区別しましょう
あたりは、すごく長期のキャンペーンをしました。

このキャンペーンにあたって、「脆弱性と瑕疵の間に」という論考も記しました。

瑕疵といえば、法的な文脈では、「一般的には備わっているにもかかわらず本来あるべき機能・品質・性能・状態が備わっていないこと」をいうとされており、法的なセンスのある人は、瑕疵修補請求権を思い浮かべるので、それ自体、何らかの行為を求めることができるのではないか、ということになります。

また、「欠陥」といえば、法的には、「当該製造物の特性、その通常予見される使用形態、その製造業者等が当該製造物を引き渡した時期その他の当該製造物に係る事情を考慮して、当該製造物が通常有すべき安全性を欠いていること」(製造物責任法 2条2項)となります。

ともに、「あるべき」安全性(もしくは機能・品質等)を欠いている状態を指し示す用語になります。

そうだとすると、研究者等が、脆弱性を発見して、開発者に伝えても、何か、製品に「あるべきものが欠けている」、いわば、クレームをつけているのですか、という対応になってしまうことになりやすいわけです。なので、脆弱性という用語と欠陥・瑕疵という用語は、きちんと峻別して、「脆弱性」という用語を用いるばあいには、これは、別に開発者が「悪いわけではない」のですよ、というメッセージを伝えるべきであろうと考えます。そして、そのような考えに基づいて用語を選んできました。

経済産業省の「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(経済産業省告示第十九号)をみていただければ、
「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者 がアクセスできる状態を含む。)をいう。」
とされており(これは、当初の平成16年告示も同様)、早期警戒パートナーシップの取り組みにおいて、「脆弱性」の定義から、この点について留意がなされていることをわかっていただけるかとおもいます。

ある意味で、現代社会において、脆弱性をいかに取り扱うのか、というのは、もっとも繊細な配慮が必要になる分野であるような気がします。そのために国民に呼びかけるサイトにおいて、このような基本的概念について、配慮にかける表現があるのは、きわめて残念なことといわざるをえないとおもいます。

IPA「脆弱性届出制度に関する説明会」について

IPA「脆弱性届出制度に関する説明会」が開催されました。

そこで、この制度の利用者(?)の方から、いろいろな感想が「つぶやかれています」。この点については、「脆弱性届け出制度に関する説明会のつぶやきまとめ」でまとめられています。

私(高橋郁夫)個人としては、いわゆる「中の人」になりますので、具体的なこの制度の変更にいたった議論の経緯その他についてコメントすることは避けます。

ただし、この制度について、常にウワォッチし、あるべき制度を考えていた一法律家としてのコメントをさせていただければ、以下のとおりになるかと思います。

まずは、この制度が構築されたのが、2002-2003年の時期であったということは、さけて通ることができないと思います。その当時までに、時計を巻き戻してみましょう。

研究者・実務家の方が、脆弱性を見つけた、それを企業に対して、これ、脆弱性になるから直したらいいんじゃないの?と届けたときにどうなっていたでしょうか。

多分、何か、脅迫・恐喝つもりなのですか?という態度で開発者がまともにとなりあわないということになっていたのではないでしょうか。

(その端境期において、「脆弱性に警鐘?」という報道がされた事件もありました)

理屈から考えると、脆弱性が少ないこと、もし、見つかった場合には、真剣に、その届出に対応してもらって、できるかぎり、脆弱性のないソフトウエアを提供しましょう、というのが望ましいというのは、誰もが、合意してもらえるかと思います。しかしながら、現実は、「絶望的なぐらいに」そのありうべき姿と乖離していたのです。

その姿に対して、METIのTY氏などを中心に、ちょっと調査しませんかねえ、ということになったのが、

『セキュリティホールに関する法律の諸外国調査』 報告書になります。

もう、この段階において「責任ある開示」という概念を中心にして、どのようにして脆弱性の報告をとりあつかうべきかということが議論されていたのがわかるかと思います。

そして、実際に、IPA/JPCERT/CCにおいて早期警戒パートナーシップの構築にいたっていくわけです(2003年10月頃から2004年3月まで)。

この部分の仕組みについての報告書としては、「情報システム等の脆弱性情報の取扱いに おける法律面の調査 報告書 」になります。

「脆弱性」に対する基本的なスタンスということになりますが、この報告書をよんでいただけると、脆弱性の報告書については、まさに「責任ある開示」のスタンスを積極的に採用し、その意味で、そのスタンスがどこまで、実際のセキュリティのコミュニティで支持されるのか、まずは、やってみましょう、というものであったのがわかるかと思います。

望外なことに、この脆弱性の早期警戒パートナーシップは、わが国において、非常に、共感をもって受け入れられました。報告数は、着実に増えていきましたし、また、特に、実際の研究者・実務家の方々が、脆弱性を発見したら、まずは、この早期警戒パートナーシップの枠組みで報告しましょうと考えるにいたったように感じられたのは、非常に、ありがたく思えます。

