Torの法的位置づけ

Torの法的位置づけをまとめておきたいと思います。

この問題について、2014年3月段階で、いったんまとめていたことがあったのですが、そのときには、法的な問題については、ほとんど議論されていなかったのですが、現在は、いくつか議論がなされているような状態になったからです。

まず、日本においては、遠隔操作ウイルス事件において犯人が、当該ウイルスをアップロードするのに、Torネットワークを利用しており、その点が新聞報道などで注目されたりということがありました。

世界的に、この議論を見ていくと、米国では、Watson教授は、” The Tor Network: A Global Inquiry into the Legal Status of Anonymity Networks”という論文( 11 Wash. U. Glob. Stud. L. Rev. 715(2012)) を発表しています。そこでは、「現在、アメリカ合衆国は、Torを規制する法律を有していない。 それゆえに、Torネットワークは、合衆国において完全に合法であるようにみえる」 と述べています。

また、EFF(電子フロンティア財団)は、TOR PROJECT においてTor運営者のための法的FAQ を有しています。

そこにおいては、Torの合法性について「(違法では)ない。だれも合衆国において、Torリレーを運営していたことをもって、訴えを起こされたり、起訴された例は存在しない。さらに私たちは、人々に、匿名でトラフィックを送受信することができるようにする出口ノードを含めて、Torリレーを運営することは、合法である」というのが回答です。

もっとも、違法目的を助長するために利用すべか、とか、リレーノードをしていることでトラブルに巻き込まれないことを保証するか、代理をしていれますかという問題については、いずれも、NOと回答がなされています。

では、逮捕されないか、というと、実は、米国でも逮捕された案件はあるわけです。

ちょっと古い事案ですが、

Dan Egerstad事件

とか

Eric Marques 逮捕事件

とかですね。(ノード運営で逮捕されたのか、悪意あるソフトを配布していたのか、とかの事実関係は、きちんとみるべきですね)

このような場合に、どうしましょうか、ということになるわけですが、EFFの回答は、

「Torについて教育しましょう」(Education them for Tor)になります。さすが、30年近く(厳密には、1990年 これは、デジタル証拠の法律実務でSJG事件に関してふれた記憶が)活動しているEFFですね。法執行機関についても、技術について勉強してもらって、それが、純粋に、ニュートラルだとわかってもらえれば、釈放されます、と信念をもっています。

(日本だと、逮捕されないようにするのが、法律家の責務だという感じになるし、ただで助けてねという感じになるのですが、文化の違いということにしておきましょう)

あと、シルクロード事件がありますが、これは、まさに、「仮想通貨」という本で詳細にふれています。改正法についてふれていないので、ご容赦ではありますが、マネーロンダリングと仮想通貨の問題については、きちんと詳細にふれていますので、ご購入いただけると幸いです。

あと、英国のシルクロード事件もあります。このとき、Keith Bristow国家警察局長は、「これらの逮捕は、犯罪者に対する明確なメッセージである。隠れたインターネットは隠れているものではなく、匿名の行為といったものは匿名では無い。私たちはどこにいるかを知り、何をしているかを知る。犯罪者がデジタル状の痕跡を完全に消去するということは困難である。どれだけ技術に詳しい犯罪者がいたとしても、必ず過ちをおかし、法執行当局が彼らに近づくことができる」とコメントして、インターネットにおいて自分の身元を隠すことができる、そして犯罪を遂行することができると考えるものに対して考え直すように警告しています。

このように考えると、具体的に、特定の犯罪を幇助するとでも認識していないかぎり、Torの利用自体を、何らかの犯罪であると認識するのは、難しいように思えます。

(ちなみに日本法的には、いわゆるWinny作者の著作権幇助事件的なスタンスになるかと思います。最高裁判決の一般論は「当該ソフトを利用して現に行われようとしている具体的な著作権侵害を認識,認容しながら,その公開,提供を行い,実際に当該著作権侵害が行われた場合や,当該ソフトの性質,その客観的利用状況,提供方法などに照らし,同ソフトを入手する者のうち例外的とはいえない範囲の者が同ソフトを著作権侵害に利用する蓋然性が高いと認められる場合で,提供者もそのことを認識,認容しながら同ソフトの公開,提供を行い,実際にそれを用いて著作権侵害(正犯行為)が行われたときに限り,当該ソフトの公開,提供行為がそれらの著作権侵害の幇助行為に当たると解するのが相当である」というものでした。そうだとすると、具体的なチャイルドポルノなり、薬物販売なりの犯罪の「具体的な行為」を認識することが求められることになりそうです)

客観的には、犯罪行為に対してニュートラルな仕組みになっているので、それを、何らかの形で、登録制、届出制というのは、難しいかと思います。せいぜいできて、ISP等における自主的な制約を、認めるようになるあたりに思えます。

いかにいやがらせを少なくして出口ノードを運営するかについてのちょっとしたコツ」(“Tips for Running an Exit Node with Minimal Harassment”)というページやEFFのページでは、Torに友好的な(Tor-Savvy )ISPとそうではないプロバイダがあることが示唆されています。

ISPの多数は、利用契約においてユーザが、「サーバ」をホスティングすることやプロキシを立てることを禁止しています。 なので、Torノードを運営することは、ISPの利用契約やユーザライセンス条項に違反になりえ、それを理由に、ISPは、契約を終了させることができます。

わが国におけるこのような例は、やはりWinnyの事件のときに見受けられました。消費者行政課からのご連絡でもって具体的な同意をとるようになったと記憶しています。

 

 

 

カテゴリー: 情報セキュリティ | Torの法的位置づけ はコメントを受け付けていません。

北條先生の「サイバー対策 法見直し必要」の続き

北條先生の「サイバー対策 法見直し必要」という読売新聞 論点の記事(2017年10月5日 読売新聞 朝刊)についてのコメントの続きになります。

前回は、それぞれの(0)立法時の背景と(1)不正アクセス禁止法における調査活動の違法性阻却化についてふれたので、今回は、(2)ウエブサイト管理者の管理義務の懈怠に対するペナルティ化/サイトの閉鎖可能化以下について、ふれようかとおもいます。

