日比谷の街角 弁護士 稲垣隆一 稲垣隆一法律事務所

稲垣隆一法律事務所 〒100-0006 東京都千代田区有楽町一丁目7番1号有楽町電気ビル南館9階956区 電話:03-6273-4351

情報セキュリティ

JIS Q 27001:2023が発行されました 

9月20日、日本規格協会から、JIS Q 27001:2023が発行されました

https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS+Q+27001%3A2023

※ISMS-ACのWebページでも、トピックスにされています
 https://isms.jp/

SBOMを用いたセキュリティ管理の手法構築に役立つガイド

7月28日経産省から、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」が公表されました。
URLはこちら。
https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html

サプライチェーンのセキュリティを確保するには、リスクコミュニケーションが不可欠。それを実現するには、そのソフトウエアの脆弱性を知って対処するという方法論のほかに、しられた脆弱性情報を流通させる仕組みを考えなくてはなりません。
これがSBOMを用いたソフトウエア管理の手法です。
ソフトウエアとともに「ソフトウエア部品表」とも呼ばれるSBOM(Software Bill of Materials)を流通させ、取得した側が、部品の脆弱性を照会できるようにしておけば、ソフトウエアとともに脆弱性情報を流通させたのと同じ効果を生むことができます。

Metiによれば、「米国では大統領令に基づき、連邦政府機関におけるSBOMを含めたソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展しています。
QUAD (日米豪印戦略対話)では、政府調達ソフトウェアのセキュリティ確保に向け、ソフトウェアの安全な開発・調達・運用に関する方針を示した共同原則が発表されており、SBOMを含めたソフトウェアコンポーネントの詳細情報やサプライチェーン情報を適切に管理することが掲げられています。」とのことです。

思えば、こうしたインフラなしに、サプライチェーンセキュリティの確保と唱えても実現できないわけで、サプライチェーンのセキュリティレベル向上にとても大事なインフラが整備されつつあることを皆さんとともに喜びたいと思います。

発表された「手引き」は、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報を提供するとともに、SBOMを実際に導入するにあたって認識・実施すべきポイントを、(1)環境構築・体制整備フェーズ、(2)SBOM作成・共有フェーズ、(3)SBOM運用・管理フェーズと、フェーズごとに示しているのでとても使いやすいと思います。

この手引きの想定読者は、主に、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤーですが、ソフトウェアを調達して利用するユーザー企業でも、この手引きは役立てることができるでしょう。

具体的には、ソフトウェアにおける脆弱性管理に課題を抱えている組織や、SBOMという用語やSBOM導入の必要性は認識しているもののその具体的なメリットや導入方法を把握できていない組織などがソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となるはずです。

関連資料
・ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0PDFファイル
・「ソフトウェア管理に向けたSBOMの導入に関する手引」付録 チェックリストExcelファイル
・「ソフトウェア管理に向けたSBOMの導入に関する手引」 概要資料PDFファイル


セキュリティ対策のスコープ決定思想を変えろ!!! マイナンバーカードのトラブル・サプライチェーンのセキュリティ対策への視点

セキュリティマネジメント構築の最初に必要とされるのは、スコープの決定。この範囲が、リスクアセスメント、対策選択を初めとするマネジメントの各手順の範囲、効果を決める。

ところで、このスコープの決定を支える従来の思想は、現在の情報環境から乖離していないか?