また、この制度の考えていたことは、世界的にも、早期的なチャレンジに成功したものであったということは、特筆すべきものであったように思えます。

脆弱性情報の取り扱いについては、

ベンダ内部における脆弱性取扱手順については、「ISO/IEC 30111:2013 Information technology — Security techniques — Vulnerability handling processes」

第三者によって発見された場合の脆弱性開示については、「ISO/IEC 29147:2014 Information technology — Security techniques — Vulnerability disclosure」

が制定、公表されているのに至ったというのは、私たちのチャレンジが、世界的にみて、先進的な試みであって、また、そのチャレンジを成功させた日本のセキュリティコミュニティに対する極めて高い評価であったということもできるのではないかとおもいます。私たちは、この試みとこの結果を誇りに思っていいとおもいます。

ただし、この仕組みは、如何せん、

きわめて広範な「脆弱性」の定義に該当するものについて、その重要性についてなんら評価をせずにすべて「脆弱性」の有無を調査化した上で、あると判断したものについて調整を図ろうとした点

で、制度としての致命的な問題点を有していたと考えるべきではないかとおもいます。

というのは、脆弱性についていえば、まさに

「ISO/IEC 30111:2013 Information technology — Security techniques — Vulnerability handling processes」

が、そのプロセスで明らかにするように、

ベンダは、CSIRT/PSIRTのような仕組みを設けて、その製品について、脆弱性が見つかった場合には、そのような仕組みが、脆弱性に対して対応するのが、まさに標準である

という思考を前提に構築されているものです。

現代社会においてあるべき姿を考えるときに、ベンダ(開発者)がみずからの責任であって、セキュリティ的にも問題がないソフトウエアを開発して、その態度等が、ソフトウエアの性能と評価されて、市場において、もし、そのような態度にかけるソフトウエアがあれば、そのようにソフトウエアは、市場から、退出を迫られるという姿

を前提としているように思えますし、また、そうであるべきかとおもいます。

そもそも、IPAないしJPCERT/CCのリソースといえども、有限なわけで、そのリソースを、「広範な脆弱性」の定義に該当する場合に、「脆弱性というのは、攻撃者が悪用するものであって、その攻撃によって発生する問題点の重要性を事前に評価することはできない」という理屈でもって、ふんだんに使っていいということにはならないと考えます。

翻って、2017年の状況について考えてみるときに、

  • 現在においては、脆弱性のもたらすセキュリティ上の脅威が社会においても許容しうるものではないという認識が一般化しつつあるかとおもいます。
  • 開発者が、積極的に、脆弱性の届出受け付けの窓口をもうけるようになってきている。
  • 特に、バグバウンティ制度を導入する企業も増加している

などの事情を考えたときに

制度が構築された時期と比較して、セキュリティの重要性の認識/脆弱性解消の努力の正当な評価という観点からするとき、非常に良い方向に進展していると評価することができるのではないか、と個人的に考えます。

そうだとすると、もはや、脆弱性に関する認知が社会的に全く足りないので、それを、かなり「父権的な(パターナリスティックな)」制度でもって、脆弱性を消滅させる、そのために、IPAやJPCERT がなんでも/かんでも、脆弱性について、関与するというのをやめて、

社会的に、IPAやJPCERT が、関与するのが、許容されるような重要度の高いものに限って関与する

という制度にすべき

なのではないか、と考えます。そして、私としては、そのような考え方に基づいているのが、今回の制度改変なのではないか

と考えます。

確かに、いままでの、「脆弱性」について、これを発見したのであれば、IPAに届出て、これを前提として脆弱性の認定がなされて、調整がなされるという制度が当然であるという考えを前提とするのであれは、どういう改正なのか

という思いが生じるのは、わからないでもないです。ただし、そもそも、開発者が対応すべき「脆弱性」に対して、IPA/JPCERT/CCがリソースを避くことが当然であるという考え方のほうが、今となっては、あるべき姿からは遠ざかっているというように考えます。

むしろ、一定のスタンスを押し出して、脆弱性の対応については、「開発者」がなすべき重要な責務であるという大原則を前提とした制度にしたほうが、結果としては、更に日本におけるセキュリティ・コミュニティの成熟をみれるような気がします。

どうでしょうか。私としては、このチャレンジの結果は、むしろ、開発者さんにおいて、どれだけ私たちのメッセージをきちんと受け止めるかにかかっているかとおもいます。このチャレンジも成功することを期待しています。

情報処理 2017年11号「IoT時代のセーフティとセキュリティ」

タイトル通りですが、情報処理 2017年11号は、特集が「IoT時代のセーフティとセキュリティ」になります。

この問題については、私は、「IoT の脆弱性と安全基準との法的な関係」という論文を記していた(InfoCOM Review 第69号(2017年7月31日発行) )こともあり、興味深く読ませていただきました。