(2)ウエブサイト管理者の管理義務の懈怠に対するペナルティ化

北條先生のこの点についての議論は、不正アクセス禁止法の規定は「罰則のない努力義務であるため」脆弱性が放置されている、それゆえに、放置した場合のペナルティを設けたり、脆弱なサイトを閉鎖できるようにしたりするなど、何らかの対策も検討されるべきだろうとしています。

このペナルティというのは、何か、というのは、はっきりしません。刑事罰なのか、民事での損害賠償の責任を認めろということなのか、民事であれば、過失のとらえ方で、ある程度、柔軟な対応ができるはずなので、刑事罰かとおもいます。

脆弱性放置というのは、その義務懈怠に対するものとして構想するのでしょうが、その仕組みを実際に執行するというのは、どれだけのコストがかかるのか、という問題があるようにおもいます。何か問題が起きたときに、刑事罰を準備しておけば、それで処罰することができるから、いいだろう、というスタンスなのかと思ってしまいます。

あと、故意犯ですよね?。脆弱性というのは、攻撃者の意図・手法によって、実際の被害が顕在化するものであって、簡単に定義できるものではないことは、明らかかとおもいます(というか、なんとか、定義してきました)。パーツの組み合わせや予測しなかったサイトの動作によって実際の被害が発生したときに、適用しうるのでしょうか。

いや、明確に脆弱性で修正しなければならないのがわかったときに適用するというのであれば、デジタル省あたりが、サイト修正命令とかを出して、それを故意で修正しなかったときに処罰するのででもないかぎり、実用的ではないような気もしますね。

「脆弱なサイトを閉鎖できるようにしたりする」という主張ですが、根拠法令とかは何にするのでしょうかね。電気通信事業法との調整は、とかをすぐに心配してしまいいますね。

一つの問題提起なのでしょうね。大規模なDDoS対応であれば、パケットをブラックホールに投げ込んでおくことはなんとかできるようにしてはいますけど。(電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン)

(3) 不正指令電磁的記録の罪に関する違法性阻却事由の明確化(?) 

これは、この罪に関して犯罪が成立しない場合が明確ではない、というので、ガイドラインで明確にすべきであるという意見のようです。

この刑法改正案が国会で議論されるについて、かなりの議論がなされたのは、ついこの間のことのような気がします。とりあえずは、高木氏のメモがありますね。

前のエントリでふれましたが、法務省のウエブサイトで、「いわゆるコンピュータ・ウイルスに関する罪について」という文書が示されており、解釈論のレベルとしては、落ち着いているかとおもいます。

むしろ、実際の研究者/エバンジェリスト等の活動に際しての気になる点についての解釈論が広く提供されていないではないか、という訴えかけなのかとおもいます。

ということで、この指摘は、まさにその通りだとおもいます。

ただし、研究者/エバンジェリスト等の活動に際して、具体的にどのような問題が起きているのかというのを正確に把握し、それをもとに、ガイドライン化するというのは、非常に労力がかかる作業かとおもいます。しかるべき予算措置がとられるべきでしょう。

法律の不明確なところを明確にする/解釈論としては、明確でも、実際の適用に際して現場が疑問におもうところに対してガイドライン等で示すような知的作業は、社会の不必要なコストを劇的に減少させる効果をもつのですが、研究者・エバンジェリスト等は、単独では、コストを負担できないので、公共のシステムか、それとも、業界団体的なところの負担が必要なものなのでしょう。しかも、そのための優秀な法律家の才能が役に立つというのを証明しないといけないわけなので、北條先生には、そのようなソフトロー化の作業でも、新たな道を切り開いてもらいたいとおもいます。

(4)Torの利用の登録制

Torの技術を使ったアクセスをプロバイダーで制限し、利用を登録制にすべし、としています。

Torについては、もともとは、通信のプライバシーを守る技術として開発されており、特に独裁国家内にいる人間と連絡をとるなどの手法としては、有意義なものとして認識されているというのが私の認識です。すくなくてもツールなので、それ自体が違法とは、いえないでしょう。

その一方で、ダークウエブのプラットフォームとして利用されているのではないか、という指摘もそのとおりです。特に、ビットコインと合体するときに、「ダークのタッグ」が成立しているという気もします。

2013年に調査した段階では、世界的には、具体的な規制の議論というのはなくて、プロバイダが約款でアクセスを拒絶/遮断しうるとしていた例がある程度でした。

具体的な各国の動向もフォローしながらではありますが、各プロバイダの約款の規制については、それ自体が、通信の秘密を侵害すると解釈することはない、あたりが、可能だとしても、現実的なおとしどころのような気もします。

あとは、偽アカウントを本人と偽る行為に対しても対応すべき、としています。これは、公式アカウントとかの制度を各サービスプロバイダが提供して、対応していますね。法的な対応ということであれば、どういうのを考えているのか、微妙な気がします。

 

 

 

 

 

 

カテゴリー: 情報セキュリティ | 北條先生の「サイバー対策 法見直し必要」の続き はコメントを受け付けていません。

北條先生の「サイバー対策 法見直し必要」

北條先生の「サイバー対策 法見直し必要」という読売新聞 論点の記事が出ています(2017年10月5日 読売新聞 朝刊)。

北條弁護士は、「サイバーセキュリティに関係する現行法の多くは、これほどの技術の進展を想定しない中で作られた」「現場は混乱し、対応しきれなくなっている」として、以下の論点に対する対応を提言しています。

論点としては(1)不正アクセス禁止法における調査活動の違法性阻却化 (2)ウエブサイト管理者の管理義務の懈怠に対するペナルティ化/サイトの閉鎖可能化 (3) 不正指令電磁的記録の罪に関する違法性阻却事由の明確化(?) (4)ToRの利用の登録制 があげられています。

事実関係から整理すると、不正アクセス禁止法は、デンバーサミットのコミュニケでうたわれた「我々は、本日の閣僚レベルの会合において、二つの重要な任務の達成に向けた具体的な行動計画について意見の一致をみた。 一つはハイテク犯罪を捜査訴追する能力を高めることであ り、もう一つは世界のいかなる場所にも犯罪人にとって安全な避難先が存在しないことを 確保すべく、犯罪人引渡し及び捜査扶助に関する国際的な法体制を強化することである。」というわが国における対応の一環として、1998年の末くらいから、法案が揉まれて、1999年8月公布、2000年2月に施行になっています。また、不正指令電磁的記録の罪については、2002年くらいから、法制審議会での議論の対象とはなっており、2004年に刑法等改正案が提出されて、その後、共謀罪に関する与野党対決のあおりで、審議が進まず、2011年に国会を通過したというものです。(なお、デンバーサミット・コミュニケ40番については、サイバーセキュリティーの国際的法律問題 by 高橋 郁夫)

