日比谷の街角 弁護士 稲垣隆一 稲垣隆一法律事務所

稲垣隆一法律事務所 〒100-0006 東京都千代田区有楽町一丁目7番1号有楽町電気ビル南館9階956区 電話:03-6273-4351

情報セキュリティ

セキュリティベンダー警戒せよ!!!

P2Pネットワークを監視し,クライアントが決めたキーワードが含まれるファイルを取得して保存し,クライアントに見てもらってクライントの要望に従い処理するというサービスを行っているセキュリティベンダーに捜索が入り,サービスに使っているパソコンやサーバーのデータを差し押さえられ,逮捕者も出た。

嫌疑は,刑法第168条の3 不正指令電磁的記録保管罪。

どういう場合にこの罪が成立するかというと,
①正当な理由がない
②他人のコンピューターで実行の用に供する目的

のもとで,

③人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録,そのほかこの不正な指令を記述した電磁的記録その他の記録

を,

④取得又は保管する行為
⑤③及び④の認識

が全て備わった場合だ。

私は,この罪の立法を議論する法制審議会に幹事として出ていた。
当時から,この罪が成立すると,セキュリティベンダーの仕事が著しく萎縮させられるという指摘が強くなされていた。そもそも,実害が出る前に,保管そのものを処罰するには,相当にこの罪を必要とする社会的事実がなければならない。しかしそのような状況は認められない。サイバー犯罪条約との関係でも必要性に疑義があった。
だから当然反対した。

しかし,法務省は,こう説明した。

①,②の要件がある以上,正当なセキュリティベンダーの不正ソフトの取得保管でこの罪は成立しないから,心配ない。

この説明は,肩すかしというより,むしろ「ご心配はごもっとも。正当理由の有無,目的の有無は裁判所が判断することで,存分に争って,何年かけても最高裁で決着すれば,成否はいずれわかります。捜査機関は,その疑いがあれば捜査します。ですから,萎縮効果はやむを得ません。どんな犯罪でも,捜査とはそういうものです。kの罪を議論する上で,こうした当たり前のことは論じるに値しません。」という答えなのだ。

というわけで,この罪の成立はスムースに行かなかった経緯がある。
(詳しくは法制審議会の議事録参照)

法の成立後も,セキュリティベンダーや研究者からは,この罪が活動を萎縮させるので,なんとか,正当な理由や目的を立証する方法を講じてほしいと訴えが上がっていた。

しかし,結局何らの実効的な措置が講じられないまま今日に至ってしまった。

そして,事件は起きた。

セキュリティベンダーの従業員でもこの要件を満たすなら,処罰されて当然だ。
しかし,その判定には,人生がかかっている。会社も事業がかかっている。

勿論捜査機関も慎重な検討をした上のことだろう。

しかし,この事件の捜査や処理は,この罪の萎縮効果や捜査のあり方に対する議論を沸騰させるだろう。

この捜査や処理が適切に行われることは,日本のセキュリティ産業の競争力に拘わっている。
捜査機関には,関係者の利益を適切に保護しつつ,実体を解明する,比例原則を考慮した切れのある適切な捜査を行ってほしい。

また,NISCや経済産業省,総務省には,正当な業務を行うセキュリティ関係者の活動が保証され,我が国セキュリティ産業の競争力がそがれないような環境作りの場を作るべく,益々尽力してほしい。

そうでなければ,日本は,セキュリティ分野でまた遅れをとり,セキュリティを成長産業に位置づけることなど絵に描いた餅になってしまうと危惧するからだ。


高度情報セキュリティ人材 二本型CTF大会 ハッカー甲子園報告書


平成24年度情報セキュリティ対策推進事業(日本型「CTF大会」のあり方及び実践的情報セキュリティ人材育成に係る実証研究事業)事業報告書が公表されました。
http://www.meti.go.jp/meti_lib/report/2013fy/E002941.pdf


日本型CTF大会とは,要するに日本型ハッカー甲子園。

高度化する情報セキュリティに対する脅威に対するため,世界最高の実務人材を育成するにはどうしたらいいか。
まずは企業や学生のなかにいる金の卵を発掘しようというわけで,ハッカー甲子園を試みた結果の報告書。

まだ第一歩なので,参加者の範囲も狭いし,やり方も模擬対戦で簡単。
でも,昔これをやろうと計画したら,「ハッカーを養成するとはいかがなものか」と横やりが入って計画が頓挫した。こんな昔を思うと,この開催に関わったた者として,「やっとここまできたか!」という気がします。

今年,来年と,だんだんに高度化してゆくと思います。お楽しみに。

セキュリティ対策 人の問題 IPA「リスク認知と実行に関する調査」

情報漏えい事故は減らない。

技術とマネジメントや統制の枠組みは様々に取り組まれているのだけれど。
「人の問題」への取り組みはなかなか進まない。
そこで,「結局人の問題だね」で思考停止しがち。

そうなのだ,システムの課題を考えるときも,運用を適切に行う為の課題と対策は,企画や開発のそれより難しいと感じる。

IPAの「リスク認知と実行に関する調査」は,この問題に,社会心理学の知見からアプローチしているもので,素晴らしい。

こうした研究が進んでこそ,技術や枠組みの研究が現実を変える力を一層強く備えられることができるのだろうと思います。

報告書は
http://www.ipa.go.jp/security/economics/report/behavior/index.html


報告書末尾の「今後の課題」では,調査と実験との整合性をとるための実験手法など,研究の方法論の充実が必要だと指摘しておられるけれど,ぜひ,こうした研究を継続していただきたいと思います。
そして実践的な研究成果を,ISOの枠組みづくり,NISCでのセキュリティ政策づくりに生かしていただけたらと思います。

情報漏洩の疑いを解く コンプライアンス経営の肝 ISMSの文書化の意味

ある会社から,「自社から情報漏えいしたと疑いをかけられている。自社からの漏洩の有無を調べて欲しい」と求められて調査している。

なぜ弁護士が必要なのか。
それはこうだ。

仮に漏洩があったとすれば,法的責任を問われる可能性がある。また,漏洩した社員の懲戒問題に発展する。
漏洩がなかったとすれば,疑いを掛けた相手にそれなりの対抗をしなければならない。
いずれにせよ,法的責任がかかっている。
そこで,調査の設計と実施には,法的な争いに絶えられる証拠の粒度を知る弁護士が必要となるというわけだ。

今回の調査設計は,その情報の入手以降,情報漏えいの可能性のあるルートをしらみつぶしに洗い出して,その一つひとつを点検して,そのルートからの漏洩の事実,リスクを点検・評価するというものだ。

当然弁護士一人でできるわけもない。
管理,システム,調達,資産管理の各部門から人を出してもらって調査チームを構築して調査方法を設計し,役割分担して調査を実施する。

作業の中核は,証拠の収集だ。

つくづく,コンプライアンス経営は,証拠にもとづく経営だと痛感する。
コンプライアンス経営が問われるのは,コンプライアンス経営が争われたときだ。
争いに対抗するには,証拠が勝負だ。
だからコンプライアンス経営の肝は証拠の確保なのだ。

ISMSの文書化と記録が,情報管理のコンプライアンス経営に役立つ理由はここにある。











経済産業省がサイバーセキュリティ演習を調達開始

経済産業省が,サイバーセキュリティ演習の調達情報を公表しました。

平成24年度情報セキュリティ対策推進事業(サイバーセキュリティ演習)に
係る委託先の公募について
http://www.meti.go.jp/information/data/c120530aj.html


募集は6月19日 午後6時までです。
QRコード
QRコード
  • ライブドアブログ