それらしき記述はありますが、「セーフティとは○○である」これに対して「セキュリティは、××である」という定義に該当する記載がないので、締まりが悪く感じてしまいます。また、保安基準、安全基準とセキュリティの関係についての議論もありません。

情報処理学会だからといって、社会的なアプローチが軽視されているのではないでしょうか、というちょっとした感想をもってしまいました。

「人工知能の発展と企業法務の未来(1)」NBL角田論文を読んで

NBL 1107号 24頁に 角田篤泰「人工知能の発展と企業法務の未来」(1)が掲載されています。

まず、この論文は、人工知能技術とは何か、ということをきちんと理解していることを前提に、具体的な企業法務への展開にふれてようとしている点で、他にない論考かとおもいます。高橋が、今年の11月29日に「人工知能は法務を変える?」としてシンポジウムで問いかけようとしている論点とまさにシンクロするものといえるでしょう。

(なお、同様のテーマに自由と正義(2017年9月号) 「AI時代における知的職業-弁護士業務の行方-」がありますが、技術的な背景との分析に勝る点で、角田論文のほうが分析する価値は高いというのが私の意見です)

1107号の内容は

はじめに

(1)AIの今昔

「「昔のAI」については、論理式などによる関連知識の情報を与えることで解いていた」としています。これは、前にふれた私のチャットボットって人工知能なの、という話ででてくる、昔ながらのエキスパートシステムということになるかとおもいます。

これに対して、「今のAIでは、ルール不要である。つもり、専門知識を参照しない。大量のデータを統計的に観測することで、問題に対する解のパターンを導く(モデルを学習する)のである」としています。

この違いについて、角田は「ルールを考案する速度に比べて、驚異的な速度でデータ量は増えてしまうので、人間がルールを作成して解を得るより、コンピュータがデータから直接に解を導いたり、自動でルールを作成した
りするほうが得策という時代に入ったのである」と述べています。

(2)法律AIの問題点

昔のAIに基づいた研究・活動を「レガシー法律AI」と読んで、問題点を列挙しています。具体的には

データ不足

構成主義的傾向

司法偏重の応用領域

高度な対象法令

オープンテクスチャア

例外・関連性

高階表現

説明がないと困る

法律学はそもそも統計的・定量的ではない。

データ自体に解釈を含む

大量データの修習

言語・記号との連動

分野ごとのパラメータの調整が必須

ホスピタリティや責任は人の担当

AI法務自体の法的問題

となっていて、そのあとの続編となっています。

ちなみに、脚注も充実しています。

個人的には、チャットボットの経験から、離婚・相続・債務・交通事故(あと不動産)あたりに限って、例外を無視して、とりあえず、人間の補助として「昔のAI」を使う仕組みを発展させていくのが合理的ではないか、と考えています。

(アカデミアでなければ、将来の根本的革新より、今日の効率化のほうが価値があるという判断かもしれません)

角田教授のあげる問題のうち、データ不足、構成主義的傾向、司法偏重の応用領域(だって、裁判所に行く前を「法務」というので)、高度な対象法令(離婚だと条文は、「破綻」くらいしかないでしょ)、例外・関連性(例外は、弁護士が説明すればいいです)、 高階表現(これも他の条文を引っ張ってくるような面倒なのは、弁護士が説明すればいいです)、 説明がないと困る(伝統的な解法は、人間が考えるので問題なし)などの問題は、無視できるようになります。

法律学はそもそも統計的・定量的ではない、データ自体に解釈を含む、オープンテクスチャア、言語・記号との連動 とかは、「言葉」をつかったコミュニケーションから切り離せないので、宿命ですけど、人間の生活のなかで、言葉のかかわるものってそんなものなので、そんなもののレベルでもいいかとおもいます。

なので、どうせ、AIの基礎となっている統計学だって、20年に1回は、収穫の予測がはずれるので、そんな年は、許してね、という話で始まっているはずなので、それに比べれば、分野を絞って、古典的なAIをリファインするというのは、おもしろいのではないかと考えています。(たとえば、破綻という言葉の解釈に、いろいろな事例をぶち込んで、データを分析すると、その判断に影響を与えている特徴量がわかるよねなんてのもおもしろいような気がします。)

 

 

 

 

 

チャットボットを作るときに気を付けるべき唯一つのこと

マイクロソフト  みんなのAIブログで「チャットボットを作るときに気を付けるべき唯一つのこと」という記事がでています。

非常に勉強になる記事です。

「あなたがアプリ、ウェブサイト、電話、その他の特定のニーズに対処する他の方法よりもユーザーにボットを選んでほしいと願っている」すなわち、ボットが望ましいと思っているのは、なぜですか、ということになるかと思います。ボットというのは、ユーザが、システム提供者よりも、情報をあまり有していないときに、ユーザみずからが、情報を検索するのが困難なときに、システム側で、決定木に基づいて選択を与えて、一定の結論を提供するのに適したシステムだと考えます。