なので、これらの法制が、成立した時期から考えて「サイバーセキュリティに関係する現行法の多くは、これほどの技術の進展を想定しない中で作られた」というのは、筆が滑っているというような気がします。少なくても、1997年には、もう、白浜や湯沢のシンポジウムは開催されていましたし、私も、サイバーセキュリティやサイバーペイメントのシンポジウムで講演をしていました。ですから、不正アクセスと調査活動をどうすべきかというところまで議論していました。また、不正指令電磁的記録の罪の成立にあたっては、その成立範囲についてのコメントが公表されるなど、一定の考え方が明確にされ、一定の判断がなされています。

論の進め方は、別として、個別の論点について、以下に見ていきましょう。

(1)調査活動の違法性阻却について
不正アクセス禁止法における調査活動の違法性阻却のために、適用除外規定を設けるべきというのが、主張のようです。

1999年の10月に私は、「コンピューターの無権限アクセスの法的覚書–英国・コンピューターミスユース法1990の示唆(ネットワークと法の中心課題 6)」という論文を公表しています。そこで、英国のコンピュータ不正使用法の成立に至る経緯についてふれています。

既に、英国においては、Gold事件(R v. Gold [1988]2 All E.R. 186,H.L.)で、偽りのID番号とパスワードを利用して、データベースに対してアクセスしたという事案(共犯者は、そのアクセス料金を支払わず、他人に支払わせたため、データベースについての情報を権限なく書き換えた)がありました。(当時は、「1981文書偽造および通貨変造法」のセクション1違反で起訴)。この被告人は、データベースの保有者に警告をしており、その目的は、そのデータベースのセキュリティの弱点をデモンストレートすることにあったようにおもえた事件です。

その後、不正アクセスに対する刑事罰についての議論がなされて、最終的には、The Law Commision (LAW COM. NO.186) “Criminal Law Computer Misuse” Cm 819 HMSO 1989という報告書がでています。

そこでは、「2.12 私たちは、コンピューターの導入が、情報の蓄積の手段および状態において急激な変化をもたらしたことを認める。コンピューターは、量においても、方法においても、スピードにおいても、全く新しいレベルで情報を取り扱うことを可能にした。そのような設備の可用性、利用は、一般的に強く公共の利益と認められる。しかしながら、遠隔でアクセスしうるコンピューターシステムは、セキュリティ問題を惹起するのであり、それは、情報を紙に保存し、物理的にアクセスを隔絶すること、そして、さらに強盗や、すくなくても刑事的損害の規定により保護されるユーザーが悩むことのない問題なのである。その相違は、コンピューターユーザーの側で、セキュリティに気をつかわないで済ませるものではなく、むしろ、反対に、利用している操作の本質に避けられないものなのである」と述べています。
このセキュリティに対する投資の保護というのがもっとも重要な実質的な保護の理由ということになると考えていいかと思います。
この議論は、
「2・14 私たちの見解によれば、最も刑罰化に賛成する強力な議論は、第1に コンピューターのシステムの保有者において、セキュリティシステムが破られた(破られていたかもしれない)ときに実際の損害およびコストが膨大にかかること、第2に、無権限のエントリーは、一般的な刑事犯罪の予備的なものであること、そして、第3に、度重なる攻撃および、コンピューター操作者が結果としてセキュアではないと感じることによって、コンピューターシステムに対して喜んで投資しようというつもりが減少するかもしれないこと、実質的に有効なシステムの利用が遅らせられるかもしれないことを根拠としている。」とまとめて報告されていることからも明らかです。

このような趣旨から考えるアプローチにおいては、サイトの脆弱性の調査の目的があろうが、なかろうが、無権限アクセスされること自体が可罰的であるということがいえるとおもいます。

不正アクセス禁止法の立法趣旨および運用については、英国のコンピュータ不正使用法を参考にすべきであるという私の立場からすると、北條弁護士の立論のうち、不正アクセス禁止法を見直すべしという主張については、既に決着がついていた問題であって、賛成することはできないということになります。

(というか、不正アクセス禁止法の制定にあたって、コンピュータ不正使用法1990も参照されています。)

あと、わが国において、この点は、セキュリティ会議でのプレゼンの準備のための侵入事件(平成17年 3月25日東京地裁判決)でも議論されているものでもあります。もっとも、この事件においては、事実関係において、「事前に**会等に脆弱性の報告をせず,修正の機会を与えないまま,これを公表したことは,被告人の手法をまねて攻撃するという危険性を高めるものであったというほかなく,被告人の本件各アクセス行為はそのような形で公表することを目的としてなされたものであって,正常な問題指摘活動の限界をはるかに超えるものであり,正常な活動の一環であったとは到底認めらない。また,プレゼンテーションの仕方やその際の発言内容等にも照らすと,脆弱性を発見した自己の能力,技能を誇示したいとの側面があったことも否定できないところである。」とされています。文言をみる限り、正常な活動であったならば、一般の違法性阻却事由の可能性は、あり、それを超えた格別な違法性阻却事由が認められるべきという主張については、その必要性の観点からも、よくわからないところです。

もっとも、実は、この問題については、今ひとつの問題があります。

私の論文では、「セキュリティのレベルと犯罪の成立」(2.3.1)として論じたところなのですが、「コンピューター・セキュリティについての一定のレベルを講じてあるコンピューターに対してのみ、無権限アクセスが、成立するという考え方がありうる。そして、英国においては、その「権限」を具体的なセキュリティのレベルとの関係で明らかにすることが事実上必要となるであろうというガイダンスがあることは前述した(1.2.3.3)。立法例においては、一定のセキュリティのレベルを満たすことを犯罪成立の要件としているものがあるとされており、わが国の立法でも、この観点は問題となろう。不正アクセス法案からすれば、第5条でセキュリティレベルの確立の一般的規定を置いた上で、犯罪の要件とはしない立場と考えられるが、「権限」の実際上の立証の際に、セキュリティが確立していることが必要ではないかという問題(英国は、この立場をとる)は、発生し得る可能性があるように思われる」というのが、私の立場になります。