「セキュリティ対策はウチの情報資産を対象とするのが原則。例外は契約で。」というスコープ決定の思想は、近代法の「意思あるところに責任あり」という意思責任論を反映している。

意思責任論を、とんでもなくラフに纏めれば、「人が負担や責任を負う根拠は、あなたが自分の意思で負担・責任を負うと決めたことにある。もう、あなたは王様や神様から解放されたのだ。」という考え方だ。

これがスコープ決定の思想にも反映すると、「ウチが責任を負う対象にのみセキュリティ対策の責任を負う」ということになる。

しかし、この思想によるスコープ決定は、今の環境の重要な変化を見逃している。

自身が所有、占有、保守運用するサーバーを、自身が管理しているネットワークで結び、そこに管理できるデータを入れ、流し、出し、その成果を自社で管理するという環境はとうの昔に終わっている。

今の環境は、自分では責任を負えないネットワークに、自分では責任を負えないOSSを積載した部材で構成された端末、コンピューターを結び、その成果を、自分では責任を負えない主体が参加するサプライチェーン全体で享受するというものに変化している。

もはや、私達は、地球規模で、自分が責任を負えない、負わない情報環境、つまり無責任情報環境で参加者が利益を享受するという環境へと変化させてしまっているのだ。

そうだとすると、もはや、意思責任、つまり、自分の意思が及ぶ範囲で責任を負うという思想は、現実に合わない。それで合理的だというのは幻想だと気付くべきなのだ。

技術を不可欠の要素とするセキュリティの領域では、思想もその現れである規格も、技術同様のスピードで陳腐化する。臨界点を超えれば、従来の例外を原則に置き変えて仕組みを作り直すことが必要なのだ。

私達は自分の意思が及ばない情報資産を地球規模で相互利用して利益を作りだしている。

もはや、ウチのシステムだけがスコープの対処だという発送はもう現実に合わない。
サプライチェーン全体に及ぶセキュリティ対策の必要が強調されるのはこうした状況認識の反映だ。

ところが、セキュリティマネジメントの規格、運用は、相変わらず、ウチの対策範囲は、ウチが責任を負っている情報資産だけだという、意思責任を反映した考え方のままだ。

今のマイナンバーの紐付け問題や誤交付問題は、このレガシーな思想によるスコープ決定の限界を端的に示している。

自治体が人手不足で間違えた、登録者本人に手順ミスがあったなどと、近代の責任論をもとに、ウチは関係ない。あちらのことにウチは手をだせない。その情報もない。などという議論はその現れだ。

しかし、新たな思想への転換は始まっている。

首相の、国家レベルで対策を行うという宣言と体制の構築はその現れだ。

これを、責任を負う主体がやっと出てきた、などと捉えるべきではない。そんな捉え方は、問題の解決を積極的にはかろうとする熱意を無視するだけでなく、結局、意思責任論で支配されたスコープ決定の在り方に逆戻りするのを認めるものだ。

マイナンバーカードの課題については、様々な主体が、自身が責任を負っている課題のみならず、関係する者として利害関係者への情報提供の見直し、協力関係の構築など、従来の責任分解点の外への取組を始めている。

あるリーダーは、「責任を負っているからではない。技術者の良心としてベンダー、関係者に協力を求める」と発言していた。

そうなのだ、無責任な主体が良心によって結んで利益を享受するネットワークのもとでは、責任ではない、良心によるスコープ決定の思想が必要なのだ。

「意思あるところに責任あり」から、「利益あるところに責任あり」「信頼された者は責任を負う」という思想によるスコープ決定への転換だ。

スコープ決定がこの思想に貫かれれば、その後の手順も、この転換を背景に、必要な仕組み、つまり、サプライチェーン全体に及ぶリスクコミュニケーションを可能とする情報流通の確保、復旧・是正・根本対策に必要な技術、人、費用の負担と支出の仕組みの構築へと繋がるだろう。

その元での具体策をみんなで考えてゆきたいものだと思う。



セキュリティベンダー警戒せよ!!!