法律相談支援ボットというのは、まさに、このような目的にフィットしています。たとえば、交通事故の過失割合がいくらになるか、これは、弁護士であれば、赤本という本を見ていけば、過失割合が出てくるのは、だれでも知っているのです。

ところが、ユーザは、どこに、どう書いてあるかは、わからないということになります。その間をつなぐのにもっとも適した手段ということがいえるかと思います。

htmlで、イエス か、ノーかで、クリックさせていってもかまわないわけですが、自分の答えをいれていくと回答にたどり着くのは、自然だし、ユーザにとっては、容易であると考えることになると思います。

また、スマート度合い・自然言語の量・ボイスが成功を保証するものではないというのもそのとおりです。これは、人工知能対人工無能(脳)?でふれました。自然言語対ボタン式でもいいです。上の目的に達するのに、何が合理的なものなのか、という判断になります。

ユーザエクスピリエンスが重要であるというのは、そのとおりですね。詳しくは、「人工知能が法務を変える?」の会議で報告しますが、人間は、ボットが相手になると、我慢できなくなりそうです。その意味で、短い受け答えが必要になります。しかし、法律相談だと少ない情報で、法律相談の示唆までたどり着くことはできないので、このバランスというのは、一つの課題になりそうです。

Torの法的位置づけ

Torの法的位置づけをまとめておきたいと思います。

この問題について、2014年3月段階で、いったんまとめていたことがあったのですが、そのときには、法的な問題については、ほとんど議論されていなかったのですが、現在は、いくつか議論がなされているような状態になったからです。

まず、日本においては、遠隔操作ウイルス事件において犯人が、当該ウイルスをアップロードするのに、Torネットワークを利用しており、その点が新聞報道などで注目されたりということがありました。

世界的に、この議論を見ていくと、米国では、Watson教授は、” The Tor Network: A Global Inquiry into the Legal Status of Anonymity Networks”という論文( 11 Wash. U. Glob. Stud. L. Rev. 715(2012)) を発表しています。そこでは、「現在、アメリカ合衆国は、Torを規制する法律を有していない。 それゆえに、Torネットワークは、合衆国において完全に合法であるようにみえる」 と述べています。

また、EFF(電子フロンティア財団)は、TOR PROJECT においてTor運営者のための法的FAQ を有しています。

そこにおいては、Torの合法性について「(違法では)ない。だれも合衆国において、Torリレーを運営していたことをもって、訴えを起こされたり、起訴された例は存在しない。さらに私たちは、人々に、匿名でトラフィックを送受信することができるようにする出口ノードを含めて、Torリレーを運営することは、合法である」というのが回答です。

もっとも、違法目的を助長するために利用すべか、とか、リレーノードをしていることでトラブルに巻き込まれないことを保証するか、代理をしていれますかという問題については、いずれも、NOと回答がなされています。

では、逮捕されないか、というと、実は、米国でも逮捕された案件はあるわけです。

ちょっと古い事案ですが、

Dan Egerstad事件

とか

Eric Marques 逮捕事件

とかですね。(ノード運営で逮捕されたのか、悪意あるソフトを配布していたのか、とかの事実関係は、きちんとみるべきですね)

このような場合に、どうしましょうか、ということになるわけですが、EFFの回答は、

「Torについて教育しましょう」(Education them for Tor)になります。さすが、30年近く(厳密には、1990年 これは、デジタル証拠の法律実務でSJG事件に関してふれた記憶が)活動しているEFFですね。法執行機関についても、技術について勉強してもらって、それが、純粋に、ニュートラルだとわかってもらえれば、釈放されます、と信念をもっています。

(日本だと、逮捕されないようにするのが、法律家の責務だという感じになるし、ただで助けてねという感じになるのですが、文化の違いということにしておきましょう)

あと、シルクロード事件がありますが、これは、まさに、「仮想通貨」という本で詳細にふれています。改正法についてふれていないので、ご容赦ではありますが、マネーロンダリングと仮想通貨の問題については、きちんと詳細にふれていますので、ご購入いただけると幸いです。

あと、英国のシルクロード事件もあります。このとき、Keith Bristow国家警察局長は、「これらの逮捕は、犯罪者に対する明確なメッセージである。隠れたインターネットは隠れているものではなく、匿名の行為といったものは匿名では無い。私たちはどこにいるかを知り、何をしているかを知る。犯罪者がデジタル状の痕跡を完全に消去するということは困難である。どれだけ技術に詳しい犯罪者がいたとしても、必ず過ちをおかし、法執行当局が彼らに近づくことができる」とコメントして、インターネットにおいて自分の身元を隠すことができる、そして犯罪を遂行することができると考えるものに対して考え直すように警告しています。