比較法的な立場からは、「「制定された、もしくは、新しい法律は、種々のアプローチを採用している。データ処理システムに対する『単なる』アクセスを刑罰化するもの(オーストリア、デンマーク、英国、ギリシア、アメリカ合衆国の大多数の州)から、アクセスされたデータが、セキュリティ手段によって、保護されている場合とするもの(ドイツ、オランダ、ノルウェイ)、侵入者が害意を有している場合とするもの(カナダ、フランス、イスラエル、ニュージーランド、スコットランド)、情報が取得され、変更され、損傷した場合とするもの(アメリカのいくつかの州)、最小限度の損害が生じた場合とするものなどまで、広範囲にわたっている」とのことです(Dr.Ulrich Sieber “Legal aspects of Computer-Related Crime in the Information Society“)。

上記のプレゼン準備侵入事件(?)においては、「識別符号を入力してもしなくても同じ特定利用ができ,アクセス管理者が当該特定利用を誰にでも認めている場合には,アクセス制御機能による特定利用の制限はないと解すべきであるが,プログラムの瑕疵や設定上の不備があるため,識別符号を入力する以外の方法によってもこれを入力したときと同じ特定利用ができることをもって,直ちに識別符号の入力により特定利用の制限を解除する機能がアクセス制御機能に該当しなくなるわけではないと解すべきである。」とされています。ところで、デフォルトで設定を変えずに置いている場合について「アクセス管理者が当該特定利用を誰にでも認めている場合には,アクセス制御機能による特定利用の制限はないと解すべき」というのと、同視しうるのではないか、ということはいえないことはないでしょう。そのレベルでいくと、まさに「アクセス管理者の通常の意図」について「具体的なセキュリティのレベルとの関係で明らかにすることが事実上必要となるであろう」ということになるのかもしれません。

「英国では」という解釈をわが国に導入するという私の「ではの神」理論によるとき、英国のようなガイダンスというアプローチを用いて、デフォルトのパスワードでは、不正アクセス禁止法のアクセス制限を満たさないということが明らかにされるということは可能になるような気がします。構成要件の明確性が○×とか、いわれそうではありますが、英国では、それでやりましょうとかいってましたから、というのは、抗弁にならないのでしょうか。

わが国のセキュリティレベルをあげるための提言ということだとしても、一定の法には、背景に種々の利益と決断、また、その決断にあたっての実証実験としての比較法があるので、90年代においても、その手法は、きちんと守られていたということは、その時代の真ん中にいたものとして明らかにしておきたいとおもいます。(詳しい話は、今度、また、おいしいお肉を食べたときにでも)

(2)以降は、また、別のエントリで。

カテゴリー: 情報セキュリティ | 北條先生の「サイバー対策 法見直し必要」 はコメントを受け付けていません。

EU報告書のIoTの定義

EUでは、「Definition of a Research and Innovation Policy Leveraging Cloud Computing and IoT Combination」という報告書が、2015年5月に公表されています。

この報告書におけるIoTの定義は、「インターネット・オブ・シングスは、適切な方法で自律的に対応できるようにネットワークにおけるほかの対象/構成員と情報を共有し、事象/変化を認識することを可能にする。したがって、IoTは、行動および価値創造を導くモノ(機械、建物、自動車、動物、その他)におけるコミュニケーションを構成する(“The Internet of Things enables objects sharing information with other objects/members in the network, recognizing events and changes so to react autonomously in an appropriate manner. The IoT therefore builds on communication between things (machines, buildings, cars, animals, etc.) that leads to action and value creation)」というものになります。

この定義も、では、情報システム同士のコミュニケーションは、含まれるのか?とか、物が主体なのか、ネットワークが主体なのか、それともコミュニケーションが主体なのか、という点についての回答を与えてくれないので、あまり出来のいい定義とはいえないかもしれません。どうも、社会のエコシステムとしてのIoTを考えているところがポイントのようです。これは、これで面白い考え方ですね。

個人的には、物がつながるとして見ていたし、それによるリスクを注目していたのですが、むしろ、仮想的な処理プロセスまでもがつながるIoTというエコシステムという考え方のほうが現代的で、生産的かもしれません。ちょっとしたインスピレーションです。

カテゴリー: IoT, 情報セキュリティ | EU報告書のIoTの定義 はコメントを受け付けていません。

IoTの法的定義

そういえば、「総務省 「IoTセキュリティ総合対策」の公表」でふれたときに、IoTって、どこで、どう定義されているんでしたっけ?という話が出てきたので、すこしメモしておきましょう。

ITU(国際電気通信連合)の勧告(ITU-T Y.2060(Y.4000))「Internet of Thingsの概観」による定義においては、「情報社会のために、既存もしくは開発中の相互運用可能な情報通信技術により、物理的もしくは仮想的なモノを接続し、高度なサービスを実現するグローバルインフラ」をいうものと定義しています。( A global infrastructure for the information society, enabling advanced services by interconnecting (physical and virtual) things based on existing and evolving interoperable information and communication technologies)

また、IPAの「IoT開発におけるセキュリティ設計の手引き」においては、9頁においては、「本書におけるIoTの定義」といっています。もっとも、何が入って、何が入らないかについての必要十分な記述という意味での定義らしいものは、ないのですが、サービス提供サーバ・クラウド、中継機器、システム、デバイス、直接相互通信するデバイスを構成要素とする全体像を検討対象とするべきであるとしています。

法的な定義としては、官民データ活用推進基本法における、「インターネット・オブ・シングズ活用関連技術」の定義(同法2条3項)が参考になります。同項は、「この法律において「インターネット・オブ・シングス活用関連技術」とは、インターネットに多様かつ多数の物が接続されて、それらの物から送信され、又はそれらの物に送信される大量の情報の活用に関する技術であって、当該情報の活用による付加価値の創出によって、事業者の経営の能率及び生産性の向上、新たな事業の創出並びに就業の機会の増大をもたらし、もって国民生活の向上及び国民経済の健全な発展に寄与するものをいう。」としています。ですから、 その定義によるとき、「インターネットに多様かつ多数の物が接続されて、それらの物から送信され、又はそれらの物に送信される」状態をいうと定義することができるでしょう。