P2Pネットワークを監視し,クライアントが決めたキーワードが含まれるファイルを取得して保存し,クライアントに見てもらってクライントの要望に従い処理するというサービスを行っているセキュリティベンダーに捜索が入り,サービスに使っているパソコンやサーバーのデータを差し押さえられ,逮捕者も出た。

嫌疑は,刑法第168条の3 不正指令電磁的記録保管罪。

どういう場合にこの罪が成立するかというと,
①正当な理由がない
②他人のコンピューターで実行の用に供する目的

のもとで,

③人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録,そのほかこの不正な指令を記述した電磁的記録その他の記録

を,

④取得又は保管する行為
⑤③及び④の認識

が全て備わった場合だ。

私は,この罪の立法を議論する法制審議会に幹事として出ていた。
当時から,この罪が成立すると,セキュリティベンダーの仕事が著しく萎縮させられるという指摘が強くなされていた。そもそも,実害が出る前に,保管そのものを処罰するには,相当にこの罪を必要とする社会的事実がなければならない。しかしそのような状況は認められない。サイバー犯罪条約との関係でも必要性に疑義があった。
だから当然反対した。

しかし,法務省は,こう説明した。

①,②の要件がある以上,正当なセキュリティベンダーの不正ソフトの取得保管でこの罪は成立しないから,心配ない。

この説明は,肩すかしというより,むしろ「ご心配はごもっとも。正当理由の有無,目的の有無は裁判所が判断することで,存分に争って,何年かけても最高裁で決着すれば,成否はいずれわかります。捜査機関は,その疑いがあれば捜査します。ですから,萎縮効果はやむを得ません。どんな犯罪でも,捜査とはそういうものです。kの罪を議論する上で,こうした当たり前のことは論じるに値しません。」という答えなのだ。

というわけで,この罪の成立はスムースに行かなかった経緯がある。
(詳しくは法制審議会の議事録参照)

法の成立後も,セキュリティベンダーや研究者からは,この罪が活動を萎縮させるので,なんとか,正当な理由や目的を立証する方法を講じてほしいと訴えが上がっていた。

しかし,結局何らの実効的な措置が講じられないまま今日に至ってしまった。

そして,事件は起きた。

セキュリティベンダーの従業員でもこの要件を満たすなら,処罰されて当然だ。
しかし,その判定には,人生がかかっている。会社も事業がかかっている。

勿論捜査機関も慎重な検討をした上のことだろう。

しかし,この事件の捜査や処理は,この罪の萎縮効果や捜査のあり方に対する議論を沸騰させるだろう。

この捜査や処理が適切に行われることは,日本のセキュリティ産業の競争力に拘わっている。
捜査機関には,関係者の利益を適切に保護しつつ,実体を解明する,比例原則を考慮した切れのある適切な捜査を行ってほしい。

また,NISCや経済産業省,総務省には,正当な業務を行うセキュリティ関係者の活動が保証され,我が国セキュリティ産業の競争力がそがれないような環境作りの場を作るべく,益々尽力してほしい。

そうでなければ,日本は,セキュリティ分野でまた遅れをとり,セキュリティを成長産業に位置づけることなど絵に描いた餅になってしまうと危惧するからだ。


高度情報セキュリティ人材 二本型CTF大会 ハッカー甲子園報告書


平成24年度情報セキュリティ対策推進事業(日本型「CTF大会」のあり方及び実践的情報セキュリティ人材育成に係る実証研究事業)事業報告書が公表されました。
http://www.meti.go.jp/meti_lib/report/2013fy/E002941.pdf


日本型CTF大会とは,要するに日本型ハッカー甲子園。

高度化する情報セキュリティに対する脅威に対するため,世界最高の実務人材を育成するにはどうしたらいいか。
まずは企業や学生のなかにいる金の卵を発掘しようというわけで,ハッカー甲子園を試みた結果の報告書。

まだ第一歩なので,参加者の範囲も狭いし,やり方も模擬対戦で簡単。
でも,昔これをやろうと計画したら,「ハッカーを養成するとはいかがなものか」と横やりが入って計画が頓挫した。こんな昔を思うと,この開催に関わったた者として,「やっとここまできたか!」という気がします。

今年,来年と,だんだんに高度化してゆくと思います。お楽しみに。

QRコード
QRコード
  • ライブドアブログ