このように考えると、具体的に、特定の犯罪を幇助するとでも認識していないかぎり、Torの利用自体を、何らかの犯罪であると認識するのは、難しいように思えます。

(ちなみに日本法的には、いわゆるWinny作者の著作権幇助事件的なスタンスになるかと思います。最高裁判決の一般論は「当該ソフトを利用して現に行われようとしている具体的な著作権侵害を認識,認容しながら,その公開,提供を行い,実際に当該著作権侵害が行われた場合や,当該ソフトの性質,その客観的利用状況,提供方法などに照らし,同ソフトを入手する者のうち例外的とはいえない範囲の者が同ソフトを著作権侵害に利用する蓋然性が高いと認められる場合で,提供者もそのことを認識,認容しながら同ソフトの公開,提供を行い,実際にそれを用いて著作権侵害(正犯行為)が行われたときに限り,当該ソフトの公開,提供行為がそれらの著作権侵害の幇助行為に当たると解するのが相当である」というものでした。そうだとすると、具体的なチャイルドポルノなり、薬物販売なりの犯罪の「具体的な行為」を認識することが求められることになりそうです)

客観的には、犯罪行為に対してニュートラルな仕組みになっているので、それを、何らかの形で、登録制、届出制というのは、難しいかと思います。せいぜいできて、ISP等における自主的な制約を、認めるようになるあたりに思えます。

いかにいやがらせを少なくして出口ノードを運営するかについてのちょっとしたコツ」(“Tips for Running an Exit Node with Minimal Harassment”)というページやEFFのページでは、Torに友好的な(Tor-Savvy )ISPとそうではないプロバイダがあることが示唆されています。

ISPの多数は、利用契約においてユーザが、「サーバ」をホスティングすることやプロキシを立てることを禁止しています。 なので、Torノードを運営することは、ISPの利用契約やユーザライセンス条項に違反になりえ、それを理由に、ISPは、契約を終了させることができます。

わが国におけるこのような例は、やはりWinnyの事件のときに見受けられました。消費者行政課からのご連絡でもって具体的な同意をとるようになったと記憶しています。

 

 

 

北條先生の「サイバー対策 法見直し必要」の続き

北條先生の「サイバー対策 法見直し必要」という読売新聞 論点の記事(2017年10月5日 読売新聞 朝刊)についてのコメントの続きになります。

前回は、それぞれの(0)立法時の背景と(1)不正アクセス禁止法における調査活動の違法性阻却化についてふれたので、今回は、(2)ウエブサイト管理者の管理義務の懈怠に対するペナルティ化/サイトの閉鎖可能化以下について、ふれようかとおもいます。

(2)ウエブサイト管理者の管理義務の懈怠に対するペナルティ化

北條先生のこの点についての議論は、不正アクセス禁止法の規定は「罰則のない努力義務であるため」脆弱性が放置されている、それゆえに、放置した場合のペナルティを設けたり、脆弱なサイトを閉鎖できるようにしたりするなど、何らかの対策も検討されるべきだろうとしています。

このペナルティというのは、何か、というのは、はっきりしません。刑事罰なのか、民事での損害賠償の責任を認めろということなのか、民事であれば、過失のとらえ方で、ある程度、柔軟な対応ができるはずなので、刑事罰かとおもいます。

脆弱性放置というのは、その義務懈怠に対するものとして構想するのでしょうが、その仕組みを実際に執行するというのは、どれだけのコストがかかるのか、という問題があるようにおもいます。何か問題が起きたときに、刑事罰を準備しておけば、それで処罰することができるから、いいだろう、というスタンスなのかと思ってしまいます。

あと、故意犯ですよね?。脆弱性というのは、攻撃者の意図・手法によって、実際の被害が顕在化するものであって、簡単に定義できるものではないことは、明らかかとおもいます(というか、なんとか、定義してきました)。パーツの組み合わせや予測しなかったサイトの動作によって実際の被害が発生したときに、適用しうるのでしょうか。

いや、明確に脆弱性で修正しなければならないのがわかったときに適用するというのであれば、デジタル省あたりが、サイト修正命令とかを出して、それを故意で修正しなかったときに処罰するのででもないかぎり、実用的ではないような気もしますね。

「脆弱なサイトを閉鎖できるようにしたりする」という主張ですが、根拠法令とかは何にするのでしょうかね。電気通信事業法との調整は、とかをすぐに心配してしまいいますね。

一つの問題提起なのでしょうね。大規模なDDoS対応であれば、パケットをブラックホールに投げ込んでおくことはなんとかできるようにしてはいますけど。(電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン)

(3) 不正指令電磁的記録の罪に関する違法性阻却事由の明確化(?) 