IoTに関しては、モノがつながる「インターネット」の問題ととらえるよりも、接続されている有体物のほうが問題なのではないの?というのは、このブログでも何回かふれたところです。
具体的には、
「安全なIoTシステムのためのセキュリティに関する一般的枠組」とか
「Cyber Physical System」とかですね。

そして、物なので、当然に、有体物となり(民法85条)、(とあるところで、モノには、著作物という使い方もあるでしょ、といわれたのですが、この点については、もうすこし考えます)、人の生命・身体・精神、有体物、金銭に対するハザードとなりうる、ことが考察の主たるポイントだろうとおもうわけです。

(もっとも、ITUは、意図的に仮想的なモノの接続を考えていますね。この仮想的なモノというのは、なんなのでしょうか。3.2.3は、thingについて「物理的な世界における対象物(有体物)もしくは、情報世界における目的(仮想ブツ)であって、通信ネットワークにおいて識別され、統合されうるものをいう」(With regard to the Internet of things, this is an object of the physical world (physical things) or the information world (virtual things), which is capable of being identified and integrated into communication networks. )と定義しています。仮想ブツについては、また、何かの機会に考えてみましょう。ネットワーク化されたAGI(汎用人工知能)自体だったりして?)

物については、いまのところ、様々な法的規制や安全基準、ガイドライン等が整備されて、一定の安全確保のための既存の枠組みが構築されているわけですが、その安全基準は、ネットワーク接続から生じるハザードに十分に対応できているわけではないと考えられます。そこでの対応が、IoT(というよりも接続された有体物-Connected Physical Thingsでしょうか- Cyber Physical Systemと呼ぶべきでしょうね)の大きな問題なのでしょう。

システムのどこかに、いわゆる脆弱性があった場合に、どのような問題が生じて、そのハザードに対して、どのような対応をとっていくべきか、という点については、「IoT の脆弱性と安全基準との法的な関係(高橋郁夫) 」という論考で考えてみました(Infocom review 第69号(2017年7月31日発行))。

 

カテゴリー: IoT, 情報セキュリティ | IoTの法的定義 はコメントを受け付けていません。

総務省 「IoTセキュリティ総合対策」の公表 (その2)

では、総務省のサイバーセキュリティタスクフォースにおいて取りまとめられた「IoTセキュリティ総合対策」の後半の部分を検討していきましょう。

(2)は、「研究開発の推進」です。

①基礎的・基盤的な研究開発等の推進

②広域ネットワークスキャンの軽量化
ここでも、「脆弱な IoT 機器のセキュリティ対策のため、膨大な IoT 機器に対して広域的なネットワークスキャンを実施する必要がある。このため、広域ネットワークスキャンの軽量化など、その効率的な実施のために必要な技術開発を推進する必要がある。」という調査計画にもとづいて活動がうたわれています。

③ハードウェア脆弱性への対応
「膨大な数の回路設計図をビッグデータとして収集・蓄積し、これを元に脆弱性が存在する可能性のあるチップを、AI を活用して類型化し、ハードウェア脆弱性を発見」だそうです。このような「脆弱性」の概念と製造物責任、また、これを購入した人の「瑕疵」の概念の研究の依頼お待ちしています。

④スマートシティのセキュリティ対策の強化

⑤衛星通信におけるセキュリティ技術の研究開発

「宇宙産業の急速な発展に伴い、今後、衛星へのサイバー攻撃(衛星回線の傍受やデータの窃取など)が増加することが懸念される」まさに、宇宙法の問題ですね。とりあえず、来年の4月、5月あたりは、宇宙法の勉強でもしたいなあ。そのための軍資金を稼がないと。

ちなみに、CODEBLUEのキーノートのパトリック・オキーフさんは、もとは、スペースエンジニアです。サイバーセキュリティのイシューが、ネットワークから国家・主権の問題へ、また、陸の物理ネットワークから無線・宇宙への広がる様子を俯瞰してくれるとおもいます。みなさま、ぜひともおいでください。
(ちなみに、私は、実行委員*ステマは、禁止されたというニュースがあるので、利害関係の表示と-このニュースの分析は、駒澤綜合法律事務所で)

⑥AI を活用したサイバー攻撃検知・解析技術の研究開発

「AI を活用したサイバー攻撃検知・解析技術の研究開発にも取り組む必要がある」。はい。ただ、いまある実用的なAI技術のYaraiもよろしくです。

そもそも、AIというのは、まだ、実用化されていない子供の技術をいうというのが私の説です。Yaraiの機械学習エンジンは、まさに今、実用化されているAI技術です。(機械学習エンジンがメインになります)
(ちなみに、社外取締役をしています これも利害関係の表示)

(3)民間企業等におけるセキュリティ対策の促進

具体的には、

① 民間企業のセキュリティ投資等の促進
これについては、「高レベルのサイバーセキュリティ対策に必要なシステムの構築やサービスの利用に対して、税制優遇措置を講ずる方向で検討していく必要がある」ということですね。これは、いいですね。このように経済的インセンティブを考慮するようになったのは、本当にいい方向性だとおもいます。(本当に、お題目を唱えると、防護できるかとおもっていたかのような政策もおおかったですからね)

② セキュリティ対策に係る情報開示の促進
「企業のセキュリティ対策に係る情報開示に関するガイドラインの策定」があげられています。これもいいですね。実際に現在も、情報セキュリティリスクについては、結構、開示されているような気がしますが、対策まで開示ということで、これも望ましい方向ですね。

あと、サイバーセキュリティ保険の普及のあり方とも合わせて検討ということですね。このような製品をいれて、このような評価を得ていると保険料が低くなるとかあるといいですね。そのような製品にどうやって食い込むか、というのもセキュリティ業界関係者の一つの動きになるかもしれません。

とにかく、経済的なインセンティブの設計こそが、ネットワークの平和の鍵というのは、「ハンソロが借金の棒引きをもとめて宇宙平和の旅にでた?」というのを例に出すまでもなく、重要なことです。