これは、この罪に関して犯罪が成立しない場合が明確ではない、というので、ガイドラインで明確にすべきであるという意見のようです。

この刑法改正案が国会で議論されるについて、かなりの議論がなされたのは、ついこの間のことのような気がします。とりあえずは、高木氏のメモがありますね。

前のエントリでふれましたが、法務省のウエブサイトで、「いわゆるコンピュータ・ウイルスに関する罪について」という文書が示されており、解釈論のレベルとしては、落ち着いているかとおもいます。

むしろ、実際の研究者/エバンジェリスト等の活動に際しての気になる点についての解釈論が広く提供されていないではないか、という訴えかけなのかとおもいます。

ということで、この指摘は、まさにその通りだとおもいます。

ただし、研究者/エバンジェリスト等の活動に際して、具体的にどのような問題が起きているのかというのを正確に把握し、それをもとに、ガイドライン化するというのは、非常に労力がかかる作業かとおもいます。しかるべき予算措置がとられるべきでしょう。

法律の不明確なところを明確にする/解釈論としては、明確でも、実際の適用に際して現場が疑問におもうところに対してガイドライン等で示すような知的作業は、社会の不必要なコストを劇的に減少させる効果をもつのですが、研究者・エバンジェリスト等は、単独では、コストを負担できないので、公共のシステムか、それとも、業界団体的なところの負担が必要なものなのでしょう。しかも、そのための優秀な法律家の才能が役に立つというのを証明しないといけないわけなので、北條先生には、そのようなソフトロー化の作業でも、新たな道を切り開いてもらいたいとおもいます。

(4)Torの利用の登録制

Torの技術を使ったアクセスをプロバイダーで制限し、利用を登録制にすべし、としています。

Torについては、もともとは、通信のプライバシーを守る技術として開発されており、特に独裁国家内にいる人間と連絡をとるなどの手法としては、有意義なものとして認識されているというのが私の認識です。すくなくてもツールなので、それ自体が違法とは、いえないでしょう。

その一方で、ダークウエブのプラットフォームとして利用されているのではないか、という指摘もそのとおりです。特に、ビットコインと合体するときに、「ダークのタッグ」が成立しているという気もします。

2013年に調査した段階では、世界的には、具体的な規制の議論というのはなくて、プロバイダが約款でアクセスを拒絶/遮断しうるとしていた例がある程度でした。

具体的な各国の動向もフォローしながらではありますが、各プロバイダの約款の規制については、それ自体が、通信の秘密を侵害すると解釈することはない、あたりが、可能だとしても、現実的なおとしどころのような気もします。

あとは、偽アカウントを本人と偽る行為に対しても対応すべき、としています。これは、公式アカウントとかの制度を各サービスプロバイダが提供して、対応していますね。法的な対応ということであれば、どういうのを考えているのか、微妙な気がします。

 

 

 

 

 

 

北條先生の「サイバー対策 法見直し必要」

北條先生の「サイバー対策 法見直し必要」という読売新聞 論点の記事が出ています(2017年10月5日 読売新聞 朝刊)。

北條弁護士は、「サイバーセキュリティに関係する現行法の多くは、これほどの技術の進展を想定しない中で作られた」「現場は混乱し、対応しきれなくなっている」として、以下の論点に対する対応を提言しています。

論点としては(1)不正アクセス禁止法における調査活動の違法性阻却化 (2)ウエブサイト管理者の管理義務の懈怠に対するペナルティ化/サイトの閉鎖可能化 (3) 不正指令電磁的記録の罪に関する違法性阻却事由の明確化(?) (4)ToRの利用の登録制 があげられています。

事実関係から整理すると、不正アクセス禁止法は、デンバーサミットのコミュニケでうたわれた「我々は、本日の閣僚レベルの会合において、二つの重要な任務の達成に向けた具体的な行動計画について意見の一致をみた。 一つはハイテク犯罪を捜査訴追する能力を高めることであ り、もう一つは世界のいかなる場所にも犯罪人にとって安全な避難先が存在しないことを 確保すべく、犯罪人引渡し及び捜査扶助に関する国際的な法体制を強化することである。」というわが国における対応の一環として、1998年の末くらいから、法案が揉まれて、1999年8月公布、2000年2月に施行になっています。また、不正指令電磁的記録の罪については、2002年くらいから、法制審議会での議論の対象とはなっており、2004年に刑法等改正案が提出されて、その後、共謀罪に関する与野党対決のあおりで、審議が進まず、2011年に国会を通過したというものです。(なお、デンバーサミット・コミュニケ40番については、サイバーセキュリティーの国際的法律問題 by 高橋 郁夫)

なので、これらの法制が、成立した時期から考えて「サイバーセキュリティに関係する現行法の多くは、これほどの技術の進展を想定しない中で作られた」というのは、筆が滑っているというような気がします。少なくても、1997年には、もう、白浜や湯沢のシンポジウムは開催されていましたし、私も、サイバーセキュリティやサイバーペイメントのシンポジウムで講演をしていました。ですから、不正アクセスと調査活動をどうすべきかというところまで議論していました。また、不正指令電磁的記録の罪の成立にあたっては、その成立範囲についてのコメントが公表されるなど、一定の考え方が明確にされ、一定の判断がなされています。