③事業者間での情報共有を促進するための仕組みの構築

これについては、将来は、「共有された情報に基づき、サイバー攻撃に応じた自動防御を目指すことも考えられる」だそうです。

そのようなために、
「情報提供元及び共有される情報自体の信頼性を担保する仕組み」
「様々な事業者から提供された大量の情報の分析、情報の重複の排除、情報の重み付け、サイバー攻撃の全体像の把握を行った上で、入力フォーマットの標準化などの情報共有を実施する仕組みを検討」
ということです。

5年ほど前ですが、情報共有のための枠組みを調べたことがありました。米国でも非常に複雑な仕組みになっていました。もっとも日本の場合は、業界的には、相互の信頼関係が構築しやすいようにも思えます。
ただ、このような仕組みは、情報共有を妨げるいろいろな事情によって実現されなくなるので、それをできる限り減少させて、共有できるようなインセンティブを含めた仕組みが構築されるべきですね。
「④ 情報共有時の匿名化処理に関する検討」は、このような文脈で考えられるといいでしょうね。

詳細は、米国のサイバーセキュリティ法の分析とかと合わせて、別の機会にすることにしましょう。
あと、情報といっているのですが、データのレベルなのか処理された情報なのか、はたまた、さらに意味づけが加わったインテリジェンスレベルの共有か、という問題もありそうです。サイバー情報/諜報機関をどうするのかなんてのもちょっとおもったりします。

⑤ 公衆無線 LAN のサイバーセキュリティ確保に関する検討

これは、本当にそうですね。どのようなバランスをとるべきなのか、実際の進展を見守りたいです。

(4)人材育成の強化

毎度おなじみ、人材育成です。

具体的な話としては、実践的サイバー防御演習(CYDER)の充実、2020 年東京大会に向けたサイバー演習の実施、若手セキュリティ人材の育成の促進、IoT セキュリティ人材の育成などが含まれています。基本的には、堅実なオブジェクトかとはおもいます。が、

METIもMICも、いつも、これではありますが、セキュリティ人材のために、経済的待遇がよくなるようなインセンティブを考えない「人材育成」論は、ガソリンのないエンジン、電気のない電気自動車のようなものです。

おまけに、セキュリティの三要素よりも、量子暗号を先に教える大学のカリキュラムに触れない人材育成論は、ナンセンスなので、個々のお題目は、電気自動車の充電の方式を語っているようにしかおもえないので、評論はパスします。

(5)国際連携の推進
「平成 31 年には G20 が我が国で開催されることを見据え、サイバーセキュリティ分野における国際協調に向けて主導的な役割を果たしていくこと」
多分、平成31年は、別の元号になっているだろうというツッコミはさておくとして、大事なことなので、ぜひとも関係者の方々には、頑張っていただきたいですね。

でもって、
ASEAN 各国との連携
国際的な ISAC 間連携
国際標準化の推進
サイバー空間における国際ルールを巡る議論への積極的参画
が具体的な項目として上がってきています。

これらは、本当に重要なので、ぜひとも実現してもらいたいとおもいます。サイバーノームズのコミュニティに日本の関係者が、コミュニティの顔としてはいってこれるような日がくるのをお待ちしています。
コミュニティとしては、すごく狭いので、日本で、きちんと、国際法がわかって、しかも、国内の努力を世界に説明できる人がいれば、すごく世界で存在感がでるのにとおもっていたりします。ただ、この問題はアジア共通かもしれません。韓国も、も存在感は、いま一つですね。他の国ですと、サイバーノームのコミュニティの人は、ほとんどいないような気もします。(なんといっても、タリンレポートが自腹というのは、いい加減にしてほしいです)

結局、サイバーセキュリティにおける法と政策というのは、日本においては、ビジネスとしては、厳しいのでしょう。それでも、自分としては、97年に最初の講演をしてから、いい経験をたくさんしてきたとはおもいます。ただし、後輩におすすめできるかとか、この世界に誘えるかというのは、ためらってしまうのが現実ですね。そこらへんが、日本におけるサイバーセキュリティの国際連携や人材育成の最大の問題だとおもいます。

カテゴリー: サイバー規範, 情報セキュリティ | 総務省 「IoTセキュリティ総合対策」の公表 (その2) はコメントを受け付けていません。

総務省 「IoTセキュリティ総合対策」の公表 (その1)

総務省は、サイバーセキュリティタスクフォースにおいて取りまとめられた「IoTセキュリティ総合対策」を公表しています

構成は、

Ⅰ 基本的考え方

として、「安全な IoT システムのためのセキュリティに関する一般的枠組」を踏まえつつ、総合的な視点 に立って対策を講じていくことが述べられています。

そして、各レイヤーごとにわけて分析するということになっています。

法律家だと、安全のためのセキュリティなので、検討の対象の法的性質(物か、それ以外か、とか)にわけて検討するところですが、それは、セキュリティのアプローチなので、これも一つの方法でしょう。

Ⅱ 具体的施策
においては、
(1)脆弱性対策に係る体制の整備、
(2)研究開発の推進
(3)民間企業等におけるセキュリティ対策の促進
(4)人材育成の強化、
(5)国際連携の推進の5つの項目
にわけて検討される
ということが明らかにされています。

(1)脆弱性対策に係る体制の整備
①セキュリティ・バイ・デザイン等の意識啓発・支援の実施から、⑤ 簡易な脆弱性チェックソフトの開発等 までの話。

では、セキュリティ・バイ・デザインの考え方に準拠の認証マークを考えているみたいです。セキュリティの考え方は、プロセスからいくので、むしろ、結果からいく安全基準のほうがよさそうな気もするのですが、どうでしょうか。要は、コントロールする物が、生命・身体に影響を及ぼしかねない場合には、このような要件を求めるとかしたほうがいいような気がします。

今、一つ気になるのは、根拠法令に何をするのかな。電波法なのでしょうか。でも、無線通信機器の責任分界がわからないと何法に基準を決めるのかもよくわからなかったりします。この枠組み自体、リーガルチェックという発想はなかったようですね。