論の進め方は、別として、個別の論点について、以下に見ていきましょう。

(1)調査活動の違法性阻却について
不正アクセス禁止法における調査活動の違法性阻却のために、適用除外規定を設けるべきというのが、主張のようです。

1999年の10月に私は、「コンピューターの無権限アクセスの法的覚書–英国・コンピューターミスユース法1990の示唆(ネットワークと法の中心課題 6)」という論文を公表しています。そこで、英国のコンピュータ不正使用法の成立に至る経緯についてふれています。

既に、英国においては、Gold事件(R v. Gold [1988]2 All E.R. 186,H.L.)で、偽りのID番号とパスワードを利用して、データベースに対してアクセスしたという事案(共犯者は、そのアクセス料金を支払わず、他人に支払わせたため、データベースについての情報を権限なく書き換えた)がありました。(当時は、「1981文書偽造および通貨変造法」のセクション1違反で起訴)。この被告人は、データベースの保有者に警告をしており、その目的は、そのデータベースのセキュリティの弱点をデモンストレートすることにあったようにおもえた事件です。

その後、不正アクセスに対する刑事罰についての議論がなされて、最終的には、The Law Commision (LAW COM. NO.186) “Criminal Law Computer Misuse” Cm 819 HMSO 1989という報告書がでています。

そこでは、「2.12 私たちは、コンピューターの導入が、情報の蓄積の手段および状態において急激な変化をもたらしたことを認める。コンピューターは、量においても、方法においても、スピードにおいても、全く新しいレベルで情報を取り扱うことを可能にした。そのような設備の可用性、利用は、一般的に強く公共の利益と認められる。しかしながら、遠隔でアクセスしうるコンピューターシステムは、セキュリティ問題を惹起するのであり、それは、情報を紙に保存し、物理的にアクセスを隔絶すること、そして、さらに強盗や、すくなくても刑事的損害の規定により保護されるユーザーが悩むことのない問題なのである。その相違は、コンピューターユーザーの側で、セキュリティに気をつかわないで済ませるものではなく、むしろ、反対に、利用している操作の本質に避けられないものなのである」と述べています。
このセキュリティに対する投資の保護というのがもっとも重要な実質的な保護の理由ということになると考えていいかと思います。
この議論は、
「2・14 私たちの見解によれば、最も刑罰化に賛成する強力な議論は、第1に コンピューターのシステムの保有者において、セキュリティシステムが破られた(破られていたかもしれない)ときに実際の損害およびコストが膨大にかかること、第2に、無権限のエントリーは、一般的な刑事犯罪の予備的なものであること、そして、第3に、度重なる攻撃および、コンピューター操作者が結果としてセキュアではないと感じることによって、コンピューターシステムに対して喜んで投資しようというつもりが減少するかもしれないこと、実質的に有効なシステムの利用が遅らせられるかもしれないことを根拠としている。」とまとめて報告されていることからも明らかです。

このような趣旨から考えるアプローチにおいては、サイトの脆弱性の調査の目的があろうが、なかろうが、無権限アクセスされること自体が可罰的であるということがいえるとおもいます。

不正アクセス禁止法の立法趣旨および運用については、英国のコンピュータ不正使用法を参考にすべきであるという私の立場からすると、北條弁護士の立論のうち、不正アクセス禁止法を見直すべしという主張については、既に決着がついていた問題であって、賛成することはできないということになります。

(というか、不正アクセス禁止法の制定にあたって、コンピュータ不正使用法1990も参照されています。)

あと、わが国において、この点は、セキュリティ会議でのプレゼンの準備のための侵入事件(平成17年 3月25日東京地裁判決)でも議論されているものでもあります。もっとも、この事件においては、事実関係において、「事前に**会等に脆弱性の報告をせず,修正の機会を与えないまま,これを公表したことは,被告人の手法をまねて攻撃するという危険性を高めるものであったというほかなく,被告人の本件各アクセス行為はそのような形で公表することを目的としてなされたものであって,正常な問題指摘活動の限界をはるかに超えるものであり,正常な活動の一環であったとは到底認めらない。また,プレゼンテーションの仕方やその際の発言内容等にも照らすと,脆弱性を発見した自己の能力,技能を誇示したいとの側面があったことも否定できないところである。」とされています。文言をみる限り、正常な活動であったならば、一般の違法性阻却事由の可能性は、あり、それを超えた格別な違法性阻却事由が認められるべきという主張については、その必要性の観点からも、よくわからないところです。