電気通信事業法でもいけないことはないということは前のエントリで検討したのですが、 ファームウエアの問題に突っ込んでくるのですか>MIC

従来、脆弱性研究会がいろいろと考えてきたんですけど、みたいな話もありそうです。(問題を整理しましょ、という話)

あと、きちんと意味を読む必要があるのが
「重要インフラで利用される IoT 機器のように、国民生活や社会経済活動に直接影響を与える可能性がある重要 IoT 機器と、家電製品などの IoT 機器を含むサイバー攻撃の踏み台となってネットワークに悪影響を及ぼすおそれのある機器の双方について、所要の脆弱性調査と当該調査結果に基づく対策を講じる必要がある。併せて、脆弱性調査の効果を高める観点から所要の法制度の整備についても併せて検討する必要がある。」(5頁)という表現でしょうか。

前者については、あたかも、押しかけ脆弱性調査を認めるべきだという風に読めてしまいます。そのような趣旨はないと信じています。
というか、その前に、ネットワークに悪影響を及ぼすとかと、人の生命・身体に影響を及ぼしかねない場合とをわけるべきだろうとおもいますね。そして、後者に関係しうるIoT機器として、何が、重要インフラの管理下で存在しているのか、その洗い出しをすべきでしょう。(7の「重要 IoT 機器に係る脆弱性調査」を読む限り、現在、実行中のようですが)
洗い出しをする前に、調査を認める法制化とかいってもしょうがないとおもいます。

「脆弱性調査の効果を高める観点から所要の法制度の整備」については、調査をされるほうの身にもなりましょう、ということですね。英国コンピュータ不正使用法の成立の際のときの議論は、きちんと論文でふれているところですが、それを変える必要があるとは思っていなかったりします。

ただし、当社としては、豊富な比較法的検討に基づいた豊かな議論というのは、大賛成ですので、総務省さんで、「脆弱性調査の効果を高める観点から所要の法制度の整備についても併せて検討」についての入札待っています。(その場合、評価指標を途中で、変更したりしないでね)

⑧の「所有者・運用者・利用者に対して脆弱な機器の注意喚起を行い、各者による対策を促進。また、製造業者に対して情報提供を行い、今後製造する機器への対策を促進」は、IoTサイバークリーンセンターでしょうか。おもしろそうです。

⑨「被害拡大を防止するための取組の推進」では、通信の遮断が議論されています。「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定について」が、さらに発展するものとおもわれます。その意味では、通信の秘密のドグマについて柔軟な対応が、当然に考えられるようになっているというのは、いいだしっペとしては、うれしいところです。

⑩「 IoT 機器に関する脆弱性対策に関する実施体制の整備」では、IoTセキュリティセンターが提案されています。これも、この根拠法令は、何なの、と突っ込みたくなりますね。通信に関する責任分界点の範囲についての技術基準は、作る権限があるとおもいます。でも、実際の問題は、その分界点の先の有体物の誤動作だったりするわけでしょう。難しい問題ですね。

(2)以降についても、ゆっくり分析したい事項がならびます。続きは、別のエントリで。

カテゴリー: リスク, 情報セキュリティ | 総務省 「IoTセキュリティ総合対策」の公表 (その1) はコメントを受け付けていません。

「総務省-サイバー防衛で公的認証」と無線機器の責任分界点

総務省が、「IoT機器のサイバー攻撃に対する安全性の度合いについて検証する。その上でウイルスの侵入を防ぐシステムを導入した製品に対して、20年までに公的機関による認証制度を作る計画だ」という記事がでています。記事としては「サイバー防衛で公的認証 総務省、IoT総合対策」になります。

脱線しますが、このリサーチ・アートのブログのなかでコンスタントに読まれている記事は、責任分界点の記事になります。それだけ、みんなが正確にどのような意味かを確かめずに、雰囲気で使っているのでしょうね。

法律家として言葉にセンシティブであるのであれば、責任分界点とは、「電気通信設備に関し、技術基準に適合するように維持しなければならない設備の物理的な境界もしくはその場所」ということになるかと思います。

このような立場から、思いを巡らせると、上の「サイバー防衛で公的認証 総務省、IoT総合対策」という記事が、責任分界点の観点から、きちんと検討しないといけないだろうな、という論点が出てくることに気がつくと思います。

IoTだと無線を使うので、基本的な枠組みは、電波法になるかとおもいます。その無線設備(第3章)は、電波の質、受信設備の条件や、義務船舶局の無線設備の機器について定めています。

具体的な規定として、同法38条は、その他の技術基準として「無線設備(放送の受信のみを目的とするものを除く。)は、この章に定めるものの外、総務省令で定める技術基準に適合するものでなければならない。」と定めていて、
無線設備の技術基準については、「送信設備に使用する電波の周波数の偏差及び幅、高調波の強度等電波の質は、総務省令で定めるところに適合するものでなければならない」( 28 条)
「受信設備は、その副次的に発する電波又は高周波電流が、総務省令で定める限度をこえて他の無線設備の機能に支障を与えるものであってはならない」(同法 29 条)という定めをしています。
そして、総務省令で定める技術基準の詳細については「無線設備規則」等において定められています。

ところでICタグがついているスマートメータがあったとして、そのスマートメータ自体が、特定小電力無線局とは思えません。本体が、脆弱性があって、本体が侵入される可能性があるというのは、上のような責任分界点の概念で考えたときに、電波法の予想している「無線設備規則」の枠の中に納まるのでしょうか。そもそも、ICタグにおいて、どこが無線設備になるの、というのは、考えたことがありませんね。

また、電波で、電気通信事業で使えわれる電気設備に接続するので、電気通信設備の技術基準の適用対象となるのかもしれません。

これらの点についての資料として 「日本における電気通信機器の基準認証制度の概要」という資料があります。

電気通信設備/無線設備ともに、セキュリティという観点から技術基準が決められているということはありません。今後、これらの制度に、IOTの認証制度というのが、どのようにつながっていくのかというのは、興味深いものといえるでしょう。