もっとも、実は、この問題については、今ひとつの問題があります。

私の論文では、「セキュリティのレベルと犯罪の成立」(2.3.1)として論じたところなのですが、「コンピューター・セキュリティについての一定のレベルを講じてあるコンピューターに対してのみ、無権限アクセスが、成立するという考え方がありうる。そして、英国においては、その「権限」を具体的なセキュリティのレベルとの関係で明らかにすることが事実上必要となるであろうというガイダンスがあることは前述した(1.2.3.3)。立法例においては、一定のセキュリティのレベルを満たすことを犯罪成立の要件としているものがあるとされており、わが国の立法でも、この観点は問題となろう。不正アクセス法案からすれば、第5条でセキュリティレベルの確立の一般的規定を置いた上で、犯罪の要件とはしない立場と考えられるが、「権限」の実際上の立証の際に、セキュリティが確立していることが必要ではないかという問題(英国は、この立場をとる)は、発生し得る可能性があるように思われる」というのが、私の立場になります。

比較法的な立場からは、「「制定された、もしくは、新しい法律は、種々のアプローチを採用している。データ処理システムに対する『単なる』アクセスを刑罰化するもの(オーストリア、デンマーク、英国、ギリシア、アメリカ合衆国の大多数の州)から、アクセスされたデータが、セキュリティ手段によって、保護されている場合とするもの(ドイツ、オランダ、ノルウェイ)、侵入者が害意を有している場合とするもの(カナダ、フランス、イスラエル、ニュージーランド、スコットランド)、情報が取得され、変更され、損傷した場合とするもの(アメリカのいくつかの州)、最小限度の損害が生じた場合とするものなどまで、広範囲にわたっている」とのことです(Dr.Ulrich Sieber “Legal aspects of Computer-Related Crime in the Information Society“)。

上記のプレゼン準備侵入事件(?)においては、「識別符号を入力してもしなくても同じ特定利用ができ,アクセス管理者が当該特定利用を誰にでも認めている場合には,アクセス制御機能による特定利用の制限はないと解すべきであるが,プログラムの瑕疵や設定上の不備があるため,識別符号を入力する以外の方法によってもこれを入力したときと同じ特定利用ができることをもって,直ちに識別符号の入力により特定利用の制限を解除する機能がアクセス制御機能に該当しなくなるわけではないと解すべきである。」とされています。ところで、デフォルトで設定を変えずに置いている場合について「アクセス管理者が当該特定利用を誰にでも認めている場合には,アクセス制御機能による特定利用の制限はないと解すべき」というのと、同視しうるのではないか、ということはいえないことはないでしょう。そのレベルでいくと、まさに「アクセス管理者の通常の意図」について「具体的なセキュリティのレベルとの関係で明らかにすることが事実上必要となるであろう」ということになるのかもしれません。

「英国では」という解釈をわが国に導入するという私の「ではの神」理論によるとき、英国のようなガイダンスというアプローチを用いて、デフォルトのパスワードでは、不正アクセス禁止法のアクセス制限を満たさないということが明らかにされるということは可能になるような気がします。構成要件の明確性が○×とか、いわれそうではありますが、英国では、それでやりましょうとかいってましたから、というのは、抗弁にならないのでしょうか。

わが国のセキュリティレベルをあげるための提言ということだとしても、一定の法には、背景に種々の利益と決断、また、その決断にあたっての実証実験としての比較法があるので、90年代においても、その手法は、きちんと守られていたということは、その時代の真ん中にいたものとして明らかにしておきたいとおもいます。(詳しい話は、今度、また、おいしいお肉を食べたときにでも)

(2)以降は、また、別のエントリで。

EU報告書のIoTの定義

EUでは、「Definition of a Research and Innovation Policy Leveraging Cloud Computing and IoT Combination」という報告書が、2015年5月に公表されています。

この報告書におけるIoTの定義は、「インターネット・オブ・シングスは、適切な方法で自律的に対応できるようにネットワークにおけるほかの対象/構成員と情報を共有し、事象/変化を認識することを可能にする。したがって、IoTは、行動および価値創造を導くモノ(機械、建物、自動車、動物、その他)におけるコミュニケーションを構成する(“The Internet of Things enables objects sharing information with other objects/members in the network, recognizing events and changes so to react autonomously in an appropriate manner. The IoT therefore builds on communication between things (machines, buildings, cars, animals, etc.) that leads to action and value creation)」というものになります。

この定義も、では、情報システム同士のコミュニケーションは、含まれるのか?とか、物が主体なのか、ネットワークが主体なのか、それともコミュニケーションが主体なのか、という点についての回答を与えてくれないので、あまり出来のいい定義とはいえないかもしれません。どうも、社会のエコシステムとしてのIoTを考えているところがポイントのようです。これは、これで面白い考え方ですね。

個人的には、物がつながるとして見ていたし、それによるリスクを注目していたのですが、むしろ、仮想的な処理プロセスまでもがつながるIoTというエコシステムという考え方のほうが現代的で、生産的かもしれません。ちょっとしたインスピレーションです。