カテゴリー: 情報セキュリティ | 「総務省-サイバー防衛で公的認証」と無線機器の責任分界点 はコメントを受け付けていません。

CODE BLUE Speakers

当社 代表取締役の高橋が実行委員をしておりますCODE BLUEですが、今年(2017)のスピーカーが発表されました。プレスリリースは、こちら

今年は、キーノート、ジェネラルトラックで、法と政策に関する発表が準備されています。

キーノートはパトリック・オキーフ さん(ドイツ NATO法律顧問)です。彼は、もともとは、スペースエンジニアだったので、今、法律顧問に転身しています。宇宙法にも興味を持っています。サイバースペースと国家主権の関わりということであれば、わが国では、なかなか注目されない分野(しかし、世界では、まさに一番のホットトピック)のお話なので、非常に、役に立つと思います。

あと、法律/政策分野からは、「サイバーセキュリティのための国家安全保障と官民パートナーシップ:強みと課題」と題して、ステファーノ・ミレ(イタリア大西洋委員会サイバーセキュリティ委員会委員長)さんが発表します。ミレさんは、10年ほど前から、私の調査でも度々お手伝いをしてくれました。ヨーロッパのセキュリティに関する政策についての専門家です。今回が日本の初訪問ということだそうです。私もあえてうれしいです。

ユーストラックでも「事例から考える脆弱性と法」  橋本早記&武田真之 (日本 慶應義塾大学)が、アクセプトされています。情報セキュリティと法律の分野は、なかなか、担当者が少ないのですが、ぜひとも若い人には、頑張ってもらって、わが国のサイバーセキュリティを牽引してもらいたいですね。

カテゴリー: サイバー規範, 情報セキュリティ | CODE BLUE Speakers はコメントを受け付けていません。

Japanese view for remote search and seizure of extraterritorial data

I read Dr.Maria Osula san’s article” Notification requirement in transborder remote search and seizure;domestic and international law perspective” and found  very interesting.So I wrote the Japanese law aspects.

1  remote search and seizure in Japanese law.

Code of Criminal Procedure(Part I and Part II-CCP ) was amended in 2011.Amended code prepard the remote search and seizure  of remote stored data.

Article 99

(1) The court may, when it believes it to be necessary, seize articles of evidence or articles which are considered to require confiscation; provided, however, that this shall not apply when otherwise so provided. (2)Where the article to be seized is a computer, and with regard to a recording medium connected via telecommunication lines to such computer, it may be reasonably supposed that such recording medium was used to retain electromagnetic records, which have been made or altered using such computer or electromagnetic records which may be altered or erased using such computer, the computer or other recording medium may be seized after such electromagnetic records have been copied onto such computer or other recording medium.

LEA has the same authority if get warrant.

Article 218

(1) A public prosecutor,a public prosecutor‘s assistant officer or a judicial police official may, if necessary for the investigation of an offense, conduct a search, seizure, seizure ordering records or inspection upon a warrant issued by a judge. In such cases, the inspection and examination of a person shall be conducted upon a warrant for physical examination. (2) Where the article to be seized is a computer, and with regard to a recording medium connected via telecommunication lines to such computer, it may be reasonably supposed that such recording medium was used to retain electromagnetic records, which have been made or altered using such computer or electromagnetic records which may be altered or erased using such computer, the computer or other recording medium may be seized after such electromagnetic records have been copied onto such computer or other recording medium.

In the remote access case,warrant require the prescribe the scope of the data.

Article 219

(2) In cases of paragraph (2) of the preceding Article, in addition to the matters prescribed in the preceding paragraph, the warrant set forth in the preceding Article shall contain the scope to be copied out of the electromagnetic records with regard to the recording medium connected via telecommunication lines to the computer which is to be seized.

2 Notice of warrant/seizure

Warrants shall be shown to the person.

Article 110

The search warrant, seizure warrant or seizure warrant ordering records shall be shown to the person who is to undergo the measure.

But we have to consider the protection of the remote stored data which is controlled by the third parties.

But there is no legal measures to make a notice to third partise.

At the forfeiture,notice system was prepaed at the amendment of CCP.

First-aid Measures Law on Procedures to Confine Third-Party Ownership in Criminal Cases set out the protection of the third party when LEA goes to forfeiture.

Article 2 (1)
 In the case that the prosecutor raises the prosecution, it is not clear whether it belongs to the owner of a person other than the accused(hereinafter referred to as "third party" (belonging to the accused or belonging to a third party) Hereinafter the same shall apply), the prosecutor shall promptly notify  the third party in writing  of  the  following  matters  when  forfeiture  is deemed necessary.

Article 1 bis set out
With regard to the application of this Act, electromagnetic records attributable to persons other than the accused shall be deemed to belong to that person.

3 Exterritorial stored data

Therefore, there is a problem of how to understand when data exists abroad, this point has already been discussed at the first session of the legislation council.  We can understand it from the discussion of  the council member and office  member.

Let’s see the discussion.

Office “The problem of domestic and overseas in relation to the seizure set out at the item No5 is the procedure law issue, especially to do seizure or search for foreign recording media causes both issues under the criminal procedure law and sovereignty. It is generally a matter of sovereignty to apply enforced disposition on the recording mediums existing in other countries.Cyber Convention premise that the international cooperation procedure should be carried out.So in the cases that it was discovered or being confirmed/confirmed in the course of the investigation that it is a recording medium with such a problem, in the case of the Cyber Convention, it will be said that we will request a cooperation in accordance with the Convention, that is the case it is. ”

Member: “Do you understand it after you (access and ) open it?”

Office “Although there may be times when you try to open it, or if you know earlier that it is somewhere else in the country that such a remote storage location is not in Japan, I think that ,when you are aware of,we will take the procedure of international cooperation”

(Skip)

Member “Do you mean that LEA will inquire the data location of the current IP, that is, if LEA can not find out what country the network is connected from the screen, so LEA shall take a procedure to confirm which country server is with chasing the IP?

Office “Regarding the location of the computer, perhaps because there are various kinds of information in the process of investigation, it will be decided based on it.But once it is revealed that the medium is located in other countries,that is to take such a procedure of mutual assistance. I think that it is probably a case-by-case and that there are many in what kind of evidence will show the location.”

In other words,Japan’s stand point is that when LEA find the probability(possibility ?) of exterritorial search and seizure,LEA shall use the  mutual assistance procedure.

In case of “loss of place”, I think that there may be no discussion in Japan.

カテゴリー: 未分類 | Japanese view for remote search and seizure of extraterritorial data はコメントを受け付けていません。